このページは Cloud Translation API によって翻訳されました。

Siemplify を Google SecOps と統合する

統合バージョン: 94.0

このドキュメントでは、Siemplify を Google Security Operations（Google SecOps）と統合する方法について説明します。

ユースケース

Siemplify インテグレーションは、次のユースケースに対応できます。

フィッシング調査: Google SecOps の機能を使用して、フィッシングメールを分析し、不正侵入の指標（IOC）を抽出し、脅威インテリジェンスで強化するプロセスを自動化します。
マルウェアの封じ込め: Google SecOps の機能を使用して、マルウェアが検出されたときに、感染したエンドポイントを自動的に隔離し、スキャンを開始して、悪意のあるファイルを隔離します。
脆弱性管理: Google SecOps の機能を使用して、脆弱性スキャンをオーケストレートし、リスクに基づいて脆弱性の優先順位を付け、修復用のチケットを自動的に作成します。
脅威ハンティング: Google SecOps の機能を使用して、さまざまなセキュリティツールとデータセットで脅威ハンティングクエリの実行を自動化します。
セキュリティアラートのトリアージ: Google SecOps の機能を使用して、セキュリティアラートをコンテキスト情報で自動的に拡充し、他のイベントと関連付け、重大度に基づいて優先順位を付けます。
インシデント対応: Google SecOps の機能を使用して、最初の検出から封じ込めと根絶まで、インシデント対応プロセス全体をオーケストレートします。
コンプライアンスレポート: Google SecOps の機能を使用して、コンプライアンスレポート用のセキュリティデータの収集と分析を自動化します。

統合のパラメータ

Siemplify 統合には、次のパラメータが必要です。

パラメータ説明

パラメータ	説明
`Monitors Mail Recipients`	必須。統合のメール関連ワークフローで検証するメールアドレスのカンマ区切りのリスト。このリストは、処理の受信者を定義するために使用されます。デフォルト値は `example@mail.com,example1@mail.com` です。
`Elastic Server Address`	必須。 Siemplify データベースへの接続に使用される Elastic サーバーのアドレス。通常、これは Elastic インスタンスが実行されるホストマシンのアドレスです。デフォルト値は `localhost` です。

Monitors Mail Recipients

必須。

統合のメール関連ワークフローで検証するメールアドレスのカンマ区切りのリスト。

このリストは、処理の受信者を定義するために使用されます。

デフォルト値は example@mail.com,example1@mail.com です。

Elastic Server Address

必須。

Siemplify データベースへの接続に使用される Elastic サーバーのアドレス。

通常、これは Elastic インスタンスが実行されるホストマシンのアドレスです。

デフォルト値は localhost です。

Google SecOps で統合を構成する手順については、統合を構成するをご覧ください。

必要に応じて、後の段階で変更できます。統合インスタンスを構成すると、ハンドブックで使用できるようになります。複数のインスタンスの構成とサポートの詳細については、複数のインスタンスのサポートをご覧ください。

操作

アクションの詳細については、デスクから保留中のアクションに対応すると手動アクションを実行するをご覧ください。

エンティティ分析情報の追加

エンティティ分析情報を追加アクションを使用して、Siemplify の Google SecOps エンティティに分析情報を追加します。

このアクションは、すべての Google SecOps エンティティに対して実行されます。

アクション入力

[Add Entity Insight] アクションには、次のパラメータが必要です。

パラメータ説明

パラメータ	説明
`Message`	必須。エンティティに追加するメッセージ。このパラメータは、次のような HTML 要素をサポートしています。見出し（`<h1></h1>`、`<h2></h2>`）段落（`<p></p>`）テキストの書式設定（`<b></b>`、`<i></i>`、`<br>`）リンク（`<a href="example.com"></a>`）。

Message

必須。

エンティティに追加するメッセージ。

このパラメータは、次のような HTML 要素をサポートしています。

見出し（<h1></h1>、<h2></h2>）
段落（<p></p>）
テキストの書式設定（<b></b>、<i></i>、<br>）
リンク（<a href="example.com"></a>）。

アクションの出力

[エンティティの分析情報を追加] アクションは、次の出力を提供します。

アクションの出力タイプ	対象
ケースウォールのアタッチメント	利用不可
ケースウォールのリンク	利用不可
ケースウォールテーブル	利用不可
拡充テーブル	利用不可
JSON の結果	利用不可
出力メッセージ	利用可能
スクリプトの結果	利用可能

出力メッセージ

[エンティティ分析情報を追加] アクションは、次の出力メッセージを返すことがあります。

出力メッセージメッセージの説明

出力メッセージ	メッセージの説明
`Added insight with message MESSAGE to ENTITY_ID.`	アクションが成功しました。
`Error executing action "Add Entity Insight". Reason: ERROR_REASON`	操作に失敗しました。サーバーへの接続、入力パラメータ、または認証情報を確認してください。

Added insight with message MESSAGE to ENTITY_ID.

アクションが成功しました。

Error executing action "Add Entity Insight". Reason:
      ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。

スクリプトの結果

次の表に、[エンティティ分析情報を追加] アクションを使用する場合のスクリプト結果出力の値を示します。

スクリプトの結果名	値
`is_success`	`true` または `false`

一般的な分析情報の追加

[Add General Insight] アクションを使用して、ケースに一般的な分析情報を追加します。

このアクションは Google SecOps エンティティに対して実行されません。

アクション入力

[Add General Insight] アクションには、次のパラメータが必要です。

パラメータ説明

パラメータ	説明
`Title`	必須。分析情報のタイトル。
`Message`	必須。エンティティに追加するメッセージ。このパラメータは、次のような HTML 要素をサポートしています。見出し（`<h1></h1>`、`<h2></h2>`）段落（`<p></p>`）テキストの書式設定（`<b></b>`、`<i></i>`、`<br>`）リンク（`<a href="example.com"></a>`）。
`Triggered By`	省略可。分析情報の正当性を説明し、ケースに追加された理由を説明するためのフリーテキストフィールド。

Title

必須。

分析情報のタイトル。

Message

必須。

エンティティに追加するメッセージ。

このパラメータは、次のような HTML 要素をサポートしています。

見出し（<h1></h1>、<h2></h2>）
段落（<p></p>）
テキストの書式設定（<b></b>、<i></i>、<br>）
リンク（<a href="example.com"></a>）。

Triggered By

省略可。

分析情報の正当性を説明し、ケースに追加された理由を説明するためのフリーテキストフィールド。

アクションの出力

[一般的な分析情報を追加] アクションは、次の出力を提供します。

アクションの出力タイプ	対象
ケースウォールのアタッチメント	利用不可
ケースウォールのリンク	利用不可
ケースウォールテーブル	利用不可
拡充テーブル	利用不可
JSON の結果	利用不可
出力メッセージ	利用可能
スクリプトの結果	利用可能

出力メッセージ

[Add General Insight] アクションは、次の出力メッセージを返すことができます。

出力メッセージメッセージの説明

出力メッセージ	メッセージの説明
`Added insight with message MESSAGE.`	アクションが成功しました。
`Error executing action "Add General Insight". Reason: ERROR_REASON`	操作に失敗しました。サーバーへの接続、入力パラメータ、または認証情報を確認してください。

Added insight with message MESSAGE.

アクションが成功しました。

Error executing action "Add General Insight". Reason:
      ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。

スクリプトの結果

次の表に、[一般的な分析情報を追加] アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名	値
`is_success`	`true` または `false`

同様のケースへのタグの追加

[Add Tags To Similar Cases] アクションを使用して、類似するケースにタグを追加します。

類似するケースを見つけるため、アクションは siemplify.get_similar_cases() 関数を使用して、一連の条件とパラメータに基づいてケース ID のリストを取得します。

論理 AND 演算子は、Rule Generator、Port、Category Outcome、Entity Identifier パラメータに適用され、指定されたすべての条件に一致するケースをフィルタします。

このアクションは Google SecOps エンティティに対して実行されません。

アクション入力

[Add Tags To Similar Cases] アクションには、次のパラメータが必要です。

パラメータ	説明
`Rule Generator`	省略可。選択すると、ルールジェネレータを使用して類似のケースが検索されます。デフォルトで有効になっています。
`Port`	省略可。選択すると、アクションはポート番号を使用して類似のケースを検索します。デフォルトで有効になっています。
`Category Outcome`	省略可。選択すると、カテゴリの結果を使用して類似のケースが検索されます。デフォルトで有効になっています。
`Entity Identifier`	省略可。選択すると、エンティティ識別子を使用して類似のケースが検索されます。デフォルトで有効になっています。
`Days Back`	必須。類似のケースを検索する現在の日付までの日数。
`Tags`	必須。類似するケースに適用するタグのカンマ区切りのリスト。

アクションの出力

[Add Tags To Similar Cases] アクションでは、次の出力が提供されます。

アクションの出力タイプ	対象
ケースウォールのアタッチメント	利用不可
ケースウォールのリンク	利用不可
ケースウォールテーブル	利用不可
拡充テーブル	利用不可
JSON の結果	利用不可
出力メッセージ	利用可能
スクリプトの結果	利用可能

出力メッセージ

[Add Tags To Similar Cases] アクションは、次の出力メッセージを返すことがあります。

出力メッセージメッセージの説明

出力メッセージ	メッセージの説明
`Found NUMBER_OF_SIMILAR_CASES similar cases. Successfully added tags: TAG_NAMES to cases CASE_IDS`	アクションが成功しました。
`Error executing action "Add Tags To Similar Cases". Reason: ERROR_REASON`	操作に失敗しました。サーバーへの接続、入力パラメータ、または認証情報を確認してください。

Found NUMBER_OF_SIMILAR_CASES similar cases. Successfully added tags: TAG_NAMES to cases CASE_IDS

アクションが成功しました。

Error executing action "Add Tags To Similar Cases". Reason:
      ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。

スクリプトの結果

次の表に、[Add Tags To Similar Cases] アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名	値
`SimilarCasesIds`	類似のケース ID のリスト。

カスタムリストに追加

[カスタムリストに追加] アクションを使用して、分類されたカスタムリストにエンティティ識別子を追加し、他のアクションで今後の比較を行います。

このアクションは、すべての Google SecOps エンティティに対して実行されます。

アクション入力

[Add to Custom List] アクションには、次のパラメータが必要です。

パラメータ説明

パラメータ	説明
`Category`	必須。エンティティ ID を追加するカスタムリストカテゴリの名前。

Category

必須。

エンティティ ID を追加するカスタムリストカテゴリの名前。

アクションの出力

[カスタムリストに追加] アクションは、次の出力を提供します。

アクションの出力タイプ	対象
ケースウォールのアタッチメント	利用不可
ケースウォールのリンク	利用不可
ケースウォールテーブル	利用不可
拡充テーブル	利用不可
JSON の結果	利用不可
出力メッセージ	利用可能
スクリプトの結果	利用可能

出力メッセージ

[カスタムリストに追加] アクションは、次の出力メッセージを返すことがあります。

出力メッセージメッセージの説明

出力メッセージ	メッセージの説明
`The alert's entities ENTITY_IDS were added to custom list category: CATEGORY.`	アクションが成功しました。
`Error executing action "Add to Custom List". Reason: ERROR_REASON`	操作に失敗しました。サーバーへの接続、入力パラメータ、または認証情報を確認してください。

The alert's entities ENTITY_IDS were added to custom list category: CATEGORY.

アクションが成功しました。

Error executing action "Add to Custom List". Reason:
      ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。

スクリプトの結果

次の表に、[カスタムリストに追加] アクションを使用する場合のスクリプト結果出力の値を示します。

スクリプトの結果名	値
`is_success`	`true` または `false`

ケースの割り当て

[Assign Case] アクションを使用して、ケースを特定のユーザーまたはユーザーグループに割り当てます。

このアクションは Google SecOps エンティティに対して実行されません。

アクション入力

[Assign Case] アクションには、次のパラメータが必要です。

パラメータ説明

パラメータ	説明
`Assigned User`	必須。ケースを割り当てるユーザーまたはユーザーグループ。

Assigned User

必須。

ケースを割り当てるユーザーまたはユーザーグループ。

アクションの出力

[Assign Case] アクションでは、次の出力が提供されます。

アクションの出力タイプ	対象
ケースウォールのアタッチメント	利用不可
ケースウォールのリンク	利用不可
ケースウォールテーブル	利用不可
拡充テーブル	利用不可
JSON の結果	利用不可
出力メッセージ	利用可能
スクリプトの結果	利用可能

出力メッセージ

[カスタムリストに追加] アクションは、次の出力メッセージを返すことがあります。

出力メッセージメッセージの説明

出力メッセージ	メッセージの説明
`The case was successfully assigned to ASSIGNED_USER.`	アクションが成功しました。
`Error executing action "Assign Case". Reason: ERROR_REASON`	操作に失敗しました。サーバーへの接続、入力パラメータ、または認証情報を確認してください。

The case was successfully assigned to ASSIGNED_USER.

アクションが成功しました。

Error executing action "Assign Case". Reason:
      ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。

スクリプトの結果

次の表に、[Assign Case] アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名	値
`is_success`	`true` または `false`

ハンドブックをアラートにアタッチ

ハンドブックをアラートにアタッチ アクションを使用して、特定のアラートにハンドブックをアタッチします。

このアクションは Google SecOps エンティティに対して実行されません。

アクション入力

[ハンドブックをアラートにアタッチ] アクションには、次のパラメータが必要です。

パラメータ説明

パラメータ	説明
`Playbook Name`	必須。現在のアラートにアタッチするハンドブックの名前。
`Allow Duplicates`	省略可。選択すると、ハンドブックをアラートに複数回添付できます。デフォルトで有効になっています。

Playbook Name

必須。

現在のアラートにアタッチするハンドブックの名前。

Allow Duplicates

省略可。

選択すると、ハンドブックをアラートに複数回添付できます。

デフォルトで有効になっています。

アクションの出力

[ハンドブックをアラートにアタッチ] アクションは、次の出力を提供します。

アクションの出力タイプ	対象
ケースウォールのアタッチメント	利用不可
ケースウォールのリンク	利用不可
ケースウォールテーブル	利用不可
拡充テーブル	利用不可
JSON の結果	利用不可
出力メッセージ	利用可能
スクリプトの結果	利用可能

出力メッセージ

[グラフを検索] アクションは、次の出力メッセージを返すことができます。

出力メッセージメッセージの説明

出力メッセージ	メッセージの説明
`Successfully attached the PLAYBOOK_NAME playbook to the alert CURRENT_ALERT_NAME.`	アクションが成功しました。
`Error executing action "Attach Playbook to Alert". Reason: ERROR_REASON`	操作に失敗しました。サーバーへの接続、入力パラメータ、または認証情報を確認してください。

Successfully attached the PLAYBOOK_NAME playbook to the alert CURRENT_ALERT_NAME.

アクションが成功しました。

Error executing action "Attach Playbook to Alert". Reason:
      ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。

スクリプトの結果

次の表に、[アラートにプレイブックを添付] アクションを使用する場合のスクリプト結果出力の値を示します。

スクリプトの結果名	値
スクリプトの結果	`true` または `false`

ケースコメント

ケースコメント アクションを使用して、現在のアラートがグループ化されているケースにコメントを追加します。

このアクションは Google SecOps エンティティに対して実行されません。

アクション入力

[Case Comment] アクションには、次のパラメータが必要です。

パラメータ説明

パラメータ	説明
`Comment`	必須。ケースに追加するコメント。

Comment

必須。

ケースに追加するコメント。

アクションの出力

[Case Comment] アクションでは、次の出力が提供されます。

アクションの出力タイプ	対象
ケースウォールのアタッチメント	利用不可
ケースウォールのリンク	利用不可
ケースウォールテーブル	利用不可
拡充テーブル	利用不可
JSON の結果	利用不可
出力メッセージ	利用可能
スクリプトの結果	利用可能

出力メッセージ

Add Vote To Entity アクションは、次の出力メッセージを返すことができます。

出力メッセージメッセージの説明

出力メッセージ	メッセージの説明
`Comment added to case: CASE_COMMENT.`	アクションが成功しました。
`Error executing action "Case Comment". Reason: ERROR_REASON`	操作に失敗しました。サーバーへの接続、入力パラメータ、または認証情報を確認してください。

Comment added to case: CASE_COMMENT.

アクションが成功しました。

Error executing action "Case Comment". Reason:
      ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。

スクリプトの結果

次の表に、[ケースのコメント] アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名	値
`SuccessStatus`	`true` または `false`

ケースタグ

[ケースタグ] アクションを使用して、現在のアラートがグループ化されているケースにタグを追加します。

このアクションは Google SecOps エンティティに対して実行されません。

アクション入力

[ケースタグ] アクションには、次のパラメータが必要です。

パラメータ説明

パラメータ	説明
`Tag`	必須。ケースに追加するタグ。

Tag

必須。

ケースに追加するタグ。

アクションの出力

[ケースタグ] アクションでは、次の出力が提供されます。

アクションの出力タイプ	対象
ケースウォールのアタッチメント	利用不可
ケースウォールのリンク	利用不可
ケースウォールテーブル	利用不可
拡充テーブル	利用不可
JSON の結果	利用不可
出力メッセージ	利用可能
スクリプトの結果	利用可能

出力メッセージ

[Case Tag] アクションは、次の出力メッセージを返すことができます。

出力メッセージメッセージの説明

出力メッセージ	メッセージの説明
`The tag TAG_NAME was added to the case`	アクションが成功しました。
`Error executing action "Add Vote To Entity". Reason: ERROR_REASON`	操作に失敗しました。サーバーへの接続、入力パラメータ、または認証情報を確認してください。

The tag TAG_NAME was added to the case

アクションが成功しました。

Error executing action "Add Vote To Entity". Reason:
      ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。

スクリプトの結果

次の表に、ケースタグ アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名	値
`is_success`	`true` または `false`

アラートの優先度を変更する

[アラートの優先度を変更] アクションを使用して、ケースのアラートの優先度を更新します。

このアクションは Google SecOps エンティティに対して実行されません。

アクション入力

[アラートの優先度を変更] アクションには、次のパラメータが必要です。

パラメータ説明

パラメータ	説明
`Alert Priority`	必須。アラートの新しい優先度。アラートの優先度が現在のケースの優先度よりも高い値に更新されると、ケースの優先度が自動的に更新され、新しい優先度の高い値に一致します。値は次のいずれかになります。 `Informative` `Low` `Medium` `High` `Critical`

Alert Priority

必須。

アラートの新しい優先度。

アラートの優先度が現在のケースの優先度よりも高い値に更新されると、ケースの優先度が自動的に更新され、新しい優先度の高い値に一致します。

値は次のいずれかになります。

Informative
Low
Medium
High
Critical

アクションの出力

[アラートの優先度を変更] アクションでは、次の出力が提供されます。

アクションの出力タイプ	対象
ケースウォールのアタッチメント	利用不可
ケースウォールのリンク	利用不可
ケースウォールテーブル	利用不可
拡充テーブル	利用不可
JSON の結果	利用不可
出力メッセージ	利用可能
スクリプトの結果	利用可能

出力メッセージ

Add Vote To Entity アクションは、次の出力メッセージを返すことができます。

出力メッセージメッセージの説明

出力メッセージ	メッセージの説明
`The alert priority was set to NEW_PRIORITY_LEVEL.`	アクションが成功しました。
`Error executing action "Change Alert Priority". Reason: ERROR_REASON`	操作に失敗しました。サーバーへの接続、入力パラメータ、または認証情報を確認してください。

The alert priority was set to NEW_PRIORITY_LEVEL.

アクションが成功しました。

Error executing action "Change Alert Priority". Reason:
      ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。

スクリプトの結果

次の表に、[アラートの優先度を変更] アクションを使用する場合のスクリプト結果出力の値を示します。

スクリプトの結果名	値
スクリプトの結果	`true` または `false`

ケースのステージを変更する

[Change Case Stage] アクションを使用して、ケースのステージを変更します。

このアクションは Google SecOps エンティティに対して実行されません。

アクション入力

[Change Case Stage] アクションには、次のパラメータが必要です。

パラメータ説明

パラメータ	説明
`Stage`	必須。ケースの移動先のステージ。値は次のいずれかになります。 `Triage` `Assessment` `Investigation` `Incident` `Improvement` `Research`

Stage

必須。

ケースの移動先のステージ。

値は次のいずれかになります。

Triage
Assessment
Investigation
Incident
Improvement
Research

アクションの出力

[Change Case Stage] アクションでは、次の出力が提供されます。

アクションの出力タイプ	対象
ケースウォールのアタッチメント	利用不可
ケースウォールのリンク	利用不可
ケースウォールテーブル	利用不可
拡充テーブル	利用不可
JSON の結果	利用不可
出力メッセージ	利用可能
スクリプトの結果	利用可能

出力メッセージ

Add Vote To Entity アクションは、次の出力メッセージを返すことができます。

出力メッセージメッセージの説明

出力メッセージ	メッセージの説明
`Case stage was successfully changed to NEW_CASE_STAGE.`	アクションが成功しました。
`Error executing action "Change Case Stage". Reason: ERROR_REASON`	操作に失敗しました。サーバーへの接続、入力パラメータ、または認証情報を確認してください。

Case stage was successfully changed to NEW_CASE_STAGE.

アクションが成功しました。

Error executing action "Change Case Stage". Reason:
      ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。

スクリプトの結果

次の表に、[Change Case Stage] アクションを使用する場合のスクリプト結果出力の値を示します。

スクリプトの結果名	値
スクリプトの結果	`true` または `false`

優先度の変更

[Change Priority] アクションを使用して、ケースの優先度を変更します。

このアクションは Google SecOps エンティティに対して実行されません。

アクション入力

[Change Priority] アクションには、次のパラメータが必要です。

パラメータ説明

パラメータ	説明
`Priority`	必須。ケースに設定する優先度。値は次のいずれかになります。 `Informative` `Low` `Medium` `High` `Critical`

Priority

必須。

ケースに設定する優先度。

値は次のいずれかになります。

Informative
Low
Medium
High
Critical

アクションの出力

[優先度を変更] アクションは、次の出力を提供します。

アクションの出力タイプ	対象
ケースウォールのアタッチメント	利用不可
ケースウォールのリンク	利用不可
ケースウォールテーブル	利用不可
拡充テーブル	利用不可
JSON の結果	利用不可
出力メッセージ	利用可能
スクリプトの結果	利用可能

出力メッセージ

Add Vote To Entity アクションは、次の出力メッセージを返すことができます。

出力メッセージメッセージの説明

出力メッセージ	メッセージの説明
`The case priority was set to NEW_CASE_PRIORITY`	アクションが成功しました。
`Error executing action "Close Alert". Reason: ERROR_REASON`	操作に失敗しました。サーバーへの接続、入力パラメータ、または認証情報を確認してください。

The case priority was set to NEW_CASE_PRIORITY

アクションが成功しました。

Error executing action "Close Alert". Reason:
      ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。

スクリプトの結果

次の表に、[優先度を変更] アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名	値
スクリプトの結果	`true` または `false`

アラートをクローズする

アラートを閉じるには、[Close Alert] アクションを使用します。

このアクションは Google SecOps エンティティに対して実行されません。

アクション入力

[Close Alert] アクションには、次のパラメータが必要です。

パラメータ	説明
`Reason`	必須。アラートのクローズの主な分類。値は次のいずれかになります。 `Malicious` `NotMalicious` `Maintenance` `Inconclusive`
`Root Cause`	必須。アラートの原因となった技術的な問題の詳細な説明。
`Comment`	必須。メモ、調査の概要、アラートのクローズに関する追加のコンテキスト。
`Assign to User`	省略可。アラートのクローズ後に割り当てるユーザー。
`Tags`	省略可。分類、フィルタリング、今後の検索のためにアラートに付加するタグのカンマ区切りリスト。

アクションの出力

[アラートを閉じる] アクションでは、次の出力が提供されます。

アクションの出力タイプ	対象
ケースウォールのアタッチメント	利用不可
ケースウォールのリンク	利用不可
ケースウォールテーブル	利用不可
拡充テーブル	利用不可
JSON の結果	利用不可
出力メッセージ	利用可能
スクリプトの結果	利用可能

出力メッセージ

Add Vote To Entity アクションは、次の出力メッセージを返すことができます。

出力メッセージメッセージの説明

出力メッセージ	メッセージの説明
`The alert was closed. Root Cause: ROOT_CAUSE Comment: ALERT_COMMENT Reason: REASON`	アクションが成功しました。
`Error executing action "Close Alert". Reason: ERROR_REASON`	操作に失敗しました。サーバーへの接続、入力パラメータ、または認証情報を確認してください。

The alert was closed. Root Cause: ROOT_CAUSE Comment: ALERT_COMMENT Reason: REASON

アクションが成功しました。

Error executing action "Close Alert". Reason:
      ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。

スクリプトの結果

次の表に、[アラートを閉じる] アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名	値
`StatusResult`	`true` または `false`

ケースをクローズする

[Close Case] アクションを使用してケースを閉じます。

このアクションは Google SecOps エンティティに対して実行されません。

アクション入力

[Close Case] アクションには、次のパラメータが必要です。

パラメータ説明

Reason

必須。

アラートのクローズの主な分類。

値は次のいずれかになります。

Malicious
NotMalicious
Maintenance
Inconclusive

Root Cause

必須。

アラートの原因となった技術的な問題の詳細な説明。

Comment

必須。

メモ、調査の概要、アラートのクローズに関する追加のコンテキスト。

アクションの出力

[ケースをクローズする] アクションでは、次の出力が提供されます。

アクションの出力タイプ	対象
ケースウォールのアタッチメント	利用不可
ケースウォールのリンク	利用不可
ケースウォールテーブル	利用不可
拡充テーブル	利用不可
JSON の結果	利用不可
出力メッセージ	利用可能
スクリプトの結果	利用可能

出力メッセージ

Add Vote To Entity アクションは、次の出力メッセージを返すことができます。

出力メッセージメッセージの説明

The case was closed. Root Cause: ROOT_CAUSE Comment: REASON

アクションが成功しました。

Error executing action "Close Case". Reason:
      ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。

スクリプトの結果

次の表に、[ケースをクローズ] アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名	値
`StatusResult`	`true` または `false`

エンティティの作成

[エンティティの作成] アクションを使用して、新しいエンティティを作成してアラートに追加します。

このアクションは、すべての Google SecOps エンティティに対して実行されます。

注: Google SecOps プラットフォームバージョン 5.6.2 以降では、アクションの入力で区切り文字を直接選択し、データベース構成を無視できます。

Google SecOps プラットフォームバージョン 5.6.0 ～ 5.6.2 の場合、区切り文字は [エンティティの作成] アクションまたはデータベースで構成できます。

カスタム（デフォルト以外）の区切り文字を使用するには、次のいずれかのオプションを選択します。

アクションの入力とデータベースの両方で、デフォルトの区切り文字（,）をカスタムの区切り文字に変更します。
データベースの区切り文字を変更し、このアクションで Delimiter パラメータを空のままにします。

アクション入力

[Create Entity] アクションには、次のパラメータが必要です。

パラメータ	説明
`Entities Identifies`	必須。ケースで作成するエンティティ ID のカンマ区切りのリスト（`VALUE1, VALUE2, VALUE3` など）。
`Delimiter`	省略可。 `Entities Identifies` からの入力を複数の識別子に分割するために使用される区切り文字。値が指定されていない場合、アクションは入力を単一のエンティティ ID として扱います。デフォルト値は `,` です。
`Entity Type`	必須。作成するエンティティのタイプ（`HOST NAME`、`USER NAME`、`IP Set` など）。
`Is Internal`	省略可。選択すると、アクションによってエンティティが内部ネットワークの一部としてマークされます。デフォルトでは有効になっていません。
`Is Suspicious`	省略可。選択すると、アクションによってエンティティが不審としてマークされます。デフォルトでは有効になっていません。

アクションの出力

[エンティティを作成] アクションは、次の出力を提供します。

アクションの出力タイプ	対象
ケースウォールのアタッチメント	利用不可
ケースウォールのリンク	利用不可
ケースウォールテーブル	利用不可
拡充テーブル	利用不可
JSON の結果	利用不可
出力メッセージ	利用可能
スクリプトの結果	利用可能

出力メッセージ

[エンティティを作成] アクションは、次の出力メッセージを返すことができます。

出力メッセージメッセージの説明

ENTITY_IDS created successfully.

アクションが成功しました。

Error executing action "Create Entity". Reason:
      ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。

スクリプトの結果

次の表に、エンティティの作成アクションを使用する場合のスクリプト結果出力の値を示します。

スクリプトの結果名	値
`StatusResult`	`true` または `false`

Gemini ケースの概要を作成する

Gemini ケースの概要を作成アクションを使用して、新しい Gemini ケースの概要を作成し、アラートに追加します。

このアクションは Google SecOps エンティティに対して実行されません。

アクション入力

なし

アクションの出力

[Create Gemini Case Summary] アクションは、次の出力を提供します。

アクションの出力タイプ	対象
ケースウォールのアタッチメント	利用不可
ケースウォールのリンク	利用不可
ケースウォールテーブル	利用不可
拡充テーブル	利用不可
JSON の結果	利用可能
出力メッセージ	利用可能
スクリプトの結果	利用可能

JSON の結果

次の例は、Gemini ケースの概要を作成アクションを使用した場合に受信する JSON 結果の出力例を示しています。

{
  "summary": "On the Linux agent instance-1 (IP addresses 10.150.0.3 and 34.85.128.214), user vanshikavw_google_com initiated the process curl (SHA1 hash 3395856ce81f2b7382dee72602f798b642f14140) to create the malware file /home/vanshikavw_google_com/eicar_test_vanshikavw-test-new.\n*  VirusTotal identifies the SHA1 hash 3395856ce81f2b7382dee72602f798b642f14140 as a virus.eicar/test.\n*  CURL is associated with multiple actors, including APT27, APT34, APT41, APT44, APT9, FIN11, FIN13, FIN6, TEMP.Armageddon, Turla Team, UNC1151, UNC1860, UNC215, UNC2165, UNC2500, UNC251, UNC2595, UNC2633, UNC2900, UNC2975, UNC3569, UNC3661, UNC3944, UNC4483, UNC4936, UNC4962, UNC5007, UNC5051, UNC5055, UNC5156, UNC5221, UNC5266, UNC5330, UNC5371, UNC5470, UNC5859, and UNC961.\n*  CURL is known to use MITRE ATT&CK techniques such as T1113, T1095, T1036, T1553, T1222, T1055, T1140, T1070, T1027, T1622, T1057, T1010, T1083, T1518, T1082, T1016, T1059, T1496, and T1588.\n*  A GTI MALWARE search did not find any information about eicar_test_vanshikavw-test-new.\n*  A GTI IP_ADDRESS search did not find any information about 10.150.0.3 or 34.85.128.214.", 
  "next_steps": ["Isolate instance-1 to prevent any potential lateral movement or further compromise of the network, as the curl process is associated with multiple threat actors.", 
  "Investigate the user account vanshikavw_google_com to determine if the user's credentials have been compromised or if the user initiated the curl process intentionally, as the curl process is associated with multiple threat actors.", 
  "Analyze the network traffic to and from the IP addresses 10.150.0.3 and 34.85.128.214 for any suspicious communication patterns, as the curl process is associated with multiple threat actors.", 
  "Examine the process execution logs on instance-1 for any other unusual or unauthorized activities, as the curl process is associated with multiple threat actors.", 
  "Review the configuration of the Linux agent on instance-1 to ensure that it is properly secured and that no unauthorized modifications have been made, as the curl process is associated with multiple threat actors."], 
  "reasons": ["The case involves a Linux agent instance-1 (IP addresses 10.150.0.3 and 34.85.128.214) where user vanshikavw_google_com initiated the process curl to create the file /home/vanshikavw_google_com/eicar_test_vanshikavw-test-new.", 
  "The SHA1 hash 3395856ce81f2b7382dee72602f798b642f14140 of the curl process is identified by VirusTotal as virus.eicar/test, indicating it is a known test virus.", 
  "The process CURL is associated with multiple threat actors, including APT27, APT34, APT41, APT44, APT9, FIN11, FIN13, FIN6, TEMP.Armageddon, Turla Team, UNC1151, UNC1860, UNC215, UNC2165, UNC2500, UNC251, UNC2595, UNC2633, UNC2900, UNC2975, UNC3569, UNC3661, UNC3944, UNC4483, UNC4936, UNC4962, UNC5007, UNC5051, UNC5055, UNC5156, UNC5221, UNC5266, UNC5330, UNC5371, UNC5470, UNC5859, and UNC961, suggesting a potential link to malicious activity.", 
  "CURL is known to use various MITRE ATT&CK techniques such as T1113, T1095, T1036, T1553, T1222, T1055, T1140, T1070, T1027, T1622, T1057, T1010, T1083, T1518, T1082, T1016, T1059, T1496, and T1588, indicating a wide range of potential malicious behaviors.", 
  "The file eicar_test_vanshikavw-test-new was not found in GTI MALWARE searches, and the IP addresses 10.150.0.3 and 34.85.128.214 were not found in GTI IP_ADDRESS searches."]
}

出力メッセージ

[Create Gemini Case Summary] アクションは、次の出力メッセージを返すことができます。

出力メッセージメッセージの説明

Case summary generation completed.

アクションが成功しました。

Error executing action "Create Gemini Case Summary".
      Reason: ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。

スクリプトの結果

次の表に、Gemini ケースの概要を作成アクションを使用する場合のスクリプト結果出力の値を示します。

スクリプトの結果名	値
`is_success`	`true` または `false`

エンティティプロパティの作成または更新

エンティティプロパティの作成または更新アクションを使用して、エンティティスコープ内のエンティティのプロパティを作成または変更します。

このアクションは、すべての Google SecOps エンティティに対して実行されます。

アクション入力

エンティティプロパティの作成または更新アクションには、次のパラメータが必要です。

パラメータ説明

Entity Field

必須。

作成または更新するエンティティフィールド。

Field Value

必須。

指定されたエンティティフィールドの値。

アクションの出力

[Create Or Update Entity Properties] アクションは、次の出力を提供します。

アクションの出力タイプ	対象
ケースウォールのアタッチメント	利用不可
ケースウォールのリンク	利用不可
ケースウォールテーブル	利用不可
拡充テーブル	利用不可
JSON の結果	利用不可
出力メッセージ	利用可能
スクリプトの結果	利用可能

出力メッセージ

[エンティティプロパティの作成または更新] アクションは、次の出力メッセージを返すことができます。

出力メッセージメッセージの説明

Property ENTITY_FIELD were changed for the following entities: ENTITY_ID.

アクションが成功しました。

Error executing action "Create Or Update Entity Properties".
      Reason: ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。

スクリプトの結果

次の表に、エンティティプロパティの作成または更新アクションを使用する場合のスクリプト結果出力の値を示します。

スクリプトの結果名	値
`is_success`	`true` または `false`

ケースアラートを取得する

Get Case Alerts アクションを使用して、指定したケースに関連するアラートを取得します。

このアクションは Google SecOps エンティティに対して実行されません。

アクション入力

ケースアラートを取得アクションには、次のパラメータが必要です。

パラメータ	説明
`Case ID`	必須。アクションが関連するアラートを取得するケース ID のカンマ区切りのリスト。
`Alert ID`	省略可。返されるアラートを制限するアラート ID のカンマ区切りのリスト。このパラメータは、`Case ID` に値が含まれている場合にのみ使用されます。
`Fields To Return`	省略可。 JSON 結果で返されるフィールドのカンマ区切りリスト。ネストされた値を取得するには、`Nested Keys Delimiter` を使用してネストされたキーとリストインデックスを連結します。たとえば、区切り文字が「`.`」の場合: `key1.nested_key1.0.nested_key2, key2, key3.1.nested_key1` 値が指定されていない場合は、すべてのフィールドが返されます。
`Nested Keys Delimiter`	省略可。返すフィールドを定義するときに、ネストされたキーとリストインデックスを区切るために使用される文字。このパラメータにカンマ（`,`）を指定することはできません。

ケースの詳細を取得する

ケースの詳細を取得アクションを使用して、ケースのすべてのデータ（コメント、エンティティ情報、分析情報、実行されたハンドブック、アラート情報、イベントなど）を取得します。

このアクションは Google SecOps エンティティに対して実行されません。

アクション入力

ケースの詳細を取得アクションには、次のパラメータが必要です。

パラメータ説明

Case Id

省略可。

詳細情報を取得するケースの ID。

値が指定されていない場合、アクションは現在のケースを使用します。

Fields to Return

省略可。

返されるフィールドのカンマ区切りリスト。

何も指定しないと、すべてのフィールドが返されます。

Nested Keys Delimiter パラメータを使用してキーとリストインデックスを区切ることで、特定のネストされた値を取得できます。

Nested Keys Delimiter

省略可。

特定のフィールドをリクエストするときに、ネストされたキーの区切りに使用される文字。これにより、ネストされたオブジェクトから値を取得できます。

区切り文字にカンマ（,）は使用できません。

アクションの出力

[Get Case Details] アクションは、次の出力を提供します。

アクションの出力タイプ	対象
ケースウォールのアタッチメント	利用不可
ケースウォールのリンク	利用不可
ケースウォールテーブル	利用不可
拡充テーブル	利用不可
JSON の結果	利用可能
出力メッセージ	利用可能
スクリプトの結果	利用可能

JSON の結果

次の例は、ケースの詳細を取得アクションを使用した場合に受信する JSON 結果の出力です。

{
"id": 24879,
"creationTimeUnixTimeInMs": 1750862500562,
"modificationTimeUnixTimeInMs": 1750862500562,
"name": "Malware",
"priority": -1,
"isImportant": false,
"isIncident": false,
"startTimeUnixTimeInMs": 1727243021999,
"endTimeUnixTimeInMs": 1727243022479,
"assignedUser": "@Tier1",
"description": null,
"isTestCase": true,
"type": 1,
"stage": "Triage",
"environment": "Default Environment",
"status": 1,
"incidentId": null,
"tags": ["hi", "Simulated Case"],
"alertCards": [{
  "id": 172354,
  "creationTimeUnixTimeInMs": 1750862500651,
  "modificationTimeUnixTimeInMs": 1750862500651,
  "identifier": "EICAR_TEST_VANSHIKAVW-TEST-NEW0CC43705-04A7-43FD-88CD-B3E7FECA881D",
  "status": 0,
  "name": "EICAR_TEST_VANSHIKAVW-TEST-NEW",
  "priority": -1,
  "workflowsStatus": 1,
  "slaExpirationUnixTime": null,
  "slaCriticalExpirationUnixTime": null,
  "startTime": 1727243021999,
  "endTime": 1727243022479,
  "alertGroupIdentifier": "MalwareSFBrxjAXvKJsJyKe5iQalf00zrv/QwX966dRoEyP2eA=_8cc160b5-7039-421c-926c-1a98073f11d2",
  "eventsCount": 3,
  "title": "EICAR_TEST_VANSHIKAVW-TEST-NEW",
  "ruleGenerator": "Malware",
  "deviceProduct": "SentinelOneV2",
  "deviceVendor": "SentinelOneV2",
  "playbookAttached": "Testing",
  "playbookRunCount": 1,
  "isManualAlert": false,
  "sla": {
    "slaExpirationTime": null,
    "criticalExpirationTime": null,
    "expirationStatus": 2,
    "remainingTimeSinceLastPause": null
    },
  "fieldsGroups": [],
  "sourceUrl": null,
  "sourceRuleUrl": null,
  "siemAlertId": null,
  "relatedCases": [],
  "lastSourceUpdateUnixTimeInMs": null,
  "caseId": 24879,
  "nestingDepth": 0
  }],
"isOverflowCase": false,
"isManualCase": false,
"slaExpirationUnixTime": null,
"slaCriticalExpirationUnixTime": null,
"stageSlaExpirationUnixTimeInMs": null,
"stageSlaCriticalExpirationUnixTimeInMs": null,
"canOpenIncident": false,
"sla": {
  "slaExpirationTime": null,
  "criticalExpirationTime": null,
  "expirationStatus": 2,
  "remainingTimeSinceLastPause": null
  },
"stageSla": {
  "slaExpirationTime": null,
  "criticalExpirationTime": null,
  "expirationStatus": 2,
  "remainingTimeSinceLastPause": null},
  "relatedAlertTicketId": null,
  "relatedAlertCards": []
  }

出力メッセージ

[Get Case Details] アクションは、次の出力メッセージを返すことができます。

出力メッセージメッセージの説明

Finished executing "Get Case Details" successfully

アクションが成功しました。

Error executing action "Get Case Details".
      Reason: ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。

スクリプトの結果

次の表に、Get Case Details アクションを使用する場合のスクリプト結果出力の値を示します。

スクリプトの結果名	値
`is_success`	`true` または `false`

コネクタコンテキスト値の取得

コネクタコンテキスト値の取得アクションを使用して、コネクタコンテキストの Google SecOps データベース内の指定されたキーから値を取得します。

このアクションは Google SecOps エンティティに対して実行されません。

アクション入力

[Get Connector Context Value] アクションには、次のパラメータが必要です。

パラメータ説明

Connector Identifier

必須。

コンテキスト値を取得するコネクタの一意の識別子。

Key Name

必須。

コンテキスト値が保存されるキー。

Create Case Wall Table

省略可。

選択すると、アクションは取得したコンテキスト値を含むケースウォールテーブルを作成します。

取得した値が文字数制限を超えている場合、テーブルは作成されません。

デフォルトで有効になっています。

アクションの出力

コネクタコンテキスト値の取得アクションは、次の出力を提供します。

アクションの出力タイプ	対象
ケースウォールのアタッチメント	利用不可
ケースウォールのリンク	利用不可
ケースウォールテーブル	利用可能
拡充テーブル	利用不可
JSON の結果	利用不可
出力メッセージ	利用可能
スクリプトの結果	利用可能

ケースウォールテーブル

コネクタコンテキスト値の取得アクションでは、次の表を生成できます。

テーブル名: Connector

テーブルの列:

コネクタ ID
Key（キー）
値

出力メッセージ

コネクタコンテキスト値の取得アクションは、次の出力メッセージを返すことができます。

出力メッセージメッセージの説明

Successfully found context value for the provided context key CONTEXT_KEY for the connector identifier CONNECTOR_IDENTIFIER.

Context value was not found for the provided context key CONTEXT_KEY and connector identifier CONNECTOR_IDENTIFIER.

Action can't return the Case Wall table as the context values are too big.

アクションが成功しました。

Error executing action "Get Connector Context Value". Reason:
      ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。

スクリプトの結果

次の表に、コネクタコンテキスト値の取得アクションを使用する場合のスクリプト結果出力の値を示します。

スクリプトの結果名	値
`is_success`	`true` または `false`

カスタムフィールド値を取得する

カスタムフィールド値を取得アクションを使用して、指定されたスコープに基づいてカスタムフィールドの現在の値を取得します。

このアクションは Google SecOps エンティティに対して実行されません。

アクション入力

[Get Custom Field Values] アクションには、次のパラメータが必要です。

パラメータ説明

Scope

必須。

カスタムフィールドを取得するスコープ。

値は次のいずれかになります。

Case
Alert
All

アクションの出力

[カスタムフィールド値を取得] アクションは、次の出力を提供します。

アクションの出力タイプ	対象
ケースウォールのアタッチメント	利用不可
ケースウォールのリンク	利用不可
ケースウォールテーブル	利用不可
拡充テーブル	利用不可
JSON の結果	利用可能
出力メッセージ	利用可能
スクリプトの結果	利用可能

JSON の結果

次の例は、[Get Custom Field Values] アクションを使用した場合に受信される JSON 結果の出力を示しています。

[{
   "Case": {
       "Case Custom Field Name 1": "Updated Custom Field Value",
       "Case Custom Field Name 2": "Updated Custom Field Value"
   },
   "Alert": {
       "Alert Custom Field Name 1": "Updated Custom Field Value",
       "Alert Custom Field Name 2": "Updated Custom Field Value"
   }
}]

出力メッセージ

[カスタムフィールド値を取得] アクションは、次の出力メッセージを返すことができます。

出力メッセージメッセージの説明

Successfully returned SCOPE custom fields.

No custom fields were found in scope SCOPE.

アクションが成功しました。

Error executing action "Get Custom Field Values". Reason:
      ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。

スクリプトの結果

次の表に、Get Custom Field Values アクションを使用する場合のスクリプト結果出力の値を示します。

スクリプトの結果名	値
`is_success`	`true` または `false`

スコープコンテキスト値の取得

スコープコンテキスト値を取得アクションを使用して、指定されたキーとコンテキストに保存されている Google SecOps データベースから値を取得します。

このアクションは Google SecOps エンティティに対して実行されません。

アクション入力

[スコープコンテキスト値の取得] アクションには、次のパラメータが必要です。

パラメータ説明

Context Scope

必須。

値の取得元となるコンテキストスコープ。

値は次のいずれかになります。

Not specified
Alert
Case
Global

デフォルト値は Not specified です。

Key Name

必須。

指定されたコンテキストで値が保存されるキー。

Create Case Wall Table

省略可。

選択すると、アクションは取得したコンテキスト値を含むケースウォールテーブルを作成します。

取得した値が文字数制限を超えている場合、テーブルは作成されません。

デフォルトで有効になっています。

アクションの出力

[スコープコンテキスト値の取得] アクションは、次の出力を提供します。

アクションの出力タイプ	対象
ケースウォールのアタッチメント	利用不可
ケースウォールのリンク	利用不可
ケースウォールテーブル	利用可能
拡充テーブル	利用不可
JSON の結果	利用不可
出力メッセージ	利用可能
スクリプトの結果	利用可能

ケースウォールテーブル

スコープコンテキスト値の取得アクションは、次の表を生成できます。

テーブル名: SCOPE

テーブルの列:

Key（キー）
値

出力メッセージ

スコープコンテキスト値の取得アクションは、次の出力メッセージを返すことができます。

出力メッセージメッセージの説明

Successfully found context value for the provided context key CONTEXT_KEY with scope CONTEXT_SCOPE.

No context values were found for the provided context scope CONTEXT_SCOPE.

Context value was not found for the provided context key CONTEXT_KEY with scope CONTEXT_SCOPE.

Action can't return the Case Wall table as the context values are too big.

アクションが成功しました。

Error executing action "Get Scope Context Value". Reason:
      ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。

スクリプトの結果

次の表に、スコープコンテキスト値を取得アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名	値
`is_success`	`true` または `false`

同様のケースの取得

類似のケースを取得アクションを使用して、類似のケースを検索し、その ID を返します。

このアクションは、Rule Generator、Port、Category Outcome、Entity Identifier、Include Open Cases、Include Closed Cases の各パラメータに論理 AND 演算子を適用して、指定されたすべての条件に一致するケースをフィルタします。

このアクションは、すべての Google SecOps エンティティに対して実行されます。

アクション入力

[Get Similar Cases] アクションには、次のパラメータが必要です。

パラメータ	説明
`Rule Generator`	省略可。選択すると、ルールジェネレータを使用して類似のケースが検索されます。デフォルトで有効になっています。
`Port`	省略可。選択すると、アクションはポート番号を使用して類似のケースを検索します。デフォルトで有効になっています。
`Category Outcome`	省略可。選択すると、カテゴリの結果を使用して類似のケースが検索されます。デフォルトで有効になっています。
`Entity Identifier`	省略可。選択すると、エンティティ識別子を使用して類似のケースが検索されます。デフォルトで有効になっています。
`Days Back`	必須。アクションを検索する現在の日付までの日数。
`Include Open Cases`	省略可。選択すると、検索にオープンケースが含まれます。デフォルトで有効になっています。
`Include Closed Cases`	省略可。選択すると、アクションは検索にクローズされたケースを含めます。デフォルトで有効になっています。

アクションの出力

[Get Similar Cases] アクションでは、次の出力が提供されます。

アクションの出力タイプ	対象
ケースウォールのアタッチメント	利用不可
ケースウォールのリンク	利用不可
ケースウォールテーブル	利用不可
拡充テーブル	利用不可
JSON の結果	利用可能
出力メッセージ	利用可能
スクリプトの結果	利用可能

JSON の結果

次の例は、類似ケースを取得アクションを使用した場合に受信される JSON 結果の出力を示しています。

{
  "results": [{
    "id": 23874, 
    "name": "Malware", 
    "tags": ["hi", "Simulated Case"], 
    "start time": "2024-09-25 05:43:41.999000+00:00", 
    "start time unix": 1727243021999, 
    "last modified": "2025-06-19 13:24:01.062000+00:00", 
    "priority": "Informative", 
    "assigned user": "@Tier1", 
    "matching_criteria": {
        "ruleGenerator": true, 
        "port": true, 
        "outcome": true, 
        "entities": true
      }, 
    "matched_entities": [
      {"entity": "INSTANCE-1", "type": "HOSTNAME", "isSuspicious": false}, 
      {"entity": "10.150.0.3", "type": "ADDRESS", "isSuspicious": false}, {"entity": "172.17.0.1", "type": "ADDRESS", "isSuspicious": false}, {"entity": "VANSHIKAVW_GOOGLE_COM", "type": "USERUNIQNAME", "isSuspicious": false}, 
      {"entity": "CURL", "type": "PROCESS", "isSuspicious": false}, {"entity": "EICAR_TEST_VANSHIKAVW-TEST-NEW", "type": "FILENAME", "isSuspicious": false}, 
      {"entity": "3395856CE81F2B7382DEE72602F798B642F14140", "type": "FILEHASH", "isSuspicious": false}, 
      {"entity": "34.85.128.214", "type": "ADDRESS", "isSuspicious": false}, 
      {"entity": "/HOME/VANSHIKAVW_GOOGLE_COM/EICAR_TEST_VANSHIKAVW-TEST-NEW", "type": "FILENAME", "isSuspicious": false}
      ], 
      "status": "Open"}], 
      "stats": 
      {"Malicious": 0.0, "Is Important": 0.0, "Is Incident": 0.0, "Status Open": 100.0}, 
      "platform_url": "https://soarapitest.backstory.chronicle.security/"
}

出力メッセージ

Get Similar Cases アクションは、次の出力メッセージを返すことができます。

出力メッセージメッセージの説明

Processed NUMBER_OF_CASES similar cases: CASE_IDS_LIST

アクションが成功しました。

Error executing action "Get Similar Cases". Reason:
      ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。

スクリプトの結果

次の表に、[Get Similar Cases] アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名	値
`SimilarCasesIds`	類似のケース ID のリスト。

手順

指示アクションを使用して、ケースでアナリストに直接指示を提供します。

このアクションは Google SecOps エンティティに対して実行されません。

アクション入力

Instruction アクションには、次のパラメータが必要です。

パラメータ説明

Instruction

必須。

アナリスト向けの手順。

アクションの出力

指示アクションは次の出力を提供します。

アクションの出力タイプ	対象
ケースウォールのアタッチメント	利用不可
ケースウォールのリンク	利用不可
ケースウォールテーブル	利用不可
拡充テーブル	利用不可
JSON の結果	利用不可
出力メッセージ	利用可能
スクリプトの結果	利用可能

出力メッセージ

Add Vote To Entity アクションは、次の出力メッセージを返すことができます。

出力メッセージメッセージの説明

Please perform the following instructions: INSTRUCTION.

アクションが成功しました。

Error executing action "Instruction". Reason:
      ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。

スクリプトの結果

次の表に、Instruction アクションを使用する場合のスクリプト結果出力の値を示します。

スクリプトの結果名	値
スクリプトの結果	`true` または `false`

カスタムリストに含まれる

カスタムリストに含まれているかアクションを使用して、指定されたカスタムリスト内にエンティティが存在するかどうかを確認します。

このアクションは、すべての Google SecOps エンティティに対して実行されます。

アクション入力

[Is In Custom List] アクションには、次のパラメータが必要です。

パラメータ説明

Category

必須。

検索するカスタムリストのカテゴリ名。

アクションの出力

[Is In Custom List] アクションは、次の出力を提供します。

アクションの出力タイプ	対象
ケースウォールのアタッチメント	利用不可
ケースウォールのリンク	利用不可
ケースウォールテーブル	利用不可
拡充テーブル	利用不可
JSON の結果	利用不可
出力メッセージ	利用可能
スクリプトの結果	利用可能

出力メッセージ

[Is In Custom List] アクションは、次の出力メッセージを返すことができます。

出力メッセージメッセージの説明

This alert contains entities in the given custom list
      category: CATEGORY.
      This alert does not contain entities in the given custom list category:
      CATEGORY.

アクションが成功しました。

Error executing action "Is In Custom List". Reason:
      ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。

スクリプトの結果

次の表に、Is In Custom List アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名	値
`ScriptResult`	`true` または `false`

重要としてマーク

[Mark As Important] アクションを使用して、ケースに重要マークを付けます。

このアクションは Google SecOps エンティティに対して実行されません。

アクション入力

なし

アクションの出力

[重要としてマーク] アクションは次の出力を提供します。

アクションの出力タイプ	対象
ケースウォールのアタッチメント	利用不可
ケースウォールのリンク	利用不可
ケースウォールテーブル	利用不可
拡充テーブル	利用不可
JSON の結果	利用不可
出力メッセージ	利用可能
スクリプトの結果	利用可能

出力メッセージ

[Mark As Important] アクションは、次の出力メッセージを返すことができます。

出力メッセージメッセージの説明

The case was automatically marked as important.

アクションが成功しました。

Error executing action "Mark As Important". Reason:
      ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。

スクリプトの結果

次の表に、[重要としてマーク] アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名	値
スクリプトの結果	`true` または `false`

Open Web Url

[Open Web Url] アクションを使用して、ブラウザリンクを生成します。

このアクションは Google SecOps エンティティに対して実行されません。

アクション入力

[Open Web Url] アクションには、次のパラメータが必要です。

パラメータ説明

Title

必須。

URL のタイトル。

URL

必須。

ターゲット URL。

アクションの出力

[Open Web Url] アクションは次の出力を提供します。

アクションの出力タイプ	対象
ケースウォールのアタッチメント	利用不可
ケースウォールのリンク	利用不可
ケースウォールテーブル	利用不可
拡充テーブル	利用不可
JSON の結果	利用不可
出力メッセージ	利用可能
スクリプトの結果	利用可能

出力メッセージ

[Open Web Url] アクションでは、次の出力メッセージが返されることがあります。

出力メッセージメッセージの説明

URL_TITLE
      URL_LINK

アクションが成功しました。

Error executing action "Open Web Url". Reason:
      ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。

スクリプトの結果

次の表に、[Open Web Url] アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名	値
スクリプトの結果	`true` または `false`

アラートの SLA を一時停止する

[アラートの SLA を一時停止] アクションを使用して、アラートのサービスレベル契約（SLA）タイマーを一時停止します。

このアクションは Google SecOps エンティティに対して実行されません。

アクション入力

[Pause Alert SLA] アクションには、次のパラメータが必要です。

パラメータ説明

Message

省略可。

アラート SLA を一時停止する理由。

アクションの出力

[Pause Alert SLA] アクションは、次の出力を提供します。

アクションの出力タイプ	対象
ケースウォールのアタッチメント	利用不可
ケースウォールのリンク	利用不可
ケースウォールテーブル	利用不可
拡充テーブル	利用不可
JSON の結果	利用不可
出力メッセージ	利用可能
スクリプトの結果	利用可能

出力メッセージ

[Pause Alert SLA] アクションは、次の出力メッセージを返すことができます。

出力メッセージメッセージの説明

The alert SLA was paused.

アクションが成功しました。

Error executing action "Pause Alert SLA". Reason: ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。

スクリプトの結果

次の表に、[Pause Alert SLA] アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名	値
`is_success`	`true` または `false`

ケースの SLA を一時停止

[Pause Case SLA] アクションを使用して、ケースのサービスレベル契約（SLA）タイマーを一時停止します。

このアクションは Google SecOps エンティティに対して実行されません。

アクション入力

[ケースの SLA を一時停止] アクションには、次のパラメータが必要です。

パラメータ説明

Message

省略可。

ケース SLA を一時停止する理由。

アクションの出力

[Pause Case SLA] アクションでは、次の出力が提供されます。

アクションの出力タイプ	対象
ケースウォールのアタッチメント	利用不可
ケースウォールのリンク	利用不可
ケースウォールテーブル	利用不可
拡充テーブル	利用不可
JSON の結果	利用不可
出力メッセージ	利用可能
スクリプトの結果	利用可能

出力メッセージ

[Pause Case SLA] アクションは、次の出力メッセージを返すことができます。

出力メッセージメッセージの説明

The Case SLA was paused successfully.

アクションが成功しました。

Error executing action "Pause Case SLA". Reason: ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。

スクリプトの結果

次の表に、[Pause Case SLA] アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名	値
`is_success`	`true` または `false`

許可されているアラート時刻

許可されたアラート時間アクションを使用して、アラートの開始時刻がユーザー定義の時間条件を満たしているかどうかを確認します。

このアクションは Google SecOps エンティティに対して実行されません。

アクション入力

[許可されたアラート時間] アクションには、次のパラメータが必要です。

パラメータ	説明
`Timestamp Type`	省略可。比較に使用するタイムスタンプのタイプ。値は次のいずれかになります。 `Alert Start Time` `Alert Creation Time` `Case Creation Time` デフォルト値は `Alert Start Time` です。
`Permitted Start Time`	必須。アラートが許可されている期間の開始時間（`0:00:00` など）。
`Permitted End Time`	必須。アラートが許可される期間の終了時間（`0:00:00` など）。
`Monday`	省略可。選択すると、アラートの許可される日に月曜日が含まれます。デフォルトでは有効になっていません。
`Tuesday`	省略可。選択すると、アラートの許可される日に火曜日が含まれます。デフォルトで有効になっています。
`Wednesday`	省略可。選択すると、アラートの許可される日に水曜日が含まれます。デフォルトで有効になっています。
`Thursday`	省略可。選択すると、アラートの許可される日に木曜日が含まれます。デフォルトでは有効になっていません。
`Friday`	省略可。選択すると、アラートの許可される日に金曜日が含まれます。デフォルトでは有効になっていません。
`Saturday`	省略可。選択すると、アラートの許可される日に土曜日が含まれます。デフォルトでは有効になっていません。
`Sunday`	省略可。選択すると、アラートの許可される日に日曜日が含まれます。デフォルトでは有効になっていません。
`Input Timezone`	省略可。このアクションは、`America/New_York` などの IANA ゾーンに加えて、`UTC` などの標準タイムゾーンもサポートしています。 IANA ゾーンを指定すると、夏時間に合わせて自動的に調整されます。

アクションの出力

[許可されたアラート時間] アクションでは、次の出力が提供されます。

アクションの出力タイプ	対象
ケースウォールのアタッチメント	利用不可
ケースウォールのリンク	利用不可
ケースウォールテーブル	利用不可
拡充テーブル	利用不可
JSON の結果	利用不可
出力メッセージ	利用可能
スクリプトの結果	利用可能

出力メッセージ

[Permitted Alert Time] アクションは、次の出力メッセージを返すことができます。

出力メッセージメッセージの説明

Case Time of ALERT_TIMEis within condition parameters of between START_TIME - END_TIME on LIST_OF_PERMITTED_DAYS

アクションが成功しました。

Error executing action "Permitted Alert Time". Reason: ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。

スクリプトの結果

次の表に、[許可されたアラート時間] アクションを使用する場合のスクリプト結果出力の値を示します。

スクリプトの結果名	値
`Permitted`	`true` または `false`

Ping

Ping アクションを使用して、Siemplify への接続をテストします。

このアクションは Google SecOps エンティティに対して実行されません。

アクション入力

なし

アクションの出力

[Ping] アクションでは、次の出力が提供されます。

アクションの出力タイプ	対象
ケースウォールのアタッチメント	利用不可
ケースウォールのリンク	利用不可
ケースウォールテーブル	利用不可
拡充テーブル	利用不可
JSON の結果	利用不可
出力メッセージ	利用可能
スクリプトの結果	利用可能

出力メッセージ

Ping アクションは、次の出力メッセージを返すことができます。

出力メッセージメッセージの説明

Email address is syntactically correct.

アクションが成功しました。

Error executing action "Ping". Reason:
      ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。

スクリプトの結果

次の表に、Ping アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名	値
スクリプトの結果	`true` または `false`

インシデントの提起

インシデントを提起アクションを使用して、真陽性のケースを Critical としてマークし、ケースインシデントを提起します。

このアクションは Google SecOps エンティティに対して実行されません。

アクション入力

[Raise Incident] アクションには、次のパラメータが必要です。

パラメータ説明

Soc Role

省略可。

ケースの割り当て先の Google SecOps SOC ロール。

アクションの出力

[インシデントを発生させる] アクションは、次の出力を提供します。

アクションの出力タイプ	対象
ケースウォールのアタッチメント	利用不可
ケースウォールのリンク	利用不可
ケースウォールテーブル	利用不可
拡充テーブル	利用不可
JSON の結果	利用不可
出力メッセージ	利用可能
スクリプトの結果	利用可能

出力メッセージ

[インシデントを報告] アクションは、次の出力メッセージを返すことができます。

出力メッセージメッセージの説明

The case raised to CASE_STAGE status.

アクションが成功しました。

Error executing action "Raise Incident".
      Reason: ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。

スクリプトの結果

次の表に、[インシデントを発生させる] アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名	値
スクリプトの結果	`true` または `false`

タグの削除

[タグを削除] アクションを使用して、ケースからタグを削除します。

このアクションは Google SecOps エンティティに対して実行されません。

アクション入力

[タグを削除] アクションには、次のパラメータが必要です。

パラメータ説明

Tag

必須。

ケースから削除するタグのカンマ区切りのリスト。

アクションの出力

[タグを削除] アクションでは、次の出力が提供されます。

アクションの出力タイプ	対象
ケースウォールのアタッチメント	利用不可
ケースウォールのリンク	利用不可
ケースウォールテーブル	利用不可
拡充テーブル	利用不可
JSON の結果	利用不可
出力メッセージ	利用可能
スクリプトの結果	利用可能

出力メッセージ

[タグを削除] アクションは、次の出力メッセージを返すことができます。

出力メッセージメッセージの説明

Successfully removed the following tags from case CASE_ID:TAGS アクションが成功しました。

It is not possible to remove the tag.

Error executing action "Remove Tag". Reason: ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。

スクリプトの結果

次の表に、タグを削除アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名	値
`is_success`	`true` または `false`

カスタムリストから削除

[Remove From Custom List] アクションを使用して、アラートに関連付けられているエンティティをカスタムリストカテゴリから削除します。

このアクションは、すべての Google SecOps エンティティに対して実行されます。

アクション入力

[Remove From Custom List] アクションには、次のパラメータが必要です。

パラメータ説明

Category

必須。

エンティティ識別子を削除するカスタムリストカテゴリの名前。

アクションの出力

[Remove From Custom List] アクションは、次の出力を提供します。

アクションの出力タイプ	対象
ケースウォールのアタッチメント	利用不可
ケースウォールのリンク	利用不可
ケースウォールテーブル	利用不可
拡充テーブル	利用不可
JSON の結果	利用不可
出力メッセージ	利用可能
スクリプトの結果	利用可能

出力メッセージ

[Remove From Custom List] アクションは、次の出力メッセージを返すことがあります。

出力メッセージメッセージの説明

The alert's entities ENTITY_ID were removed from custom list category: CATEGORY

The given category does not exist.

アクションが成功しました。

Error executing action "Remove From Custom List". Reason: ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。

スクリプトの結果

次の表に、[Remove From Custom List] アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名	値
`ScriptResult`	`true` または `false`

アラートの SLA を再開する

[Resume Alert SLA] アクションを使用して、アラートのサービスレベル契約（SLA）タイマーを一時停止解除して再開します。

このアクションは Google SecOps エンティティに対して実行されません。

アクション入力

なし

アクションの出力

[Resume Alert SLA] アクションでは、次の出力が提供されます。

アクションの出力タイプ	対象
ケースウォールのアタッチメント	利用不可
ケースウォールのリンク	利用不可
ケースウォールテーブル	利用不可
拡充テーブル	利用不可
JSON の結果	利用不可
出力メッセージ	利用可能
スクリプトの結果	利用可能

出力メッセージ

[SLA のアラートを再開する] アクションでは、次の出力メッセージが返されます。

出力メッセージメッセージの説明

The alert SLA was resumed.

アクションが成功しました。

Error executing action "Resume Alert SLA". Reason: ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。

スクリプトの結果

次の表に、[アラート SLA を再開] アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名	値
`is_success`	`true` または `false`

ケースの SLA を再開

[Resume Case SLA]（ケースの SLA を再開）アクションを使用して、ケースのサービスレベル契約（SLA）タイマーを一時停止解除して再開します。

このアクションは Google SecOps エンティティに対して実行されません。

アクション入力

なし

アクションの出力

[ケースの SLA を再開] アクションでは、次の出力が提供されます。

アクションの出力タイプ	対象
ケースウォールのアタッチメント	利用不可
ケースウォールのリンク	利用不可
ケースウォールテーブル	利用不可
拡充テーブル	利用不可
JSON の結果	利用不可
出力メッセージ	利用可能
スクリプトの結果	利用可能

出力メッセージ

[ケースの SLA を再開] アクションでは、次の出力メッセージが返されます。

出力メッセージメッセージの説明

The Case SLA was resumed successfully.

アクションが成功しました。

Error executing action "Resume Case SLA". Reason: ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。

スクリプトの結果

次の表に、[Resume Case SLA] アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名	値
`is_success`	`true` または `false`

アラートの SLA の設定

[アラートの SLA の設定] アクションを使用して、アラートの SLA タイマーを設定します。

このアクションは Google SecOps エンティティに対して実行されません。

アクション入力

[Set Alert SLA] アクションには、次のパラメータが必要です。

パラメータ	説明
`SLA Period`	必須。 SLA が違反と見なされるまでの合計期間。合計 SLA 期間は 30 日を超えてはなりません。デフォルト値は `5` です。
`SLA Time Unit`	必須。 SLA 期間の時間単位。値は次のいずれかになります。 `Minutes` `Hours` `Days` デフォルト値は `Minutes` です。
`SLA Time To Critical Period`	必須。 SLA が重大な状態になるまでの期間。デフォルト値は `4` です。
`SLA Time To Critical Unit`	必須。クリティカルな SLA 期間の時間単位。値は次のいずれかになります。 `Minutes` `Hours` `Days` デフォルト値は `Minutes` です。

アクションの出力

[アラートの SLA の設定] アクションは、次の出力を提供します。

アクションの出力タイプ	対象
ケースウォールのアタッチメント	利用不可
ケースウォールのリンク	利用不可
ケースウォールテーブル	利用不可
拡充テーブル	利用不可
JSON の結果	利用不可
出力メッセージ	利用可能
スクリプトの結果	利用可能

出力メッセージ

Set Alert SLA アクションは、次の出力メッセージを返すことができます。

出力メッセージメッセージの説明

Alert ALERT_NAME of case CASE_ID was set with SLA of SLA_PERIOD SLA_TIME_UNIT and critical period of CRITICAL_PERIOD CRITICAL_TIME_UNIT.

アクションが成功しました。

Error executing action "Set Alert SLA". Reason: ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。

スクリプトの結果

次の表に、アラート SLA を設定アクションを使用する場合のスクリプト結果出力の値を示します。

スクリプトの結果名	値
`is_success`	`true` または `false`

ケースの SLA の設定

ケースの SLA の設定アクションを使用して、ケースの SLA を設定します。

このアクションは優先度が最も高く、特定のケースに定義されている既存の SLA をオーバーライドします。

このアクションは Google SecOps エンティティに対して実行されません。

アクション入力

ケースの SLA を設定アクションには、次のパラメータが必要です。

パラメータ	説明
`SLA Period`	必須。 SLA が違反と見なされるまでの合計期間。合計 SLA 期間は 30 日を超えてはなりません。デフォルト値は `5` です。
`SLA Time Unit`	必須。 SLA 期間の時間単位。値は次のいずれかになります。 `Minutes` `Hours` `Days` デフォルト値は `Minutes` です。
`SLA Time To Critical Period`	省略可。 SLA が重大な状態になるまでの期間。デフォルト値は `4` です。
`SLA Time To Critical Unit`	必須。クリティカルな SLA 期間の時間単位。値は次のいずれかになります。 `Minutes` `Hours` `Days` デフォルト値は `Minutes` です。

アクションの出力

[ケースの SLA を設定] アクションでは、次の出力が提供されます。

アクションの出力タイプ	対象
ケースウォールのアタッチメント	利用不可
ケースウォールのリンク	利用不可
ケースウォールテーブル	利用不可
拡充テーブル	利用不可
JSON の結果	利用不可
出力メッセージ	利用可能
スクリプトの結果	利用可能

出力メッセージ

Search ASM Issues アクションは、次の出力メッセージを返すことがあります。

出力メッセージメッセージの説明

Case CASE_ID was set with SLA of SLA_PERIOD SLA_TIME_UNIT and critical period of CRITICAL_PERIOD CRITICAL_TIME_UNIT.

アクションが成功しました。

Error executing action "Set Case SLA". Reason: ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。

スクリプトの結果

次の表に、[Set Case SLA] アクションを使用する場合のスクリプト結果出力の値を示します。

スクリプトの結果名	値
`is_success`	`true` または `false`

カスタムフィールドを設定する

カスタムフィールドの値を設定するには、[カスタムフィールドを設定] アクションを使用します。

このアクションは Google SecOps エンティティに対して実行されません。

アクション入力

[Set Custom Fields] アクションには、次のパラメータが必要です。

パラメータ説明

Scope

必須。

カスタムフィールドに設定するスコープ。

値は次のいずれかになります。

Case
Alert

デフォルト値は Case です。

Custom Fields Data

必須。

カスタムフィールドの更新された値。

1 つのアクション実行で複数のカスタムフィールドを更新できます。

デフォルト値は次のとおりです。

    {
      "Custom Field Name 1":"Custom Field Value 1",
      "Custom Field Name 2":"Custom Field Value 2"
    }

Append Values

省略可。

選択すると、アクションは Custom Fields Data からの入力をカスタムフィールドの既存の値に追加します。

選択されていない場合、アクションは Custom Fields Data パラメータの入力で既存の値を上書きします。

デフォルトでは有効になっていません。

アクションの出力

[カスタムフィールドを設定] アクションは、次の出力を提供します。

アクションの出力タイプ	対象
ケースウォールのアタッチメント	利用不可
ケースウォールのリンク	利用不可
ケースウォールテーブル	利用不可
拡充テーブル	利用不可
JSON の結果	利用可能
出力メッセージ	利用可能
スクリプトの結果	利用可能

JSON の結果

次の例は、[カスタムフィールドを設定] アクションを使用した場合に受信される JSON 結果の出力例を示しています。

{
  "Custom Field Name": "Updated Custom Field Value",
  "Custom Field Name": "Updated Custom Field Value",
}

出力メッセージ

[カスタムフィールドを設定] アクションは、次の出力メッセージを返すことができます。

出力メッセージメッセージの説明

Successfully updated the following SCOPE custom fields: UPDATED_CUSTOM_FIELD_NAMES アクションが成功しました。

Error executing action "Set Custom Fields". Reason: ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。

スクリプトの結果

次の表に、[カスタムフィールドを設定] アクションを使用する場合のスクリプト結果出力の値を示します。

スクリプトの結果名	値
`is_success`	`true` または `false`

リスクスコアを設定する

[リスクスコアを設定] アクションを使用して、ケースのリスクスコアを更新します。

このアクションは Google SecOps エンティティに対して実行されません。

アクション入力

[リスクスコアを設定] アクションには、次のパラメータが必要です。

パラメータ説明

Risk Score

必須。

ケースに設定するリスクスコア。

アクションの出力

[リスクスコアを設定] アクションは、次の出力を提供します。

アクションの出力タイプ	対象
ケースウォールのアタッチメント	利用不可
ケースウォールのリンク	利用不可
ケースウォールテーブル	利用不可
拡充テーブル	利用不可
JSON の結果	利用不可
出力メッセージ	利用可能
スクリプトの結果	利用可能

出力メッセージ

[リスクスコアを設定] アクションは、次の出力メッセージを返すことがあります。

出力メッセージメッセージの説明

Successfully set Risk Score for case CASE_ID アクションが成功しました。

Error executing action "Set Risk Score". Reason:
      ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。

スクリプトの結果

次の表に、リスクスコアを設定アクションを使用する場合のスクリプト結果出力の値を示します。

スクリプトの結果名	値
`is_success`	`true` または `false`

スコープコンテキスト値を設定する

スコープコンテキスト値の設定アクションを使用して、Google SecOps データベースに保存されているキーの値を設定します。

このアクションは Google SecOps エンティティに対して実行されません。

アクション入力

[Set Scope Context Value] アクションには、次のパラメータが必要です。

パラメータ説明

Context Scope

必須。

データを取得するコンテキストスコープ。

値は次のいずれかになります。

Not specified
Alert
Case
Global

デフォルト値は Not specified です。

Key Name

必須。

対応する値を取得するキー名。

Key Value

必須。

指定されたキーに保存する値。

アクションの出力

[Set Scope Context Value] アクションは、次の出力を提供します。

アクションの出力タイプ	対象
ケースウォールのアタッチメント	利用不可
ケースウォールのリンク	利用不可
ケースウォールテーブル	利用不可
拡充テーブル	利用不可
JSON の結果	利用不可
出力メッセージ	利用可能
スクリプトの結果	利用可能

出力メッセージ

[Set Scope Context Value] アクションは、次の出力メッセージを返すことができます。

出力メッセージメッセージの説明

Successfully set context value for the context key CONTEXT_KEY with scope CONTEXT_SCOPE. アクションが成功しました。

Error executing action "Set Scope Context Value". Reason:
      ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。

スクリプトの結果

次の表に、Set Scope Context Value アクションを使用する場合のスクリプト結果出力の値を示します。

スクリプトの結果名	値
`is_success`	`true` または `false`

ケースの説明の更新

ケースの説明の更新アクションを使用して、ケースの説明を更新します。

このアクションは Google SecOps エンティティに対して実行されません。

アクション入力

[Update Case Description] アクションには、次のパラメータが必要です。

パラメータ説明

Description

必須。

ケースに設定する説明。

アクションの出力

[ケースの説明の更新] アクションは、次の出力を提供します。

アクションの出力タイプ	対象
ケースウォールのアタッチメント	利用不可
ケースウォールのリンク	利用不可
ケースウォールテーブル	利用不可
拡充テーブル	利用不可
JSON の結果	利用不可
出力メッセージ	利用可能
スクリプトの結果	利用可能

出力メッセージ

[Update Case Description] アクションは、次の出力メッセージを返すことがあります。

出力メッセージメッセージの説明

Successfully updated the case description. アクションが成功しました。

Error executing action "Update Case Description". Reason: ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。

スクリプトの結果

次の表に、[Update Case Description] アクションを使用する場合のスクリプト結果出力の値を示します。

スクリプトの結果名	値
`is_success`	`true` または `false`

カスタムフィールドを待機

カスタムフィールドを待機アクションを使用して、カスタムフィールド値が入力されるまで待機し、プレイブックの実行を続行します。

このアクションは Google SecOps エンティティに対して実行されません。

アクション入力

[Wait For Custom Fields] アクションには、次のパラメータが必要です。

パラメータ説明

Scope

必須。

カスタムフィールドに設定するスコープ。

値は次のいずれかになります。

Case
Alert

デフォルト値は Case です。

Custom Fields Data

必須。

プレイブックを再開するために満たす必要があるカスタムフィールドの条件。カスタムフィールド名とその必須値を JSON オブジェクトとして構成する必要があります。

複数のフィールドの条件を設定すると、すべてフィールドがそれぞれの条件に一致するまでアクションが待機します。

カスタムフィールドに値がある場合に再開するには、空の文字列を構成します。
```
{"Custom Field Name": ""}
```
カスタムフィールドが VALUE_1 などの特定の値と等しい場合に再開するには、値を指定します。
```
{"Custom Field Name": "VALUE_1"}
```

デフォルト値は、想定される JSON 形式を示しています。

{
  "Custom Field Name 1": "Custom Field Value 1",
  "Custom Field Name 2": "Custom Field Value 2"
}

アクションの出力

[カスタムフィールドを待機] アクションは、次の出力を提供します。

アクションの出力タイプ	対象
ケースウォールのアタッチメント	利用不可
ケースウォールのリンク	利用不可
ケースウォールテーブル	利用不可
拡充テーブル	利用不可
JSON の結果	利用可能
出力メッセージ	利用可能
スクリプトの結果	利用可能

JSON の結果

次の例は、[カスタムフィールドを待機] アクションを使用した場合に受信される JSON 結果の出力です。

{
"Custom Field Name": "Updated Custom Field Value",
"Custom Field Name": "Updated Custom Field Value",
}

出力メッセージ

[カスタムフィールドを待機] アクションは、次の出力メッセージを返すことができます。

出力メッセージメッセージの説明

Successfully waited for the following SCOPE custom fields: UPDATED_CUSTOM_FIELD_NAMES

Waiting for SCOPE custom fields updates...

アクションが成功しました。

Error executing action "Wait For Custom Fields". Reason: ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。

スクリプトの結果

次の表に、[カスタムフィールドを待機] アクションを使用する場合のスクリプト結果出力の値を示します。

スクリプトの結果名	値
`is_success`	`true` または `false`

ジョブ

ジョブの詳細については、新しいジョブを構成すると高度なスケジューリングをご覧ください。

Siemplify - アクションモニター

Siemplify - Actions Monitor ジョブを使用して、過去 3 時間に 3 回以上失敗したアクションに関する通知を受け取ります。

求人のパラメータ

Siemplify - Actions Monitor ジョブには、次のパラメータが必要です。

パラメータ説明

Run Interval In Seconds

省略可。

ジョブの実行間隔（秒単位）。

このパラメータは、統合が失敗したプレイブックアクションをチェックする頻度を決定します。

デフォルト値は 900 です。

Is Enabled

省略可。

選択すると、ジョブがアクティブになり、スケジュールどおりに実行されます。選択しない場合、ジョブは無効になり、実行されません。

デフォルトで有効になっています。

Siemplify - ケースコレクタ DB

Siemplify - Cases Collector DB ジョブを使用して、指定されたパブリッシャーからセキュリティケースを取得して処理します。

求人のパラメータ

Siemplify - Cases Collector DB ジョブには、次のパラメータが必要です。

パラメータ説明

Publisher Id

必須。

ケースとログを収集するパブリッシャーの ID。

Verify SSL

省略可。

選択すると、ジョブはパブリッシャーの SSL 証明書が有効であることを確認します。

デフォルトでは有効になっていません。

Siemplify - Logs Collector

Siemplify - Logs Collector ジョブを使用して、指定されたパブリッシャーからログを取得して処理します。

ジョブ入力

Siemplify - Logs Collector ジョブには、次のパラメータが必要です。

パラメータ説明

Publisher Id

必須。

ログを収集するパブリッシャーの ID。

Verify SSL

省略可。

選択すると、ジョブはパブリッシャーの SSL 証明書が有効であることを確認します。

デフォルトでは有効になっていません。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。