Siemplify を Google SecOps と統合する

このドキュメントでは、Siemplify を Google Security Operations（Google SecOps）と統合する方法について説明します。

統合バージョン: 94.0

ユースケース

Siemplify 統合は、次のユースケースに対応できます。

• フィッシング調査: Google SecOps の機能を使用して、フィッシング メールを分析し、不正侵入の指標（IOC）を抽出し、脅威インテリジェンスで強化するプロセスを自動化します。

• マルウェアの封じ込め: Google SecOps の機能を使用して、マルウェアの検出時に感染したエンドポイントを自動的に隔離し、スキャンを開始して、悪意のあるファイルを隔離します。

• 脆弱性管理: Google SecOps の機能を使用して、脆弱性スキャンをオーケストレートし、リスクに基づいて脆弱性の優先順位を付け、修復用のチケットを自動的に作成します。

• 脅威ハンティング: Google SecOps の機能を使用して、さまざまなセキュリティ ツールとデータセットで脅威ハンティング クエリの実行を自動化します。

• セキュリティ アラートのトリアージ: Google SecOps の機能を使用して、コンテキスト情報でセキュリティ アラートを自動的に拡充し、他のイベントと関連付け、重大度に基づいて優先順位を付けます。

• インシデント対応: Google SecOps の機能を使用して、初期検出から封じ込めと根絶まで、インシデント対応プロセス全体をオーケストレートします。

• コンプライアンス レポート: Google SecOps の機能を使用して、コンプライアンス レポート用のセキュリティ データの収集と分析を自動化します。

統合のパラメータ

Siemplify 統合には、次のパラメータが必要です。

Google SecOps で統合を構成する手順については、統合を構成するをご覧ください。

必要に応じて、後の段階で変更できます。統合インスタンスを構成すると、ハンドブックで使用できるようになります。複数のインスタンスの構成とサポートの方法については、複数のインスタンスのサポートをご覧ください。

操作

アクションの詳細については、 デスクから保留中のアクションに対応すると手動アクションを実行するをご覧ください。

エンティティ分析情報の追加

エンティティ分析情報を追加アクションを使用して、Siemplify のターゲット Google SecOps エンティティに分析情報を追加します。

このアクションは、すべての Google SecOps エンティティに対して実行されます。

アクション入力

[Add Entity Insight] アクションには、次のパラメータが必要です。

アクションの出力

[エンティティの分析情報を追加] アクションは、次の出力を提供します。

出力メッセージ

[エンティティ分析情報を追加] アクションは、次の出力メッセージを返すことがあります。

スクリプトの結果

次の表に、[エンティティ分析情報を追加] アクションを使用する場合のスクリプト結果出力の値を示します。

一般的な分析情報の追加

[Add General Insight] アクションを使用して、ケースに一般的な分析情報を追加します。

このアクションは、すべての Google SecOps エンティティに対して実行されます。

アクション入力

[Add General Insight] アクションには、次のパラメータが必要です。

アクションの出力

[一般的な分析情報を追加] アクションは、次の出力を提供します。

出力メッセージ

[Add General Insight] アクションは、次の出力メッセージを返すことができます。

スクリプトの結果

次の表に、[一般的な分析情報を追加] アクションを使用した場合のスクリプト結果出力の値を示します。

同様のケースへのタグの追加

[Add Tags To Similar Cases] アクションを使用して、類似するケースにタグを追加します。

類似するケースを見つけるため、アクションは取得したパラメータで siemplify.get_similar_cases() 関数を使用し、ケース ID のリストを返します。

このアクションは Google SecOps エンティティに対しては実行されません。

アクション入力

[Add Tags To Similar Cases] アクションには、次のパラメータが必要です。

アクションの出力

[Add Tags To Similar Cases] アクションでは、次の出力が提供されます。

出力メッセージ

[Add Tags To Similar Cases] アクションは、次の出力メッセージを返すことがあります。

スクリプトの結果

次の表に、[Add Tags To Similar Cases] アクションを使用した場合のスクリプト結果出力の値を示します。

カスタムリストに追加

[カスタムリストに追加] アクションを使用して、分類されたカスタムリストにエンティティ識別子を追加し、他のアクションで今後の比較を行います。

このアクションは、すべての Google SecOps エンティティに対して実行されます。

アクション入力

[Add to Custom List] アクションには、次のパラメータが必要です。

アクションの出力

[カスタム リストに追加] アクションは、次の出力を提供します。

出力メッセージ

[カスタム リストに追加] アクションは、次の出力メッセージを返すことがあります。

スクリプトの結果

次の表に、[カスタム リストに追加] アクションを使用する場合のスクリプト結果出力の値を示します。

ケースの割り当て

[Assign Case] アクションを使用して、特定のユーザーまたはユーザー グループにケースを割り当てます。

このアクションは、すべての Google SecOps エンティティに対して実行されます。

アクション入力

[Assign Case] アクションには、次のパラメータが必要です。

アクションの出力

[Assign Case] アクションでは、次の出力が提供されます。

出力メッセージ

[カスタム リストに追加] アクションは、次の出力メッセージを返すことがあります。

スクリプトの結果

次の表に、[Assign Case] アクションを使用した場合のスクリプト結果出力の値を示します。

ハンドブックをアラートにアタッチ

ハンドブックをアラートにアタッチ アクションを使用して、特定のアラートに特定のハンドブックをアタッチします。

このアクションは、すべての Google SecOps エンティティに対して実行されます。

アクション入力

[ハンドブックをアラートにアタッチ] アクションには、次のパラメータが必要です。

アクションの出力

[ハンドブックをアラートにアタッチ] アクションは、次の出力を提供します。

出力メッセージ

[グラフを検索] アクションは、次の出力メッセージを返すことができます。

スクリプトの結果

次の表に、[アラートにプレイブックを添付] アクションを使用する場合のスクリプト結果出力の値を示します。

ケースコメント

[Case Comment] アクションを使用して、現在のアラートがグループ化されているケースにコメントを追加します。

このアクションは、すべての Google SecOps エンティティに対して実行されます。

アクション入力

[ケースのコメント] アクションには、次のパラメータが必要です。

アクションの出力

[Case Comment] アクションでは、次の出力が提供されます。

出力メッセージ

Add Vote To Entity アクションは、次の出力メッセージを返すことができます。

スクリプトの結果

次の表に、[ケースのコメント] アクションを使用した場合のスクリプト結果出力の値を示します。

ケースタグ

ケースタグ アクションを使用して、現在のアラートがグループ化されているケースにタグを追加します。

このアクションは、すべての Google SecOps エンティティに対して実行されます。

アクション入力

[ケースタグ] アクションには、次のパラメータが必要です。

アクションの出力

[ケースタグ] アクションでは、次の出力が提供されます。

出力メッセージ

[Case Tag] アクションは、次の出力メッセージを返すことができます。

スクリプトの結果

次の表に、ケースタグ アクションを使用した場合のスクリプト結果出力の値を示します。

アラートの優先度を変更する

アラートの優先度を変更アクションを使用して、ケース内のアラートの優先度を更新します。

このアクションは、すべての Google SecOps エンティティに対して実行されます。

アクション入力

[アラートの優先度を変更] アクションには、次のパラメータが必要です。

アクションの出力

[アラートの優先度を変更] アクションでは、次の出力が提供されます。

出力メッセージ

Add Vote To Entity アクションは、次の出力メッセージを返すことができます。

スクリプトの結果

次の表に、[アラートの優先度を変更] アクションを使用する場合のスクリプト結果出力の値を示します。

ケースのステージを変更する

[Change Case Stage] アクションを使用して、ケースのステージを変更します。

このアクションは、すべての Google SecOps エンティティに対して実行されます。

アクション入力

[Change Case Stage] アクションには、次のパラメータが必要です。

アクションの出力

[Change Case Stage] アクションでは、次の出力が提供されます。

出力メッセージ

Add Vote To Entity アクションは、次の出力メッセージを返すことができます。

スクリプトの結果

次の表に、[Change Case Stage] アクションを使用する場合のスクリプト結果出力の値を示します。

優先度の変更

[優先度を変更] アクションを使用して、調査対象のケースの優先度を更新します。

このアクションは、すべての Google SecOps エンティティに対して実行されます。

アクション入力

[Change Priority] アクションには、次のパラメータが必要です。

アクションの出力

[優先度を変更] アクションは、次の出力を提供します。

出力メッセージ

Add Vote To Entity アクションは、次の出力メッセージを返すことができます。

スクリプトの結果

次の表に、[優先度を変更] アクションを使用した場合のスクリプト結果出力の値を示します。

アラートをクローズする

アラートを閉じるには、[Close Alert] アクションを使用します。

このアクションは、すべての Google SecOps エンティティに対して実行されます。

アクション入力

[アラートを閉じる] アクションには、次のパラメータが必要です。

アクションの出力

[アラートを閉じる] アクションでは、次の出力が提供されます。

出力メッセージ

Add Vote To Entity アクションは、次の出力メッセージを返すことができます。

スクリプトの結果

次の表に、[アラートを閉じる] アクションを使用した場合のスクリプト結果出力の値を示します。

ケースをクローズする

[Close Case] アクションを使用してケースを閉じます。

このアクションは、すべての Google SecOps エンティティに対して実行されます。

アクション入力

[Close Case] アクションには、次のパラメータが必要です。

アクションの出力

[ケースをクローズする] アクションでは、次の出力が提供されます。

出力メッセージ

Add Vote To Entity アクションは、次の出力メッセージを返すことができます。

スクリプトの結果

次の表に、[ケースをクローズ] アクションを使用した場合のスクリプト結果出力の値を示します。

エンティティの作成

[エンティティの作成] アクションを使用して、新しいエンティティを作成してアラートに追加します。

このアクションは、すべての Google SecOps エンティティに対して実行されます。

アクション入力

エンティティの作成アクションには、次のパラメータが必要です。

アクションの出力

[エンティティを作成] アクションは、次の出力を提供します。

出力メッセージ

[エンティティを作成] アクションは、次の出力メッセージを返すことができます。

スクリプトの結果

次の表に、エンティティの作成アクションを使用する場合のスクリプト結果出力の値を示します。

Gemini ケースの概要を作成する

Gemini ケースの概要を作成アクションを使用して、新しい Gemini ケースの概要を作成し、アラートに追加します。

このアクションは、すべての Google SecOps エンティティに対して実行されます。

アクション入力

なし

アクションの出力

[Create Gemini Case Summary] アクションは、次の出力を提供します。

JSON の結果

次の例は、Gemini ケースの概要を作成アクションを使用した場合に受信する JSON 結果の出力例を示しています。

{
  "summary": "On the Linux agent instance-1 (IP addresses 10.150.0.3 and 34.85.128.214), user vanshikavw_google_com initiated the process curl (SHA1 hash 3395856ce81f2b7382dee72602f798b642f14140) to create the malware file /home/vanshikavw_google_com/eicar_test_vanshikavw-test-new.\n*  VirusTotal identifies the SHA1 hash 3395856ce81f2b7382dee72602f798b642f14140 as a virus.eicar/test.\n*  CURL is associated with multiple actors, including APT27, APT34, APT41, APT44, APT9, FIN11, FIN13, FIN6, TEMP.Armageddon, Turla Team, UNC1151, UNC1860, UNC215, UNC2165, UNC2500, UNC251, UNC2595, UNC2633, UNC2900, UNC2975, UNC3569, UNC3661, UNC3944, UNC4483, UNC4936, UNC4962, UNC5007, UNC5051, UNC5055, UNC5156, UNC5221, UNC5266, UNC5330, UNC5371, UNC5470, UNC5859, and UNC961.\n*  CURL is known to use MITRE ATT&CK techniques such as T1113, T1095, T1036, T1553, T1222, T1055, T1140, T1070, T1027, T1622, T1057, T1010, T1083, T1518, T1082, T1016, T1059, T1496, and T1588.\n*  A GTI MALWARE search did not find any information about eicar_test_vanshikavw-test-new.\n*  A GTI IP_ADDRESS search did not find any information about 10.150.0.3 or 34.85.128.214.", 
  "next_steps": ["Isolate instance-1 to prevent any potential lateral movement or further compromise of the network, as the curl process is associated with multiple threat actors.", 
  "Investigate the user account vanshikavw_google_com to determine if the user's credentials have been compromised or if the user initiated the curl process intentionally, as the curl process is associated with multiple threat actors.", 
  "Analyze the network traffic to and from the IP addresses 10.150.0.3 and 34.85.128.214 for any suspicious communication patterns, as the curl process is associated with multiple threat actors.", 
  "Examine the process execution logs on instance-1 for any other unusual or unauthorized activities, as the curl process is associated with multiple threat actors.", 
  "Review the configuration of the Linux agent on instance-1 to ensure that it is properly secured and that no unauthorized modifications have been made, as the curl process is associated with multiple threat actors."], 
  "reasons": ["The case involves a Linux agent instance-1 (IP addresses 10.150.0.3 and 34.85.128.214) where user vanshikavw_google_com initiated the process curl to create the file /home/vanshikavw_google_com/eicar_test_vanshikavw-test-new.", 
  "The SHA1 hash 3395856ce81f2b7382dee72602f798b642f14140 of the curl process is identified by VirusTotal as virus.eicar/test, indicating it is a known test virus.", 
  "The process CURL is associated with multiple threat actors, including APT27, APT34, APT41, APT44, APT9, FIN11, FIN13, FIN6, TEMP.Armageddon, Turla Team, UNC1151, UNC1860, UNC215, UNC2165, UNC2500, UNC251, UNC2595, UNC2633, UNC2900, UNC2975, UNC3569, UNC3661, UNC3944, UNC4483, UNC4936, UNC4962, UNC5007, UNC5051, UNC5055, UNC5156, UNC5221, UNC5266, UNC5330, UNC5371, UNC5470, UNC5859, and UNC961, suggesting a potential link to malicious activity.", 
  "CURL is known to use various MITRE ATT&CK techniques such as T1113, T1095, T1036, T1553, T1222, T1055, T1140, T1070, T1027, T1622, T1057, T1010, T1083, T1518, T1082, T1016, T1059, T1496, and T1588, indicating a wide range of potential malicious behaviors.", 
  "The file eicar_test_vanshikavw-test-new was not found in GTI MALWARE searches, and the IP addresses 10.150.0.3 and 34.85.128.214 were not found in GTI IP_ADDRESS searches."]}

出力メッセージ

[Create Gemini Case Summary] アクションは、次の出力メッセージを返すことができます。

スクリプトの結果

次の表に、Gemini ケースの概要を作成アクションを使用する場合のスクリプト結果出力の値を示します。

エンティティ プロパティの作成または更新

エンティティ プロパティの作成または更新アクションを使用して、エンティティ スコープ内のエンティティのプロパティを作成または変更します。

このアクションは、すべての Google SecOps エンティティに対して実行されます。

アクション入力

エンティティ プロパティの作成または更新アクションには、次のパラメータが必要です。

アクションの出力

[Create Or Update Entity Properties] アクションは、次の出力を提供します。

出力メッセージ

Add Vote To Entity アクションは、次の出力メッセージを返すことができます。

スクリプトの結果

次の表に、エンティティ プロパティの作成または更新アクションを使用する場合のスクリプト結果出力の値を示します。

ケースの詳細を取得する

ケースの詳細を取得アクションを使用して、ケースからすべてのデータを取得します（コメント、エンティティ情報、分析情報、実行されたハンドブック、アラート情報、イベントなど）。

このアクションは Google SecOps エンティティに対しては実行されません。

アクション入力

ケースの詳細を取得アクションには、次のパラメータが必要です。

アクションの出力

[Get Case Details] アクションは、次の出力を提供します。

JSON の結果

次の例は、Get Case Details アクションを使用した場合に受信する JSON 結果の出力を示しています。

{
"id": 24879,
"creationTimeUnixTimeInMs": 1750862500562,
"modificationTimeUnixTimeInMs": 1750862500562,
"name": "Malware",
"priority": -1,
"isImportant": false,
"isIncident": false,
"startTimeUnixTimeInMs": 1727243021999,
"endTimeUnixTimeInMs": 1727243022479,
"assignedUser": "@Tier1",
"description": null,
"isTestCase": true,
"type": 1,
"stage": "Triage",
"environment": "Default Environment",
"status": 1,
"incidentId": null,
"tags": ["hi", "Simulated Case"],
"alertCards": [{
  "id": 172354,
  "creationTimeUnixTimeInMs": 1750862500651,
  "modificationTimeUnixTimeInMs": 1750862500651,
  "identifier": "EICAR_TEST_VANSHIKAVW-TEST-NEW0CC43705-04A7-43FD-88CD-B3E7FECA881D",
  "status": 0,
  "name": "EICAR_TEST_VANSHIKAVW-TEST-NEW",
  "priority": -1,
  "workflowsStatus": 1,
  "slaExpirationUnixTime": null,
  "slaCriticalExpirationUnixTime": null,
  "startTime": 1727243021999,
  "endTime": 1727243022479,
  "alertGroupIdentifier": "MalwareSFBrxjAXvKJsJyKe5iQalf00zrv/QwX966dRoEyP2eA=_8cc160b5-7039-421c-926c-1a98073f11d2",
  "eventsCount": 3,
  "title": "EICAR_TEST_VANSHIKAVW-TEST-NEW",
  "ruleGenerator": "Malware",
  "deviceProduct": "SentinelOneV2",
  "deviceVendor": "SentinelOneV2",
  "playbookAttached": "Testing",
  "playbookRunCount": 1,
  "isManualAlert": false,
  "sla": {
    "slaExpirationTime": null,
    "criticalExpirationTime": null,
    "expirationStatus": 2,
    "remainingTimeSinceLastPause": null
    },
  "fieldsGroups": [],
  "sourceUrl": null,
  "sourceRuleUrl": null,
  "siemAlertId": null,
  "relatedCases": [],
  "lastSourceUpdateUnixTimeInMs": null,
  "caseId": 24879,
  "nestingDepth": 0
  }],
"isOverflowCase": false,
"isManualCase": false,
"slaExpirationUnixTime": null,
"slaCriticalExpirationUnixTime": null,
"stageSlaExpirationUnixTimeInMs": null,
"stageSlaCriticalExpirationUnixTimeInMs": null,
"canOpenIncident": false,
"sla": {
  "slaExpirationTime": null,
  "criticalExpirationTime": null,
  "expirationStatus": 2,
  "remainingTimeSinceLastPause": null
  },
"stageSla": {
  "slaExpirationTime": null,
  "criticalExpirationTime": null,
  "expirationStatus": 2,
  "remainingTimeSinceLastPause": null},
  "relatedAlertTicketId": null,
  "relatedAlertCards": []
  }

出力メッセージ

[Get Case Details] アクションは、次の出力メッセージを返すことができます。

スクリプトの結果

次の表に、Get Case Details アクションを使用する場合のスクリプト結果出力の値を示します。

コネクタ コンテキスト値の取得

コネクタ コンテキスト値の取得アクションを使用して、コネクタ コンテキストの Google SecOps データベース内の指定されたキーに保存されている値を取得します。

このアクションは Google SecOps エンティティに対しては実行されません。

アクション入力

[コネクタ コンテキスト値の取得] アクションには、次のパラメータが必要です。

アクションの出力

コネクタ コンテキスト値の取得アクションは、次の出力を提供します。

ケースウォール テーブル

コネクタ コンテキスト値の取得アクションでは、次の表を生成できます。

テーブル名: Connector

テーブルの列:

• コネクタ ID
• Key（キー）
• 値

出力メッセージ

コネクタ コンテキスト値の取得アクションは、次の出力メッセージを返すことができます。

スクリプトの結果

次の表に、コネクタ コンテキスト値の取得アクションを使用する場合のスクリプト結果出力の値を示します。

カスタム フィールド値を取得する

カスタム フィールド値を取得アクションを使用して、指定されたスコープに基づいてカスタム フィールドの現在の値を取得します。

このアクションは Google SecOps エンティティに対しては実行されません。

アクション入力

[Get Custom Field Values] アクションには、次のパラメータが必要です。

アクションの出力

[カスタム フィールド値を取得] アクションは、次の出力を提供します。

JSON の結果

次の例は、[カスタム フィールド値を取得] アクションを使用した場合に受信される JSON 結果の出力例を示しています。

[{
   "Case": {
       "Case Custom Field Name 1": "Updated Custom Field Value",
       "Case Custom Field Name 2": "Updated Custom Field Value"
   },
   "Alert": {
       "Alert Custom Field Name 1": "Updated Custom Field Value",
       "Alert Custom Field Name 2": "Updated Custom Field Value"
   }
}]

出力メッセージ

[カスタム フィールド値を取得] アクションは、次の出力メッセージを返すことができます。

スクリプトの結果

次の表に、[Get Custom Field Values] アクションを使用する場合のスクリプト結果出力の値を示します。

スコープ コンテキスト値の取得

スコープ コンテキスト値を取得アクションを使用して、Google SecOps データベースの指定されたキーに保存されている値を取得します。

このアクションは Google SecOps エンティティに対しては実行されません。

アクション入力

[スコープ コンテキスト値の取得] アクションには、次のパラメータが必要です。

アクションの出力

[スコープ コンテキスト値の取得] アクションは、次の出力を提供します。

ケースウォール テーブル

スコープ コンテキスト値の取得アクションでは、次の表を生成できます。

テーブル名: SCOPE

テーブルの列:

• Key（キー）
• 値

出力メッセージ

スコープ コンテキスト値の取得アクションは、次の出力メッセージを返すことができます。

スクリプトの結果

次の表に、スコープ コンテキスト値を取得アクションを使用した場合のスクリプト結果出力の値を示します。

同様のケースの取得

類似のケースを取得アクションを使用して、類似のケースを検索し、その ID を返します。

このアクションは、すべての Google SecOps エンティティに対して実行されます。

アクション入力

[Get Similar Cases] アクションには、次のパラメータが必要です。

[類似ケースを取得] アクションは、Rule Generator、Port、Category Outcome、Entity Identifier、Include Open Cases、Include Closed Cases の各パラメータに論理 AND 演算子を適用して、同じ検索で使用できるようにします。

アクションの出力

[Get Similar Cases] アクションでは、次の出力が提供されます。

JSON の結果

次の例は、類似ケースを取得アクションを使用した場合に受信される JSON 結果の出力を示しています。

{
  "results": [{
    "id": 23874, 
    "name": "Malware", 
    "tags": ["hi", "Simulated Case"], 
    "start time": "2024-09-25 05:43:41.999000+00:00", 
    "start time unix": 1727243021999, 
    "last modified": "2025-06-19 13:24:01.062000+00:00", 
    "priority": "Informative", 
    "assigned user": "@Tier1", 
    "matching_criteria": {
        "ruleGenerator": true, 
        "port": true, 
        "outcome": true, 
        "entities": true
      }, 
    "matched_entities": [
      {"entity": "INSTANCE-1", "type": "HOSTNAME", "isSuspicious": false}, 
      {"entity": "10.150.0.3", "type": "ADDRESS", "isSuspicious": false}, {"entity": "172.17.0.1", "type": "ADDRESS", "isSuspicious": false}, {"entity": "VANSHIKAVW_GOOGLE_COM", "type": "USERUNIQNAME", "isSuspicious": false}, 
      {"entity": "CURL", "type": "PROCESS", "isSuspicious": false}, {"entity": "EICAR_TEST_VANSHIKAVW-TEST-NEW", "type": "FILENAME", "isSuspicious": false}, 
      {"entity": "3395856CE81F2B7382DEE72602F798B642F14140", "type": "FILEHASH", "isSuspicious": false}, 
      {"entity": "34.85.128.214", "type": "ADDRESS", "isSuspicious": false}, 
      {"entity": "/HOME/VANSHIKAVW_GOOGLE_COM/EICAR_TEST_VANSHIKAVW-TEST-NEW", "type": "FILENAME", "isSuspicious": false}
      ], 
      "status": "Open"}], 
      "stats": 
      {"Malicious": 0.0, "Is Important": 0.0, "Is Incident": 0.0, "Status Open": 100.0}, 
      "platform_url": "https://soarapitest.backstory.chronicle.security/"
}

出力メッセージ

Get Similar Cases アクションは、次の出力メッセージを返すことができます。

スクリプトの結果

次の表に、[Get Similar Cases] アクションを使用した場合のスクリプト結果出力の値を示します。

手順

指示アクションを使用して、アナリストへの指示を設定します。

このアクションは、すべての Google SecOps エンティティに対して実行されます。

アクション入力

Instruction アクションには、次のパラメータが必要です。

アクションの出力

指示アクションは次の出力を提供します。

出力メッセージ

Add Vote To Entity アクションは、次の出力メッセージを返すことができます。

スクリプトの結果

次の表に、Instruction アクションを使用する場合のスクリプト結果出力の値を示します。

カスタムリストに含まれる

Is In Custom List アクションを使用して、エンティティ識別子が指定されたカスタムリストの一部であるかどうかを確認します。

このアクションは、すべての Google SecOps エンティティに対して実行されます。

アクション入力

[Is In Custom List] アクションには、次のパラメータが必要です。

アクションの出力

[Is In Custom List] アクションは、次の出力を提供します。

出力メッセージ

[Is In Custom List] アクションは、次の出力メッセージを返すことができます。

スクリプトの結果

次の表に、Is In Custom List アクションを使用した場合のスクリプト結果出力の値を示します。

重要としてマーク

[Mark As Important] アクションを使用して、ケースに重要マークを付けます。

このアクションは、すべての Google SecOps エンティティに対して実行されます。

アクション入力

なし

アクションの出力

[重要マークを付ける] アクションは次の出力を提供します。

出力メッセージ

[Mark As Important] アクションは、次の出力メッセージを返すことができます。

スクリプトの結果

次の表に、[重要としてマーク] アクションを使用した場合のスクリプト結果出力の値を示します。

Open Web Url

[Open Web Url] アクションを使用して、ブラウザリンクを生成します。

このアクションは、すべての Google SecOps エンティティに対して実行されます。

アクション入力

[Open Web Url] アクションには、次のパラメータが必要です。

アクションの出力

[Open Web Url] アクションは次の出力を提供します。

出力メッセージ

[Open Web Url] アクションでは、次の出力メッセージが返されることがあります。

スクリプトの結果

次の表に、[Open Web Url] アクションを使用した場合のスクリプト結果出力の値を示します。

アラートの SLA を一時停止する

[Pause Alert SLA] アクションを使用して、ケース内の特定のアラートのサービスレベル契約（SLA）タイマーを一時停止します。

このアクションは Google SecOps エンティティに対しては実行されません。

アクション入力

[Pause Alert SLA] アクションには、次のパラメータが必要です。

アクションの出力

[Pause Alert SLA] アクションは、次の出力を提供します。

出力メッセージ

[Pause Alert SLA] アクションは、次の出力メッセージを返すことがあります。

スクリプトの結果

次の表に、[アラート SLA を一時停止] アクションを使用した場合のスクリプト結果出力の値を示します。

ケースの SLA を一時停止

[Pause Case SLA] アクションを使用して、特定のケースのサービスレベル契約（SLA）タイマーを一時停止します。

このアクションは Google SecOps エンティティに対しては実行されません。

アクション入力

[ケースの SLA を一時停止] アクションには、次のパラメータが必要です。

アクションの出力

[Pause Case SLA] アクションでは、次の出力が提供されます。

出力メッセージ

[ケースの SLA を一時停止] アクションは、次の出力メッセージを返すことができます。

スクリプトの結果

次の表に、[Pause Case SLA] アクションを使用した場合のスクリプト結果出力の値を示します。

許可されているアラート時刻

許可されたアラート時間アクションを使用して、選択したアラートの開始時刻がユーザー定義の時間条件を満たしているかどうかを確認します。

このアクションは、すべての Google SecOps エンティティに対して実行されます。

アクション入力

[許可されたアラート時間] アクションには、次のパラメータが必要です。

アクションの出力

[Permitted Alert Time] アクションは、次の出力を提供します。

出力メッセージ

Permitted Alert Time アクションは、次の出力メッセージを返すことができます。

スクリプトの結果

次の表に、許可されたアラート時間アクションを使用した場合のスクリプト結果出力の値を示します。

Ping

Ping アクションを使用して接続をテストします。

このアクションは、すべての Google SecOps エンティティに対して実行されます。

アクション入力

なし

アクションの出力

[Ping] アクションでは、次の出力が提供されます。

出力メッセージ

Ping アクションは、次の出力メッセージを返すことができます。

スクリプトの結果

次の表に、Ping アクションを使用した場合のスクリプト結果出力の値を示します。

インシデントの提起

[Raise Incident] アクションを使用してケース インシデントを提起し、真陽性ケースを Critical としてマークします。

このアクションは、すべての Google SecOps エンティティに対して実行されます。

アクション入力

[Raise Incident] アクションには、次のパラメータが必要です。

アクションの出力

[インシデントを報告] アクションは、次の出力を提供します。

出力メッセージ

Search ASM Issues アクションは、次の出力メッセージを返すことがあります。

スクリプトの結果

次の表に、[インシデントを発生させる] アクションを使用する場合のスクリプト結果出力の値を示します。

タグの削除

[タグを削除] アクションを使用して、ケースからタグを削除します。

このアクションは、すべての Google SecOps エンティティに対して実行されます。

アクション入力

[タグを削除] アクションには、次のパラメータが必要です。

アクションの出力

[タグを削除] アクションでは、次の出力が提供されます。

出力メッセージ

[タグを削除] アクションは、次の出力メッセージを返すことができます。

スクリプトの結果

次の表に、タグを削除アクションを使用する場合のスクリプト結果出力の値を示します。

カスタム リストから削除

[Remove From Custom List] アクションを使用して、アラートに関連付けられているエンティティを指定したカスタムリスト カテゴリから削除します。

このアクションは、すべての Google SecOps エンティティに対して実行されます。

アクション入力

[Remove From Custom List] アクションには、次のパラメータが必要です。

アクションの出力

[Remove From Custom List] アクションは、次の出力を提供します。

出力メッセージ

[Remove From Custom List] アクションは、次の出力メッセージを返すことがあります。

スクリプトの結果

次の表に、[Remove From Custom List] アクションを使用した場合のスクリプト結果出力の値を示します。

アラートの SLA を再開する

[Resume Alert SLA] アクションを使用して、ケース内の特定のアラートのサービスレベル契約（SLA）タイマーを再開します。

このアクションは Google SecOps エンティティに対しては実行されません。

アクション入力

なし

アクションの出力

[Resume Alert SLA] アクションでは、次の出力が提供されます。

出力メッセージ

[SLA のアラートを再開する] アクションでは、次の出力メッセージが返されます。

スクリプトの結果

次の表に、[アラート SLA を再開] アクションを使用した場合のスクリプト結果出力の値を示します。

ケースの SLA を再開

[Resume Case SLA] アクションを使用して、特定のケースのサービスレベル契約（SLA）タイマーを再開します。

このアクションは Google SecOps エンティティに対しては実行されません。

アクション入力

なし

アクションの出力

[ケースの SLA を再開] アクションでは、次の出力が提供されます。

出力メッセージ

[ケースの SLA を再開] アクションでは、次の出力メッセージが返されます。

スクリプトの結果

次の表に、[Resume Case SLA] アクションを使用した場合のスクリプト結果出力の値を示します。

アラートの SLA の設定

アラートの SLA の設定アクションを使用して、アラートの SLA タイマーを設定します。

このアクションは優先度が最も高く、特定のアラートに定義されている既存の SLA をオーバーライドします。

このアクションは Google SecOps エンティティに対しては実行されません。

アクション入力

[Set Alert SLA] アクションには、次のパラメータが必要です。

アクションの出力

[アラートの SLA の設定] アクションは、次の出力を提供します。

出力メッセージ

Set Alert SLA アクションは、次の出力メッセージを返すことができます。

スクリプトの結果

次の表に、アラート SLA を設定アクションを使用する場合のスクリプト結果出力の値を示します。

ケースの SLA の設定

ケースの SLA の設定アクションを使用して、ケースの SLA を設定します。

このアクションは優先度が最も高く、特定のケースに定義されている既存の SLA をオーバーライドします。

このアクションは Google SecOps エンティティに対しては実行されません。

アクション入力

[Set Case SLA] アクションには、次のパラメータが必要です。

アクションの出力

[ケースの SLA を設定] アクションでは、次の出力が提供されます。

出力メッセージ

Search ASM Issues アクションは、次の出力メッセージを返すことがあります。

スクリプトの結果

次の表に、Set Case SLA アクションを使用する場合のスクリプト結果出力の値を示します。

カスタム フィールドを設定する

カスタム フィールドの値を設定するには、[カスタム フィールドを設定] アクションを使用します。

このアクションは Google SecOps エンティティに対しては実行されません。

アクション入力

[Set Custom Fields] アクションには、次のパラメータが必要です。

    {
      "Custom Field Name 1": "Custom Field Value 1",
      "Custom Field Name 2": "Custom Field Value 2"
    }
    

アクションの出力

[カスタム フィールドを設定] アクションでは、次の出力が提供されます。

JSON の結果

次の例は、[カスタム フィールドを設定] アクションを使用した場合に受信される JSON 結果の出力例を示しています。

{
"Custom Field Name": "Updated Custom Field Value",
"Custom Field Name": "Updated Custom Field Value",
}

出力メッセージ

[カスタム フィールドを設定] アクションは、次の出力メッセージを返すことができます。

スクリプトの結果

次の表に、[Set Custom Fields] アクションを使用する場合のスクリプト結果出力の値を示します。

リスクスコアを設定する

リスクスコアを設定アクションを使用して、ケースのリスクスコアを更新します。

このアクションは Google SecOps エンティティに対しては実行されません。

アクション入力

[リスクスコアを設定] アクションには、次のパラメータが必要です。

アクションの出力

[リスクスコアを設定] アクションは、次の出力を提供します。

出力メッセージ

[リスクスコアを設定] アクションは、次の出力メッセージを返すことがあります。

スクリプトの結果

次の表に、リスクスコアを設定アクションを使用する場合のスクリプト結果出力の値を示します。

スコープ コンテキスト値を設定する

スコープ コンテキスト値の設定アクションを使用して、Google SecOps データベースに保存されているキーの値を設定します。

このアクションは Google SecOps エンティティに対しては実行されません。

アクション入力

[Set Scope Context Value] アクションには、次のパラメータが必要です。

アクションの出力

[スコープ コンテキスト値の取得] アクションは、次の出力を提供します。

出力メッセージ

[Set Scope Context Value] アクションは、次の出力メッセージを返すことができます。

スクリプトの結果

次の表に、Set Scope Context Value アクションを使用する場合のスクリプト結果出力の値を示します。

ケースの説明の更新

ケースの説明を更新するには、[Update Case Description] アクションを使用します。

このアクションは Google SecOps エンティティに対しては実行されません。

アクション入力

[Update Case Description] アクションには、次のパラメータが必要です。

アクションの出力

[ケースの説明の更新] アクションは、次の出力を提供します。

出力メッセージ

[Update Case Description] アクションは、次の出力メッセージを返すことがあります。

スクリプトの結果

次の表に、[Update Case Description] アクションを使用する場合のスクリプト結果出力の値を示します。

カスタム フィールドを待機

カスタムフィールドを待機アクションを使用して、カスタムフィールドの値が入力されるまで待機してから、プレイブックの実行を続行します。

このアクションは Google SecOps エンティティに対しては実行されません。

アクション入力

[カスタム フィールドを待機] アクションには、次のパラメータが必要です。

    {
      "Custom Field": ""
    }
    

    {
      "Custom Field": "VALUE_1"
    }
    

    {
      "Custom Field Name 1": "Custom Field Value 1",
      "Custom Field Name 2": "Custom Field Value 2"
    }
    

アクションの出力

[カスタム フィールドを待機] アクションは、次の出力を提供します。

JSON の結果

次の例は、[カスタム フィールドを待機] アクションを使用した場合に受信される JSON 結果の出力です。

{
"Custom Field Name": "Updated Custom Field Value",
"Custom Field Name": "Updated Custom Field Value",
}

出力メッセージ

[カスタム フィールドを待機] アクションは、次の出力メッセージを返すことができます。

スクリプトの結果

次の表に、[カスタム フィールドを待機] アクションを使用する場合のスクリプト結果出力の値を示します。

ジョブ

Siemplify インテグレーションでは、次のジョブを使用できます。

• Siemplify - Actions Monitor
• Siemplify - Cases Collector DB
• Siemplify - ログコレクタ

Siemplify - アクション モニター

Siemplify - Actions Monitor ジョブを使用して、過去 3 時間に個別に 3 回以上失敗したすべてのアクションの通知を取得します。

ジョブ入力

Siemplify - Actions Monitor ジョブには、次のパラメータが必要です。

Siemplify - Cases Collector DB

Siemplify - Cases Collector DB ジョブを使用して、指定されたパブリッシャーからセキュリティ ケースを取得して処理します。

ジョブ入力

Siemplify - Cases Collector DB ジョブには、次のパラメータが必要です。

Siemplify - Logs Collector

Siemplify - Logs Collector ジョブを使用して、指定されたパブリッシャーからログを取得して処理します。

ジョブ入力

Siemplify - Logs Collector ジョブには、次のパラメータが必要です。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。