이 페이지는 Cloud Translation API를 통해 번역되었습니다.

Siemplify를 Google SecOps와 통합

이 문서에서는 Siemplify를 Google Security Operations (Google SecOps)와 통합하는 방법을 설명합니다.

통합 버전: 94.0

사용 사례

Siemplify 통합은 다음 사용 사례를 해결할 수 있습니다.

피싱 조사: Google SecOps 기능을 사용하여 피싱 이메일을 분석하고, 침해 지표 (IOC)를 추출하고, 위협 인텔리전스로 보강하는 프로세스를 자동화합니다.
멀웨어 격리: Google SecOps 기능을 사용하여 멀웨어 감지 시 감염된 엔드포인트를 자동으로 격리하고, 검사를 시작하고, 악성 파일을 격리합니다.
취약점 관리: Google SecOps 기능을 사용하여 취약점 스캔을 오케스트레이션하고, 위험에 따라 취약점의 우선순위를 지정하고, 해결을 위한 티켓을 자동으로 만듭니다.
위협 헌팅: Google SecOps 기능을 사용하여 다양한 보안 도구와 데이터 세트에서 위협 헌팅 쿼리 실행을 자동화합니다.
보안 알림 분류: Google SecOps 기능을 사용하여 보안 알림에 컨텍스트 정보를 자동으로 추가하고, 다른 이벤트와 연관시키고, 심각도에 따라 우선순위를 지정합니다.
사고 대응: Google SecOps 기능을 사용하여 초기 감지부터 격리 및 근절에 이르기까지 전체 사고 대응 프로세스를 오케스트레이션합니다.
규정 준수 보고: Google SecOps 기능을 사용하여 규정 준수 보고를 위한 보안 데이터의 수집 및 분석을 자동화합니다.

통합 매개변수

Siemplify 통합에는 다음 매개변수가 필요합니다.

매개변수 설명

매개변수	설명
`Monitors Mail Recipients`	필수 항목입니다. 유효성을 검사할 이메일 주소를 쉼표로 구분한 목록입니다. 기본값은 `example@mail.com,example1@mail.com`입니다.
`Elastic Server Address`	필수 항목입니다. Elastic 서버의 주소입니다. 기본값은 `localhost`입니다.

Monitors Mail Recipients

필수 항목입니다.

유효성을 검사할 이메일 주소를 쉼표로 구분한 목록입니다.

기본값은 example@mail.com,example1@mail.com입니다.

Elastic Server Address

필수 항목입니다.

Elastic 서버의 주소입니다.

기본값은 localhost입니다.

Google SecOps에서 통합을 구성하는 방법에 대한 안내는 통합 구성을 참고하세요.

필요한 경우 이후 단계에서 변경할 수 있습니다. 통합 인스턴스를 구성한 후 플레이북에서 사용할 수 있습니다. 여러 인스턴스를 구성하고 지원하는 방법에 관한 자세한 내용은 여러 인스턴스 지원을 참고하세요.

작업

작업에 대한 자세한 내용은 내 Workdesk에서 대기 중인 작업에 응답 및 수동 작업 실행을 참고하세요.

항목 통계 추가

엔티티 통계 추가 작업을 사용하여 Siemplify에서 타겟팅된 Google SecOps 엔티티에 통계를 추가합니다.

이 작업은 모든 Google SecOps 항목에서 실행됩니다.

작업 입력

엔티티 통계 추가 작업에는 다음 매개변수가 필요합니다.

매개변수 설명

매개변수	설명
`Message`	필수 항목입니다. 항목에 추가할 메시지입니다. 이 매개변수는 제목(`<h1></h1>`, `<h2></h2>`), 단락 (`<p></p>`), 텍스트 서식 (`<b></b>`, `<i></i>`, `<br>`), 링크(`<a href="example.com"></a>`)와 같은 HTML 요소를 지원합니다.

Message

필수 항목입니다.

항목에 추가할 메시지입니다.

이 매개변수는 제목(<h1></h1>, <h2></h2>), 단락 (<p></p>), 텍스트 서식 (<b></b>, <i></i>, <br>), 링크(<a href="example.com"></a>)와 같은 HTML 요소를 지원합니다.

작업 출력

엔티티 통계 추가 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용할 수 없음
출력 메시지	사용 가능
스크립트 결과	사용 가능

출력 메시지

Add Entity Insight 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

출력 메시지	메시지 설명
`Added insight with message MESSAGE to ENTITY_ID.`	작업이 완료되었습니다.
`Error executing action "Add Entity Insight". Reason: ERROR_REASON`	작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

Added insight with message MESSAGE to ENTITY_ID.

작업이 완료되었습니다.

Error executing action "Add Entity Insight". Reason:
      ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 엔티티 통계 추가 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.

스크립트 결과 이름	값
`is_success`	`true` 또는 `false`

일반 통계 추가

일반 통계 추가 작업을 사용하여 케이스에 일반 통계를 추가합니다.

이 작업은 모든 Google SecOps 항목에서 실행됩니다.

작업 입력

일반 통계 추가 작업에는 다음 매개변수가 필요합니다.

매개변수 설명

매개변수	설명
`Title`	필수 항목입니다. 통계의 제목입니다.
`Message`	필수 항목입니다. 항목에 추가할 메시지입니다. 이 매개변수는 제목(`<h1></h1>`, `<h2></h2>`), 단락 (`<p></p>`), 텍스트 서식 (`<b></b>`, `<i></i>`, `<br>`), 링크(`<a href="example.com"></a>`)와 같은 HTML 요소를 지원합니다.
`Triggered By`	(선택사항) 통계에 대한 근거입니다.

Title

필수 항목입니다.

통계의 제목입니다.

Message

필수 항목입니다.

항목에 추가할 메시지입니다.

Triggered By

(선택사항)

통계에 대한 근거입니다.

작업 출력

일반 통계 추가 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용할 수 없음
출력 메시지	사용 가능
스크립트 결과	사용 가능

출력 메시지

일반 통계 추가 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

출력 메시지	메시지 설명
`Added insight with message MESSAGE.`	작업이 완료되었습니다.
`Error executing action "Add General Insight". Reason: ERROR_REASON`	작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

Added insight with message MESSAGE.

작업이 완료되었습니다.

Error executing action "Add General Insight". Reason:
      ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 일반 통계 추가 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름	값
`is_success`	`true` 또는 `false`

유사한 케이스에 태그 추가

유사한 케이스에 태그 추가 작업을 사용하여 유사한 케이스에 태그를 추가합니다.

유사한 케이스를 찾기 위해 이 작업은 검색된 매개변수와 함께 siemplify.get_similar_cases() 함수를 사용하여 케이스 ID 목록을 반환합니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

유사한 케이스에 태그 추가 작업에는 다음 매개변수가 필요합니다.

매개변수	설명
`Rule Generator`	(선택사항) 이 옵션을 선택하면 규칙 생성기를 사용하여 유사한 케이스를 검색합니다. 기본적으로 선택되어 있습니다.
`Port`	(선택사항) 이 옵션을 선택하면 작업에서 포트 번호를 사용하여 유사한 케이스를 검색합니다. 기본적으로 선택되어 있습니다.
`Category Outcome`	(선택사항) 선택하면 작업이 카테고리 결과에 따라 유사한 케이스를 검색합니다. 기본적으로 선택되어 있습니다.
`Entity Identifier`	(선택사항) 이 옵션을 선택하면 작업에서 항목 식별자를 사용하여 유사한 케이스를 검색합니다. 기본적으로 선택되어 있습니다.
`Days Back`	필수 항목입니다. 유사한 케이스를 검색할 때 확인할 과거의 일수입니다.
`Tags`	필수 항목입니다. 유사한 케이스에 추가할 태그가 쉼표로 구분된 목록입니다.

작업 출력

유사한 케이스에 태그 추가 작업은 다음과 같은 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용할 수 없음
출력 메시지	사용 가능
스크립트 결과	사용 가능

출력 메시지

유사한 케이스에 태그 추가 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

출력 메시지	메시지 설명
`Found NUMBER_OF_CASES similar cases. Successfully added tags: TAG to cases CASE_ID`	작업이 완료되었습니다.
`Error executing action "Add Tags To Similar Cases". Reason: ERROR_REASON`	작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

Found NUMBER_OF_CASES similar cases. Successfully added tags: TAG to cases CASE_ID

작업이 완료되었습니다.

Error executing action "Add Tags To Similar Cases". Reason:
      ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 유사한 케이스에 태그 추가 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.

스크립트 결과 이름	값
`SimilarCasesIds`	유사한 케이스 ID 목록입니다.

맞춤 목록에 추가

맞춤 목록에 추가 작업을 사용하여 분류된 맞춤 목록에 항목 식별자를 추가하고 다른 작업에서 향후 비교를 실행합니다.

이 작업은 모든 Google SecOps 항목에서 실행됩니다.

작업 입력

맞춤 목록에 추가 작업에는 다음 매개변수가 필요합니다.

매개변수 설명

매개변수	설명
`Category`	필수 항목입니다. 사용할 맞춤 카테고리 목록입니다.

Category

필수 항목입니다.

사용할 맞춤 카테고리 목록입니다.

작업 출력

맞춤 목록에 추가 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용할 수 없음
출력 메시지	사용 가능
스크립트 결과	사용 가능

출력 메시지

맞춤 목록에 추가 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

출력 메시지	메시지 설명
`The alert's entities ENTITY_ID were added to custom list category: CATEGORY.`	작업이 완료되었습니다.
`Error executing action "Add to Custom List". Reason: ERROR_REASON`	작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

The alert's entities ENTITY_ID were added to custom list category: CATEGORY.

작업이 완료되었습니다.

Error executing action "Add to Custom List". Reason:
      ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 맞춤 목록에 추가 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름	값
`is_success`	`true` 또는 `false`

케이스 할당

케이스 할당 작업을 사용하여 특정 사용자 또는 사용자 그룹에 케이스를 할당합니다.

이 작업은 모든 Google SecOps 항목에서 실행됩니다.

작업 입력

케이스 할당 작업에는 다음 매개변수가 필요합니다.

매개변수 설명

매개변수	설명
`Assigned User`	필수 항목입니다. 케이스를 할당할 사용자 또는 사용자 그룹입니다.

Assigned User

필수 항목입니다.

케이스를 할당할 사용자 또는 사용자 그룹입니다.

작업 출력

케이스 할당 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용할 수 없음
출력 메시지	사용 가능
스크립트 결과	사용 가능

출력 메시지

맞춤 목록에 추가 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

출력 메시지	메시지 설명
`The case was successfully assigned to ASSIGNED_USER.`	작업이 완료되었습니다.
`Error executing action "Assign Case". Reason: ERROR_REASON`	작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

The case was successfully assigned to ASSIGNED_USER.

작업이 완료되었습니다.

Error executing action "Assign Case". Reason:
      ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 케이스 할당 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름	값
`is_success`	`true` 또는 `false`

알림에 플레이북 연결

알림에 플레이북 연결 작업을 사용하여 특정 플레이북을 알림에 연결합니다.

이 작업은 모든 Google SecOps 항목에서 실행됩니다.

작업 입력

알림에 플레이북 첨부 작업에는 다음 매개변수가 필요합니다.

매개변수 설명

매개변수	설명
`Playbook Name`	필수 항목입니다. 현재 알림에 연결할 플레이북의 이름입니다.

Playbook Name

필수 항목입니다.

현재 알림에 연결할 플레이북의 이름입니다.

작업 출력

알림에 플레이북 연결 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용할 수 없음
출력 메시지	사용 가능
스크립트 결과	사용 가능

출력 메시지

그래프 검색 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

출력 메시지	메시지 설명
`Successfully attached the PLAYBOOK_NAME playbook to the alert CURRENT_ALERT_NAME.`	작업이 완료되었습니다.
`Error executing action "Attach Playbook to Alert". Reason: ERROR_REASON`	작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

Successfully attached the PLAYBOOK_NAME playbook to the alert CURRENT_ALERT_NAME.

작업이 완료되었습니다.

Error executing action "Attach Playbook to Alert". Reason:
      ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 Attach Playbook to Alert(알림에 플레이북 첨부) 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름	값
스크립트 결과	`true` 또는 `false`

케이스 댓글

케이스 댓글 작업을 사용하여 현재 알림이 그룹화된 케이스에 댓글을 추가합니다.

이 작업은 모든 Google SecOps 항목에서 실행됩니다.

작업 입력

케이스 댓글 작업에는 다음 매개변수가 필요합니다.

매개변수 설명

매개변수	설명
`Comment`	필수 항목입니다. 케이스에 추가할 댓글입니다.

Comment

필수 항목입니다.

케이스에 추가할 댓글입니다.

작업 출력

케이스 댓글 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용할 수 없음
출력 메시지	사용 가능
스크립트 결과	사용 가능

출력 메시지

Add Vote To Entity 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

출력 메시지	메시지 설명
`Comment added to case: CASE_COMMENT.`	작업이 완료되었습니다.
`Error executing action "Case Comment". Reason: ERROR_REASON`	작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

Comment added to case: CASE_COMMENT.

작업이 완료되었습니다.

Error executing action "Case Comment". Reason:
      ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 케이스 댓글 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름	값
`SuccessStatus`	`true` 또는 `false`

케이스 태그

케이스 태그 작업을 사용하여 현재 알림이 그룹화된 케이스에 태그를 추가합니다.

이 작업은 모든 Google SecOps 항목에서 실행됩니다.

작업 입력

케이스 태그 작업에는 다음 매개변수가 필요합니다.

매개변수 설명

매개변수	설명
`Tag`	필수 항목입니다. 케이스에 추가할 태그입니다.

Tag

필수 항목입니다.

케이스에 추가할 태그입니다.

작업 출력

케이스 태그 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용할 수 없음
출력 메시지	사용 가능
스크립트 결과	사용 가능

출력 메시지

케이스 태그 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

출력 메시지	메시지 설명
`The tag TAG_ID was added to the case`	작업이 완료되었습니다.
`Error executing action "Add Vote To Entity". Reason: ERROR_REASON`	작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

The tag TAG_ID was added to the case

작업이 완료되었습니다.

Error executing action "Add Vote To Entity". Reason:
      ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 케이스 태그 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름	값
`is_success`	`true` 또는 `false`

알림 우선순위 변경

알림 우선순위 변경 작업을 사용하여 케이스의 알림 우선순위를 업데이트합니다.

이 작업은 모든 Google SecOps 항목에서 실행됩니다.

작업 입력

알림 우선순위 변경 작업에는 다음 매개변수가 필요합니다.

매개변수 설명

매개변수	설명
`Alert Priority`	필수 항목입니다. 알림의 새 우선순위입니다. 가능한 값은 다음과 같습니다. `Informative` `Low` `Medium` `High` `Critical`

Alert Priority

필수 항목입니다.

알림의 새 우선순위입니다.

가능한 값은 다음과 같습니다.

Informative
Low
Medium
High
Critical

작업 출력

알림 우선순위 변경 작업은 다음과 같은 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용할 수 없음
출력 메시지	사용 가능
스크립트 결과	사용 가능

출력 메시지

Add Vote To Entity 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

출력 메시지	메시지 설명
`The alert priority was set to NEW_PRIORITY_LEVEL.`	작업이 완료되었습니다.
`Error executing action "Change Alert Priority". Reason: ERROR_REASON`	작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

The alert priority was set to NEW_PRIORITY_LEVEL.

작업이 완료되었습니다.

Error executing action "Change Alert Priority". Reason:
      ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 알림 우선순위 변경 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름	값
스크립트 결과	`true` 또는 `false`

케이스 단계 변경

케이스 단계 변경 작업을 사용하여 케이스 단계를 변경합니다.

이 작업은 모든 Google SecOps 항목에서 실행됩니다.

작업 입력

케이스 단계 변경 작업에는 다음 매개변수가 필요합니다.

매개변수 설명

매개변수	설명
`Stage`	필수 항목입니다. 케이스를 이동할 단계입니다. 가능한 값은 다음과 같습니다. `Triage` `Assessment` `Investigation` `Incident` `Improvement` `Research`

Stage

필수 항목입니다.

케이스를 이동할 단계입니다.

가능한 값은 다음과 같습니다.

Triage
Assessment
Investigation
Incident
Improvement
Research

작업 출력

케이스 변경 단계 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용할 수 없음
출력 메시지	사용 가능
스크립트 결과	사용 가능

출력 메시지

Add Vote To Entity 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

출력 메시지	메시지 설명
`Case stage was successfully changed to CASE_STAGE.`	작업이 완료되었습니다.
`Error executing action "Change Case Stage". Reason: ERROR_REASON`	작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

Case stage was successfully changed to CASE_STAGE.

작업이 완료되었습니다.

Error executing action "Change Case Stage". Reason:
      ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 케이스 변경 단계 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름	값
스크립트 결과	`true` 또는 `false`

우선순위 변경

우선순위 변경 작업을 사용하여 조사 중인 케이스의 우선순위를 업데이트합니다.

이 작업은 모든 Google SecOps 항목에서 실행됩니다.

작업 입력

우선순위 변경 작업에는 다음 매개변수가 필요합니다.

매개변수 설명

매개변수	설명
`Priority`	필수 항목입니다. 케이스에 설정할 우선순위입니다. 가능한 값은 다음과 같습니다. `Informative` `Low` `Medium` `High` `Critical`

Priority

필수 항목입니다.

케이스에 설정할 우선순위입니다.

가능한 값은 다음과 같습니다.

Informative
Low
Medium
High
Critical

작업 출력

우선순위 변경 작업은 다음과 같은 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용할 수 없음
출력 메시지	사용 가능
스크립트 결과	사용 가능

출력 메시지

Add Vote To Entity 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

출력 메시지	메시지 설명
`The case priority was set to NEW_CASE_PRIORITY`	작업이 완료되었습니다.
`Error executing action "Close Alert". Reason: ERROR_REASON`	작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

The case priority was set to NEW_CASE_PRIORITY

작업이 완료되었습니다.

Error executing action "Close Alert". Reason:
      ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 우선순위 변경 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름	값
스크립트 결과	`true` 또는 `false`

알림 닫기

알림 닫기 작업을 사용하여 알림을 닫습니다.

이 작업은 모든 Google SecOps 항목에서 실행됩니다.

작업 입력

알림 닫기 작업에는 다음 매개변수가 필요합니다.

매개변수	설명
`Reason`	필수 항목입니다. 알림을 닫는 이유입니다. 가능한 값은 다음과 같습니다. `Malicious` `NotMalicious` `Maintenance` `Inconclusive`
`Root Cause`	필수 항목입니다. 알림을 닫는 기본 원인입니다.
`Comment`	필수 항목입니다. 알림에 추가할 댓글입니다.
`Assign to User`	(선택사항) 알림을 할당할 사용자입니다.
`Tags`	(선택사항) 쉼표로 구분된 태그 목록입니다.

작업 출력

알림 닫기 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용할 수 없음
출력 메시지	사용 가능
스크립트 결과	사용 가능

출력 메시지

Add Vote To Entity 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

출력 메시지	메시지 설명
`The alert was closed. Root Cause: ROOT_CAUSEComment: ALERT_COMMENTReason: REASON`	작업이 완료되었습니다.
`Error executing action "Close Alert". Reason: ERROR_REASON`	작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

The alert was closed. Root Cause: ROOT_CAUSEComment: ALERT_COMMENTReason: REASON

작업이 완료되었습니다.

Error executing action "Close Alert". Reason:
      ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 알림 닫기 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름	값
`StatusResult`	`true` 또는 `false`

케이스 종료

케이스 종료 작업을 사용하여 케이스를 종료합니다.

이 작업은 모든 Google SecOps 항목에서 실행됩니다.

작업 입력

케이스 닫기 작업에는 다음 매개변수가 필요합니다.

매개변수 설명

매개변수	설명
`Reason`	필수 항목입니다. 케이스를 종료하는 이유입니다. 가능한 값은 다음과 같습니다. `Malicious` `NotMalicious` `Maintenance` `Inconclusive`
`Root Cause`	필수 항목입니다. 케이스를 종료하는 기본 원인입니다.
`Comment`	필수 항목입니다. 케이스에 추가할 댓글입니다.

Reason

필수 항목입니다.

케이스를 종료하는 이유입니다.

가능한 값은 다음과 같습니다.

Malicious
NotMalicious
Maintenance
Inconclusive

Root Cause

필수 항목입니다.

케이스를 종료하는 기본 원인입니다.

Comment

필수 항목입니다.

케이스에 추가할 댓글입니다.

작업 출력

케이스 닫기 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용할 수 없음
출력 메시지	사용 가능
스크립트 결과	사용 가능

출력 메시지

Add Vote To Entity 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

The case was closed. Root Cause: ROOT_CAUSEComment: CASE_COMMENTReason: REASON

작업이 완료되었습니다.

Error executing action "Close Case". Reason:
      ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 케이스 종료 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.

스크립트 결과 이름	값
`StatusResult`	`true` 또는 `false`

항목 만들기

항목 만들기 작업을 사용하여 새 항목을 만들고 알림에 추가합니다.

이 작업은 모든 Google SecOps 항목에서 실행됩니다.

참고: Google SecOps 플랫폼 버전 5.6.2 이상에서는 엔티티 만들기 작업을 통해 매핑 프로세스에서 구분 기호를 선택하고 데이터베이스 구성을 무시할 수 있습니다.

Google SecOps 플랫폼 버전 5.6.0~5.6.2의 경우 구분은 항목 만들기 작업 또는 데이터베이스에서 발생할 수 있습니다.

엔티티를 만들 때 맞춤 (기본값 아님) 구분자를 사용하려면 작업과 데이터베이스에서 동일한 구분자를 사용하세요.

맞춤 구분 기호를 사용하려면 다음 중 하나를 완료하세요.

작업 입력과 데이터베이스에서 기본 구분 기호 (,)를 맞춤 구분 기호로 변경합니다.
데이터베이스의 구분자를 변경하고 작업에서 Delimiter 매개변수 값을 비워 둡니다.

작업 입력

Create Entity 작업에는 다음 매개변수가 필요합니다.

매개변수	설명
`Entities Identifies`	필수 항목입니다. 케이스에서 생성할 항목 식별자의 쉼표로 구분된 목록입니다(예: `VALUE1,VALUE2,VALUE3`).
`Delimiter`	(선택사항) `Entities Identifies` 매개변수의 입력을 여러 식별자로 분할하는 데 사용되는 구분 기호입니다. 값을 설정하지 않으면 작업에서 입력을 단일 항목 식별자로 취급합니다. 기본값은 `,`입니다.
`Entity Type`	필수 항목입니다. 생성할 항목의 유형입니다(예: `HOSTNAME`, `USERNAME`, `IP`).
`Is Internal`	(선택사항) 선택하면 작업에서 항목을 내부 네트워크의 일부로 취급합니다. 기본적으로 선택되지 않습니다.
`Is Suspicious`	(선택사항) 선택하면 작업에서 항목을 의심스러운 것으로 처리합니다. 기본적으로 선택되지 않습니다.

작업 출력

엔티티 만들기 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용할 수 없음
출력 메시지	사용 가능
스크립트 결과	사용 가능

출력 메시지

Create Entity 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

<codeENTITY_ID created successfully.

작업이 완료되었습니다.

Error executing action "Create Entity". Reason:
      ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 엔티티 생성 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.

스크립트 결과 이름	값
`StatusResult`	`true` 또는 `false`

Gemini 케이스 요약 만들기

Gemini 케이스 요약 만들기 작업을 사용하여 새 Gemini 케이스 요약을 만들고 알림에 추가합니다.

이 작업은 모든 Google SecOps 항목에서 실행됩니다.

작업 입력

없음

작업 출력

Gemini 케이스 요약 만들기 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용 가능
출력 메시지	사용 가능
스크립트 결과	사용 가능

JSON 결과

다음 예는 Gemini 케이스 요약 만들기 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.

{
  "summary": "On the Linux agent instance-1 (IP addresses 10.150.0.3 and 34.85.128.214), user vanshikavw_google_com initiated the process curl (SHA1 hash 3395856ce81f2b7382dee72602f798b642f14140) to create the malware file /home/vanshikavw_google_com/eicar_test_vanshikavw-test-new.\n*  VirusTotal identifies the SHA1 hash 3395856ce81f2b7382dee72602f798b642f14140 as a virus.eicar/test.\n*  CURL is associated with multiple actors, including APT27, APT34, APT41, APT44, APT9, FIN11, FIN13, FIN6, TEMP.Armageddon, Turla Team, UNC1151, UNC1860, UNC215, UNC2165, UNC2500, UNC251, UNC2595, UNC2633, UNC2900, UNC2975, UNC3569, UNC3661, UNC3944, UNC4483, UNC4936, UNC4962, UNC5007, UNC5051, UNC5055, UNC5156, UNC5221, UNC5266, UNC5330, UNC5371, UNC5470, UNC5859, and UNC961.\n*  CURL is known to use MITRE ATT&CK techniques such as T1113, T1095, T1036, T1553, T1222, T1055, T1140, T1070, T1027, T1622, T1057, T1010, T1083, T1518, T1082, T1016, T1059, T1496, and T1588.\n*  A GTI MALWARE search did not find any information about eicar_test_vanshikavw-test-new.\n*  A GTI IP_ADDRESS search did not find any information about 10.150.0.3 or 34.85.128.214.", 
  "next_steps": ["Isolate instance-1 to prevent any potential lateral movement or further compromise of the network, as the curl process is associated with multiple threat actors.", 
  "Investigate the user account vanshikavw_google_com to determine if the user's credentials have been compromised or if the user initiated the curl process intentionally, as the curl process is associated with multiple threat actors.", 
  "Analyze the network traffic to and from the IP addresses 10.150.0.3 and 34.85.128.214 for any suspicious communication patterns, as the curl process is associated with multiple threat actors.", 
  "Examine the process execution logs on instance-1 for any other unusual or unauthorized activities, as the curl process is associated with multiple threat actors.", 
  "Review the configuration of the Linux agent on instance-1 to ensure that it is properly secured and that no unauthorized modifications have been made, as the curl process is associated with multiple threat actors."], 
  "reasons": ["The case involves a Linux agent instance-1 (IP addresses 10.150.0.3 and 34.85.128.214) where user vanshikavw_google_com initiated the process curl to create the file /home/vanshikavw_google_com/eicar_test_vanshikavw-test-new.", 
  "The SHA1 hash 3395856ce81f2b7382dee72602f798b642f14140 of the curl process is identified by VirusTotal as virus.eicar/test, indicating it is a known test virus.", 
  "The process CURL is associated with multiple threat actors, including APT27, APT34, APT41, APT44, APT9, FIN11, FIN13, FIN6, TEMP.Armageddon, Turla Team, UNC1151, UNC1860, UNC215, UNC2165, UNC2500, UNC251, UNC2595, UNC2633, UNC2900, UNC2975, UNC3569, UNC3661, UNC3944, UNC4483, UNC4936, UNC4962, UNC5007, UNC5051, UNC5055, UNC5156, UNC5221, UNC5266, UNC5330, UNC5371, UNC5470, UNC5859, and UNC961, suggesting a potential link to malicious activity.", 
  "CURL is known to use various MITRE ATT&CK techniques such as T1113, T1095, T1036, T1553, T1222, T1055, T1140, T1070, T1027, T1622, T1057, T1010, T1083, T1518, T1082, T1016, T1059, T1496, and T1588, indicating a wide range of potential malicious behaviors.", 
  "The file eicar_test_vanshikavw-test-new was not found in GTI MALWARE searches, and the IP addresses 10.150.0.3 and 34.85.128.214 were not found in GTI IP_ADDRESS searches."]}

출력 메시지

Gemini 케이스 요약 만들기 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

Case summary generation completed.

작업이 완료되었습니다.

Error executing action "Create Gemini Case Summary". Reason:
      ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 Gemini 케이스 요약 만들기 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.

스크립트 결과 이름	값
`is_success`	`true` 또는 `false`

항목 속성 만들기 또는 업데이트

항목 속성 만들기 또는 업데이트 작업을 사용하여 항목 범위의 항목 속성을 만들거나 변경합니다.

이 작업은 모든 Google SecOps 항목에서 실행됩니다.

작업 입력

Create Or Update Entity Properties 작업에는 다음 매개변수가 필요합니다.

매개변수 설명

Entity Field

필수 항목입니다.

만들거나 업데이트할 항목 필드의 이름입니다.

Field Value

필수 항목입니다.

지정된 항목 필드에 설정할 값입니다.

작업 출력

항목 속성 생성 또는 업데이트 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용할 수 없음
출력 메시지	사용 가능
스크립트 결과	사용 가능

출력 메시지

Add Vote To Entity 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

Property ENTITY_ID were changed for the following entities: ENTITY_ID.

작업이 완료되었습니다.

Error executing action "Create Or Update Entity Properties". Reason:
      ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 Create Or Update Entity Properties 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름	값
`is_success`	`true` 또는 `false`

케이스 세부정보 가져오기

케이스 세부정보 가져오기 작업을 사용하여 케이스의 모든 데이터를 가져옵니다 (여기에는 댓글, 항목 정보, 통계, 실행된 플레이북, 알림 정보, 이벤트가 포함됨).

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

케이스 세부정보 가져오기 작업에는 다음 매개변수가 필요합니다.

매개변수 설명

Case Id

(선택사항)

조회할 케이스의 ID입니다.

아무것도 제공되지 않으면 작업에서 기본적으로 현재 케이스를 사용합니다.

Fields to Return

(선택사항)

반환할 필드의 쉼표로 구분된 목록입니다.

아무것도 제공하지 않으면 모든 필드가 반환됩니다.

참고: Nested Keys Delimiter 매개변수를 사용하여 키와 목록 색인을 연결하여 중첩된 값을 가져올 수 있습니다.

Nested Keys Delimiter

(선택사항)

특정 필드를 요청할 때 중첩된 키를 구분하는 데 사용되는 문자입니다.

구분 기호는 쉼표(,)일 수 없습니다.

중첩된 키 검색에는 이 구분 기호가 필요합니다.

작업 출력

케이스 세부정보 가져오기 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용 가능
출력 메시지	사용 가능
스크립트 결과	사용 가능

JSON 결과

다음 예는 케이스 세부정보 가져오기 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.

{
"id": 24879,
"creationTimeUnixTimeInMs": 1750862500562,
"modificationTimeUnixTimeInMs": 1750862500562,
"name": "Malware",
"priority": -1,
"isImportant": false,
"isIncident": false,
"startTimeUnixTimeInMs": 1727243021999,
"endTimeUnixTimeInMs": 1727243022479,
"assignedUser": "@Tier1",
"description": null,
"isTestCase": true,
"type": 1,
"stage": "Triage",
"environment": "Default Environment",
"status": 1,
"incidentId": null,
"tags": ["hi", "Simulated Case"],
"alertCards": [{
  "id": 172354,
  "creationTimeUnixTimeInMs": 1750862500651,
  "modificationTimeUnixTimeInMs": 1750862500651,
  "identifier": "EICAR_TEST_VANSHIKAVW-TEST-NEW0CC43705-04A7-43FD-88CD-B3E7FECA881D",
  "status": 0,
  "name": "EICAR_TEST_VANSHIKAVW-TEST-NEW",
  "priority": -1,
  "workflowsStatus": 1,
  "slaExpirationUnixTime": null,
  "slaCriticalExpirationUnixTime": null,
  "startTime": 1727243021999,
  "endTime": 1727243022479,
  "alertGroupIdentifier": "MalwareSFBrxjAXvKJsJyKe5iQalf00zrv/QwX966dRoEyP2eA=_8cc160b5-7039-421c-926c-1a98073f11d2",
  "eventsCount": 3,
  "title": "EICAR_TEST_VANSHIKAVW-TEST-NEW",
  "ruleGenerator": "Malware",
  "deviceProduct": "SentinelOneV2",
  "deviceVendor": "SentinelOneV2",
  "playbookAttached": "Testing",
  "playbookRunCount": 1,
  "isManualAlert": false,
  "sla": {
    "slaExpirationTime": null,
    "criticalExpirationTime": null,
    "expirationStatus": 2,
    "remainingTimeSinceLastPause": null
    },
  "fieldsGroups": [],
  "sourceUrl": null,
  "sourceRuleUrl": null,
  "siemAlertId": null,
  "relatedCases": [],
  "lastSourceUpdateUnixTimeInMs": null,
  "caseId": 24879,
  "nestingDepth": 0
  }],
"isOverflowCase": false,
"isManualCase": false,
"slaExpirationUnixTime": null,
"slaCriticalExpirationUnixTime": null,
"stageSlaExpirationUnixTimeInMs": null,
"stageSlaCriticalExpirationUnixTimeInMs": null,
"canOpenIncident": false,
"sla": {
  "slaExpirationTime": null,
  "criticalExpirationTime": null,
  "expirationStatus": 2,
  "remainingTimeSinceLastPause": null
  },
"stageSla": {
  "slaExpirationTime": null,
  "criticalExpirationTime": null,
  "expirationStatus": 2,
  "remainingTimeSinceLastPause": null},
  "relatedAlertTicketId": null,
  "relatedAlertCards": []
  }

출력 메시지

케이스 세부정보 가져오기 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

Finished executing Get Case Details successfully

작업이 완료되었습니다.

Error executing action "Get Case Details". Reason: ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 케이스 세부정보 가져오기 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.

스크립트 결과 이름	값
`is_success`	`true` 또는 `false`

커넥터 컨텍스트 값 가져오기

커넥터 컨텍스트 값 가져오기 작업을 사용하여 커넥터 컨텍스트의 Google SecOps 데이터베이스에 지정된 키 아래에 저장된 값을 가져옵니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

커넥터 컨텍스트 값 가져오기 작업에는 다음 매개변수가 필요합니다.

매개변수 설명

Connector Identifier

필수 항목입니다.

컨텍스트 값을 가져올 커넥터 식별자입니다.

Key Name

필수 항목입니다.

컨텍스트 값을 가져올 키 이름입니다.

Create Case Wall Table

(선택사항)

선택하면 값이 문자 수 제한을 초과하지 않는 한 작업에서 검색된 컨텍스트 값이 포함된 케이스 월 표를 만듭니다.

기본적으로 선택되어 있습니다.

작업 출력

커넥터 컨텍스트 값 가져오기 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용 가능
보강 테이블	사용할 수 없음
JSON 결과	사용할 수 없음
출력 메시지	사용 가능
스크립트 결과	사용 가능

케이스 월 테이블

커넥터 컨텍스트 값 가져오기 작업은 다음 표를 생성할 수 있습니다.

표 이름: Connector

표 열:

커넥터 식별자
키
값

출력 메시지

커넥터 컨텍스트 값 가져오기 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

Successfully found context value for the provided context key CONTEXT_KEY for the connector identifier CONNECTOR_IDENTIFIER.

Context value was not found for the provided context key CONTEXT_KEY and connector identifier CONNECTOR_IDENTIFIER.

Action can't return the Case Wall table as the context values are too big.

작업이 완료되었습니다.

Error executing action "Get Connector Context Value". Reason:
      ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 커넥터 컨텍스트 값 가져오기 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.

스크립트 결과 이름	값
`is_success`	`true` 또는 `false`

맞춤 입력란 값 가져오기

맞춤 필드 값 가져오기 작업을 사용하여 지정된 범위에 따라 맞춤 필드의 현재 값을 가져옵니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

맞춤 필드 값 가져오기 작업에는 다음 매개변수가 필요합니다.

매개변수 설명

Scope

필수 항목입니다.

맞춤 필드를 가져올 범위입니다.

가능한 값은 다음과 같습니다.

Case
Alert
All

작업 출력

맞춤 입력란 값 가져오기 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용 가능
출력 메시지	사용 가능
스크립트 결과	사용 가능

JSON 결과

다음 예는 맞춤 필드 값 가져오기 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.

[{
   "Case": {
       "Case Custom Field Name 1": "Updated Custom Field Value",
       "Case Custom Field Name 2": "Updated Custom Field Value"
   },
   "Alert": {
       "Alert Custom Field Name 1": "Updated Custom Field Value",
       "Alert Custom Field Name 2": "Updated Custom Field Value"
   }
}]

출력 메시지

맞춤 입력란 값 가져오기 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

Successfully returned SCOPE custom fields.

No custom fields were found in scope SCOPE.

작업이 완료되었습니다.

Error executing action "Get Custom Field Values". Reason:
      ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 맞춤 필드 값 가져오기 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름	값
`is_success`	`True` 또는 `False`

범위 컨텍스트 값 가져오기

범위 컨텍스트 값 가져오기 작업을 사용하여 Google SecOps 데이터베이스의 지정된 키 아래에 저장된 값을 가져옵니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

범위 컨텍스트 값 가져오기 작업에는 다음 매개변수가 필요합니다.

매개변수 설명

Context Scope

필수 항목입니다.

데이터를 가져올 컨텍스트 범위입니다.

가능한 값은 다음과 같습니다.

Not specified
Alert
Case
Global

Key Name

필수 항목입니다.

지정된 컨텍스트에서 해당 값을 가져올 키 이름입니다.

Create Case Wall Table

(선택사항)

선택하면 값이 문자 수 제한을 초과하지 않는 한 작업에서 검색된 컨텍스트 값이 포함된 케이스 월 표를 만듭니다.

기본적으로 선택되어 있습니다.

작업 출력

범위 컨텍스트 값 가져오기 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용 가능
보강 테이블	사용할 수 없음
JSON 결과	사용할 수 없음
출력 메시지	사용 가능
스크립트 결과	사용 가능

케이스 월 테이블

범위 컨텍스트 값 가져오기 작업은 다음 표를 생성할 수 있습니다.

표 이름: SCOPE

표 열:

출력 메시지

범위 컨텍스트 값 가져오기 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

Successfully found context value for the provided context key CONTEXT_KEY with scope CONTEXT_SCOPE.

No context values were found for the provided context scope CONTEXT_SCOPE.

Context value was not found for the provided context key CONTEXT_KEY with scope CONTEXT_SCOPE.

Action can't return the Case Wall table as the context values are too big.

작업이 완료되었습니다.

Error executing action "Get Scope Context Value". Reason:
      ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 범위 컨텍스트 값 가져오기 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.

스크립트 결과 이름	값
`is_success`	`true` 또는 `false`

유사한 케이스 가져오기

유사한 케이스 가져오기 작업을 사용하여 유사한 케이스를 검색하고 ID를 반환합니다.

이 작업은 모든 Google SecOps 항목에서 실행됩니다.

작업 입력

유사한 케이스 가져오기 작업에는 다음 매개변수가 필요합니다.

매개변수	설명
`Rule Generator`	(선택사항) 이 옵션을 선택하면 규칙 생성기를 사용하여 유사한 케이스를 검색합니다. 기본적으로 선택되어 있습니다.
`Port`	(선택사항) 이 옵션을 선택하면 작업에서 포트 번호를 사용하여 유사한 케이스를 검색합니다. 기본적으로 선택되어 있습니다.
`Category Outcome`	(선택사항) 선택하면 작업이 카테고리 결과에 따라 유사한 케이스를 검색합니다. 기본적으로 선택되어 있습니다.
`Entity Identifier`	(선택사항) 이 옵션을 선택하면 작업에서 항목 식별자를 사용하여 유사한 케이스를 검색합니다. 기본적으로 선택되어 있습니다.
`Days Back`	필수 항목입니다. 유사한 케이스를 검색할 작업의 오늘 이전 일수입니다.
`Include Open Cases`	(선택사항) 선택하면 작업에서 미해결 케이스를 검색합니다. 기본적으로 선택되어 있습니다.
`Include Closed Cases`	(선택사항) 선택하면 작업에서 종료된 케이스를 검색합니다. 기본적으로 선택되어 있습니다.

유사한 케이스 가져오기 작업은 논리적 AND 연산자를 Rule Generator, Port, Category Outcome, Entity Identifier, Include Open Cases, Include Closed Cases 매개변수에 적용하여 동일한 검색에서 사용합니다.

작업 출력

유사한 케이스 가져오기 작업은 다음과 같은 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용 가능
출력 메시지	사용 가능
스크립트 결과	사용 가능

JSON 결과

다음 예는 유사한 케이스 가져오기 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.

{
  "results": [{
    "id": 23874, 
    "name": "Malware", 
    "tags": ["hi", "Simulated Case"], 
    "start time": "2024-09-25 05:43:41.999000+00:00", 
    "start time unix": 1727243021999, 
    "last modified": "2025-06-19 13:24:01.062000+00:00", 
    "priority": "Informative", 
    "assigned user": "@Tier1", 
    "matching_criteria": {
        "ruleGenerator": true, 
        "port": true, 
        "outcome": true, 
        "entities": true
      }, 
    "matched_entities": [
      {"entity": "INSTANCE-1", "type": "HOSTNAME", "isSuspicious": false}, 
      {"entity": "10.150.0.3", "type": "ADDRESS", "isSuspicious": false}, {"entity": "172.17.0.1", "type": "ADDRESS", "isSuspicious": false}, {"entity": "VANSHIKAVW_GOOGLE_COM", "type": "USERUNIQNAME", "isSuspicious": false}, 
      {"entity": "CURL", "type": "PROCESS", "isSuspicious": false}, {"entity": "EICAR_TEST_VANSHIKAVW-TEST-NEW", "type": "FILENAME", "isSuspicious": false}, 
      {"entity": "3395856CE81F2B7382DEE72602F798B642F14140", "type": "FILEHASH", "isSuspicious": false}, 
      {"entity": "34.85.128.214", "type": "ADDRESS", "isSuspicious": false}, 
      {"entity": "/HOME/VANSHIKAVW_GOOGLE_COM/EICAR_TEST_VANSHIKAVW-TEST-NEW", "type": "FILENAME", "isSuspicious": false}
      ], 
      "status": "Open"}], 
      "stats": 
      {"Malicious": 0.0, "Is Important": 0.0, "Is Incident": 0.0, "Status Open": 100.0}, 
      "platform_url": "https://soarapitest.backstory.chronicle.security/"
}

출력 메시지

유사한 케이스 가져오기 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

Processed NUMBER_OF_CASES similar cases: CASE_IDS_LIST

작업이 완료되었습니다.

Error executing action "Get Similar Cases". Reason:
      ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 유사한 케이스 가져오기 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.

스크립트 결과 이름	값
`SimilarCasesIds`	`CASE_IDS_LIST`

안내

지침 작업을 사용하여 분석가에게 지침을 설정합니다.

이 작업은 모든 Google SecOps 항목에서 실행됩니다.

작업 입력

Instruction 작업에는 다음 매개변수가 필요합니다.

매개변수 설명

Instruction

필수 항목입니다.

분석가를 위한 요청 사항 콘텐츠입니다.

작업 출력

명령어 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용할 수 없음
출력 메시지	사용 가능
스크립트 결과	사용 가능

출력 메시지

Add Vote To Entity 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

Please perform the following instructions: INSTRUCTION.

작업이 완료되었습니다.

Error executing action "Instruction". Reason:
      ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 Instruction 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름	값
스크립트 결과	`true` 또는 `false`

맞춤 목록에 포함됨

맞춤 목록에 있음 작업을 사용하여 항목 식별자가 지정된 맞춤 목록에 포함되어 있는지 확인합니다.

이 작업은 모든 Google SecOps 항목에서 실행됩니다.

작업 입력

맞춤 목록에 있음 작업에는 다음 매개변수가 필요합니다.

매개변수 설명

Category

필수 항목입니다.

알림 항목을 확인할 맞춤 목록 카테고리입니다.

작업 출력

맞춤 목록에 있음 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용할 수 없음
출력 메시지	사용 가능
스크립트 결과	사용 가능

출력 메시지

맞춤 목록에 있음 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

This alert contains entities in the given custom list category: CATEGORY.

작업이 완료되었습니다.

Error executing action "Is In Custom List". Reason:
      ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 맞춤 목록에 있음 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름	값
`ScriptResult`	`true` 또는 `false`

중요로 표시

중요로 표시 작업을 사용하여 케이스를 중요로 표시합니다.

이 작업은 모든 Google SecOps 항목에서 실행됩니다.

작업 입력

없음

작업 출력

중요로 표시 작업은 다음과 같은 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용할 수 없음
출력 메시지	사용 가능
스크립트 결과	사용 가능

출력 메시지

중요로 표시 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

The case was automatically marked as important.

작업이 완료되었습니다.

Error executing action "Mark As Important". Reason:
      ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 중요로 표시 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.

스크립트 결과 이름	값
스크립트 결과	`true` 또는 `false`

Open Web URL

Open Web Url 작업을 사용하여 브라우저 링크를 생성합니다.

이 작업은 모든 Google SecOps 항목에서 실행됩니다.

작업 입력

웹 URL 열기 작업에는 다음 매개변수가 필요합니다.

매개변수 설명

Title

필수 항목입니다.

URL의 제목입니다.

URL

필수 항목입니다.

타겟 URL입니다.

작업 출력

웹 URL 열기 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용할 수 없음
출력 메시지	사용 가능
스크립트 결과	사용 가능

출력 메시지

웹 URL 열기 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

URL_TITLE
      URL_LINK

작업이 완료되었습니다.

Error executing action "Open Web Url". Reason:
      ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 웹 URL 열기 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.

스크립트 결과 이름	값
스크립트 결과	`true` 또는 `false`

알림 SLA 일시중지

알림 SLA 일시중지 작업을 사용하여 케이스의 특정 알림에 대한 서비스수준계약 (SLA) 타이머를 일시중지합니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

알림 SLA 일시중지 작업에는 다음 매개변수가 필요합니다.

매개변수 설명

Message

(선택사항)

알림 SLA를 일시중지한 이유입니다.

작업 출력

알림 SLA 일시중지 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용할 수 없음
출력 메시지	사용 가능
스크립트 결과	사용 가능

출력 메시지

알림 SLA 일시중지 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

The alert SLA was paused.

작업이 완료되었습니다.

Error executing action "Pause Alert SLA". Reason: ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 알림 일시중지 SLA 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름	값
`is_success`	`true` 또는 `false`

케이스 SLA 일시중지

케이스 SLA 일시중지 작업을 사용하여 특정 케이스의 서비스수준계약 (SLA) 타이머를 일시중지합니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

케이스 SLA 일시중지 작업에는 다음 매개변수가 필요합니다.

매개변수 설명

Message

(선택사항)

케이스 SLA를 일시중지하는 이유입니다.

작업 출력

케이스 SLA 일시중지 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용할 수 없음
출력 메시지	사용 가능
스크립트 결과	사용 가능

출력 메시지

케이스 SLA 일시중지 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

The case SLA was paused.

작업이 완료되었습니다.

Error executing action "Pause Case SLA". Reason: ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 케이스 SLA 일시중지 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름	값
`is_success`	`true` 또는 `false`

허용된 알림 시간

허용된 알림 시간 작업을 사용하여 선택한 알림의 시작 시간이 사용자 정의 시간 조건을 준수하는지 확인합니다.

이 작업은 모든 Google SecOps 항목에서 실행됩니다.

작업 입력

허용된 알림 시간 작업에는 다음 매개변수가 필요합니다.

매개변수	설명
`Permitted Start Time`	필수 항목입니다. 알림이 허용되는 기간의 시작 시간입니다.
`Permitted End Time`	필수 항목입니다. 알림이 허용되는 기간의 종료 시간입니다.
`Monday`	(선택사항) 선택하면 작업에서 월요일을 알림이 허용되는 날로 처리합니다. 기본적으로 선택되지 않습니다.
`Tuesday`	(선택사항) 선택하면 화요일이 알림이 허용되는 날짜로 처리됩니다. 기본적으로 선택되어 있습니다.
`Wednesday`	(선택사항) 선택하면 작업에서 수요일을 알림이 허용되는 날로 처리합니다. 기본적으로 선택되어 있습니다.
`Thursday`	(선택사항) 선택하면 작업에서 목요일을 알림이 허용되는 날로 처리합니다. 기본적으로 선택되지 않습니다.
`Friday`	(선택사항) 선택하면 작업에서 금요일을 알림이 허용되는 날로 처리합니다. 기본적으로 선택되지 않습니다.
`Saturday`	(선택사항) 선택하면 작업에서 토요일을 알림이 허용되는 날로 처리합니다. 기본적으로 선택되지 않습니다.
`Sunday`	(선택사항) 선택하면 작업에서 일요일을 알림이 허용되는 날로 처리합니다. 기본적으로 선택되지 않습니다.
`Timestamp Type`	(선택사항) 비교에 사용될 타임스탬프 유형입니다.
`Input Timezone`	(선택사항) 시간대 이름입니다. 예: UTC 이 작업은 IANA 영역 (예: America/New_York)을 사용한 입력도 지원합니다. 입력이 영역을 사용하여 제공되면 작업이 일광 절약 시간에 맞게 자동으로 조정됩니다.

작업 출력

허용된 알림 시간 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용할 수 없음
출력 메시지	사용 가능
스크립트 결과	사용 가능

출력 메시지

허용된 알림 시간 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

Case Time of ALERT_TIME is within condition parameters of between START_TIME - END_TIME on CHECKED_DAY

작업이 완료되었습니다.

Error executing action "Permitted Alert Time". Reason: ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 허용된 알림 시간 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름	값
`Permitted`	`true` 또는 `false`

핑

Ping 작업을 사용하여 연결을 테스트합니다.

이 작업은 모든 Google SecOps 항목에서 실행됩니다.

작업 입력

없음

작업 출력

Ping 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용할 수 없음
출력 메시지	사용 가능
스크립트 결과	사용 가능

출력 메시지

Ping 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

Email address is syntactically correct.

작업이 완료되었습니다.

Error executing action "Ping". Reason: ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 Ping 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름	값
스크립트 결과	`true` 또는 `false`

Raise Incident(인시던트 제기)

Raise Incident(이슈 제기) 작업을 사용하여 케이스 인시던트를 제기하고 실제 양성 케이스를 Critical로 표시합니다.

이 작업은 모든 Google SecOps 항목에서 실행됩니다.

작업 입력

Raise Incident 작업에는 다음 매개변수가 필요합니다.

매개변수 설명

Soc Role

(선택사항)

케이스를 할당할 Google SecOps SOC 역할입니다.

작업 출력

Raise Incident 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용할 수 없음
출력 메시지	사용 가능
스크립트 결과	사용 가능

출력 메시지

ASM 문제 검색 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

The case raised to CASE_STAGE status.

작업이 완료되었습니다.

Error executing action "Raise Incident". Reason: ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 인시던트 발생 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.

스크립트 결과 이름	값
스크립트 결과	`true` 또는 `false`

태그 삭제

태그 삭제 작업을 사용하여 케이스에서 태그를 삭제합니다.

이 작업은 모든 Google SecOps 항목에서 실행됩니다.

작업 입력

태그 삭제 작업에는 다음 매개변수가 필요합니다.

매개변수 설명

Tag

필수 항목입니다.

케이스에서 삭제할 태그의 쉼표로 구분된 목록입니다.

작업 출력

태그 삭제 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용할 수 없음
출력 메시지	사용 가능
스크립트 결과	사용 가능

출력 메시지

태그 삭제 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

Successfully removed the following tags from case CASE_ID:TAGS 작업이 완료되었습니다.

It is not possible to remove the tag.

Error executing action "Remove Tag". Reason: ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 태그 삭제 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름	값
`is_success`	`true` 또는 `false`

맞춤 목록에서 삭제

맞춤 목록에서 삭제 작업을 사용하여 지정된 맞춤 목록 카테고리의 알림과 연결된 항목을 삭제합니다.

이 작업은 모든 Google SecOps 항목에서 실행됩니다.

작업 입력

맞춤 목록에서 삭제 작업에는 다음 매개변수가 필요합니다.

매개변수 설명

Category

필수 항목입니다.

항목을 삭제할 맞춤 목록 카테고리 이름입니다.

작업 출력

맞춤 목록에서 삭제 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용할 수 없음
출력 메시지	사용 가능
스크립트 결과	사용 가능

출력 메시지

맞춤 목록에서 삭제 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

The alert's entities ENTITY_ID were removed from custom list category: CATEGORY

작업이 완료되었습니다.

Error executing action "Remove From Custom List". Reason: ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 맞춤 목록에서 삭제 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름	값
`ScriptResult`	`true` 또는 `false`

알림 SLA 재개

알림 SLA 재개 작업을 사용하여 케이스의 특정 알림에 대한 서비스수준계약 (SLA) 타이머를 다시 시작합니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

없음

작업 출력

알림 SLA 재개 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용할 수 없음
출력 메시지	사용 가능
스크립트 결과	사용 가능

출력 메시지

알림 SLA 재개 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

The alert SLA was resumed.

작업이 완료되었습니다.

Error executing action "Resume Alert SLA". Reason: ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 알림 재개 SLA 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름	값
`is_success`	`true` 또는 `false`

케이스 SLA 재개

케이스 SLA 재개 작업을 사용하여 특정 케이스의 서비스 수준 계약 (SLA) 타이머를 다시 시작합니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

없음

작업 출력

케이스 SLA 재개 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용할 수 없음
출력 메시지	사용 가능
스크립트 결과	사용 가능

출력 메시지

케이스 SLA 재개 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

The case SLA was resumed.

작업이 완료되었습니다.

Error executing action "Resume Case SLA". Reason: ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 케이스 SLA 재개 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름	값
`is_success`	`True` 또는 `False`

알림 SLA 설정

알림 SLA 설정 작업을 사용하여 알림의 SLA 타이머를 설정합니다.

이 작업의 우선순위가 가장 높으며 특정 알림에 대해 정의된 기존 SLA를 재정의합니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

알림 SLA 설정 작업에는 다음 매개변수가 필요합니다.

매개변수	설명
`SLA Period`	필수 항목입니다. SLA 위반 기간입니다. 기본값은 `5`입니다.
`SLA Time Unit`	필수 항목입니다. SLA 기간의 시간 단위입니다. 기본값은 `Minutes`입니다. 가능한 값은 다음과 같습니다. `Minutes` `Hours` `Days`
`SLA Time To Critical Period`	필수 항목입니다. 심각한 SLA 기준입니다. 기본값은 `4`입니다.
`SLA Time To Critical Unit`	필수 항목입니다. 중요 SLA 기간의 시간 단위입니다. 기본값은 `Minutes`입니다. 가능한 값은 다음과 같습니다. `Minutes` `Hours` `Days`

작업 출력

알림 SLA 설정 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용할 수 없음
출력 메시지	사용 가능
스크립트 결과	사용 가능

출력 메시지

알림 SLA 설정 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

Alert ALERT_NAME of case CASE_ID was set with SLA of SLA_PERIOD SLA_TIME_UNIT and critical period of CRITICAL_PERIOD CRITICAL_TIME_UNIT.

작업이 완료되었습니다.

Error executing action "Set Alert SLA". Reason: ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 알림 SLA 설정 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름	값
`is_success`	`true` 또는 `false`

케이스 SLA 설정

케이스 SLA 설정 작업을 사용하여 케이스의 SLA를 설정합니다.

이 작업의 우선순위가 가장 높으며 특정 케이스에 대해 정의된 기존 SLA를 재정의합니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

케이스 SLA 설정 작업에는 다음 매개변수가 필요합니다.

매개변수	설명
`SLA Period`	필수 항목입니다. SLA 위반 기간입니다. 기본값은 `5`입니다.
`SLA Time Unit`	필수 항목입니다. SLA 기간의 시간 단위입니다. 기본값은 `Minutes`입니다. 가능한 값은 다음과 같습니다. `Minutes` `Hours` `Days`
`SLA Time To Critical Period`	필수 항목입니다. 심각한 SLA 기준입니다. 기본값은 `4`입니다.
`SLA Time To Critical Unit`	필수 항목입니다. 중요 SLA 기간의 시간 단위입니다. 기본값은 `Minutes`입니다. 가능한 값은 다음과 같습니다. `Minutes` `Hours` `Days`

작업 출력

케이스 SLA 설정 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용할 수 없음
출력 메시지	사용 가능
스크립트 결과	사용 가능

출력 메시지

ASM 문제 검색 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

Case CASE_ID was set with SLA of SLA_PERIOD SLA_TIME_UNIT and critical period of CRITICAL_PERIOD CRITICAL_TIME_UNIT.

작업이 완료되었습니다.

Error executing action "Set Case SLA". Reason: ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 케이스 SLA 설정 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름	값
`is_success`	`true` 또는 `false`

맞춤 필드 설정

맞춤 필드 설정 작업을 사용하여 맞춤 필드의 값을 설정합니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

맞춤 필드 설정 작업에는 다음 매개변수가 필요합니다.

매개변수 설명

Scope

필수 항목입니다.

맞춤 필드에 설정할 범위입니다.

가능한 값은 Case 및 Alert입니다.

기본값은 Case입니다.

Custom Fields Data

필수 항목입니다.

맞춤 필드에 업데이트할 값입니다.

단일 작업 실행에서 여러 맞춤 필드를 업데이트할 수 있습니다.

기본값은 다음과 같습니다.

    {
      "Custom Field Name 1": "Custom Field Value 1",
      "Custom Field Name 2": "Custom Field Value 2"
    }

Append Values

(선택사항)

선택하면 작업이 Custom Fields Data 매개변수의 입력을 맞춤 필드의 기존 값에 추가합니다.

선택하지 않으면 작업이 Custom Fields Data 매개변수의 입력으로 기존 값을 덮어씁니다.

기본적으로 선택되지 않습니다.

작업 출력

맞춤 필드 설정 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용 가능
출력 메시지	사용 가능
스크립트 결과	사용 가능

JSON 결과

다음 예시는 맞춤 필드 설정 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.

{
"Custom Field Name": "Updated Custom Field Value",
"Custom Field Name": "Updated Custom Field Value",
}

출력 메시지

맞춤 필드 설정 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

Successfully updated the following SCOPE custom fields: UPDATED_CUSTOM_FIELD_NAMES 작업이 완료되었습니다.

Error executing action "Set Custom Fields". Reason: ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 맞춤 필드 설정 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름	값
`is_success`	`true` 또는 `false`

위험 점수 설정

위험 점수 설정 작업을 사용하여 케이스의 위험 점수를 업데이트합니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

위험 점수 설정 작업에는 다음 매개변수가 필요합니다.

매개변수 설명

Risk Score

필수 항목입니다.

선택한 케이스에 설정할 위험 점수입니다.

작업 출력

위험 점수 설정 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용할 수 없음
출력 메시지	사용 가능
스크립트 결과	사용 가능

출력 메시지

위험도 점수 설정 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

Successfully set Risk Score for case CASE_ID 작업이 완료되었습니다.

Error executing action "Set Risk Score". Reason:
      ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 위험 점수 설정 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.

스크립트 결과 이름	값
`is_success`	`true` 또는 `false`

범위 컨텍스트 값 설정

범위 컨텍스트 값 설정 작업을 사용하여 Google SecOps 데이터베이스에 저장된 키의 값을 설정합니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

범위 컨텍스트 값 설정 작업에는 다음 매개변수가 필요합니다.

매개변수 설명

Context Scope

필수 항목입니다.

데이터를 가져올 컨텍스트 범위입니다.

가능한 값은 다음과 같습니다.

Not specified
Alert
Case
Global

Key Name

필수 항목입니다.

지정된 컨텍스트에서 해당 값을 가져올 키 이름입니다.

Key Value

필수 항목입니다.

지정된 키 아래에 저장할 값입니다.

작업 출력

범위 컨텍스트 값 가져오기 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용할 수 없음
출력 메시지	사용 가능
스크립트 결과	사용 가능

출력 메시지

범위 컨텍스트 값 설정 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

Successfully set context value for the context key CONTEXT_KEY with scope CONTEXT_SCOPE. 작업이 완료되었습니다.

Error executing action "Set Scope Context Value". Reason:
      ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 범위 컨텍스트 값 설정 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름	값
`is_success`	`true` 또는 `false`

케이스 설명 업데이트

케이스 설명 업데이트 작업을 사용하여 케이스 설명을 업데이트합니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

케이스 설명 업데이트 작업에는 다음 매개변수가 필요합니다.

매개변수 설명

Description

필수 항목입니다.

케이스에 설정할 설명입니다.

작업 출력

케이스 설명 업데이트 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용할 수 없음
출력 메시지	사용 가능
스크립트 결과	사용 가능

출력 메시지

케이스 설명 업데이트 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

Successfully updated the case description. 작업이 완료되었습니다.

Error executing action "Update Case Description". Reason: ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 케이스 설명 업데이트 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름	값
`StatusResult`	`true` 또는 `false`

맞춤 필드 대기

맞춤 필드 대기 작업을 사용하여 맞춤 필드 값이 플레이북 실행을 계속할 때까지 기다립니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

맞춤 필드 대기 작업에는 다음 매개변수가 필요합니다.

매개변수 설명

Scope

필수 항목입니다.

맞춤 필드에 설정할 범위입니다.

가능한 값은 Case 및 Alert입니다.

기본값은 Case입니다.

Custom Fields Data

필수 항목입니다.

작업에서 플레이북 실행을 재개할 수 있도록 맞춤 필드에 필요한 조건입니다.

맞춤 필드 이름과 필수 값을 JSON 객체로 구성합니다.

여러 필드의 조건을 설정하면 작업은 모든 필드가 각 조건과 일치할 때까지 기다립니다.

작업 동작은 제공하는 입력에 따라 달라집니다.

맞춤 필드의 값이 있는 플레이북 실행을 재개하려면 다음과 같이 맞춤 필드에 빈 문자열을 구성하세요.

    {
      "Custom Field": ""
    }

맞춤 필드가 VALUE_1와 같은 특정 값과 같을 때 작업이 플레이북 실행을 재개하도록 하려면 맞춤 필드의 값을 다음과 같이 지정합니다.

    {
      "Custom Field": "VALUE_1"
    }

기본값은 다음과 같습니다.

    {
      "Custom Field Name 1": "Custom Field Value 1",
      "Custom Field Name 2": "Custom Field Value 2"
    }

작업 출력

맞춤 입력란 대기 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용 가능
출력 메시지	사용 가능
스크립트 결과	사용 가능

JSON 결과

다음 예시에서는 맞춤 필드 대기 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.

{
"Custom Field Name": "Updated Custom Field Value",
"Custom Field Name": "Updated Custom Field Value",
}

출력 메시지

맞춤 입력란 대기 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

Successfully waited for the following SCOPE custom fields: UPDATED_CUSTOM_FIELD_NAMES

Waiting for SCOPE custom fields updates...

작업이 완료되었습니다.

Error executing action "Wait For Custom Fields". Reason: ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 맞춤 필드 대기 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름	값
`is_success`	`true` 또는 `false`

작업

Siemplify 통합을 사용하면 다음 작업을 사용할 수 있습니다.

Siemplify - Actions Monitor
Siemplify - Cases Collector DB
Siemplify - Logs Collector

Siemplify - Actions Monitor

Siemplify - Actions Monitor 작업을 사용하여 지난 3시간 동안 개별적으로 3회 이상 실패한 모든 작업에 대한 알림을 받습니다.

작업 입력

Siemplify - Actions Monitor 작업에는 다음 매개변수가 필요합니다.

매개변수 설명

Run Interval In Seconds

(선택사항)

작업이 실행되는 간격(초)입니다.

이 파라미터는 통합이 실패한 플레이북 작업을 확인하는 빈도를 결정합니다.

기본값은 900입니다.

Is Enabled

(선택사항)

선택하면 작업이 활성 상태입니다.

기본적으로 선택됩니다.

Siemplify - Cases Collector DB

Siemplify - Cases Collector DB 작업을 사용하여 지정된 게시자로부터 보안 케이스를 가져오고 처리합니다.

작업 입력

Siemplify - Cases Collector DB 작업에는 다음 매개변수가 필요합니다.

매개변수 설명

Publisher Id

필수 항목입니다.

케이스와 로그를 수집할 게시자의 ID입니다.

Verify SSL

(선택사항)

선택하면 작업에서 게시자의 SSL 인증서가 유효한지 확인합니다.

기본적으로 선택되지 않습니다.

Siemplify - Logs Collector

Siemplify - Logs Collector 작업을 사용하여 지정된 게시자의 로그를 가져오고 처리합니다.

작업 입력

Siemplify - Logs Collector 작업에는 다음 매개변수가 필요합니다.

매개변수 설명

Publisher Id

필수 항목입니다.

로그를 수집할 게시자의 ID입니다.

Verify SSL

(선택사항)

선택하면 작업에서 게시자의 SSL 인증서가 유효한지 확인합니다.

기본적으로 선택되지 않습니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.