이 페이지는 Cloud Translation API를 통해 번역되었습니다.

Siemplify를 Google SecOps와 통합

통합 버전: 94.0

이 문서에서는 Siemplify를 Google Security Operations (Google SecOps)와 통합하는 방법을 설명합니다.

사용 사례

Siemplify 통합은 다음 사용 사례를 해결할 수 있습니다.

피싱 조사: Google SecOps 기능을 사용하여 피싱 이메일을 분석하고, 침해 지표 (IOC)를 추출하고, 위협 인텔리전스로 보강하는 프로세스를 자동화합니다.
멀웨어 차단: Google SecOps 기능을 사용하여 멀웨어 감지 시 감염된 엔드포인트를 자동으로 격리하고, 검사를 시작하고, 악성 파일을 격리합니다.
취약점 관리: Google SecOps 기능을 사용하여 취약점 스캔을 오케스트레이션하고, 위험에 따라 취약점의 우선순위를 지정하고, 해결을 위한 티켓을 자동으로 만듭니다.
위협 헌팅: Google SecOps 기능을 사용하여 다양한 보안 도구와 데이터 세트에서 위협 헌팅 쿼리를 실행하는 작업을 자동화합니다.
보안 알림 분류: Google SecOps 기능을 사용하여 보안 알림에 컨텍스트 정보를 자동으로 보강하고, 다른 이벤트와 상관관계를 파악하고, 심각도에 따라 우선순위를 지정합니다.
사고 대응: Google SecOps 기능을 사용하여 초기 감지부터 격리 및 근절에 이르기까지 전체 사고 대응 프로세스를 오케스트레이션합니다.
규정 준수 보고: Google SecOps 기능을 사용하여 규정 준수 보고를 위한 보안 데이터의 수집 및 분석을 자동화합니다.

통합 매개변수

Siemplify 통합에는 다음 매개변수가 필요합니다.

매개변수 설명

매개변수	설명
`Monitors Mail Recipients`	필수 항목입니다. 통합의 이메일 관련 워크플로에서 유효성 검사를 실행할 이메일 주소의 쉼표로 구분된 목록입니다. 이 목록은 처리 수신자를 정의하는 데 사용됩니다. 기본값은 `example@mail.com,example1@mail.com`입니다.
`Elastic Server Address`	필수 항목입니다. Siemplify 데이터베이스에 연결하는 데 사용되는 Elastic 서버의 주소입니다. 일반적으로 Elastic 인스턴스가 실행되는 호스트 머신의 주소입니다. 기본값은 `localhost`입니다.

Monitors Mail Recipients

필수 항목입니다.

통합의 이메일 관련 워크플로에서 유효성 검사를 실행할 이메일 주소의 쉼표로 구분된 목록입니다.

이 목록은 처리 수신자를 정의하는 데 사용됩니다.

기본값은 example@mail.com,example1@mail.com입니다.

Elastic Server Address

필수 항목입니다.

Siemplify 데이터베이스에 연결하는 데 사용되는 Elastic 서버의 주소입니다.

일반적으로 Elastic 인스턴스가 실행되는 호스트 머신의 주소입니다.

기본값은 localhost입니다.

Google SecOps에서 통합을 구성하는 방법에 대한 안내는 통합 구성을 참고하세요.

필요한 경우 이후 단계에서 변경할 수 있습니다. 통합 인스턴스를 구성한 후 플레이북에서 사용할 수 있습니다. 여러 인스턴스를 구성하고 지원하는 방법에 관한 자세한 내용은 여러 인스턴스 지원을 참고하세요.

작업

작업에 대한 자세한 내용은 내 Workdesk에서 대기 중인 작업에 응답하기 및 수동 작업 실행하기를 참고하세요.

항목 통계 추가

엔티티 통계 추가 작업을 사용하여 Siemplify의 Google SecOps 엔티티에 통계를 추가합니다.

이 작업은 모든 Google SecOps 항목에서 실행됩니다.

작업 입력

엔티티 통계 추가 작업에는 다음 매개변수가 필요합니다.

매개변수 설명

매개변수	설명
`Message`	필수 항목입니다. 항목에 추가할 메시지입니다. 이 매개변수는 다음과 같은 HTML 요소를 지원합니다. 제목 (`<h1></h1>`, `<h2></h2>`) 단락 (`<p></p>`) 텍스트 서식 (`<b></b>`, `<i></i>`, `<br>`) 링크 (`<a href="example.com"></a>`)

Message

필수 항목입니다.

항목에 추가할 메시지입니다.

이 매개변수는 다음과 같은 HTML 요소를 지원합니다.

제목 (<h1></h1>, <h2></h2>)
단락 (<p></p>)
텍스트 서식 (<b></b>, <i></i>, <br>)
링크 (<a href="example.com"></a>)

작업 출력

엔티티 통계 추가 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용할 수 없음
출력 메시지	사용 가능
스크립트 결과	사용 가능

출력 메시지

Add Entity Insight 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

출력 메시지	메시지 설명
`Added insight with message MESSAGE to ENTITY_ID.`	작업이 완료되었습니다.
`Error executing action "Add Entity Insight". Reason: ERROR_REASON`	작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

Added insight with message MESSAGE to ENTITY_ID.

작업이 완료되었습니다.

Error executing action "Add Entity Insight". Reason:
      ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 엔티티 통계 추가 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.

스크립트 결과 이름	값
`is_success`	`true` 또는 `false`

일반 통계 추가

일반 통계 추가 작업을 사용하여 케이스에 일반 통계를 추가합니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

일반 통계 추가 작업에는 다음 매개변수가 필요합니다.

매개변수 설명

매개변수	설명
`Title`	필수 항목입니다. 통계의 제목입니다.
`Message`	필수 항목입니다. 항목에 추가할 메시지입니다. 이 매개변수는 다음과 같은 HTML 요소를 지원합니다. 제목 (`<h1></h1>`, `<h2></h2>`) 단락 (`<p></p>`) 텍스트 서식 (`<b></b>`, `<i></i>`, `<br>`) 링크 (`<a href="example.com"></a>`)
`Triggered By`	(선택사항) 케이스에 추가된 이유를 설명하는 통계의 근거를 제공하는 자유 텍스트 필드입니다.

Title

필수 항목입니다.

통계의 제목입니다.

Message

필수 항목입니다.

항목에 추가할 메시지입니다.

이 매개변수는 다음과 같은 HTML 요소를 지원합니다.

제목 (<h1></h1>, <h2></h2>)
단락 (<p></p>)
텍스트 서식 (<b></b>, <i></i>, <br>)
링크 (<a href="example.com"></a>)

Triggered By

(선택사항)

케이스에 추가된 이유를 설명하는 통계의 근거를 제공하는 자유 텍스트 필드입니다.

작업 출력

일반 통계 추가 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용할 수 없음
출력 메시지	사용 가능
스크립트 결과	사용 가능

출력 메시지

일반 통계 추가 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

출력 메시지	메시지 설명
`Added insight with message MESSAGE.`	작업이 완료되었습니다.
`Error executing action "Add General Insight". Reason: ERROR_REASON`	작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

Added insight with message MESSAGE.

작업이 완료되었습니다.

Error executing action "Add General Insight". Reason:
      ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 일반 통계 추가 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름	값
`is_success`	`true` 또는 `false`

유사한 케이스에 태그 추가

유사한 케이스에 태그 추가 작업을 사용하여 유사한 케이스에 태그를 추가합니다.

유사한 케이스를 찾기 위해 이 작업은 siemplify.get_similar_cases() 함수를 사용하여 기준 및 매개변수 집합을 기반으로 케이스 ID 목록을 가져옵니다.

논리 AND 연산자는 Rule Generator, Port, Category Outcome, Entity Identifier 매개변수에 적용되어 지정된 모든 기준과 일치하는 케이스를 필터링합니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

유사한 케이스에 태그 추가 작업에는 다음 매개변수가 필요합니다.

매개변수	설명
`Rule Generator`	(선택사항) 이 옵션을 선택하면 규칙 생성기를 사용하여 유사한 케이스를 검색합니다. 기본적으로 사용 설정됩니다.
`Port`	(선택사항) 이 옵션을 선택하면 작업에서 포트 번호를 사용하여 유사한 케이스를 검색합니다. 기본적으로 사용 설정됩니다.
`Category Outcome`	(선택사항) 선택하면 작업에서 카테고리 결과에 따라 유사한 케이스를 검색합니다. 기본적으로 사용 설정됩니다.
`Entity Identifier`	(선택사항) 선택하면 작업에서 엔티티 식별자를 사용하여 유사한 케이스를 검색합니다. 기본적으로 사용 설정됩니다.
`Days Back`	필수 항목입니다. 유사한 케이스를 검색할 현재 날짜 이전의 일수입니다.
`Tags`	필수 항목입니다. 발견된 유사 케이스에 적용할 태그의 쉼표로 구분된 목록입니다.

작업 출력

유사한 케이스에 태그 추가 작업은 다음과 같은 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용할 수 없음
출력 메시지	사용 가능
스크립트 결과	사용 가능

출력 메시지

유사한 케이스에 태그 추가 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

출력 메시지	메시지 설명
`Found NUMBER_OF_SIMILAR_CASES similar cases. Successfully added tags: TAG_NAMES to cases CASE_IDS`	작업이 완료되었습니다.
`Error executing action "Add Tags To Similar Cases". Reason: ERROR_REASON`	작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

Found NUMBER_OF_SIMILAR_CASES similar cases. Successfully added tags: TAG_NAMES to cases CASE_IDS

작업이 완료되었습니다.

Error executing action "Add Tags To Similar Cases". Reason:
      ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 유사한 케이스에 태그 추가 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.

스크립트 결과 이름	값
`SimilarCasesIds`	유사한 케이스 ID 목록입니다.

맞춤 목록에 추가

맞춤 목록에 추가 작업을 사용하여 분류된 맞춤 목록에 항목 식별자를 추가하고 다른 작업에서 향후 비교를 실행합니다.

이 작업은 모든 Google SecOps 항목에서 실행됩니다.

작업 입력

맞춤 목록에 추가 작업에는 다음 매개변수가 필요합니다.

매개변수 설명

매개변수	설명
`Category`	필수 항목입니다. 엔티티 식별자를 추가할 맞춤 목록 카테고리의 이름입니다.

Category

필수 항목입니다.

엔티티 식별자를 추가할 맞춤 목록 카테고리의 이름입니다.

작업 출력

맞춤 목록에 추가 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용할 수 없음
출력 메시지	사용 가능
스크립트 결과	사용 가능

출력 메시지

맞춤 목록에 추가 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

출력 메시지	메시지 설명
`The alert's entities ENTITY_IDS were added to custom list category: CATEGORY.`	작업이 완료되었습니다.
`Error executing action "Add to Custom List". Reason: ERROR_REASON`	작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

The alert's entities ENTITY_IDS were added to custom list category: CATEGORY.

작업이 완료되었습니다.

Error executing action "Add to Custom List". Reason:
      ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 맞춤 목록에 추가 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름	값
`is_success`	`true` 또는 `false`

케이스 할당

케이스 할당 작업을 사용하여 특정 사용자 또는 사용자 그룹에 케이스를 할당합니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

케이스 할당 작업에는 다음 매개변수가 필요합니다.

매개변수 설명

매개변수	설명
`Assigned User`	필수 항목입니다. 케이스를 할당할 사용자 또는 사용자 그룹입니다.

Assigned User

필수 항목입니다.

케이스를 할당할 사용자 또는 사용자 그룹입니다.

작업 출력

케이스 할당 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용할 수 없음
출력 메시지	사용 가능
스크립트 결과	사용 가능

출력 메시지

맞춤 목록에 추가 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

출력 메시지	메시지 설명
`The case was successfully assigned to ASSIGNED_USER.`	작업이 완료되었습니다.
`Error executing action "Assign Case". Reason: ERROR_REASON`	작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

The case was successfully assigned to ASSIGNED_USER.

작업이 완료되었습니다.

Error executing action "Assign Case". Reason:
      ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 케이스 할당 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름	값
`is_success`	`true` 또는 `false`

알림에 플레이북 연결

알림에 플레이북 연결 작업을 사용하여 알림에 특정 플레이북을 연결합니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

알림에 플레이북 첨부 작업에는 다음 매개변수가 필요합니다.

매개변수 설명

매개변수	설명
`Playbook Name`	필수 항목입니다. 현재 알림에 연결할 플레이북의 이름입니다.
`Allow Duplicates`	(선택사항) 선택하면 플레이북을 알림에 두 번 이상 연결할 수 있습니다. 기본적으로 사용 설정됩니다.

Playbook Name

필수 항목입니다.

현재 알림에 연결할 플레이북의 이름입니다.

Allow Duplicates

(선택사항)

선택하면 플레이북을 알림에 두 번 이상 연결할 수 있습니다.

기본적으로 사용 설정됩니다.

작업 출력

알림에 플레이북 연결 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용할 수 없음
출력 메시지	사용 가능
스크립트 결과	사용 가능

출력 메시지

그래프 검색 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

출력 메시지	메시지 설명
`Successfully attached the PLAYBOOK_NAME playbook to the alert CURRENT_ALERT_NAME.`	작업이 완료되었습니다.
`Error executing action "Attach Playbook to Alert". Reason: ERROR_REASON`	작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

Successfully attached the PLAYBOOK_NAME playbook to the alert CURRENT_ALERT_NAME.

작업이 완료되었습니다.

Error executing action "Attach Playbook to Alert". Reason:
      ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 알림에 플레이북 첨부 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름	값
스크립트 결과	`true` 또는 `false`

케이스 댓글

케이스 댓글 작업을 사용하여 현재 알림이 그룹화된 케이스에 댓글을 추가합니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

케이스 댓글 작업에는 다음 매개변수가 필요합니다.

매개변수 설명

매개변수	설명
`Comment`	필수 항목입니다. 케이스에 추가할 댓글입니다.

Comment

필수 항목입니다.

케이스에 추가할 댓글입니다.

작업 출력

케이스 댓글 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용할 수 없음
출력 메시지	사용 가능
스크립트 결과	사용 가능

출력 메시지

Add Vote To Entity 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

출력 메시지	메시지 설명
`Comment added to case: CASE_COMMENT.`	작업이 완료되었습니다.
`Error executing action "Case Comment". Reason: ERROR_REASON`	작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

Comment added to case: CASE_COMMENT.

작업이 완료되었습니다.

Error executing action "Case Comment". Reason:
      ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 케이스 댓글 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름	값
`SuccessStatus`	`true` 또는 `false`

케이스 태그

케이스 태그 작업을 사용하여 현재 알림이 그룹화된 케이스에 태그를 추가합니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

케이스 태그 작업에는 다음 매개변수가 필요합니다.

매개변수 설명

매개변수	설명
`Tag`	필수 항목입니다. 케이스에 추가할 태그입니다.

Tag

필수 항목입니다.

케이스에 추가할 태그입니다.

작업 출력

케이스 태그 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용할 수 없음
출력 메시지	사용 가능
스크립트 결과	사용 가능

출력 메시지

케이스 태그 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

출력 메시지	메시지 설명
`The tag TAG_NAME was added to the case`	작업이 완료되었습니다.
`Error executing action "Add Vote To Entity". Reason: ERROR_REASON`	작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

The tag TAG_NAME was added to the case

작업이 완료되었습니다.

Error executing action "Add Vote To Entity". Reason:
      ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 케이스 태그 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름	값
`is_success`	`true` 또는 `false`

알림 우선순위 변경

알림 우선순위 변경 작업을 사용하여 케이스의 알림 우선순위를 업데이트합니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

알림 우선순위 변경 작업에는 다음 매개변수가 필요합니다.

매개변수 설명

매개변수	설명
`Alert Priority`	필수 항목입니다. 알림의 새 우선순위입니다. 알림 우선순위가 현재 케이스 우선순위보다 높게 업데이트되면 케이스의 우선순위가 새 우선순위와 일치하도록 자동으로 업데이트됩니다. 가능한 값은 다음과 같습니다. `Informative` `Low` `Medium` `High` `Critical`

Alert Priority

필수 항목입니다.

알림의 새 우선순위입니다.

알림 우선순위가 현재 케이스 우선순위보다 높게 업데이트되면 케이스의 우선순위가 새 우선순위와 일치하도록 자동으로 업데이트됩니다.

가능한 값은 다음과 같습니다.

Informative
Low
Medium
High
Critical

작업 출력

알림 우선순위 변경 작업은 다음과 같은 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용할 수 없음
출력 메시지	사용 가능
스크립트 결과	사용 가능

출력 메시지

Add Vote To Entity 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

출력 메시지	메시지 설명
`The alert priority was set to NEW_PRIORITY_LEVEL.`	작업이 완료되었습니다.
`Error executing action "Change Alert Priority". Reason: ERROR_REASON`	작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

The alert priority was set to NEW_PRIORITY_LEVEL.

작업이 완료되었습니다.

Error executing action "Change Alert Priority". Reason:
      ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 알림 우선순위 변경 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름	값
스크립트 결과	`true` 또는 `false`

케이스 단계 변경

케이스 단계 변경 작업을 사용하여 케이스 단계를 변경합니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

케이스 단계 변경 작업에는 다음 매개변수가 필요합니다.

매개변수 설명

매개변수	설명
`Stage`	필수 항목입니다. 케이스를 이동할 단계입니다. 가능한 값은 다음과 같습니다. `Triage` `Assessment` `Investigation` `Incident` `Improvement` `Research`

Stage

필수 항목입니다.

케이스를 이동할 단계입니다.

가능한 값은 다음과 같습니다.

Triage
Assessment
Investigation
Incident
Improvement
Research

작업 출력

Change Case Stage 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용할 수 없음
출력 메시지	사용 가능
스크립트 결과	사용 가능

출력 메시지

Add Vote To Entity 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

출력 메시지	메시지 설명
`Case stage was successfully changed to NEW_CASE_STAGE.`	작업이 완료되었습니다.
`Error executing action "Change Case Stage". Reason: ERROR_REASON`	작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

Case stage was successfully changed to NEW_CASE_STAGE.

작업이 완료되었습니다.

Error executing action "Change Case Stage". Reason:
      ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 케이스 변경 단계 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.

스크립트 결과 이름	값
스크립트 결과	`true` 또는 `false`

우선순위 변경

우선순위 변경 작업을 사용하여 케이스의 우선순위를 변경합니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

우선순위 변경 작업에는 다음 매개변수가 필요합니다.

매개변수 설명

매개변수	설명
`Priority`	필수 항목입니다. 케이스에 설정할 우선순위입니다. 가능한 값은 다음과 같습니다. `Informative` `Low` `Medium` `High` `Critical`

Priority

필수 항목입니다.

케이스에 설정할 우선순위입니다.

가능한 값은 다음과 같습니다.

Informative
Low
Medium
High
Critical

작업 출력

우선순위 변경 작업은 다음과 같은 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용할 수 없음
출력 메시지	사용 가능
스크립트 결과	사용 가능

출력 메시지

Add Vote To Entity 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

출력 메시지	메시지 설명
`The case priority was set to NEW_CASE_PRIORITY`	작업이 완료되었습니다.
`Error executing action "Close Alert". Reason: ERROR_REASON`	작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

The case priority was set to NEW_CASE_PRIORITY

작업이 완료되었습니다.

Error executing action "Close Alert". Reason:
      ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 우선순위 변경 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름	값
스크립트 결과	`true` 또는 `false`

알림 닫기

알림 닫기 작업을 사용하여 알림을 닫습니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

알림 닫기 작업에는 다음 매개변수가 필요합니다.

매개변수	설명
`Reason`	필수 항목입니다. 알림 종료의 기본 분류입니다. 가능한 값은 다음과 같습니다. `Malicious` `NotMalicious` `Maintenance` `Inconclusive`
`Root Cause`	필수 항목입니다. 알림을 발생시킨 기술적 문제에 대한 자세한 설명입니다.
`Comment`	필수 항목입니다. 조사 메모, 조사 요약 또는 알림 종료를 위한 추가 컨텍스트입니다.
`Assign to User`	(선택사항) 알림이 종료된 후 할당할 사용자입니다.
`Tags`	(선택사항) 분류, 필터링, 향후 검색 가능성을 위해 알림에 첨부할 태그의 쉼표로 구분된 목록입니다.

작업 출력

알림 닫기 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용할 수 없음
출력 메시지	사용 가능
스크립트 결과	사용 가능

출력 메시지

Add Vote To Entity 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

출력 메시지	메시지 설명
`The alert was closed. Root Cause: ROOT_CAUSE Comment: ALERT_COMMENT Reason: REASON`	작업이 완료되었습니다.
`Error executing action "Close Alert". Reason: ERROR_REASON`	작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

The alert was closed. Root Cause: ROOT_CAUSE Comment: ALERT_COMMENT Reason: REASON

작업이 완료되었습니다.

Error executing action "Close Alert". Reason:
      ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 알림 닫기 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름	값
`StatusResult`	`true` 또는 `false`

케이스 종료

케이스 종료 작업을 사용하여 케이스를 종료합니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

케이스 닫기 작업에는 다음 매개변수가 필요합니다.

매개변수 설명

Reason

필수 항목입니다.

알림 종료의 기본 분류입니다.

가능한 값은 다음과 같습니다.

Malicious
NotMalicious
Maintenance
Inconclusive

Root Cause

필수 항목입니다.

알림을 발생시킨 기술적 문제에 대한 자세한 설명입니다.

Comment

필수 항목입니다.

메모, 조사 요약 또는 알림 종료를 위한 추가 컨텍스트입니다.

작업 출력

케이스 닫기 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용할 수 없음
출력 메시지	사용 가능
스크립트 결과	사용 가능

출력 메시지

Add Vote To Entity 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

The case was closed. Root Cause: ROOT_CAUSE Comment: REASON

작업이 완료되었습니다.

Error executing action "Close Case". Reason:
      ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 케이스 종료 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.

스크립트 결과 이름	값
`StatusResult`	`true` 또는 `false`

항목 만들기

항목 만들기 작업을 사용하여 새 항목을 만들고 알림에 추가합니다.

이 작업은 모든 Google SecOps 항목에서 실행됩니다.

작업 입력

Create Entity 작업에는 다음 매개변수가 필요합니다.

매개변수	설명
`Entities Identifies`	필수 항목입니다. 케이스에서 생성할 항목 식별자의 쉼표로 구분된 목록입니다(예: `VALUE1, VALUE2, VALUE3`).
`Delimiter`	(선택사항) `Entities Identifies`의 입력을 여러 식별자로 분할하는 데 사용되는 구분 기호입니다. 값이 제공되지 않으면 작업에서 입력을 단일 항목 식별자로 처리합니다. 기본값은 `,`입니다.
`Entity Type`	필수 항목입니다. 생성할 항목의 유형입니다(예: `HOST NAME`, `USER NAME`, `IP Set`).
`Is Internal`	(선택사항) 선택하면 작업이 항목을 내부 네트워크의 일부로 표시합니다. 기본적으로 사용 설정되어 있지 않습니다.
`Is Suspicious`	(선택사항) 선택하면 작업이 항목을 의심스러운 것으로 표시합니다. 기본적으로 사용 설정되어 있지 않습니다.

작업 출력

엔티티 만들기 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용할 수 없음
출력 메시지	사용 가능
스크립트 결과	사용 가능

출력 메시지

Create Entity 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

ENTITY_IDS created successfully.

작업이 완료되었습니다.

Error executing action "Create Entity". Reason:
      ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 엔티티 생성 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.

스크립트 결과 이름	값
`StatusResult`	`true` 또는 `false`

Gemini 케이스 요약 만들기

Gemini 케이스 요약 만들기 작업을 사용하여 새 Gemini 케이스 요약을 만들고 알림에 추가합니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

없음

작업 출력

Gemini 케이스 요약 만들기 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용 가능
출력 메시지	사용 가능
스크립트 결과	사용 가능

JSON 결과

다음 예는 Gemini 케이스 요약 만들기 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.

{
  "summary": "On the Linux agent instance-1 (IP addresses 10.150.0.3 and 34.85.128.214), user vanshikavw_google_com initiated the process curl (SHA1 hash 3395856ce81f2b7382dee72602f798b642f14140) to create the malware file /home/vanshikavw_google_com/eicar_test_vanshikavw-test-new.\n*  VirusTotal identifies the SHA1 hash 3395856ce81f2b7382dee72602f798b642f14140 as a virus.eicar/test.\n*  CURL is associated with multiple actors, including APT27, APT34, APT41, APT44, APT9, FIN11, FIN13, FIN6, TEMP.Armageddon, Turla Team, UNC1151, UNC1860, UNC215, UNC2165, UNC2500, UNC251, UNC2595, UNC2633, UNC2900, UNC2975, UNC3569, UNC3661, UNC3944, UNC4483, UNC4936, UNC4962, UNC5007, UNC5051, UNC5055, UNC5156, UNC5221, UNC5266, UNC5330, UNC5371, UNC5470, UNC5859, and UNC961.\n*  CURL is known to use MITRE ATT&CK techniques such as T1113, T1095, T1036, T1553, T1222, T1055, T1140, T1070, T1027, T1622, T1057, T1010, T1083, T1518, T1082, T1016, T1059, T1496, and T1588.\n*  A GTI MALWARE search did not find any information about eicar_test_vanshikavw-test-new.\n*  A GTI IP_ADDRESS search did not find any information about 10.150.0.3 or 34.85.128.214.", 
  "next_steps": ["Isolate instance-1 to prevent any potential lateral movement or further compromise of the network, as the curl process is associated with multiple threat actors.", 
  "Investigate the user account vanshikavw_google_com to determine if the user's credentials have been compromised or if the user initiated the curl process intentionally, as the curl process is associated with multiple threat actors.", 
  "Analyze the network traffic to and from the IP addresses 10.150.0.3 and 34.85.128.214 for any suspicious communication patterns, as the curl process is associated with multiple threat actors.", 
  "Examine the process execution logs on instance-1 for any other unusual or unauthorized activities, as the curl process is associated with multiple threat actors.", 
  "Review the configuration of the Linux agent on instance-1 to ensure that it is properly secured and that no unauthorized modifications have been made, as the curl process is associated with multiple threat actors."], 
  "reasons": ["The case involves a Linux agent instance-1 (IP addresses 10.150.0.3 and 34.85.128.214) where user vanshikavw_google_com initiated the process curl to create the file /home/vanshikavw_google_com/eicar_test_vanshikavw-test-new.", 
  "The SHA1 hash 3395856ce81f2b7382dee72602f798b642f14140 of the curl process is identified by VirusTotal as virus.eicar/test, indicating it is a known test virus.", 
  "The process CURL is associated with multiple threat actors, including APT27, APT34, APT41, APT44, APT9, FIN11, FIN13, FIN6, TEMP.Armageddon, Turla Team, UNC1151, UNC1860, UNC215, UNC2165, UNC2500, UNC251, UNC2595, UNC2633, UNC2900, UNC2975, UNC3569, UNC3661, UNC3944, UNC4483, UNC4936, UNC4962, UNC5007, UNC5051, UNC5055, UNC5156, UNC5221, UNC5266, UNC5330, UNC5371, UNC5470, UNC5859, and UNC961, suggesting a potential link to malicious activity.", 
  "CURL is known to use various MITRE ATT&CK techniques such as T1113, T1095, T1036, T1553, T1222, T1055, T1140, T1070, T1027, T1622, T1057, T1010, T1083, T1518, T1082, T1016, T1059, T1496, and T1588, indicating a wide range of potential malicious behaviors.", 
  "The file eicar_test_vanshikavw-test-new was not found in GTI MALWARE searches, and the IP addresses 10.150.0.3 and 34.85.128.214 were not found in GTI IP_ADDRESS searches."]
}

출력 메시지

Gemini 케이스 요약 만들기 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

Case summary generation completed.

작업이 완료되었습니다.

Error executing action "Create Gemini Case Summary".
      Reason: ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 Gemini 케이스 요약 만들기 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.

스크립트 결과 이름	값
`is_success`	`true` 또는 `false`

엔티티 속성 만들기 또는 업데이트

항목 속성 만들기 또는 업데이트 작업을 사용하여 항목 범위의 항목 속성을 만들거나 변경합니다.

이 작업은 모든 Google SecOps 항목에서 실행됩니다.

작업 입력

Create Or Update Entity Properties 작업에는 다음 매개변수가 필요합니다.

매개변수 설명

Entity Field

필수 항목입니다.

만들거나 업데이트할 항목 필드입니다.

Field Value

필수 항목입니다.

지정된 항목 필드의 값입니다.

작업 출력

Create Or Update Entity Properties 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용할 수 없음
출력 메시지	사용 가능
스크립트 결과	사용 가능

출력 메시지

Create Or Update Entity Properties 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

Property ENTITY_FIELD were changed for the following entities: ENTITY_ID.

작업이 완료되었습니다.

Error executing action "Create Or Update Entity Properties".
      Reason: ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 Create Or Update Entity Properties 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름	값
`is_success`	`true` 또는 `false`

케이스 알림 받기

Get Case Alerts 작업을 사용하여 지정된 케이스와 관련된 알림을 가져옵니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

케이스 알림 가져오기 작업에는 다음 매개변수가 필요합니다.

매개변수	설명
`Case ID`	필수 항목입니다. 작업이 연결된 알림을 가져오는 케이스 ID의 쉼표로 구분된 목록입니다.
`Alert ID`	(선택사항) 반환되는 알림을 제한하는 쉼표로 구분된 알림 ID 목록입니다. 이 파라미터는 `Case ID`에 값이 포함된 경우에만 사용됩니다.
`Fields To Return`	(선택사항) JSON 결과에 반환할 필드의 쉼표로 구분된 목록입니다. 중첩된 값을 가져오려면 `Nested Keys Delimiter`를 사용하여 중첩된 키와 목록 색인을 연결합니다. 예를 들어 구분 기호가 '`.`'인 경우 다음과 같습니다. `key1.nested_key1.0.nested_key2, key2, key3.1.nested_key1` 값을 제공하지 않으면 모든 필드가 반환됩니다.
`Nested Keys Delimiter`	(선택사항) 반환할 필드를 정의할 때 중첩된 키와 목록 색인을 구분하는 데 사용되는 문자입니다. 이 매개변수는 쉼표 (`,`)일 수 없습니다.

케이스 세부정보 가져오기

케이스 세부정보 가져오기 작업을 사용하여 케이스의 모든 데이터 (댓글, 항목 정보, 통계, 실행된 플레이북, 알림 정보, 이벤트 포함)를 가져옵니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

케이스 세부정보 가져오기 작업에는 다음 매개변수가 필요합니다.

매개변수 설명

Case Id

(선택사항)

세부정보를 가져올 케이스의 ID입니다.

값을 제공하지 않으면 작업에서 현재 케이스를 사용합니다.

Fields to Return

(선택사항)

반환할 필드의 쉼표로 구분된 목록입니다.

아무것도 제공하지 않으면 모든 필드가 반환됩니다.

Nested Keys Delimiter 매개변수를 사용하여 키와 목록 색인을 구분하면 특정 중첩 값을 가져올 수 있습니다.

Nested Keys Delimiter

(선택사항)

특정 필드를 요청할 때 중첩된 키를 구분하는 데 사용되는 문자입니다. 이를 통해 중첩된 객체에서 값을 가져올 수 있습니다.

구분 기호는 쉼표(,)일 수 없습니다.

작업 출력

케이스 세부정보 가져오기 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용 가능
출력 메시지	사용 가능
스크립트 결과	사용 가능

JSON 결과

다음 예는 케이스 세부정보 가져오기 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.

{
"id": 24879,
"creationTimeUnixTimeInMs": 1750862500562,
"modificationTimeUnixTimeInMs": 1750862500562,
"name": "Malware",
"priority": -1,
"isImportant": false,
"isIncident": false,
"startTimeUnixTimeInMs": 1727243021999,
"endTimeUnixTimeInMs": 1727243022479,
"assignedUser": "@Tier1",
"description": null,
"isTestCase": true,
"type": 1,
"stage": "Triage",
"environment": "Default Environment",
"status": 1,
"incidentId": null,
"tags": ["hi", "Simulated Case"],
"alertCards": [{
  "id": 172354,
  "creationTimeUnixTimeInMs": 1750862500651,
  "modificationTimeUnixTimeInMs": 1750862500651,
  "identifier": "EICAR_TEST_VANSHIKAVW-TEST-NEW0CC43705-04A7-43FD-88CD-B3E7FECA881D",
  "status": 0,
  "name": "EICAR_TEST_VANSHIKAVW-TEST-NEW",
  "priority": -1,
  "workflowsStatus": 1,
  "slaExpirationUnixTime": null,
  "slaCriticalExpirationUnixTime": null,
  "startTime": 1727243021999,
  "endTime": 1727243022479,
  "alertGroupIdentifier": "MalwareSFBrxjAXvKJsJyKe5iQalf00zrv/QwX966dRoEyP2eA=_8cc160b5-7039-421c-926c-1a98073f11d2",
  "eventsCount": 3,
  "title": "EICAR_TEST_VANSHIKAVW-TEST-NEW",
  "ruleGenerator": "Malware",
  "deviceProduct": "SentinelOneV2",
  "deviceVendor": "SentinelOneV2",
  "playbookAttached": "Testing",
  "playbookRunCount": 1,
  "isManualAlert": false,
  "sla": {
    "slaExpirationTime": null,
    "criticalExpirationTime": null,
    "expirationStatus": 2,
    "remainingTimeSinceLastPause": null
    },
  "fieldsGroups": [],
  "sourceUrl": null,
  "sourceRuleUrl": null,
  "siemAlertId": null,
  "relatedCases": [],
  "lastSourceUpdateUnixTimeInMs": null,
  "caseId": 24879,
  "nestingDepth": 0
  }],
"isOverflowCase": false,
"isManualCase": false,
"slaExpirationUnixTime": null,
"slaCriticalExpirationUnixTime": null,
"stageSlaExpirationUnixTimeInMs": null,
"stageSlaCriticalExpirationUnixTimeInMs": null,
"canOpenIncident": false,
"sla": {
  "slaExpirationTime": null,
  "criticalExpirationTime": null,
  "expirationStatus": 2,
  "remainingTimeSinceLastPause": null
  },
"stageSla": {
  "slaExpirationTime": null,
  "criticalExpirationTime": null,
  "expirationStatus": 2,
  "remainingTimeSinceLastPause": null},
  "relatedAlertTicketId": null,
  "relatedAlertCards": []
  }

출력 메시지

케이스 세부정보 가져오기 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

Finished executing "Get Case Details" successfully

작업이 완료되었습니다.

Error executing action "Get Case Details".
      Reason: ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 케이스 세부정보 가져오기 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.

스크립트 결과 이름	값
`is_success`	`true` 또는 `false`

커넥터 컨텍스트 값 가져오기

커넥터 컨텍스트 값 가져오기 작업을 사용하여 커넥터 컨텍스트의 Google SecOps 데이터베이스에서 지정된 키의 값을 가져옵니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

커넥터 컨텍스트 값 가져오기 작업에는 다음 매개변수가 필요합니다.

매개변수 설명

Connector Identifier

필수 항목입니다.

컨텍스트 값을 가져올 커넥터의 고유 식별자입니다.

Key Name

필수 항목입니다.

컨텍스트 값이 저장되는 키입니다.

Create Case Wall Table

(선택사항)

선택하면 작업에서 가져온 컨텍스트 값으로 케이스 월 테이블을 만듭니다.

가져온 값이 글자 수 제한을 초과하면 테이블이 생성되지 않습니다.

기본적으로 사용 설정됩니다.

작업 출력

커넥터 컨텍스트 값 가져오기 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용 가능
보강 테이블	사용할 수 없음
JSON 결과	사용할 수 없음
출력 메시지	사용 가능
스크립트 결과	사용 가능

케이스 월 테이블

커넥터 컨텍스트 값 가져오기 작업은 다음 표를 생성할 수 있습니다.

표 이름: Connector

표 열:

커넥터 식별자
키
값

출력 메시지

커넥터 컨텍스트 값 가져오기 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

Successfully found context value for the provided context key CONTEXT_KEY for the connector identifier CONNECTOR_IDENTIFIER.

Context value was not found for the provided context key CONTEXT_KEY and connector identifier CONNECTOR_IDENTIFIER.

Action can't return the Case Wall table as the context values are too big.

작업이 완료되었습니다.

Error executing action "Get Connector Context Value". Reason:
      ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 커넥터 컨텍스트 값 가져오기 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.

스크립트 결과 이름	값
`is_success`	`true` 또는 `false`

맞춤 필드 값 가져오기

맞춤 필드 값 가져오기 작업을 사용하여 지정된 범위에 따라 맞춤 필드의 현재 값을 가져옵니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

맞춤 필드 값 가져오기 작업에는 다음 매개변수가 필요합니다.

매개변수 설명

Scope

필수 항목입니다.

커스텀 필드를 가져올 범위입니다.

가능한 값은 다음과 같습니다.

Case
Alert
All

작업 출력

맞춤 입력란 값 가져오기 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용 가능
출력 메시지	사용 가능
스크립트 결과	사용 가능

JSON 결과

다음 예시에서는 맞춤 필드 값 가져오기 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.

[{
   "Case": {
       "Case Custom Field Name 1": "Updated Custom Field Value",
       "Case Custom Field Name 2": "Updated Custom Field Value"
   },
   "Alert": {
       "Alert Custom Field Name 1": "Updated Custom Field Value",
       "Alert Custom Field Name 2": "Updated Custom Field Value"
   }
}]

출력 메시지

맞춤 필드 값 가져오기 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

Successfully returned SCOPE custom fields.

No custom fields were found in scope SCOPE.

작업이 완료되었습니다.

Error executing action "Get Custom Field Values". Reason:
      ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 맞춤 필드 값 가져오기 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름	값
`is_success`	`true` 또는 `false`

범위 컨텍스트 값 가져오기

범위 컨텍스트 값 가져오기 작업을 사용하여 지정된 키와 컨텍스트에 저장된 Google SecOps 데이터베이스의 값을 가져옵니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

범위 컨텍스트 값 가져오기 작업에는 다음 매개변수가 필요합니다.

매개변수 설명

Context Scope

필수 항목입니다.

값을 가져올 컨텍스트 범위입니다.

가능한 값은 다음과 같습니다.

Not specified
Alert
Case
Global

기본값은 Not specified입니다.

Key Name

필수 항목입니다.

값이 지정된 컨텍스트에 저장되는 키입니다.

Create Case Wall Table

(선택사항)

선택하면 작업에서 가져온 컨텍스트 값으로 케이스 월 테이블을 만듭니다.

가져온 값이 글자 수 제한을 초과하면 테이블이 생성되지 않습니다.

기본적으로 사용 설정됩니다.

작업 출력

범위 컨텍스트 값 가져오기 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용 가능
보강 테이블	사용할 수 없음
JSON 결과	사용할 수 없음
출력 메시지	사용 가능
스크립트 결과	사용 가능

케이스 월 테이블

범위 컨텍스트 값 가져오기 작업은 다음 표를 생성할 수 있습니다.

표 이름: SCOPE

표 열:

출력 메시지

범위 컨텍스트 값 가져오기 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

Successfully found context value for the provided context key CONTEXT_KEY with scope CONTEXT_SCOPE.

No context values were found for the provided context scope CONTEXT_SCOPE.

Context value was not found for the provided context key CONTEXT_KEY with scope CONTEXT_SCOPE.

Action can't return the Case Wall table as the context values are too big.

작업이 완료되었습니다.

Error executing action "Get Scope Context Value". Reason:
      ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 범위 컨텍스트 값 가져오기 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름	값
`is_success`	`true` 또는 `false`

유사한 케이스 가져오기

유사한 케이스 가져오기 작업을 사용하여 유사한 케이스를 검색하고 ID를 반환합니다.

이 작업은 논리적 AND 연산자를 Rule Generator, Port, Category Outcome, Entity Identifier, Include Open Cases, Include Closed Cases 파라미터에 적용하여 지정된 모든 기준과 일치하는 케이스를 필터링합니다.

이 작업은 모든 Google SecOps 항목에서 실행됩니다.

작업 입력

유사한 케이스 가져오기 작업에는 다음 매개변수가 필요합니다.

매개변수	설명
`Rule Generator`	(선택사항) 이 옵션을 선택하면 규칙 생성기를 사용하여 유사한 케이스를 검색합니다. 기본적으로 사용 설정됩니다.
`Port`	(선택사항) 이 옵션을 선택하면 작업에서 포트 번호를 사용하여 유사한 케이스를 검색합니다. 기본적으로 사용 설정됩니다.
`Category Outcome`	(선택사항) 선택하면 작업에서 카테고리 결과에 따라 유사한 케이스를 검색합니다. 기본적으로 사용 설정됩니다.
`Entity Identifier`	(선택사항) 선택하면 작업에서 엔티티 식별자를 사용하여 유사한 케이스를 검색합니다. 기본적으로 사용 설정됩니다.
`Days Back`	필수 항목입니다. 작업이 검색할 현재 날짜 이전의 일수입니다.
`Include Open Cases`	(선택사항) 선택하면 검색에 진행 중인 케이스가 포함됩니다. 기본적으로 사용 설정됩니다.
`Include Closed Cases`	(선택사항) 선택하면 작업에 종료된 케이스가 검색에 포함됩니다. 기본적으로 사용 설정됩니다.

작업 출력

유사한 케이스 가져오기 작업은 다음과 같은 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용 가능
출력 메시지	사용 가능
스크립트 결과	사용 가능

JSON 결과

다음 예는 유사한 케이스 가져오기 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.

{
  "results": [{
    "id": 23874, 
    "name": "Malware", 
    "tags": ["hi", "Simulated Case"], 
    "start time": "2024-09-25 05:43:41.999000+00:00", 
    "start time unix": 1727243021999, 
    "last modified": "2025-06-19 13:24:01.062000+00:00", 
    "priority": "Informative", 
    "assigned user": "@Tier1", 
    "matching_criteria": {
        "ruleGenerator": true, 
        "port": true, 
        "outcome": true, 
        "entities": true
      }, 
    "matched_entities": [
      {"entity": "INSTANCE-1", "type": "HOSTNAME", "isSuspicious": false}, 
      {"entity": "10.150.0.3", "type": "ADDRESS", "isSuspicious": false}, {"entity": "172.17.0.1", "type": "ADDRESS", "isSuspicious": false}, {"entity": "VANSHIKAVW_GOOGLE_COM", "type": "USERUNIQNAME", "isSuspicious": false}, 
      {"entity": "CURL", "type": "PROCESS", "isSuspicious": false}, {"entity": "EICAR_TEST_VANSHIKAVW-TEST-NEW", "type": "FILENAME", "isSuspicious": false}, 
      {"entity": "3395856CE81F2B7382DEE72602F798B642F14140", "type": "FILEHASH", "isSuspicious": false}, 
      {"entity": "34.85.128.214", "type": "ADDRESS", "isSuspicious": false}, 
      {"entity": "/HOME/VANSHIKAVW_GOOGLE_COM/EICAR_TEST_VANSHIKAVW-TEST-NEW", "type": "FILENAME", "isSuspicious": false}
      ], 
      "status": "Open"}], 
      "stats": 
      {"Malicious": 0.0, "Is Important": 0.0, "Is Incident": 0.0, "Status Open": 100.0}, 
      "platform_url": "https://soarapitest.backstory.chronicle.security/"
}

출력 메시지

유사한 케이스 가져오기 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

Processed NUMBER_OF_CASES similar cases: CASE_IDS_LIST

작업이 완료되었습니다.

Error executing action "Get Similar Cases". Reason:
      ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 유사한 케이스 가져오기 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.

스크립트 결과 이름	값
`SimilarCasesIds`	유사한 케이스 ID 목록입니다.

안내

안내 작업을 사용하여 케이스에서 분석가에게 직접 안내를 제공합니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

Instruction 작업에는 다음 매개변수가 필요합니다.

매개변수 설명

Instruction

필수 항목입니다.

분석가를 위한 안내입니다.

작업 출력

안내 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용할 수 없음
출력 메시지	사용 가능
스크립트 결과	사용 가능

출력 메시지

Add Vote To Entity 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

Please perform the following instructions: INSTRUCTION.

작업이 완료되었습니다.

Error executing action "Instruction". Reason:
      ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 Instruction 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름	값
스크립트 결과	`true` 또는 `false`

맞춤 목록에 포함됨

맞춤 목록에 있음 작업을 사용하여 지정된 맞춤 목록 내에 항목이 있는지 확인합니다.

이 작업은 모든 Google SecOps 항목에서 실행됩니다.

작업 입력

맞춤 목록에 있음 작업에는 다음 매개변수가 필요합니다.

매개변수 설명

Category

필수 항목입니다.

검색할 맞춤 목록 카테고리의 이름입니다.

작업 출력

맞춤 목록에 있음 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용할 수 없음
출력 메시지	사용 가능
스크립트 결과	사용 가능

출력 메시지

맞춤 목록에 있음 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

This alert contains entities in the given custom list
      category: CATEGORY.
      This alert does not contain entities in the given custom list category:
      CATEGORY.

작업이 완료되었습니다.

Error executing action "Is In Custom List". Reason:
      ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 맞춤 목록에 있음 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름	값
`ScriptResult`	`true` 또는 `false`

중요로 표시

중요로 표시 작업을 사용하여 케이스를 중요로 표시합니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

없음

작업 출력

중요로 표시 작업은 다음과 같은 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용할 수 없음
출력 메시지	사용 가능
스크립트 결과	사용 가능

출력 메시지

중요로 표시 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

The case was automatically marked as important.

작업이 완료되었습니다.

Error executing action "Mark As Important". Reason:
      ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 중요 표시 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.

스크립트 결과 이름	값
스크립트 결과	`true` 또는 `false`

Open Web URL

Open Web Url 작업을 사용하여 브라우저 링크를 생성합니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

웹 URL 열기 작업에는 다음 매개변수가 필요합니다.

매개변수 설명

Title

필수 항목입니다.

URL의 제목입니다.

URL

필수 항목입니다.

대상 URL입니다.

작업 출력

웹 URL 열기 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용할 수 없음
출력 메시지	사용 가능
스크립트 결과	사용 가능

출력 메시지

웹 URL 열기 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

URL_TITLE
      URL_LINK

작업이 완료되었습니다.

Error executing action "Open Web Url". Reason:
      ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 웹 URL 열기 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.

스크립트 결과 이름	값
스크립트 결과	`true` 또는 `false`

알림 SLA 일시중지

알림 SLA 일시중지 작업을 사용하여 알림의 서비스수준계약 (SLA) 타이머를 일시중지합니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

알림 SLA 일시중지 작업에는 다음 매개변수가 필요합니다.

매개변수 설명

Message

(선택사항)

알림 SLA를 일시중지한 이유입니다.

작업 출력

알림 SLA 일시중지 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용할 수 없음
출력 메시지	사용 가능
스크립트 결과	사용 가능

출력 메시지

알림 SLA 일시중지 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

The alert SLA was paused.

작업이 완료되었습니다.

Error executing action "Pause Alert SLA". Reason: ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 알림 일시중지 SLA 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름	값
`is_success`	`true` 또는 `false`

케이스 SLA 일시중지

케이스 SLA 일시중지 작업을 사용하여 케이스의 서비스수준계약 (SLA) 타이머를 일시중지합니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

케이스 SLA 일시중지 작업에는 다음 매개변수가 필요합니다.

매개변수 설명

Message

(선택사항)

케이스 SLA를 일시중지하는 이유입니다.

작업 출력

케이스 SLA 일시중지 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용할 수 없음
출력 메시지	사용 가능
스크립트 결과	사용 가능

출력 메시지

케이스 SLA 일시중지 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

The Case SLA was paused successfully.

작업이 완료되었습니다.

Error executing action "Pause Case SLA". Reason: ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 케이스 SLA 일시중지 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름	값
`is_success`	`true` 또는 `false`

허용된 알림 시간

허용된 알림 시간 작업을 사용하여 알림의 시작 시간이 사용자 정의 시간 조건을 준수하는지 확인합니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

허용된 알림 시간 작업에는 다음 매개변수가 필요합니다.

매개변수	설명
`Timestamp Type`	(선택사항) 비교에 사용할 타임스탬프 유형입니다. 가능한 값은 다음과 같습니다. `Alert Start Time` `Alert Creation Time` `Case Creation Time` 기본값은 `Alert Start Time`입니다.
`Permitted Start Time`	필수 항목입니다. 알림이 허용되는 기간의 시작 시간입니다(예: `0:00:00`).
`Permitted End Time`	필수 항목입니다. 알림이 허용되는 기간의 종료 시간입니다(예: `0:00:00`).
`Monday`	(선택사항) 선택하면 작업에 알림이 허용되는 요일에 월요일이 포함됩니다. 기본적으로 사용 설정되어 있지 않습니다.
`Tuesday`	(선택사항) 선택하면 작업에 알림이 허용되는 요일에 화요일이 포함됩니다. 기본적으로 사용 설정됩니다.
`Wednesday`	(선택사항) 선택하면 작업에 알림이 허용되는 요일에 수요일이 포함됩니다. 기본적으로 사용 설정됩니다.
`Thursday`	(선택사항) 선택하면 작업에 알림이 허용되는 요일에 목요일이 포함됩니다. 기본적으로 사용 설정되어 있지 않습니다.
`Friday`	(선택사항) 선택하면 작업에 알림이 허용되는 요일에 금요일이 포함됩니다. 기본적으로 사용 설정되어 있지 않습니다.
`Saturday`	(선택사항) 선택하면 작업에 알림이 허용되는 요일에 토요일이 포함됩니다. 기본적으로 사용 설정되어 있지 않습니다.
`Sunday`	(선택사항) 선택하면 작업에 알림이 허용되는 요일에 일요일이 포함됩니다. 기본적으로 사용 설정되어 있지 않습니다.
`Input Timezone`	(선택사항) 이 작업은 `America/New_York`과 같은 IANA 영역 외에도 `UTC`과 같은 표준 시간대를 지원합니다. IANA 영역을 제공하면 작업에서 일광 절약 시간에 맞춰 자동으로 조정합니다.

작업 출력

허용된 알림 시간 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용할 수 없음
출력 메시지	사용 가능
스크립트 결과	사용 가능

출력 메시지

허용된 알림 시간 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

Case Time of ALERT_TIMEis within condition parameters of between START_TIME - END_TIME on LIST_OF_PERMITTED_DAYS

작업이 완료되었습니다.

Error executing action "Permitted Alert Time". Reason: ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 허용된 알림 시간 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름	값
`Permitted`	`true` 또는 `false`

핑

Ping 작업을 사용하여 Siemplify와의 연결을 테스트합니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

없음

작업 출력

Ping 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용할 수 없음
출력 메시지	사용 가능
스크립트 결과	사용 가능

출력 메시지

Ping 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

Email address is syntactically correct.

작업이 완료되었습니다.

Error executing action "Ping". Reason:
      ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 Ping 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름	값
스크립트 결과	`true` 또는 `false`

Raise Incident(인시던트 제기)

Raise Incident(인시던트 제기) 작업을 사용하여 실제 양성 케이스를 Critical로 표시하고 케이스 인시던트를 제기합니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

Raise Incident 작업에는 다음 매개변수가 필요합니다.

매개변수 설명

Soc Role

(선택사항)

케이스를 할당할 Google SecOps SOC 역할입니다.

작업 출력

Raise Incident 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용할 수 없음
출력 메시지	사용 가능
스크립트 결과	사용 가능

출력 메시지

Raise Incident 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

The case raised to CASE_STAGE status.

작업이 완료되었습니다.

Error executing action "Raise Incident".
      Reason: ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 인시던트 발생 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.

스크립트 결과 이름	값
스크립트 결과	`true` 또는 `false`

태그 삭제

태그 삭제 작업을 사용하여 케이스에서 태그를 삭제합니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

태그 삭제 작업에는 다음 매개변수가 필요합니다.

매개변수 설명

Tag

필수 항목입니다.

케이스에서 삭제할 태그의 쉼표로 구분된 목록입니다.

작업 출력

태그 삭제 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용할 수 없음
출력 메시지	사용 가능
스크립트 결과	사용 가능

출력 메시지

태그 삭제 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

Successfully removed the following tags from case CASE_ID:TAGS 작업이 완료되었습니다.

It is not possible to remove the tag.

Error executing action "Remove Tag". Reason: ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 태그 삭제 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.

스크립트 결과 이름	값
`is_success`	`true` 또는 `false`

맞춤 목록에서 삭제

맞춤 목록에서 삭제 작업을 사용하여 맞춤 목록 카테고리에서 알림과 연결된 항목을 삭제합니다.

이 작업은 모든 Google SecOps 항목에서 실행됩니다.

작업 입력

맞춤 목록에서 삭제 작업에는 다음 매개변수가 필요합니다.

매개변수 설명

Category

필수 항목입니다.

항목 식별자를 삭제할 맞춤 목록 카테고리의 이름입니다.

작업 출력

맞춤 목록에서 삭제 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용할 수 없음
출력 메시지	사용 가능
스크립트 결과	사용 가능

출력 메시지

맞춤 목록에서 삭제 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

The alert's entities ENTITY_ID were removed from custom list category: CATEGORY

The given category does not exist.

작업이 완료되었습니다.

Error executing action "Remove From Custom List". Reason: ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 맞춤 목록에서 삭제 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름	값
`ScriptResult`	`true` 또는 `false`

알림 SLA 재개

알림 SLA 재개 작업을 사용하여 알림의 서비스 수준 계약 (SLA) 타이머를 일시중지 해제하고 다시 시작합니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

없음

작업 출력

알림 SLA 재개 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용할 수 없음
출력 메시지	사용 가능
스크립트 결과	사용 가능

출력 메시지

알림 SLA 재개 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

The alert SLA was resumed.

작업이 완료되었습니다.

Error executing action "Resume Alert SLA". Reason: ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 알림 SLA 재개 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름	값
`is_success`	`true` 또는 `false`

케이스 SLA 재개

케이스 SLA 재개 작업을 사용하여 케이스의 서비스 수준 계약 (SLA) 타이머를 일시중지 해제하고 다시 시작합니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

없음

작업 출력

케이스 SLA 재개 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용할 수 없음
출력 메시지	사용 가능
스크립트 결과	사용 가능

출력 메시지

케이스 SLA 재개 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

The Case SLA was resumed successfully.

작업이 완료되었습니다.

Error executing action "Resume Case SLA". Reason: ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 케이스 SLA 재개 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름	값
`is_success`	`true` 또는 `false`

알림 SLA 설정

알림 SLA 설정 작업을 사용하여 알림의 SLA 타이머를 설정합니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

알림 SLA 설정 작업에는 다음 매개변수가 필요합니다.

매개변수	설명
`SLA Period`	필수 항목입니다. SLA가 위반된 것으로 간주되기 전까지의 총 기간입니다. 총 SLA 기간은 30일을 초과할 수 없습니다. 기본값은 `5`입니다.
`SLA Time Unit`	필수 항목입니다. SLA 기간의 시간 단위입니다. 가능한 값은 다음과 같습니다. `Minutes` `Hours` `Days` 기본값은 `Minutes`입니다.
`SLA Time To Critical Period`	필수 항목입니다. SLA가 심각한 상태로 전환되기 전의 기간입니다. 기본값은 `4`입니다.
`SLA Time To Critical Unit`	필수 항목입니다. 중요 SLA 기간의 시간 단위입니다. 가능한 값은 다음과 같습니다. `Minutes` `Hours` `Days` 기본값은 `Minutes`입니다.

작업 출력

알림 SLA 설정 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용할 수 없음
출력 메시지	사용 가능
스크립트 결과	사용 가능

출력 메시지

알림 SLA 설정 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

Alert ALERT_NAME of case CASE_ID was set with SLA of SLA_PERIOD SLA_TIME_UNIT and critical period of CRITICAL_PERIOD CRITICAL_TIME_UNIT.

작업이 완료되었습니다.

Error executing action "Set Alert SLA". Reason: ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 알림 SLA 설정 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름	값
`is_success`	`true` 또는 `false`

케이스 SLA 설정

케이스 SLA 설정 작업을 사용하여 케이스의 SLA를 설정합니다.

이 작업의 우선순위가 가장 높으며 특정 케이스에 대해 정의된 기존 SLA를 재정의합니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

케이스 SLA 설정 작업에는 다음 매개변수가 필요합니다.

매개변수	설명
`SLA Period`	필수 항목입니다. SLA가 위반된 것으로 간주되기 전까지의 총 기간입니다. 총 SLA 기간은 30일을 초과할 수 없습니다. 기본값은 `5`입니다.
`SLA Time Unit`	필수 항목입니다. SLA 기간의 시간 단위입니다. 가능한 값은 다음과 같습니다. `Minutes` `Hours` `Days` 기본값은 `Minutes`입니다.
`SLA Time To Critical Period`	(선택사항) SLA가 심각한 상태로 전환되기 전의 기간입니다. 기본값은 `4`입니다.
`SLA Time To Critical Unit`	필수 항목입니다. 중요 SLA 기간의 시간 단위입니다. 가능한 값은 다음과 같습니다. `Minutes` `Hours` `Days` 기본값은 `Minutes`입니다.

작업 출력

케이스 SLA 설정 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용할 수 없음
출력 메시지	사용 가능
스크립트 결과	사용 가능

출력 메시지

ASM 문제 검색 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

Case CASE_ID was set with SLA of SLA_PERIOD SLA_TIME_UNIT and critical period of CRITICAL_PERIOD CRITICAL_TIME_UNIT.

작업이 완료되었습니다.

Error executing action "Set Case SLA". Reason: ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 케이스 SLA 설정 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름	값
`is_success`	`true` 또는 `false`

맞춤 필드 설정

맞춤 필드 설정 작업을 사용하여 맞춤 필드의 값을 설정합니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

맞춤 필드 설정 작업에는 다음 매개변수가 필요합니다.

매개변수 설명

Scope

필수 항목입니다.

맞춤 필드에 설정할 범위입니다.

가능한 값은 다음과 같습니다.

Case
Alert

기본값은 Case입니다.

Custom Fields Data

필수 항목입니다.

맞춤 필드의 업데이트된 값입니다.

단일 작업 실행에서 여러 맞춤 필드를 업데이트할 수 있습니다.

기본값은 다음과 같습니다.

    {
      "Custom Field Name 1":"Custom Field Value 1",
      "Custom Field Name 2":"Custom Field Value 2"
    }

Append Values

(선택사항)

선택하면 작업이 Custom Fields Data의 입력을 맞춤 필드의 기존 값에 추가합니다.

선택하지 않으면 작업이 Custom Fields Data 매개변수의 입력으로 기존 값을 덮어씁니다.

기본적으로 사용 설정되어 있지 않습니다.

작업 출력

맞춤 필드 설정 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용 가능
출력 메시지	사용 가능
스크립트 결과	사용 가능

JSON 결과

다음 예시는 맞춤 필드 설정 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.

{
  "Custom Field Name": "Updated Custom Field Value",
  "Custom Field Name": "Updated Custom Field Value",
}

출력 메시지

맞춤 필드 설정 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

Successfully updated the following SCOPE custom fields: UPDATED_CUSTOM_FIELD_NAMES 작업이 완료되었습니다.

Error executing action "Set Custom Fields". Reason: ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 맞춤 필드 설정 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름	값
`is_success`	`true` 또는 `false`

위험 점수 설정

위험 점수 설정 작업을 사용하여 케이스의 위험 점수를 업데이트합니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

위험 점수 설정 작업에는 다음 매개변수가 필요합니다.

매개변수 설명

Risk Score

필수 항목입니다.

케이스에 설정할 위험 점수입니다.

작업 출력

위험 점수 설정 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용할 수 없음
출력 메시지	사용 가능
스크립트 결과	사용 가능

출력 메시지

위험도 점수 설정 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

Successfully set Risk Score for case CASE_ID 작업이 완료되었습니다.

Error executing action "Set Risk Score". Reason:
      ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 위험 점수 설정 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.

스크립트 결과 이름	값
`is_success`	`true` 또는 `false`

범위 컨텍스트 값 설정

범위 컨텍스트 값 설정 작업을 사용하여 Google SecOps 데이터베이스에 저장된 키의 값을 설정합니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

범위 컨텍스트 값 설정 작업에는 다음 매개변수가 필요합니다.

매개변수 설명

Context Scope

필수 항목입니다.

데이터를 가져올 컨텍스트 범위입니다.

가능한 값은 다음과 같습니다.

Not specified
Alert
Case
Global

기본값은 Not specified입니다.

Key Name

필수 항목입니다.

해당 값을 가져올 키 이름입니다.

Key Value

필수 항목입니다.

지정된 키 아래에 저장할 값입니다.

작업 출력

범위 컨텍스트 값 설정 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용할 수 없음
출력 메시지	사용 가능
스크립트 결과	사용 가능

출력 메시지

범위 컨텍스트 값 설정 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

Successfully set context value for the context key CONTEXT_KEY with scope CONTEXT_SCOPE. 작업이 완료되었습니다.

Error executing action "Set Scope Context Value". Reason:
      ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 범위 컨텍스트 값 설정 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름	값
`is_success`	`true` 또는 `false`

케이스 설명 업데이트

케이스 설명 업데이트 작업을 사용하여 케이스 설명을 업데이트합니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

케이스 설명 업데이트 작업에는 다음 매개변수가 필요합니다.

매개변수 설명

Description

필수 항목입니다.

케이스에 설정할 설명입니다.

작업 출력

케이스 설명 업데이트 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용할 수 없음
출력 메시지	사용 가능
스크립트 결과	사용 가능

출력 메시지

케이스 설명 업데이트 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

Successfully updated the case description. 작업이 완료되었습니다.

Error executing action "Update Case Description". Reason: ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 케이스 설명 업데이트 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름	값
`is_success`	`true` 또는 `false`

맞춤 필드 대기

맞춤 필드 대기 작업을 사용하여 맞춤 필드 값이 플레이북 실행을 계속할 때까지 기다립니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

맞춤 필드 대기 작업에는 다음 매개변수가 필요합니다.

매개변수 설명

Scope

필수 항목입니다.

맞춤 필드에 설정할 범위입니다.

가능한 값은 다음과 같습니다.

Case
Alert

기본값은 Case입니다.

Custom Fields Data

필수 항목입니다.

플레이북을 재개하기 위해 충족해야 하는 맞춤 필드의 조건입니다. 맞춤 필드 이름과 필수 값은 JSON 객체로 구성해야 합니다.

여러 필드의 조건을 설정하면 모든 필드가 각 조건과 일치할 때까지 작업이 대기합니다.

맞춤 필드에 값이 있는 경우 재개하려면 빈 문자열을 구성하세요.
```
{"Custom Field Name": ""}
```
맞춤 필드가 VALUE_1와 같은 특정 값과 같을 때 재개하려면 값을 지정하세요.
```
{"Custom Field Name": "VALUE_1"}
```

기본값은 예상되는 JSON 형식을 보여줍니다.

{
  "Custom Field Name 1": "Custom Field Value 1",
  "Custom Field Name 2": "Custom Field Value 2"
}

작업 출력

맞춤 입력란 대기 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용 가능
출력 메시지	사용 가능
스크립트 결과	사용 가능

JSON 결과

다음 예시는 맞춤 필드 대기 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.

{
"Custom Field Name": "Updated Custom Field Value",
"Custom Field Name": "Updated Custom Field Value",
}

출력 메시지

맞춤 입력란 대기 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

Successfully waited for the following SCOPE custom fields: UPDATED_CUSTOM_FIELD_NAMES

Waiting for SCOPE custom fields updates...

작업이 완료되었습니다.

Error executing action "Wait For Custom Fields". Reason: ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 맞춤 필드 대기 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름	값
`is_success`	`true` 또는 `false`

작업

작업에 대한 자세한 내용은 새 작업 구성 및 고급 예약을 참고하세요.

Siemplify - Actions Monitor

Siemplify - Actions Monitor 작업을 사용하여 지난 3시간 동안 최소 3회 이상 실패한 작업에 관한 알림을 받습니다.

작업 매개변수

Siemplify - Actions Monitor 작업에는 다음 매개변수가 필요합니다.

매개변수 설명

Run Interval In Seconds

(선택사항)

작업이 실행되는 간격(초)입니다.

이 파라미터는 통합이 실패한 플레이북 작업을 확인하는 빈도를 결정합니다.

기본값은 900입니다.

Is Enabled

(선택사항)

선택하면 작업이 활성화되고 일정에 따라 실행됩니다. 선택하지 않으면 작업이 사용 중지되고 실행되지 않습니다.

기본적으로 사용 설정됩니다.

Siemplify - Cases Collector DB

Siemplify - Cases Collector DB 작업을 사용하여 지정된 게시자로부터 보안 케이스를 가져오고 처리합니다.

작업 매개변수

Siemplify - Cases Collector DB 작업에는 다음 매개변수가 필요합니다.

매개변수 설명

Publisher Id

필수 항목입니다.

케이스와 로그를 수집할 게시자의 ID입니다.

Verify SSL

(선택사항)

선택하면 작업에서 게시자의 SSL 인증서가 유효한지 확인합니다.

기본적으로 사용 설정되어 있지 않습니다.

Siemplify - Logs Collector

Siemplify - Logs Collector 작업을 사용하여 지정된 게시자의 로그를 가져오고 처리합니다.

작업 입력

Siemplify - Logs Collector 작업에는 다음 매개변수가 필요합니다.

매개변수 설명

Publisher Id

필수 항목입니다.

로그를 수집할 게시자의 ID입니다.

Verify SSL

(선택사항)

선택하면 작업에서 게시자의 SSL 인증서가 유효한지 확인합니다.

기본적으로 사용 설정되어 있지 않습니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.