Integrar o Siemplify ao Google SecOps

Este documento explica como integrar o Siemplify ao Google Security Operations (Google SecOps).

Versão da integração: 94.0

Casos de uso

A integração do Siemplify pode abordar os seguintes casos de uso:

• Investigação de phishing: use os recursos do Google SecOps para automatizar o processo de análise de e-mails de phishing, extrair indicadores de comprometimento (IOCs) e enriquecê-los com inteligência de ameaças.

• Contenção de malware:use os recursos do Google SecOps para isolar automaticamente endpoints infectados, iniciar verificações e colocar arquivos maliciosos em quarentena após a detecção de malware.

• Gerenciamento de vulnerabilidades:use os recursos do Google SecOps para orquestrar verificações de vulnerabilidades, priorizar vulnerabilidades com base no risco e criar automaticamente tíquetes para correção.

• Caça a ameaças:use os recursos do Google SecOps para automatizar a execução de consultas de caça a ameaças em várias ferramentas de segurança e conjuntos de dados.

• Triagem de alertas de segurança:use os recursos do Google SecOps para enriquecer automaticamente os alertas de segurança com informações contextuais, correlacioná-los com outros eventos e priorizá-los com base na gravidade.

• Resposta a incidentes:use os recursos do Google SecOps para orquestrar todo o processo de resposta a incidentes, desde a detecção inicial até a contenção e a erradicação.

• Relatórios de compliance:use os recursos do Google SecOps para automatizar a coleta e a análise de dados de segurança para relatórios de compliance.

Parâmetros de integração

A integração com o Siemplify exige os seguintes parâmetros:

Para instruções sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.

É possível fazer mudanças mais tarde, se necessário. Depois de configurar uma instância de integração, você pode usá-la em playbooks. Para mais informações sobre como configurar e oferecer suporte a várias instâncias, consulte Suporte a várias instâncias.

Ações

Para mais informações sobre ações, consulte Responder a ações pendentes da sua mesa de trabalho e Realizar uma ação manual.

Adicionar insight de entidade

Use a ação Adicionar insight de entidade para adicionar um insight à entidade do Google SecOps segmentada no Siemplify.

Essa ação é executada em todas as entidades do Google SecOps.

Entradas de ação

A ação Adicionar insights de entidade exige os seguintes parâmetros:

Saídas de ação

A ação Adicionar insight de entidade fornece as seguintes saídas:

Mensagens de saída

A ação Adicionar insight de entidade pode retornar as seguintes mensagens de saída:

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Adicionar insights de entidade:

Adicionar insight geral

Use a ação Adicionar insight geral para adicionar um insight geral ao caso.

Essa ação é executada em todas as entidades do Google SecOps.

Entradas de ação

A ação Adicionar insights gerais exige os seguintes parâmetros:

Saídas de ação

A ação Adicionar insight geral fornece as seguintes saídas:

Mensagens de saída

A ação Adicionar insight geral pode retornar as seguintes mensagens de saída:

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Adicionar insights gerais:

Adicionar tags a casos semelhantes

Use a ação Adicionar tags a casos semelhantes para incluir tags em casos semelhantes.

Para encontrar casos semelhantes, a ação usa a função siemplify.get_similar_cases() com os parâmetros recuperados que retornam uma lista de IDs de casos.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Adicionar tags a casos semelhantes exige os seguintes parâmetros:

Saídas de ação

A ação Adicionar tags a casos semelhantes fornece as seguintes saídas:

Mensagens de saída

A ação Adicionar tags a casos semelhantes pode retornar as seguintes mensagens de saída:

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Adicionar tags a casos semelhantes:

Adicionar à lista personalizada

Use a ação Adicionar à lista personalizada para incluir um identificador de entidade em uma lista personalizada categorizada e fazer comparações futuras em outras ações.

Essa ação é executada em todas as entidades do Google SecOps.

Entradas de ação

A ação Adicionar à lista personalizada exige os seguintes parâmetros:

Saídas de ação

A ação Adicionar à lista personalizada fornece as seguintes saídas:

Mensagens de saída

A ação Adicionar à lista personalizada pode retornar as seguintes mensagens de saída:

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Adicionar à lista personalizada:

Atribuir caso

Use a ação Atribuir caso para atribuir um caso a um usuário ou grupo de usuários específico.

Essa ação é executada em todas as entidades do Google SecOps.

Entradas de ação

A ação Atribuir caso exige os seguintes parâmetros:

Saídas de ação

A ação Atribuir caso fornece as seguintes saídas:

Mensagens de saída

A ação Adicionar à lista personalizada pode retornar as seguintes mensagens de saída:

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Atribuir caso:

Anexar playbook ao alerta

Use a ação Anexar playbook ao alerta para anexar um playbook específico a um alerta.

Essa ação é executada em todas as entidades do Google SecOps.

Entradas de ação

A ação Anexar playbook a alerta exige os seguintes parâmetros:

Saídas de ação

A ação Anexar playbook ao alerta fornece as seguintes saídas:

Mensagens de saída

A ação Pesquisar gráficos pode retornar as seguintes mensagens de saída:

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Anexar playbook ao alerta:

Comentário do caso

Use a ação Comentário do caso para adicionar um comentário ao caso em que o alerta atual está agrupado.

Essa ação é executada em todas as entidades do Google SecOps.

Entradas de ação

A ação Comentário do caso exige os seguintes parâmetros:

Saídas de ação

A ação Comentário do caso fornece as seguintes saídas:

Mensagens de saída

A ação AddVoteToEntity pode retornar as seguintes mensagens de saída:

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Comentário do caso:

Tag do caso

Use a ação Tag do caso para adicionar uma tag ao caso em que o alerta atual está agrupado.

Essa ação é executada em todas as entidades do Google SecOps.

Entradas de ação

A ação Tag de caso exige os seguintes parâmetros:

Saídas de ação

A ação Tag de caso fornece as seguintes saídas:

Mensagens de saída

A ação Adicionar tag de caso pode retornar as seguintes mensagens de saída:

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Tag de caso:

Alterar prioridade do alerta

Use a ação Mudar a prioridade do alerta para atualizar a prioridade de um alerta em um caso.

Essa ação é executada em todas as entidades do Google SecOps.

Entradas de ação

A ação Mudar a prioridade do alerta exige os seguintes parâmetros:

Saídas de ação

A ação Mudar prioridade do alerta fornece as seguintes saídas:

Mensagens de saída

A ação AddVoteToEntity pode retornar as seguintes mensagens de saída:

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Mudar a prioridade do alerta:

Alterar etapa do caso

Use a ação Mudar etapa do caso para alterar a etapa.

Essa ação é executada em todas as entidades do Google SecOps.

Entradas de ação

A ação Mudar etapa de caso exige os seguintes parâmetros:

Saídas de ação

A ação Mudar etapa de caso fornece as seguintes saídas:

Mensagens de saída

A ação AddVoteToEntity pode retornar as seguintes mensagens de saída:

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Mudar etapa de caso:

Alterar prioridade

Use a ação Mudar prioridade para atualizar a prioridade do caso investigado.

Essa ação é executada em todas as entidades do Google SecOps.

Entradas de ação

A ação Mudar prioridade exige os seguintes parâmetros:

Saídas de ação

A ação Mudar prioridade fornece as seguintes saídas:

Mensagens de saída

A ação AddVoteToEntity pode retornar as seguintes mensagens de saída:

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Mudar prioridade:

Fechar alerta

Use a ação Fechar alerta para fechar o alerta.

Essa ação é executada em todas as entidades do Google SecOps.

Entradas de ação

A ação Fechar alerta exige os seguintes parâmetros:

Saídas de ação

A ação Fechar alerta fornece as seguintes saídas:

Mensagens de saída

A ação AddVoteToEntity pode retornar as seguintes mensagens de saída:

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Fechar alerta:

Encerrar caso

Use a ação Encerrar caso para fechar o caso.

Essa ação é executada em todas as entidades do Google SecOps.

Entradas de ação

A ação Encerrar caso exige os seguintes parâmetros:

Saídas de ação

A ação Fechar caso fornece as seguintes saídas:

Mensagens de saída

A ação AddVoteToEntity pode retornar as seguintes mensagens de saída:

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Encerrar caso:

Criar entidade

Use a ação Criar entidade para criar uma entidade e adicioná-la a um alerta.

Essa ação é executada em todas as entidades do Google SecOps.

Entradas de ação

A ação Criar entidade exige os seguintes parâmetros:

Saídas de ação

A ação Criar entidade fornece as seguintes saídas:

Mensagens de saída

A ação Criar entidade pode retornar as seguintes mensagens de saída:

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Criar entidade:

Criar um resumo de caso do Gemini

Use a ação Criar resumo de caso do Gemini para criar um resumo de caso do Gemini e adicioná-lo a um alerta.

Essa ação é executada em todas as entidades do Google SecOps.

Entradas de ação

Nenhuma.

Saídas de ação

A ação Criar resumo de caso do Gemini fornece as seguintes saídas:

Resultado JSON

O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Criar resumo de caso do Gemini:

{
  "summary": "On the Linux agent instance-1 (IP addresses 10.150.0.3 and 34.85.128.214), user vanshikavw_google_com initiated the process curl (SHA1 hash 3395856ce81f2b7382dee72602f798b642f14140) to create the malware file /home/vanshikavw_google_com/eicar_test_vanshikavw-test-new.\n*  VirusTotal identifies the SHA1 hash 3395856ce81f2b7382dee72602f798b642f14140 as a virus.eicar/test.\n*  CURL is associated with multiple actors, including APT27, APT34, APT41, APT44, APT9, FIN11, FIN13, FIN6, TEMP.Armageddon, Turla Team, UNC1151, UNC1860, UNC215, UNC2165, UNC2500, UNC251, UNC2595, UNC2633, UNC2900, UNC2975, UNC3569, UNC3661, UNC3944, UNC4483, UNC4936, UNC4962, UNC5007, UNC5051, UNC5055, UNC5156, UNC5221, UNC5266, UNC5330, UNC5371, UNC5470, UNC5859, and UNC961.\n*  CURL is known to use MITRE ATT&CK techniques such as T1113, T1095, T1036, T1553, T1222, T1055, T1140, T1070, T1027, T1622, T1057, T1010, T1083, T1518, T1082, T1016, T1059, T1496, and T1588.\n*  A GTI MALWARE search did not find any information about eicar_test_vanshikavw-test-new.\n*  A GTI IP_ADDRESS search did not find any information about 10.150.0.3 or 34.85.128.214.", 
  "next_steps": ["Isolate instance-1 to prevent any potential lateral movement or further compromise of the network, as the curl process is associated with multiple threat actors.", 
  "Investigate the user account vanshikavw_google_com to determine if the user's credentials have been compromised or if the user initiated the curl process intentionally, as the curl process is associated with multiple threat actors.", 
  "Analyze the network traffic to and from the IP addresses 10.150.0.3 and 34.85.128.214 for any suspicious communication patterns, as the curl process is associated with multiple threat actors.", 
  "Examine the process execution logs on instance-1 for any other unusual or unauthorized activities, as the curl process is associated with multiple threat actors.", 
  "Review the configuration of the Linux agent on instance-1 to ensure that it is properly secured and that no unauthorized modifications have been made, as the curl process is associated with multiple threat actors."], 
  "reasons": ["The case involves a Linux agent instance-1 (IP addresses 10.150.0.3 and 34.85.128.214) where user vanshikavw_google_com initiated the process curl to create the file /home/vanshikavw_google_com/eicar_test_vanshikavw-test-new.", 
  "The SHA1 hash 3395856ce81f2b7382dee72602f798b642f14140 of the curl process is identified by VirusTotal as virus.eicar/test, indicating it is a known test virus.", 
  "The process CURL is associated with multiple threat actors, including APT27, APT34, APT41, APT44, APT9, FIN11, FIN13, FIN6, TEMP.Armageddon, Turla Team, UNC1151, UNC1860, UNC215, UNC2165, UNC2500, UNC251, UNC2595, UNC2633, UNC2900, UNC2975, UNC3569, UNC3661, UNC3944, UNC4483, UNC4936, UNC4962, UNC5007, UNC5051, UNC5055, UNC5156, UNC5221, UNC5266, UNC5330, UNC5371, UNC5470, UNC5859, and UNC961, suggesting a potential link to malicious activity.", 
  "CURL is known to use various MITRE ATT&CK techniques such as T1113, T1095, T1036, T1553, T1222, T1055, T1140, T1070, T1027, T1622, T1057, T1010, T1083, T1518, T1082, T1016, T1059, T1496, and T1588, indicating a wide range of potential malicious behaviors.", 
  "The file eicar_test_vanshikavw-test-new was not found in GTI MALWARE searches, and the IP addresses 10.150.0.3 and 34.85.128.214 were not found in GTI IP_ADDRESS searches."]}

Mensagens de saída

A ação Criar resumo de caso do Gemini pode retornar as seguintes mensagens de saída:

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Criar resumo de caso do Gemini:

Criar ou atualizar propriedades da entidade

Use a ação Criar ou atualizar propriedades de entidade para criar ou mudar propriedades de entidades no escopo de entidade.

Essa ação é executada em todas as entidades do Google SecOps.

Entradas de ação

A ação Criar ou atualizar propriedades da entidade exige os seguintes parâmetros:

Saídas de ação

A ação Criar ou atualizar propriedades da entidade fornece as seguintes saídas:

Mensagens de saída

A ação AddVoteToEntity pode retornar as seguintes mensagens de saída:

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Criar ou atualizar propriedades da entidade:

Acessar detalhes do caso

Use a ação Receber detalhes do caso para acessar todos os dados de um caso, incluindo comentários, informações de entidades, insights, playbooks executados, informações de alertas e eventos.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Receber detalhes do caso exige os seguintes parâmetros:

Saídas de ação

A ação Receber detalhes do caso fornece as seguintes saídas:

Resultado JSON

O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Get Case Details:

{
"id": 24879,
"creationTimeUnixTimeInMs": 1750862500562,
"modificationTimeUnixTimeInMs": 1750862500562,
"name": "Malware",
"priority": -1,
"isImportant": false,
"isIncident": false,
"startTimeUnixTimeInMs": 1727243021999,
"endTimeUnixTimeInMs": 1727243022479,
"assignedUser": "@Tier1",
"description": null,
"isTestCase": true,
"type": 1,
"stage": "Triage",
"environment": "Default Environment",
"status": 1,
"incidentId": null,
"tags": ["hi", "Simulated Case"],
"alertCards": [{
  "id": 172354,
  "creationTimeUnixTimeInMs": 1750862500651,
  "modificationTimeUnixTimeInMs": 1750862500651,
  "identifier": "EICAR_TEST_VANSHIKAVW-TEST-NEW0CC43705-04A7-43FD-88CD-B3E7FECA881D",
  "status": 0,
  "name": "EICAR_TEST_VANSHIKAVW-TEST-NEW",
  "priority": -1,
  "workflowsStatus": 1,
  "slaExpirationUnixTime": null,
  "slaCriticalExpirationUnixTime": null,
  "startTime": 1727243021999,
  "endTime": 1727243022479,
  "alertGroupIdentifier": "MalwareSFBrxjAXvKJsJyKe5iQalf00zrv/QwX966dRoEyP2eA=_8cc160b5-7039-421c-926c-1a98073f11d2",
  "eventsCount": 3,
  "title": "EICAR_TEST_VANSHIKAVW-TEST-NEW",
  "ruleGenerator": "Malware",
  "deviceProduct": "SentinelOneV2",
  "deviceVendor": "SentinelOneV2",
  "playbookAttached": "Testing",
  "playbookRunCount": 1,
  "isManualAlert": false,
  "sla": {
    "slaExpirationTime": null,
    "criticalExpirationTime": null,
    "expirationStatus": 2,
    "remainingTimeSinceLastPause": null
    },
  "fieldsGroups": [],
  "sourceUrl": null,
  "sourceRuleUrl": null,
  "siemAlertId": null,
  "relatedCases": [],
  "lastSourceUpdateUnixTimeInMs": null,
  "caseId": 24879,
  "nestingDepth": 0
  }],
"isOverflowCase": false,
"isManualCase": false,
"slaExpirationUnixTime": null,
"slaCriticalExpirationUnixTime": null,
"stageSlaExpirationUnixTimeInMs": null,
"stageSlaCriticalExpirationUnixTimeInMs": null,
"canOpenIncident": false,
"sla": {
  "slaExpirationTime": null,
  "criticalExpirationTime": null,
  "expirationStatus": 2,
  "remainingTimeSinceLastPause": null
  },
"stageSla": {
  "slaExpirationTime": null,
  "criticalExpirationTime": null,
  "expirationStatus": 2,
  "remainingTimeSinceLastPause": null},
  "relatedAlertTicketId": null,
  "relatedAlertCards": []
  }

Mensagens de saída

A ação Receber detalhes do caso pode retornar as seguintes mensagens de saída:

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Receber detalhes do caso:

Receber valor de contexto do conector

Use a ação Get Connector Context Value para receber um valor armazenado em uma chave especificada no banco de dados do Google SecOps para um contexto de conector.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Get Connector Context Value exige os seguintes parâmetros:

Saídas de ação

A ação Get Connector Context Value fornece as seguintes saídas:

Tabela do Painel de casos

A ação Receber valor do contexto do conector pode gerar a seguinte tabela:

Nome da tabela: Connector

Colunas da tabela:

• Identificador do conector
• Key
• Valor

Mensagens de saída

A ação Get Connector Context Value pode retornar as seguintes mensagens de saída:

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Extrair valor do contexto do conector:

Acessar valores de campos personalizados

Use a ação Receber valores de campo personalizado para recuperar os valores atuais do campo personalizado com base no escopo especificado.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Get Custom Field Values exige os seguintes parâmetros:

Saídas de ação

A ação Receber valores de campos personalizados fornece as seguintes saídas:

Resultado JSON

O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Receber valores de campos personalizados:

[{
   "Case": {
       "Case Custom Field Name 1": "Updated Custom Field Value",
       "Case Custom Field Name 2": "Updated Custom Field Value"
   },
   "Alert": {
       "Alert Custom Field Name 1": "Updated Custom Field Value",
       "Alert Custom Field Name 2": "Updated Custom Field Value"
   }
}]

Mensagens de saída

A ação Get Custom Field Values pode retornar as seguintes mensagens de saída:

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Get Custom Field Values:

Receber valor do contexto do escopo

Use a ação Receber valor do contexto do escopo para receber um valor armazenado em uma chave especificada no banco de dados do Google SecOps.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Get Scope Context Value exige os seguintes parâmetros:

Saídas de ação

A ação Receber valor do contexto do escopo fornece as seguintes saídas:

Tabela do Painel de casos

A ação Receber valor do contexto do escopo pode gerar a seguinte tabela:

Nome da tabela: SCOPE

Colunas da tabela:

• Key
• Valor

Mensagens de saída

A ação Get Scope Context Value pode retornar as seguintes mensagens de saída:

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Get Scope Context Value:

Receber casos semelhantes

Use a ação Receber casos semelhantes para pesquisar casos parecidos e retornar os IDs deles.

Essa ação é executada em todas as entidades do Google SecOps.

Entradas de ação

A ação Receber casos semelhantes exige os seguintes parâmetros:

A ação Receber casos semelhantes aplica o operador lógico AND aos parâmetros Rule Generator, Port, Category Outcome, Entity Identifier, Include Open Cases e Include Closed Cases para usá-los na mesma pesquisa.

Saídas de ação

A ação Receber casos semelhantes fornece as seguintes saídas:

Resultado JSON

O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Receber casos semelhantes:

{
  "results": [{
    "id": 23874, 
    "name": "Malware", 
    "tags": ["hi", "Simulated Case"], 
    "start time": "2024-09-25 05:43:41.999000+00:00", 
    "start time unix": 1727243021999, 
    "last modified": "2025-06-19 13:24:01.062000+00:00", 
    "priority": "Informative", 
    "assigned user": "@Tier1", 
    "matching_criteria": {
        "ruleGenerator": true, 
        "port": true, 
        "outcome": true, 
        "entities": true
      }, 
    "matched_entities": [
      {"entity": "INSTANCE-1", "type": "HOSTNAME", "isSuspicious": false}, 
      {"entity": "10.150.0.3", "type": "ADDRESS", "isSuspicious": false}, {"entity": "172.17.0.1", "type": "ADDRESS", "isSuspicious": false}, {"entity": "VANSHIKAVW_GOOGLE_COM", "type": "USERUNIQNAME", "isSuspicious": false}, 
      {"entity": "CURL", "type": "PROCESS", "isSuspicious": false}, {"entity": "EICAR_TEST_VANSHIKAVW-TEST-NEW", "type": "FILENAME", "isSuspicious": false}, 
      {"entity": "3395856CE81F2B7382DEE72602F798B642F14140", "type": "FILEHASH", "isSuspicious": false}, 
      {"entity": "34.85.128.214", "type": "ADDRESS", "isSuspicious": false}, 
      {"entity": "/HOME/VANSHIKAVW_GOOGLE_COM/EICAR_TEST_VANSHIKAVW-TEST-NEW", "type": "FILENAME", "isSuspicious": false}
      ], 
      "status": "Open"}], 
      "stats": 
      {"Malicious": 0.0, "Is Important": 0.0, "Is Incident": 0.0, "Status Open": 100.0}, 
      "platform_url": "https://soarapitest.backstory.chronicle.security/"
}

Mensagens de saída

A ação Get Similar Cases pode retornar as seguintes mensagens de saída:

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Receber casos semelhantes:

Instrução

Use a ação Instrução para definir instruções para um analista.

Essa ação é executada em todas as entidades do Google SecOps.

Entradas de ação

A ação Instrução exige os seguintes parâmetros:

Saídas de ação

A ação Instrução fornece as seguintes saídas:

Mensagens de saída

A ação AddVoteToEntity pode retornar as seguintes mensagens de saída:

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Instrução:

Está na lista personalizada

Use a ação Está na lista personalizada para verificar se o identificador da entidade faz parte de uma lista personalizada especificada.

Essa ação é executada em todas as entidades do Google SecOps.

Entradas de ação

A ação Está na lista personalizada exige os seguintes parâmetros:

Saídas de ação

A ação Está na lista personalizada fornece as seguintes saídas:

Mensagens de saída

A ação Está na lista personalizada pode retornar as seguintes mensagens de saída:

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Está na lista personalizada:

Marcar como importante

Use a ação Marcar como importante para marcar um caso como importante.

Essa ação é executada em todas as entidades do Google SecOps.

Entradas de ação

Nenhuma.

Saídas de ação

A ação Marcar como importante fornece as seguintes saídas:

Mensagens de saída

A ação Marcar como importante pode retornar as seguintes mensagens de saída:

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Marcar como importante:

URL da OpenWeb

Use a ação Abrir URL da Web para gerar um link do navegador.

Essa ação é executada em todas as entidades do Google SecOps.

Entradas de ação

A ação Abrir URL da Web exige os seguintes parâmetros:

Saídas de ação

A ação Abrir URL da Web fornece as seguintes saídas:

Mensagens de saída

A ação Abrir URL da Web pode retornar as seguintes mensagens de saída:

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Abrir URL da Web:

Pausar SLA do alerta

Use a ação Pausar SLA do alerta para pausar o timer do contrato de nível de serviço (SLA) de um alerta específico no caso.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Pausar SLA do alerta exige os seguintes parâmetros:

Saídas de ação

A ação Pausar SLA do alerta fornece as seguintes saídas:

Mensagens de saída

A ação Pausar SLA do alerta pode retornar as seguintes mensagens de saída:

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Pausar SLA de alerta:

Pausar SLA do caso

Use a ação Pausar SLA do caso para pausar o timer do contrato de nível de serviço (SLA) de um caso específico.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Pausar SLA do caso exige os seguintes parâmetros:

Saídas de ação

A ação Pausar SLA do caso fornece as seguintes saídas:

Mensagens de saída

A ação Pausar SLA do caso pode retornar as seguintes mensagens de saída:

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Pausar SLA de caso:

Horário permitido para alertas

Use a ação Tempo permitido para alerta para verificar se o horário de início de um alerta selecionado está de acordo com as condições de tempo definidas pelo usuário.

Essa ação é executada em todas as entidades do Google SecOps.

Entradas de ação

A ação Período permitido para alertas exige os seguintes parâmetros:

Saídas de ação

A ação Período permitido para alertas fornece as seguintes saídas:

Mensagens de saída

A ação Tempo de alerta permitido pode retornar as seguintes mensagens de saída:

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Tempo permitido para alerta:

Ping

Use a ação Ping para testar a conectividade.

Essa ação é executada em todas as entidades do Google SecOps.

Entradas de ação

Nenhuma.

Saídas de ação

A ação Ping fornece as seguintes saídas:

Mensagens de saída

A ação Ping pode retornar as seguintes mensagens de saída:

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Ping:

Gerar incidente

Use a ação Criar incidente para abrir um incidente de caso e marcar os casos positivos verdadeiros como Critical.

Essa ação é executada em todas as entidades do Google SecOps.

Entradas de ação

A ação Gerar incidente exige os seguintes parâmetros:

Saídas de ação

A ação Gerar incidente fornece as seguintes saídas:

Mensagens de saída

A ação Pesquisar problemas do ASM pode retornar as seguintes mensagens de saída:

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Gerar incidente:

Remover tag

Use a ação Remover tag para remover tags de um caso.

Essa ação é executada em todas as entidades do Google SecOps.

Entradas de ação

A ação Remover tag exige os seguintes parâmetros:

Saídas de ação

A ação Remover tag fornece as seguintes saídas:

Mensagens de saída

A ação Remover tag pode retornar as seguintes mensagens de saída:

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Remover tag:

Remover da lista personalizada

Use a ação Remover da lista personalizada para remover entidades associadas a um alerta de uma categoria de lista personalizada especificada.

Essa ação é executada em todas as entidades do Google SecOps.

Entradas de ação

A ação Remover da lista personalizada exige os seguintes parâmetros:

Saídas de ação

A ação Remover da lista personalizada fornece as seguintes saídas:

Mensagens de saída

A ação Remover da lista personalizada pode retornar as seguintes mensagens de saída:

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Remover da lista personalizada:

Retomar SLA do alerta

Use a ação Retomar SLA do alerta para reiniciar o timer do contrato de nível de serviço (SLA) de um alerta específico no caso.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

Nenhuma.

Saídas de ação

A ação Retomar SLA do alerta fornece as seguintes saídas:

Mensagens de saída

A ação Retomar SLA do alerta pode retornar as seguintes mensagens de saída:

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Retomar o SLA de alerta:

Retomar SLA do caso

Use a ação Retomar SLA do caso para reiniciar o timer do contrato de nível de serviço (SLA) de um caso específico.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

Nenhuma.

Saídas de ação

A ação Retomar SLA do caso fornece as seguintes saídas:

Mensagens de saída

A ação Retomar SLA do caso pode retornar as seguintes mensagens de saída:

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Retomar SLA de caso:

Definir SLA de alerta

Use a ação Definir SLA de alerta para definir o timer de SLA de um alerta.

Essa ação tem a maior prioridade e substitui o SLA definido para o alerta específico.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Definir SLA de alerta exige os seguintes parâmetros:

Saídas de ação

A ação Definir SLA de alerta fornece as seguintes saídas:

Mensagens de saída

A ação Definir SLA de alerta pode retornar as seguintes mensagens de saída:

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Definir SLA de alerta:

Definir SLA do caso

Use a ação Definir SLA do caso para definir o SLA de um caso.

Essa ação tem a maior prioridade e substitui o SLA definido para o caso específico.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Definir SLA do caso exige os seguintes parâmetros:

Saídas de ação

A ação Definir SLA de caso fornece as seguintes saídas:

Mensagens de saída

A ação Pesquisar problemas do ASM pode retornar as seguintes mensagens de saída:

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Definir SLA do caso:

Definir campos personalizados

Use a ação Definir campos personalizados para definir valores para campos personalizados.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Definir campos personalizados exige os seguintes parâmetros:

    {
      "Custom Field Name 1": "Custom Field Value 1",
      "Custom Field Name 2": "Custom Field Value 2"
    }
    

Saídas de ação

A ação Definir campos personalizados fornece as seguintes saídas:

Resultado JSON

O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Definir campos personalizados:

{
"Custom Field Name": "Updated Custom Field Value",
"Custom Field Name": "Updated Custom Field Value",
}

Mensagens de saída

A ação Definir campos personalizados pode retornar as seguintes mensagens de saída:

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Definir campos personalizados:

Definir pontuação de risco

Use a ação Definir pontuação de risco para atualizar a pontuação de risco de um caso.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Definir pontuação de risco exige os seguintes parâmetros:

Saídas de ação

A ação Definir pontuação de risco fornece as seguintes saídas:

Mensagens de saída

A ação Definir pontuação de risco pode retornar as seguintes mensagens de saída:

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Definir pontuação de risco:

Definir valor do contexto do escopo

Use a ação Definir valor do contexto de escopo para definir um valor para uma chave armazenada no banco de dados do Google SecOps.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Definir valor do contexto de escopo exige os seguintes parâmetros:

Saídas de ação

A ação Receber valor do contexto do escopo fornece as seguintes saídas:

Mensagens de saída

A ação Definir valor do contexto de escopo pode retornar as seguintes mensagens de saída:

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Definir valor do contexto do escopo:

Atualizar descrição do caso

Use a ação Atualizar descrição do caso para atualizar a descrição de um caso.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Atualizar descrição do caso exige os seguintes parâmetros:

Saídas de ação

A ação Atualizar descrição do caso fornece as seguintes saídas:

Mensagens de saída

A ação Atualizar descrição do caso pode retornar as seguintes mensagens de saída:

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Atualizar descrição do caso:

Aguardar campos personalizados

Use a ação Aguardar campos personalizados para esperar que os valores dos campos personalizados continuem a execução do playbook.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Aguardar campos personalizados exige os seguintes parâmetros:

    {
      "Custom Field": ""
    }
    

    {
      "Custom Field": "VALUE_1"
    }
    

    {
      "Custom Field Name 1": "Custom Field Value 1",
      "Custom Field Name 2": "Custom Field Value 2"
    }
    

Saídas de ação

A ação Aguardar campos personalizados fornece as seguintes saídas:

Resultado JSON

O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Aguardar campos personalizados:

{
"Custom Field Name": "Updated Custom Field Value",
"Custom Field Name": "Updated Custom Field Value",
}

Mensagens de saída

A ação Aguardar campos personalizados pode retornar as seguintes mensagens de saída:

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Aguardar campos personalizados:

Jobs

Com a integração do Siemplify, é possível usar os seguintes jobs:

• Siemplify - Actions Monitor (em inglês)
• Siemplify - banco de dados do coletor de casos
• Siemplify: coletor de registros

Siemplify: Actions Monitor

Use o job Siemplify - Actions Monitor para receber notificações de todas as ações que falharam individualmente pelo menos três vezes nas últimas três horas.

Entradas de jobs

O job Siemplify - Actions Monitor exige os seguintes parâmetros:

Siemplify - banco de dados do coletor de casos

Use o job Siemplify - Cases Collector DB para recuperar e processar casos de segurança de um publisher designado.

Entradas de jobs

O job Siemplify - Cases Collector DB exige os seguintes parâmetros:

Siemplify: coletor de registros

Use o job Siemplify - Logs Collector para recuperar e processar registros de um editor especificado.

Entradas de jobs

O job Siemplify - Logs Collector exige os seguintes parâmetros:

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.