Integrar o Siemplify ao Google SecOps

Versão da integração: 94.0

Este documento explica como integrar o Siemplify ao Google Security Operations (Google SecOps).

Casos de uso

A integração do Siemplify pode abordar os seguintes casos de uso:

  • Investigação de phishing: use os recursos do Google SecOps para automatizar o processo de análise de e-mails de phishing, extrair indicadores de comprometimento (IOCs, na sigla em inglês) e enriquecê-los com inteligência de ameaças.

  • Contenção de malware: use os recursos do Google SecOps para isolar automaticamente endpoints infectados, iniciar verificações e colocar arquivos maliciosos em quarentena após a detecção de malware.

  • Gerenciamento de vulnerabilidades: use os recursos do Google SecOps para orquestrar verificações de vulnerabilidades, priorizar vulnerabilidades com base no risco e criar tíquetes automaticamente para correção.

  • Caça a ameaças: use os recursos do Google SecOps para automatizar a execução de consultas de caça a ameaças em várias ferramentas de segurança e conjuntos de dados.

  • Triagem de alertas de segurança: use os recursos do Google SecOps para enriquecer automaticamente os alertas de segurança com informações contextuais, correlacioná-los com outros eventos e priorizá-los com base na gravidade.

  • Resposta a incidentes: use os recursos do Google SecOps para orquestrar todo o processo de resposta a incidentes, desde a detecção inicial até a contenção e a erradicação.

  • Relatórios de compliance: use os recursos do Google SecOps para automatizar a coleta e a análise de dados de segurança para relatórios de compliance.

Parâmetros de integração

A integração do Siemplify exige os seguintes parâmetros:

Parâmetro Descrição
Monitors Mail Recipients

Obrigatório.

Uma lista separada por vírgulas de endereços de e-mail para validação nos fluxos de trabalho relacionados a e-mail da integração.

Essa lista é usada para definir os destinatários do processamento.

O valor padrão é example@mail.com,example1@mail.com.
Elastic Server Address

Obrigatório.

O endereço do servidor Elastic usado para se conectar ao banco de dados do Siemplify.

Normalmente, é o endereço da máquina host em que a instância do Elastic é executada.

O valor padrão é localhost.

Para instruções sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.

Você pode fazer mudanças mais tarde, se necessário. Depois de configurar uma instância de integração, você pode usá-la em playbooks. Para mais informações sobre como configurar e oferecer suporte a várias instâncias, consulte Suporte a várias instâncias.

Ações

Para mais informações sobre ações, consulte Responder a ações pendentes da sua mesa de trabalho e Realizar uma ação manual.

Adicionar insight de entidade

Use a ação Adicionar insights de entidade para adicionar um insight a uma entidade do Google SecOps no Siemplify.

Essa ação é executada em todas as entidades do Google SecOps.

Entradas de ação

A ação Adicionar insights de entidade exige os seguintes parâmetros:

Parâmetro Descrição
Message

Obrigatório.

A mensagem a ser adicionada à entidade.

Esse parâmetro aceita elementos HTML, como:

  • Títulos (<h1></h1>, <h2></h2>)
  • Parágrafos (<p></p>)
  • Formatação de texto (<b></b>, <i></i>, <br>)
  • Links (<a href="example.com"></a>).

Saídas de ação

A ação Adicionar insight de entidade fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação Adicionar insight de entidade pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Added insight with message MESSAGE to ENTITY_ID.

 A ação foi concluída.
Error executing action "Add Entity Insight". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Adicionar insights de entidade:

Nome do resultado do script Valor
is_success true ou false

Adicionar insight geral

Use a ação Adicionar insight geral para adicionar um insight geral ao caso.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Adicionar insights gerais exige os seguintes parâmetros:

Parâmetro Descrição
Title

Obrigatório.

O título do insight.
Message

Obrigatório.

A mensagem a ser adicionada à entidade.

Esse parâmetro aceita elementos HTML, como:

  • Títulos (<h1></h1>, <h2></h2>)
  • Parágrafos (<p></p>)
  • Formatação de texto (<b></b>, <i></i>, <br>)
  • Links (<a href="example.com"></a>).
Triggered By

Opcional.

Um campo de texto livre para justificar o insight, explicando por que ele foi adicionado ao caso.

Saídas de ação

A ação Adicionar insight geral fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação Adicionar insight geral pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Added insight with message MESSAGE.

 A ação foi concluída.
Error executing action "Add General Insight". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Adicionar insights gerais:

Nome do resultado do script Valor
is_success true ou false

Adicionar tags a casos semelhantes

Use a ação Adicionar tags a casos semelhantes para adicionar tags a casos semelhantes.

Para encontrar casos semelhantes, a ação usa a função siemplify.get_similar_cases() para recuperar uma lista de IDs de caso com base em um conjunto de critérios e parâmetros.

O operador lógico AND é aplicado aos parâmetros Rule Generator, Port, Category Outcome e Entity Identifier para filtrar casos que correspondem a todos os critérios especificados.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Adicionar tags a casos semelhantes exige os seguintes parâmetros:

Parâmetro Descrição
Rule Generator

Opcional.

Se selecionada, a ação vai procurar casos semelhantes usando o gerador de regras.

Ativado por padrão.
Port

Opcional.

Se selecionada, a ação vai procurar casos semelhantes usando números de porta.

Ativado por padrão.
Category Outcome

Opcional.

Se selecionada, a ação pesquisa casos semelhantes usando o resultado da categoria.

Ativado por padrão.
Entity Identifier

Opcional.

Se selecionada, a ação pesquisa casos semelhantes usando o identificador da entidade.

Ativado por padrão.
Days Back

Obrigatório.

O número de dias antes da data atual para pesquisar casos semelhantes.
Tags

Obrigatório.

Uma lista separada por vírgulas de tags a serem aplicadas aos casos semelhantes encontrados.

Saídas de ação

A ação Adicionar tags a casos semelhantes fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação Adicionar tags a casos semelhantes pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Found NUMBER_OF_SIMILAR_CASES similar cases. Successfully added tags: TAG_NAMES to cases CASE_IDS

 A ação foi concluída.
Error executing action "Add Tags To Similar Cases". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Adicionar tags a casos semelhantes:

Nome do resultado do script Valor
SimilarCasesIds Uma lista de IDs de casos semelhantes.

Adicionar à lista personalizada

Use a ação Adicionar à lista personalizada para incluir um identificador de entidade em uma lista personalizada categorizada e fazer comparações futuras em outras ações.

Essa ação é executada em todas as entidades do Google SecOps.

Entradas de ação

A ação Adicionar à lista personalizada exige os seguintes parâmetros:

Parâmetro Descrição
Category

Obrigatório.

O nome da categoria da lista personalizada a que o identificador de entidade será adicionado.

Saídas de ação

A ação Adicionar à lista personalizada fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação Adicionar à lista personalizada pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

The alert's entities ENTITY_IDS were added to custom list category: CATEGORY.

 A ação foi concluída.
Error executing action "Add to Custom List". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Adicionar à lista personalizada:

Nome do resultado do script Valor
is_success true ou false

Atribuir caso

Use a ação Atribuir caso para atribuir o caso a um usuário ou grupo de usuários específico.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Atribuir caso exige os seguintes parâmetros:

Parâmetro Descrição
Assigned User

Obrigatório.

O usuário ou grupo de usuários a quem o caso será atribuído.

Saídas de ação

A ação Atribuir caso fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação Adicionar à lista personalizada pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

The case was successfully assigned to ASSIGNED_USER.

 A ação foi concluída.
Error executing action "Assign Case". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Atribuir caso:

Nome do resultado do script Valor
is_success true ou false

Anexar playbook ao alerta

Use a ação Anexar playbook ao alerta para anexar um playbook específico ao alerta.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Anexar playbook a alerta exige os seguintes parâmetros:

Parâmetro Descrição
Playbook Name

Obrigatório.

O nome do playbook a ser anexado ao alerta atual.
Allow Duplicates

Opcional.

Se selecionada, o playbook poderá ser anexado ao alerta mais de uma vez.

Ativado por padrão.

Saídas de ação

A ação Anexar playbook ao alerta fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação Pesquisar gráficos pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Successfully attached the PLAYBOOK_NAME playbook to the alert CURRENT_ALERT_NAME.

 A ação foi concluída.
Error executing action "Attach Playbook to Alert". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Anexar playbook ao alerta:

Nome do resultado do script Valor
Resultado do script true ou false

Comentário do caso

Use a ação Comentário do caso para adicionar um comentário ao caso em que o alerta atual está agrupado.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Comentário do caso exige os seguintes parâmetros:

Parâmetro Descrição
Comment

Obrigatório.

O comentário a ser adicionado ao caso.

Saídas de ação

A ação Comentário do caso fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação AddVoteToEntity pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Comment added to case: CASE_COMMENT.

 A ação foi concluída.
Error executing action "Case Comment". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Comentário do caso:

Nome do resultado do script Valor
SuccessStatus true ou false

Tag do caso

Use a ação Tag de caso para adicionar uma tag ao caso em que o alerta atual está agrupado.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Tag de caso exige os seguintes parâmetros:

Parâmetro Descrição
Tag

Obrigatório.

A tag a ser adicionada ao caso.

Saídas de ação

A ação Tag de caso fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação Adicionar tag ao caso pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

The tag TAG_NAME was added to the case

 A ação foi concluída.
Error executing action "Add Vote To Entity". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Tag de caso:

Nome do resultado do script Valor
is_success true ou false

Alterar prioridade do alerta

Use a ação Mudar a prioridade do alerta para atualizar a prioridade de um alerta em um caso.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Mudar a prioridade do alerta exige os seguintes parâmetros:

Parâmetro Descrição
Alert Priority

Obrigatório.

A nova prioridade do alerta.

Se a prioridade do alerta for atualizada para um nível mais alto que a prioridade atual do caso, a prioridade do caso será atualizada automaticamente para corresponder à nova prioridade mais alta.

Os valores possíveis são:

  • Informative
  • Low
  • Medium
  • High
  • Critical

Saídas de ação

A ação Mudar prioridade do alerta fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação AddVoteToEntity pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

The alert priority was set to NEW_PRIORITY_LEVEL.

 A ação foi concluída.
Error executing action "Change Alert Priority". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Mudar a prioridade do alerta:

Nome do resultado do script Valor
Resultado do script true ou false

Alterar etapa do caso

Use a ação Mudar etapa do caso para alterar a etapa.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Mudar etapa de caso exige os seguintes parâmetros:

Parâmetro Descrição
Stage

Obrigatório.

A etapa para onde o caso será movido.

Os valores possíveis são:

  • Triage
  • Assessment
  • Investigation
  • Incident
  • Improvement
  • Research

Saídas de ação

A ação Mudar etapa de caso fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação AddVoteToEntity pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Case stage was successfully changed to NEW_CASE_STAGE.

 A ação foi concluída.
Error executing action "Change Case Stage". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Mudar caixa:

Nome do resultado do script Valor
Resultado do script true ou false

Alterar prioridade

Use a ação Mudar prioridade para alterar a prioridade do caso.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Mudar prioridade exige os seguintes parâmetros:

Parâmetro Descrição
Priority

Obrigatório.

A prioridade a ser definida para o caso.

Os valores possíveis são:

  • Informative
  • Low
  • Medium
  • High
  • Critical

Saídas de ação

A ação Mudar prioridade oferece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação AddVoteToEntity pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

The case priority was set to NEW_CASE_PRIORITY

 A ação foi concluída.
Error executing action "Close Alert". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Mudar prioridade:

Nome do resultado do script Valor
Resultado do script true ou false

Fechar alerta

Use a ação Fechar alerta para fechar o alerta.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Fechar alerta exige os seguintes parâmetros:

Parâmetro Descrição
Reason

Obrigatório.

A classificação principal para o encerramento do alerta.

Os valores possíveis são:

  • Malicious
  • NotMalicious
  • Maintenance
  • Inconclusive
Root Cause

Obrigatório.

A explicação detalhada do problema técnico que gerou o alerta.
Comment

Obrigatório.

As observações, o resumo da investigação ou o contexto adicional para o encerramento do alerta.
Assign to User

Opcional.

Um usuário para atribuir o alerta após o encerramento.
Tags

Opcional.

Uma lista separada por vírgulas de tags a serem anexadas ao alerta para classificação, filtragem e capacidade de pesquisa futura.

Saídas de ação

A ação Fechar alerta fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação AddVoteToEntity pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

The alert was closed. Root Cause: ROOT_CAUSE Comment: ALERT_COMMENT Reason: REASON

 A ação foi concluída.
Error executing action "Close Alert". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Fechar alerta:

Nome do resultado do script Valor
StatusResult true ou false

Encerrar caso

Use a ação Encerrar caso para fechar o caso.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Encerrar caso exige os seguintes parâmetros:

Parâmetro Descrição
Reason

Obrigatório.

A classificação principal para o encerramento do alerta.

Os valores possíveis são:

  • Malicious
  • NotMalicious
  • Maintenance
  • Inconclusive
Root Cause

Obrigatório.

Uma explicação detalhada do problema técnico que gerou o alerta.
Comment

Obrigatório.

As observações, o resumo da investigação ou o contexto adicional para o encerramento do alerta.

Saídas de ação

A ação Fechar caso fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação AddVoteToEntity pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

The case was closed. Root Cause: ROOT_CAUSE Comment: REASON

 A ação foi concluída.
Error executing action "Close Case". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Encerrar caso:

Nome do resultado do script Valor
StatusResult true ou false

Criar entidade

Use a ação Criar entidade para criar uma entidade e adicioná-la a um alerta.

Essa ação é executada em todas as entidades do Google SecOps.

Entradas de ação

A ação Criar entidade exige os seguintes parâmetros:

Parâmetro Descrição
Entities Identifies

Obrigatório.

Uma lista separada por vírgulas de identificadores de entidades a serem criadas no caso, como VALUE1, VALUE2, VALUE3.
Delimiter

Opcional.

Um delimitador usado para dividir a entrada de Entities Identifies em vários identificadores.

Se nenhum valor for fornecido, a ação vai tratar a entrada como um único identificador de entidade.

O valor padrão é ,.
Entity Type

Obrigatório.

O tipo da entidade a ser criada, como HOST NAME, USER NAME ou IP Set.
Is Internal

Opcional.

Se selecionada, a ação marca as entidades como parte de uma rede interna.

Não ativado por padrão.
Is Suspicious

Opcional.

Se selecionada, a ação marca as entidades como suspeitas.

Não ativado por padrão.

Saídas de ação

A ação Criar entidade fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação Criar entidade pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

ENTITY_IDS created successfully.

 A ação foi concluída.
Error executing action "Create Entity". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Criar entidade:

Nome do resultado do script Valor
StatusResult true ou false

Criar um resumo de caso do Gemini

Use a ação Criar resumo de caso do Gemini para criar um novo resumo de caso do Gemini e adicioná-lo a um alerta.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

Nenhuma.

Saídas de ação

A ação Criar resumo do caso do Gemini fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Disponível
Mensagens de saída Disponível
Resultado do script Disponível
Resultado JSON

O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Criar resumo de caso do Gemini:

{
  "summary": "On the Linux agent instance-1 (IP addresses 10.150.0.3 and 34.85.128.214), user vanshikavw_google_com initiated the process curl (SHA1 hash 3395856ce81f2b7382dee72602f798b642f14140) to create the malware file /home/vanshikavw_google_com/eicar_test_vanshikavw-test-new.\n*  VirusTotal identifies the SHA1 hash 3395856ce81f2b7382dee72602f798b642f14140 as a virus.eicar/test.\n*  CURL is associated with multiple actors, including APT27, APT34, APT41, APT44, APT9, FIN11, FIN13, FIN6, TEMP.Armageddon, Turla Team, UNC1151, UNC1860, UNC215, UNC2165, UNC2500, UNC251, UNC2595, UNC2633, UNC2900, UNC2975, UNC3569, UNC3661, UNC3944, UNC4483, UNC4936, UNC4962, UNC5007, UNC5051, UNC5055, UNC5156, UNC5221, UNC5266, UNC5330, UNC5371, UNC5470, UNC5859, and UNC961.\n*  CURL is known to use MITRE ATT&CK techniques such as T1113, T1095, T1036, T1553, T1222, T1055, T1140, T1070, T1027, T1622, T1057, T1010, T1083, T1518, T1082, T1016, T1059, T1496, and T1588.\n*  A GTI MALWARE search did not find any information about eicar_test_vanshikavw-test-new.\n*  A GTI IP_ADDRESS search did not find any information about 10.150.0.3 or 34.85.128.214.", 
  "next_steps": ["Isolate instance-1 to prevent any potential lateral movement or further compromise of the network, as the curl process is associated with multiple threat actors.", 
  "Investigate the user account vanshikavw_google_com to determine if the user's credentials have been compromised or if the user initiated the curl process intentionally, as the curl process is associated with multiple threat actors.", 
  "Analyze the network traffic to and from the IP addresses 10.150.0.3 and 34.85.128.214 for any suspicious communication patterns, as the curl process is associated with multiple threat actors.", 
  "Examine the process execution logs on instance-1 for any other unusual or unauthorized activities, as the curl process is associated with multiple threat actors.", 
  "Review the configuration of the Linux agent on instance-1 to ensure that it is properly secured and that no unauthorized modifications have been made, as the curl process is associated with multiple threat actors."], 
  "reasons": ["The case involves a Linux agent instance-1 (IP addresses 10.150.0.3 and 34.85.128.214) where user vanshikavw_google_com initiated the process curl to create the file /home/vanshikavw_google_com/eicar_test_vanshikavw-test-new.", 
  "The SHA1 hash 3395856ce81f2b7382dee72602f798b642f14140 of the curl process is identified by VirusTotal as virus.eicar/test, indicating it is a known test virus.", 
  "The process CURL is associated with multiple threat actors, including APT27, APT34, APT41, APT44, APT9, FIN11, FIN13, FIN6, TEMP.Armageddon, Turla Team, UNC1151, UNC1860, UNC215, UNC2165, UNC2500, UNC251, UNC2595, UNC2633, UNC2900, UNC2975, UNC3569, UNC3661, UNC3944, UNC4483, UNC4936, UNC4962, UNC5007, UNC5051, UNC5055, UNC5156, UNC5221, UNC5266, UNC5330, UNC5371, UNC5470, UNC5859, and UNC961, suggesting a potential link to malicious activity.", 
  "CURL is known to use various MITRE ATT&CK techniques such as T1113, T1095, T1036, T1553, T1222, T1055, T1140, T1070, T1027, T1622, T1057, T1010, T1083, T1518, T1082, T1016, T1059, T1496, and T1588, indicating a wide range of potential malicious behaviors.", 
  "The file eicar_test_vanshikavw-test-new was not found in GTI MALWARE searches, and the IP addresses 10.150.0.3 and 34.85.128.214 were not found in GTI IP_ADDRESS searches."]
}
Mensagens de saída

A ação Criar resumo de caso do Gemini pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Case summary generation completed.

 A ação foi concluída.
Error executing action "Create Gemini Case Summary". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Criar resumo de caso do Gemini:

Nome do resultado do script Valor
is_success true ou false

Criar ou atualizar propriedades da entidade

Use a ação Criar ou atualizar propriedades da entidade para criar ou mudar as propriedades das entidades no escopo da entidade.

Essa ação é executada em todas as entidades do Google SecOps.

Entradas de ação

A ação Criar ou atualizar propriedades da entidade exige os seguintes parâmetros:

Parâmetro Descrição
Entity Field

Obrigatório.

O campo da entidade a ser criada ou atualizada.
Field Value

Obrigatório.

O valor do campo de entidade especificado.

Saídas de ação

A ação Criar ou atualizar propriedades da entidade fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação Criar ou atualizar propriedades da entidade pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Property ENTITY_FIELD were changed for the following entities: ENTITY_ID.

 A ação foi concluída.
Error executing action "Create Or Update Entity Properties". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Criar ou atualizar propriedades da entidade:

Nome do resultado do script Valor
is_success true ou false

Receber alertas de caso

Use a ação Get Case Alerts para extrair alertas relacionados a casos especificados.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Receber alertas de caso exige os seguintes parâmetros:

Parâmetro Descrição
Case ID

Obrigatório.

Uma lista separada por vírgulas de IDs de casos para os quais a ação recupera os alertas associados.
Alert ID

Opcional.

Uma lista separada por vírgulas de IDs de alerta, limitando os alertas retornados.

Esse parâmetro só é usado quando Case ID contém valores.
Fields To Return

Opcional.

Uma lista separada por vírgulas de campos a serem retornados no resultado JSON.

Para extrair valores aninhados, use Nested Keys Delimiter para encadear chaves aninhadas e indexar listas. Por exemplo, se o delimitador for ".": key1.nested_key1.0.nested_key2, key2, key3.1.nested_key1

Se nenhum valor for fornecido, todos os campos serão retornados.
Nested Keys Delimiter

Opcional.

O caractere usado para separar chaves aninhadas e índices de lista ao definir campos a serem retornados.

Esse parâmetro não pode ser uma vírgula (,).

Acessar detalhes do caso

Use a ação Receber detalhes do caso para acessar todos os dados de um caso, incluindo comentários, informações de entidades, insights, playbooks executados, informações de alertas e eventos.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Receber detalhes do caso exige os seguintes parâmetros:

Parâmetro Descrição
Case Id

Opcional.

O ID do caso para recuperar detalhes.

Se nenhum valor for fornecido, a ação vai usar o caso atual.
Fields to Return

Opcional.

Uma lista de campos separados por vírgulas a serem retornados.

Se nada for fornecido, todos os campos serão retornados.

Valores aninhados específicos podem ser recuperados usando o parâmetro Nested Keys Delimiter para separar chaves e listar índices.
Nested Keys Delimiter

Opcional.

O caractere usado para separar chaves aninhadas ao solicitar campos específicos. Isso permite recuperar valores de objetos aninhados.

O delimitador não pode ser uma vírgula(,).

Saídas de ação

A ação Receber detalhes do caso fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Disponível
Mensagens de saída Disponível
Resultado do script Disponível
Resultado JSON

O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Get Case Details:

{
"id": 24879,
"creationTimeUnixTimeInMs": 1750862500562,
"modificationTimeUnixTimeInMs": 1750862500562,
"name": "Malware",
"priority": -1,
"isImportant": false,
"isIncident": false,
"startTimeUnixTimeInMs": 1727243021999,
"endTimeUnixTimeInMs": 1727243022479,
"assignedUser": "@Tier1",
"description": null,
"isTestCase": true,
"type": 1,
"stage": "Triage",
"environment": "Default Environment",
"status": 1,
"incidentId": null,
"tags": ["hi", "Simulated Case"],
"alertCards": [{
  "id": 172354,
  "creationTimeUnixTimeInMs": 1750862500651,
  "modificationTimeUnixTimeInMs": 1750862500651,
  "identifier": "EICAR_TEST_VANSHIKAVW-TEST-NEW0CC43705-04A7-43FD-88CD-B3E7FECA881D",
  "status": 0,
  "name": "EICAR_TEST_VANSHIKAVW-TEST-NEW",
  "priority": -1,
  "workflowsStatus": 1,
  "slaExpirationUnixTime": null,
  "slaCriticalExpirationUnixTime": null,
  "startTime": 1727243021999,
  "endTime": 1727243022479,
  "alertGroupIdentifier": "MalwareSFBrxjAXvKJsJyKe5iQalf00zrv/QwX966dRoEyP2eA=_8cc160b5-7039-421c-926c-1a98073f11d2",
  "eventsCount": 3,
  "title": "EICAR_TEST_VANSHIKAVW-TEST-NEW",
  "ruleGenerator": "Malware",
  "deviceProduct": "SentinelOneV2",
  "deviceVendor": "SentinelOneV2",
  "playbookAttached": "Testing",
  "playbookRunCount": 1,
  "isManualAlert": false,
  "sla": {
    "slaExpirationTime": null,
    "criticalExpirationTime": null,
    "expirationStatus": 2,
    "remainingTimeSinceLastPause": null
    },
  "fieldsGroups": [],
  "sourceUrl": null,
  "sourceRuleUrl": null,
  "siemAlertId": null,
  "relatedCases": [],
  "lastSourceUpdateUnixTimeInMs": null,
  "caseId": 24879,
  "nestingDepth": 0
  }],
"isOverflowCase": false,
"isManualCase": false,
"slaExpirationUnixTime": null,
"slaCriticalExpirationUnixTime": null,
"stageSlaExpirationUnixTimeInMs": null,
"stageSlaCriticalExpirationUnixTimeInMs": null,
"canOpenIncident": false,
"sla": {
  "slaExpirationTime": null,
  "criticalExpirationTime": null,
  "expirationStatus": 2,
  "remainingTimeSinceLastPause": null
  },
"stageSla": {
  "slaExpirationTime": null,
  "criticalExpirationTime": null,
  "expirationStatus": 2,
  "remainingTimeSinceLastPause": null},
  "relatedAlertTicketId": null,
  "relatedAlertCards": []
  }
Mensagens de saída

A ação Receber detalhes do caso pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Finished executing "Get Case Details" successfully

 A ação foi concluída.
Error executing action "Get Case Details". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Receber detalhes do caso:

Nome do resultado do script Valor
is_success true ou false

Receber valor de contexto do conector

Use a ação Get Connector Context Value para extrair um valor de uma chave especificada no banco de dados do Google SecOps para um contexto de conector.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Get Connector Context Value exige os seguintes parâmetros:

Parâmetro Descrição
Connector Identifier

Obrigatório.

O identificador exclusivo do conector para recuperar o valor de contexto.
Key Name

Obrigatório.

A chave em que o valor de contexto é armazenado.
Create Case Wall Table

Opcional.

Se selecionada, a ação cria uma tabela de Painel de Casos com o valor de contexto recuperado.

A tabela não será criada se o valor recuperado exceder o limite de caracteres.

Ativado por padrão.

Saídas de ação

A ação Get Connector Context Value fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Disponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Mensagens de saída Disponível
Resultado do script Disponível
Tabela do Painel de casos

A ação Receber valor do contexto do conector pode gerar a seguinte tabela:

Nome da tabela: Connector

Colunas da tabela:

  • Identificador do conector
  • Key
  • Valor
Mensagens de saída

A ação Get Connector Context Value pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Successfully found context value for the provided context key CONTEXT_KEY for the connector identifier CONNECTOR_IDENTIFIER.

Context value was not found for the provided context key CONTEXT_KEY and connector identifier CONNECTOR_IDENTIFIER.

Action can't return the Case Wall table as the context values are too big.

 A ação foi concluída.
Error executing action "Get Connector Context Value". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Get Connector Context Value:

Nome do resultado do script Valor
is_success true ou false

Receber valores de campo personalizado

Use a ação Extrair valores de campo personalizado para recuperar os valores atuais de um campo personalizado com base no escopo especificado.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Get Custom Field Values exige os seguintes parâmetros:

Parâmetro Descrição
Scope

Obrigatório.

O escopo para recuperar os campos personalizados.

Os valores possíveis são:

  • Case
  • Alert
  • All

Saídas de ação

A ação Receber valores de campos personalizados fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Disponível
Mensagens de saída Disponível
Resultado do script Disponível
Resultado JSON

O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Receber valores de campos personalizados:

[{
   "Case": {
       "Case Custom Field Name 1": "Updated Custom Field Value",
       "Case Custom Field Name 2": "Updated Custom Field Value"
   },
   "Alert": {
       "Alert Custom Field Name 1": "Updated Custom Field Value",
       "Alert Custom Field Name 2": "Updated Custom Field Value"
   }
}]
Mensagens de saída

A ação Get Custom Field Values pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Successfully returned SCOPE custom fields.

No custom fields were found in scope SCOPE.

 A ação foi concluída.
Error executing action "Get Custom Field Values". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Get Custom Field Values:

Nome do resultado do script Valor
is_success true ou false

Receber valor de contexto de escopo

Use a ação Receber valor do contexto do escopo para extrair um valor do banco de dados do Google SecOps armazenado em uma chave e um contexto especificados.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Get Scope Context Value exige os seguintes parâmetros:

Parâmetro Descrição
Context Scope

Obrigatório.

O escopo do contexto para recuperar o valor.

Os valores possíveis são:

  • Not specified
  • Alert
  • Case
  • Global

O valor padrão é Not specified.
Key Name

Obrigatório.

A chave em que o valor é armazenado no contexto especificado.
Create Case Wall Table

Opcional.

Se selecionada, a ação cria uma tabela de Painel de Casos com o valor de contexto recuperado.

A tabela não será criada se o valor recuperado exceder o limite de caracteres.

Ativado por padrão.

Saídas de ação

A ação Receber valor do contexto do escopo fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Disponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Mensagens de saída Disponível
Resultado do script Disponível
Tabela do Painel de casos

A ação Receber valor do contexto do escopo pode gerar a seguinte tabela:

Nome da tabela: SCOPE

Colunas da tabela:

  • Key
  • Valor
Mensagens de saída

A ação Get Scope Context Value pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Successfully found context value for the provided context key CONTEXT_KEY with scope CONTEXT_SCOPE.

No context values were found for the provided context scope CONTEXT_SCOPE.

Context value was not found for the provided context key CONTEXT_KEY with scope CONTEXT_SCOPE.

Action can't return the Case Wall table as the context values are too big.

 A ação foi concluída.
Error executing action "Get Scope Context Value". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Get Scope Context Value:

Nome do resultado do script Valor
is_success true ou false

Receber casos semelhantes

Use a ação Receber casos semelhantes para pesquisar casos parecidos e retornar os IDs deles.

A ação aplica o operador lógico AND aos parâmetros Rule Generator, Port, Category Outcome, Entity Identifier, Include Open Cases e Include Closed Cases para filtrar casos que correspondem a todos os critérios especificados.

Essa ação é executada em todas as entidades do Google SecOps.

Entradas de ação

A ação Receber casos semelhantes exige os seguintes parâmetros:

Parâmetro Descrição
Rule Generator

Opcional.

Se selecionada, a ação vai procurar casos semelhantes usando o gerador de regras.

Ativado por padrão.
Port

Opcional.

Se selecionada, a ação vai procurar casos semelhantes usando números de porta.

Ativado por padrão.
Category Outcome

Opcional.

Se selecionada, a ação pesquisa casos semelhantes usando o resultado da categoria.

Ativado por padrão.
Entity Identifier

Opcional.

Se selecionada, a ação pesquisa casos semelhantes usando o identificador da entidade.

Ativado por padrão.
Days Back

Obrigatório.

O número de dias antes da data atual para a ação pesquisar.
Include Open Cases

Opcional.

Se selecionada, a ação inclui casos abertos na pesquisa.

Ativado por padrão.
Include Closed Cases

Opcional.

Se selecionada, a ação inclui casos encerrados na pesquisa.

Ativado por padrão.

Saídas de ação

A ação Receber casos semelhantes fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Disponível
Mensagens de saída Disponível
Resultado do script Disponível
Resultado JSON

O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Receber casos semelhantes:

{
  "results": [{
    "id": 23874, 
    "name": "Malware", 
    "tags": ["hi", "Simulated Case"], 
    "start time": "2024-09-25 05:43:41.999000+00:00", 
    "start time unix": 1727243021999, 
    "last modified": "2025-06-19 13:24:01.062000+00:00", 
    "priority": "Informative", 
    "assigned user": "@Tier1", 
    "matching_criteria": {
        "ruleGenerator": true, 
        "port": true, 
        "outcome": true, 
        "entities": true
      }, 
    "matched_entities": [
      {"entity": "INSTANCE-1", "type": "HOSTNAME", "isSuspicious": false}, 
      {"entity": "10.150.0.3", "type": "ADDRESS", "isSuspicious": false}, {"entity": "172.17.0.1", "type": "ADDRESS", "isSuspicious": false}, {"entity": "VANSHIKAVW_GOOGLE_COM", "type": "USERUNIQNAME", "isSuspicious": false}, 
      {"entity": "CURL", "type": "PROCESS", "isSuspicious": false}, {"entity": "EICAR_TEST_VANSHIKAVW-TEST-NEW", "type": "FILENAME", "isSuspicious": false}, 
      {"entity": "3395856CE81F2B7382DEE72602F798B642F14140", "type": "FILEHASH", "isSuspicious": false}, 
      {"entity": "34.85.128.214", "type": "ADDRESS", "isSuspicious": false}, 
      {"entity": "/HOME/VANSHIKAVW_GOOGLE_COM/EICAR_TEST_VANSHIKAVW-TEST-NEW", "type": "FILENAME", "isSuspicious": false}
      ], 
      "status": "Open"}], 
      "stats": 
      {"Malicious": 0.0, "Is Important": 0.0, "Is Incident": 0.0, "Status Open": 100.0}, 
      "platform_url": "https://soarapitest.backstory.chronicle.security/"
}
Mensagens de saída

A ação Get Similar Cases pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Processed NUMBER_OF_CASES similar cases: CASE_IDS_LIST

 A ação foi concluída.
Error executing action "Get Similar Cases". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Receber casos semelhantes:

Nome do resultado do script Valor
SimilarCasesIds Uma lista de IDs de casos semelhantes.

Instrução

Use a ação Instrução para fornecer instruções a um analista diretamente no caso.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Instrução exige os seguintes parâmetros:

Parâmetro Descrição
Instruction

Obrigatório.

As instruções para o analista.

Saídas de ação

A ação Instrução fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação AddVoteToEntity pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Please perform the following instructions: INSTRUCTION.

 A ação foi concluída.
Error executing action "Instruction". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Instrução:

Nome do resultado do script Valor
Resultado do script true ou false

Está na lista personalizada

Use a ação Está na lista personalizada para verificar se uma entidade existe em uma lista personalizada designada.

Essa ação é executada em todas as entidades do Google SecOps.

Entradas de ação

A ação Está na lista personalizada exige os seguintes parâmetros:

Parâmetro Descrição
Category

Obrigatório.

O nome da categoria de lista personalizada a ser pesquisada.

Saídas de ação

A ação Está na lista personalizada fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação Está na lista personalizada pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

This alert contains entities in the given custom list category: CATEGORY.

This alert does not contain entities in the given custom list category: CATEGORY.

 A ação foi concluída.
Error executing action "Is In Custom List". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Está na lista personalizada:

Nome do resultado do script Valor
ScriptResult true ou false

Marcar como importante

Use a ação Marcar como importante.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

Nenhuma.

Saídas de ação

A ação Marcar como importante fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação Marcar como importante pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

The case was automatically marked as important.

 A ação foi concluída.
Error executing action "Mark As Important". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Marcar como importante:

Nome do resultado do script Valor
Resultado do script true ou false

URL da OpenWeb

Use a ação Abrir URL da Web para gerar um link do navegador.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Abrir URL da Web exige os seguintes parâmetros:

Parâmetro Descrição
Title

Obrigatório.

O título do URL.
URL

Obrigatório.

O URL de destino.

Saídas de ação

A ação Abrir URL da Web fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação Abrir URL da Web pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

URL_TITLE

URL_LINK

 A ação foi concluída.
Error executing action "Open Web Url". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Abrir URL da Web:

Nome do resultado do script Valor
Resultado do script true ou false

Pausar SLA do alerta

Use a ação Pausar SLA do alerta para pausar o timer do contrato de nível de serviço (SLA) do alerta.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Pausar SLA do alerta exige os seguintes parâmetros:

Parâmetro Descrição
Message

Opcional.

O motivo da pausa do SLA do alerta.

Saídas de ação

A ação Pausar SLA do alerta fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação Pausar SLA do alerta pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

The alert SLA was paused.

 A ação foi concluída.
Error executing action "Pause Alert SLA". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Pausar SLA de alerta:

Nome do resultado do script Valor
is_success true ou false

Pausar SLA do caso

Use a ação Pausar SLA do caso para pausar o timer do contrato de nível de serviço (SLA) do caso.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Pausar SLA do caso exige os seguintes parâmetros:

Parâmetro Descrição
Message

Opcional.

O motivo da pausa do SLA do caso.

Saídas de ação

A ação Pausar SLA do caso fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação Pausar SLA do caso pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

The Case SLA was paused successfully.

 A ação foi concluída.
Error executing action "Pause Case SLA". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Pausar SLA de caso:

Nome do resultado do script Valor
is_success true ou false

Horário permitido para alertas

Use a ação Tempo permitido para alerta para verificar se o horário de início do alerta está de acordo com as condições de tempo definidas pelo usuário.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Período permitido para alertas exige os seguintes parâmetros:

Parâmetro Descrição
Timestamp Type

Opcional.

O tipo de carimbo de data/hora a ser usado para comparação.

Os valores possíveis são:

  • Alert Start Time
  • Alert Creation Time
  • Case Creation Time

O valor padrão é Alert Start Time.
Permitted Start Time

Obrigatório.

O horário de início do período permitido para alertas, como 0:00:00.
Permitted End Time

Obrigatório.

O horário de término do período permitido para alertas, como 0:00:00.
Monday

Opcional.

Se selecionada, a ação inclui as segundas-feiras nos dias permitidos para alertas.

Não ativado por padrão.
Tuesday

Opcional.

Se selecionada, a ação inclui as terças-feiras nos dias permitidos para alertas.

Ativado por padrão.
Wednesday

Opcional.

Se selecionada, a ação inclui as quartas-feiras nos dias permitidos para alertas.

Ativado por padrão.
Thursday

Opcional.

Se selecionada, a ação inclui as quintas-feiras nos dias permitidos para alertas.

Não ativado por padrão.
Friday

Opcional.

Se selecionada, a ação inclui as sextas-feiras nos dias permitidos para alertas.

Não ativado por padrão.
Saturday

Opcional.

Se selecionada, a ação inclui os sábados nos dias permitidos para alertas.

Não ativado por padrão.
Sunday

Opcional.

Se selecionada, a ação inclui domingos nos dias permitidos para alertas.

Não ativado por padrão.
Input Timezone

Opcional.

Essa ação é compatível com fusos horários padrão, como UTC, além de zonas da IANA, como America/New_York.

Se você fornecer uma zona da IANA, a ação será ajustada automaticamente para o horário de verão.

Saídas de ação

A ação Período permitido para alertas fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação Permitted Alert Time pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Case Time of ALERT_TIMEis within condition parameters of between START_TIME - END_TIME on LIST_OF_PERMITTED_DAYS

 A ação foi concluída.
Error executing action "Permitted Alert Time". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Tempo permitido para alerta:

Nome do resultado do script Valor
Permitted true ou false

Ping

Use a ação Ping para testar a conectividade com o Siemplify.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

Nenhuma.

Saídas de ação

A ação Ping fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação Ping pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Email address is syntactically correct.

 A ação foi concluída.
Error executing action "Ping". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Ping:

Nome do resultado do script Valor
Resultado do script true ou false

Gerar incidente

Use a ação Gerar incidente para marcar um caso de verdadeiro positivo como Critical e gerar o incidente.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Gerar incidente exige os seguintes parâmetros:

Parâmetro Descrição
Soc Role

Opcional.

A função da SOC do Google SecOps a que o caso será atribuído.

Saídas de ação

A ação Gerar incidente fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação Gerar incidente pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

The case raised to CASE_STAGE status.

 A ação foi concluída.
Error executing action "Raise Incident". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Gerar incidente:

Nome do resultado do script Valor
Resultado do script true ou false

Remover tag

Use a ação Remover tag para remover tags do caso.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Remover tag exige os seguintes parâmetros:

Parâmetro Descrição
Tag

Obrigatório.

Uma lista separada por vírgulas de tags a serem removidas do caso.

Saídas de ação

A ação Remover tag fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação Remover tag pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem
Successfully removed the following tags from case CASE_ID:TAGS A ação foi concluída.

It is not possible to remove the tag.

Error executing action "Remove Tag". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Remover tag:

Nome do resultado do script Valor
is_success true ou false

Remover da lista personalizada

Use a ação Remover da lista personalizada para remover entidades associadas a um alerta de uma categoria de lista personalizada.

Essa ação é executada em todas as entidades do Google SecOps.

Entradas de ação

A ação Remover da lista personalizada exige os seguintes parâmetros:

Parâmetro Descrição
Category

Obrigatório.

O nome da categoria da lista personalizada de que o identificador da entidade será removido.

Saídas de ação

A ação Remover da lista personalizada fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação Remover da lista personalizada pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

The alert's entities ENTITY_ID were removed from custom list category: CATEGORY

The given category does not exist.

 A ação foi concluída.
Error executing action "Remove From Custom List". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Remover da lista personalizada:

Nome do resultado do script Valor
ScriptResult true ou false

Retomar SLA do alerta

Use a ação Retomar SLA do alerta para ativar e reiniciar o timer do contrato de nível de serviço (SLA) do alerta.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

Nenhuma.

Saídas de ação

A ação Retomar SLA do alerta fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação Retomar SLA do alerta pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

The alert SLA was resumed.

 A ação foi concluída.
Error executing action "Resume Alert SLA". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Retomar o SLA de alerta:

Nome do resultado do script Valor
is_success true ou false

Retomar SLA do caso

Use a ação Retomar SLA do caso para retomar e reiniciar o timer do contrato de nível de serviço (SLA) do caso.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

Nenhuma.

Saídas de ação

A ação Retomar SLA do caso fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação Retomar SLA do caso pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

The Case SLA was resumed successfully.

 A ação foi concluída.
Error executing action "Resume Case SLA". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Retomar SLA de caso:

Nome do resultado do script Valor
is_success true ou false

Definir SLA de alerta

Use a ação Definir SLA de alerta para definir o timer de SLA do alerta.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Definir SLA de alerta exige os seguintes parâmetros:

Parâmetro Descrição
SLA Period

Obrigatório.

A duração total do SLA antes de ser considerado violado.

O período total do SLA não pode exceder 30 dias.

O valor padrão é 5.
SLA Time Unit

Obrigatório.

A unidade de tempo para o período do SLA.

Os valores possíveis são:

  • Minutes
  • Hours
  • Days

O valor padrão é Minutes.
SLA Time To Critical Period

Obrigatório.

A duração do SLA antes de entrar em um estado crítico.

O valor padrão é 4.
SLA Time To Critical Unit

Obrigatório.

A unidade de tempo para o período crítico do SLA.

Os valores possíveis são:

  • Minutes
  • Hours
  • Days

O valor padrão é Minutes.

Saídas de ação

A ação Definir SLA de alerta fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação Definir SLA de alerta pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Alert ALERT_NAME of case CASE_ID was set with SLA of SLA_PERIOD SLA_TIME_UNIT and critical period of CRITICAL_PERIOD CRITICAL_TIME_UNIT.

 A ação foi concluída.
Error executing action "Set Alert SLA". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Definir SLA de alerta:

Nome do resultado do script Valor
is_success true ou false

Definir SLA do caso

Use a ação Definir SLA do caso para definir o SLA do caso.

Essa ação tem a maior prioridade e substitui o SLA definido para o caso específico.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Definir SLA do caso exige os seguintes parâmetros:

Parâmetro Descrição
SLA Period

Obrigatório.

A duração total do SLA antes de ser considerado violado.

O período total do SLA não pode exceder 30 dias.

O valor padrão é 5.
SLA Time Unit

Obrigatório.

A unidade de tempo para o período do SLA.

Os valores possíveis são:

  • Minutes
  • Hours
  • Days

O valor padrão é Minutes.
SLA Time To Critical Period

Opcional.

A duração do SLA antes de entrar em um estado crítico.

O valor padrão é 4.
SLA Time To Critical Unit

Obrigatório.

A unidade de tempo para o período crítico do SLA.

Os valores possíveis são:

  • Minutes
  • Hours
  • Days

O valor padrão é Minutes.

Saídas de ação

A ação Definir SLA de caso fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação Pesquisar problemas do ASM pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Case CASE_ID was set with SLA of SLA_PERIOD SLA_TIME_UNIT and critical period of CRITICAL_PERIOD CRITICAL_TIME_UNIT.

 A ação foi concluída.
Error executing action "Set Case SLA". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Definir SLA do caso:

Nome do resultado do script Valor
is_success true ou false

Definir campos personalizados

Use a ação Definir campos personalizados para definir valores para campos personalizados.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Definir campos personalizados exige os seguintes parâmetros:

Parâmetro Descrição
Scope

Obrigatório.

O escopo a ser definido para os campos personalizados.

Os valores possíveis são:

  • Case
  • Alert

O valor padrão é Case.
Custom Fields Data

Obrigatório.

Os valores atualizados dos campos personalizados.

É possível atualizar vários campos personalizados em uma única execução de ação.

O valor padrão é:

    {
      "Custom Field Name 1":"Custom Field Value 1",
      "Custom Field Name 2":"Custom Field Value 2"
    }
Append Values

Opcional.

Se selecionada, a ação vai anexar as entradas de Custom Fields Data aos valores atuais dos campos personalizados.

Se não estiver selecionada, a ação vai substituir os valores existentes pelas entradas do parâmetro Custom Fields Data.

Não ativado por padrão.

Saídas de ação

A ação Definir campos personalizados fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Disponível
Mensagens de saída Disponível
Resultado do script Disponível
Resultado JSON

O exemplo a seguir mostra a saída de resultado JSON recebida ao usar a ação Definir campos personalizados:

{
  "Custom Field Name": "Updated Custom Field Value",
  "Custom Field Name": "Updated Custom Field Value",
}
Mensagens de saída

A ação Definir campos personalizados pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem
Successfully updated the following SCOPE custom fields: UPDATED_CUSTOM_FIELD_NAMES A ação foi concluída.
Error executing action "Set Custom Fields". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Definir campos personalizados:

Nome do resultado do script Valor
is_success true ou false

Definir pontuação de risco

Use a ação Definir pontuação de risco para atualizar a pontuação de risco do caso.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Definir pontuação de risco exige os seguintes parâmetros:

Parâmetro Descrição
Risk Score

Obrigatório.

A pontuação de risco a ser definida para o caso.

Saídas de ação

A ação Definir pontuação de risco fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação Definir pontuação de risco pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem
Successfully set Risk Score for case CASE_ID A ação foi concluída.
Error executing action "Set Risk Score". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Definir pontuação de risco:

Nome do resultado do script Valor
is_success true ou false

Definir valor do contexto do escopo

Use a ação Definir valor do contexto de escopo para definir um valor para uma chave armazenada no banco de dados do Google SecOps.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Definir valor do contexto de escopo exige os seguintes parâmetros:

Parâmetro Descrição
Context Scope

Obrigatório.

O escopo de contexto para extrair dados.

Os valores possíveis são:

  • Not specified
  • Alert
  • Case
  • Global

O valor padrão é Not specified.
Key Name

Obrigatório.

O nome da chave para recuperar o valor correspondente.
Key Value

Obrigatório.

O valor a ser armazenado na chave especificada.

Saídas de ação

A ação Definir valor do contexto de escopo fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação Definir valor do contexto de escopo pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem
Successfully set context value for the context key CONTEXT_KEY with scope CONTEXT_SCOPE. A ação foi concluída.
Error executing action "Set Scope Context Value". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Definir valor do contexto do escopo:

Nome do resultado do script Valor
is_success true ou false

Atualizar descrição do caso

Use a ação Atualizar descrição do caso para atualizar a descrição do caso.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Atualizar descrição do caso exige os seguintes parâmetros:

Parâmetro Descrição
Description

Obrigatório.

A descrição a ser definida para o caso.

Saídas de ação

A ação Atualizar descrição do caso fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação Atualizar descrição do caso pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem
Successfully updated the case description. A ação foi concluída.
Error executing action "Update Case Description". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Atualizar descrição do caso:

Nome do resultado do script Valor
is_success true ou false

Aguardar campos personalizados

Use a ação Aguardar campos personalizados para esperar que os valores dos campos personalizados continuem a execução do playbook.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Aguardar campos personalizados exige os seguintes parâmetros:

Parâmetro Descrição
Scope

Obrigatório.

O escopo a ser definido para os campos personalizados.

Os valores possíveis são:

  • Case
  • Alert

O valor padrão é Case.
Custom Fields Data

Obrigatório.

As condições para campos personalizados que precisam ser atendidas para retomar um playbook. Os nomes dos campos personalizados e os valores obrigatórios precisam ser configurados como um objeto JSON.

Se você definir condições para vários campos, a ação vai aguardar que todos os campos correspondam às respectivas condições.

  • Para retomar quando um campo personalizado tiver qualquer valor, configure uma string vazia: 
    {"Custom Field Name": ""}
  • Para retomar quando um campo personalizado for igual a um valor específico, como VALUE_1, especifique o valor: 
    {"Custom Field Name": "VALUE_1"}

O valor padrão mostra o formato JSON esperado:

{
  "Custom Field Name 1": "Custom Field Value 1",
  "Custom Field Name 2": "Custom Field Value 2"
}

Saídas de ação

A ação Aguardar campos personalizados fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Disponível
Mensagens de saída Disponível
Resultado do script Disponível
Resultado JSON

O exemplo a seguir mostra a saída de resultado JSON recebida ao usar a ação Aguardar campos personalizados:

{
"Custom Field Name": "Updated Custom Field Value",
"Custom Field Name": "Updated Custom Field Value",
}
Mensagens de saída

A ação Aguardar campos personalizados pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Successfully waited for the following SCOPE custom fields: UPDATED_CUSTOM_FIELD_NAMES

Waiting for SCOPE custom fields updates...

 A ação foi concluída.
Error executing action "Wait For Custom Fields". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Aguardar campos personalizados:

Nome do resultado do script Valor
is_success true ou false

Jobs

Para mais informações sobre jobs, consulte Configurar um novo job e Programação avançada.

Siemplify: Actions Monitor

Use o job Siemplify - Actions Monitor para receber notificações sobre ações que falharam pelo menos três vezes separadas nas últimas três horas.

Parâmetros do job

O trabalho Siemplify - Actions Monitor exige os seguintes parâmetros:

Parâmetro Descrição
Run Interval In Seconds

Opcional.

O intervalo, em segundos, para a execução do job.

Esse parâmetro determina com que frequência a integração verifica se há ações de playbook com falha.

O valor padrão é 900.
Is Enabled

Opcional.

Se selecionada, a tarefa fica ativa e é executada conforme a programação. Quando não está selecionada, o job é desativado e não é executado.

Ativado por padrão.

Siemplify: banco de dados do coletor de casos

Use o job Siemplify - Cases Collector DB para recuperar e processar casos de segurança de um publisher designado.

Parâmetros do job

O job Siemplify - Cases Collector DB exige os seguintes parâmetros:

Parâmetro Descrição
Publisher Id

Obrigatório.

O ID do publisher de quem coletar casos e registros.
Verify SSL

Opcional.

Se selecionada, a tarefa verifica se o certificado SSL do editor é válido.

Não ativado por padrão.

Siemplify: coletor de registros

Use o job Siemplify - Logs Collector para recuperar e processar registros de um editor especificado.

Entradas de jobs

O job Siemplify - Logs Collector exige os seguintes parâmetros:

Parâmetro Descrição
Publisher Id

Obrigatório.

O ID do publisher de quem os registros serão coletados.
Verify SSL

Opcional.

Se selecionado, o job verifica se o certificado SSL do editor é válido.

Não ativado por padrão.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.