将 Siemplify 与 Google SecOps 集成

本文档介绍了如何将 Siemplify 与 Google Security Operations (Google SecOps) 集成。

集成版本：94.0

使用场景

Siemplify 集成可满足以下使用场景：

• 网络钓鱼调查：使用 Google SecOps 功能自动执行以下流程：分析网络钓鱼电子邮件、提取安全违规线索 (IOC) 并使用威胁情报丰富这些线索。

• 恶意软件遏制：使用 Google SecOps 功能在检测到恶意软件后自动隔离受感染的端点、启动扫描并隔离恶意文件。

• 漏洞管理：使用 Google SecOps 功能来编排漏洞扫描、根据风险确定漏洞优先级，并自动创建补救工单。

• 威胁搜寻：使用 Google SecOps 功能自动在各种安全工具和数据集中运行威胁搜寻查询。

• 安全提醒分类：利用 Google SecOps 功能自动为安全提醒添加背景信息，将它们与其他事件相关联，并根据严重程度确定优先级。

• 突发事件响应：使用 Google SecOps 功能来协调整个突发事件响应流程，从初始检测到遏制和根除。

• 合规性报告：使用 Google SecOps 功能自动收集和分析安全数据，以生成合规性报告。

集成参数

Siemplify 集成需要以下参数：

如需了解如何在 Google SecOps 中配置集成，请参阅配置集成。

如有需要，您可以在稍后阶段进行更改。配置集成实例后，您可以在剧本中使用该实例。如需详细了解如何配置和支持多个实例，请参阅支持多个实例。

操作

如需详细了解操作，请参阅 在工作台页面中处理待处理的操作和执行手动操作。

添加实体分析洞见

使用 Add Entity Insight 操作在 Siemplify 中向目标 Google SecOps 实体添加数据洞见。

此操作会在所有 Google SecOps 实体上运行。

操作输入

添加实体数据洞见操作需要以下参数：

操作输出

添加实体数据分析操作提供以下输出：

输出消息

添加实体分析操作可以返回以下输出消息：

脚本结果

下表列出了使用 Add Entity Insight 操作时脚本结果输出的值：

添加常规分析洞见

使用添加一般性数据洞见操作向支持请求添加一般性数据洞见。

此操作会在所有 Google SecOps 实体上运行。

操作输入

添加常规数据洞见操作需要以下参数：

操作输出

添加常规数据分析操作提供以下输出：

输出消息

添加常规分析洞见操作可以返回以下输出消息：

脚本结果

下表列出了使用 Add General Insight 操作时脚本结果输出的值：

向类似支持请求添加标记

使用向类似支持请求添加标记操作向类似支持请求添加标记。

为了查找类似的支持请求，该操作会使用 siemplify.get_similar_cases() 函数以及检索到的参数，该函数会返回支持请求 ID 列表。

此操作不适用于 Google SecOps 实体。

操作输入

向类似支持请求添加标签操作需要以下参数：

操作输出

为类似支持请求添加标记操作会提供以下输出：

输出消息

为类似支持请求添加标签操作可能会返回以下输出消息：

脚本结果

下表列出了使用为类似支持请求添加标签操作时脚本结果输出的值：

添加到自定义列表

使用添加到自定义列表操作可将实体标识符添加到分类的自定义列表中，并在其他操作中执行未来的比较。

此操作会在所有 Google SecOps 实体上运行。

操作输入

添加到自定义列表操作需要以下参数：

操作输出

添加到自定义列表操作提供以下输出：

输出消息

添加到自定义列表操作可以返回以下输出消息：

脚本结果

下表列出了使用添加到自定义列表操作时脚本结果输出的值：

分配案例

使用分配支持请求操作将支持请求分配给特定用户或用户群组。

此操作会在所有 Google SecOps 实体上运行。

操作输入

分配支持请求操作需要以下参数：

操作输出

分配支持请求操作提供以下输出：

输出消息

添加到自定义列表操作可以返回以下输出消息：

脚本结果

下表列出了使用分配支持请求操作时脚本结果输出的值：

将 playbook 附加到提醒

使用将 playbook 附加到提醒操作将特定 playbook 附加到提醒。

此操作会在所有 Google SecOps 实体上运行。

操作输入

将 playbook 附加到提醒操作需要以下参数：

操作输出

将 playbook 附加到提醒操作提供以下输出：

输出消息

搜索图表操作可以返回以下输出消息：

脚本结果

下表列出了使用将剧本附加到提醒操作时脚本结果输出的值：

支持请求评论

使用问题注释操作可向当前提醒所分组的问题添加注释。

此操作会在所有 Google SecOps 实体上运行。

操作输入

支持请求评论操作需要以下参数：

操作输出

支持请求评论操作提供以下输出：

输出消息

Add Vote To Entity 操作可以返回以下输出消息：

脚本结果

下表列出了使用支持请求评论操作时脚本结果输出的值：

支持请求代码

使用 Case Tag 操作可向当前提醒所分组到的支持请求添加标记。

此操作会在所有 Google SecOps 实体上运行。

操作输入

支持请求标记操作需要以下参数：

操作输出

添加案例标记操作提供以下输出：

输出消息

添加情况标记操作可以返回以下输出消息：

脚本结果

下表列出了使用问题标记操作时脚本结果输出的值：

更改提醒优先级

使用更改提醒优先级操作可更新支持请求中的提醒优先级。

此操作会在所有 Google SecOps 实体上运行。

操作输入

更改提醒优先级操作需要以下参数：

操作输出

更改提醒优先级操作提供以下输出：

输出消息

Add Vote To Entity 操作可以返回以下输出消息：

脚本结果

下表列出了使用更改提醒优先级操作时脚本结果输出的值：

更改案例阶段

使用更改支持请求阶段操作更改支持请求阶段。

此操作会在所有 Google SecOps 实体上运行。

操作输入

更改支持请求阶段操作需要以下参数：

操作输出

更改问题阶段操作提供以下输出：

输出消息

Add Vote To Entity 操作可以返回以下输出消息：

脚本结果

下表列出了使用更改情形阶段操作时脚本结果输出的值：

更改优先级

使用更改优先级操作更新所调查支持请求的优先级。

此操作会在所有 Google SecOps 实体上运行。

操作输入

更改优先级操作需要以下参数：

操作输出

更改优先级操作可提供以下输出：

输出消息

Add Vote To Entity 操作可以返回以下输出消息：

脚本结果

下表列出了使用更改优先级操作时脚本结果输出的值：

关闭提醒

使用关闭提醒操作关闭提醒。

此操作会在所有 Google SecOps 实体上运行。

操作输入

关闭提醒操作需要以下参数：

操作输出

关闭提醒操作提供以下输出：

输出消息

Add Vote To Entity 操作可以返回以下输出消息：

脚本结果

下表列出了使用关闭提醒操作时脚本结果输出的值：

关闭案例

使用关闭支持请求操作来关闭支持请求。

此操作会在所有 Google SecOps 实体上运行。

操作输入

关闭支持请求操作需要以下参数：

操作输出

关闭支持请求操作会提供以下输出：

输出消息

Add Vote To Entity 操作可以返回以下输出消息：

脚本结果

下表列出了使用关闭支持请求操作时脚本结果输出的值：

创建实体

使用 Create Entity 操作创建新实体并将其添加到提醒中。

此操作会在所有 Google SecOps 实体上运行。

操作输入

创建实体操作需要以下参数：

操作输出

创建实体操作提供以下输出：

输出消息

创建实体操作可以返回以下输出消息：

脚本结果

下表列出了使用创建实体操作时脚本结果输出的值：

创建 Gemini 支持请求摘要

使用 Create Gemini Case Summary 操作创建新的 Gemini 支持请求摘要，并将其添加到提醒中。

此操作会在所有 Google SecOps 实体上运行。

操作输入

无。

操作输出

创建 Gemini 支持请求摘要操作提供以下输出：

JSON 结果

以下示例展示了使用创建 Gemini 支持请求摘要操作时收到的 JSON 结果输出：

{
  "summary": "On the Linux agent instance-1 (IP addresses 10.150.0.3 and 34.85.128.214), user vanshikavw_google_com initiated the process curl (SHA1 hash 3395856ce81f2b7382dee72602f798b642f14140) to create the malware file /home/vanshikavw_google_com/eicar_test_vanshikavw-test-new.\n*  VirusTotal identifies the SHA1 hash 3395856ce81f2b7382dee72602f798b642f14140 as a virus.eicar/test.\n*  CURL is associated with multiple actors, including APT27, APT34, APT41, APT44, APT9, FIN11, FIN13, FIN6, TEMP.Armageddon, Turla Team, UNC1151, UNC1860, UNC215, UNC2165, UNC2500, UNC251, UNC2595, UNC2633, UNC2900, UNC2975, UNC3569, UNC3661, UNC3944, UNC4483, UNC4936, UNC4962, UNC5007, UNC5051, UNC5055, UNC5156, UNC5221, UNC5266, UNC5330, UNC5371, UNC5470, UNC5859, and UNC961.\n*  CURL is known to use MITRE ATT&CK techniques such as T1113, T1095, T1036, T1553, T1222, T1055, T1140, T1070, T1027, T1622, T1057, T1010, T1083, T1518, T1082, T1016, T1059, T1496, and T1588.\n*  A GTI MALWARE search did not find any information about eicar_test_vanshikavw-test-new.\n*  A GTI IP_ADDRESS search did not find any information about 10.150.0.3 or 34.85.128.214.", 
  "next_steps": ["Isolate instance-1 to prevent any potential lateral movement or further compromise of the network, as the curl process is associated with multiple threat actors.", 
  "Investigate the user account vanshikavw_google_com to determine if the user's credentials have been compromised or if the user initiated the curl process intentionally, as the curl process is associated with multiple threat actors.", 
  "Analyze the network traffic to and from the IP addresses 10.150.0.3 and 34.85.128.214 for any suspicious communication patterns, as the curl process is associated with multiple threat actors.", 
  "Examine the process execution logs on instance-1 for any other unusual or unauthorized activities, as the curl process is associated with multiple threat actors.", 
  "Review the configuration of the Linux agent on instance-1 to ensure that it is properly secured and that no unauthorized modifications have been made, as the curl process is associated with multiple threat actors."], 
  "reasons": ["The case involves a Linux agent instance-1 (IP addresses 10.150.0.3 and 34.85.128.214) where user vanshikavw_google_com initiated the process curl to create the file /home/vanshikavw_google_com/eicar_test_vanshikavw-test-new.", 
  "The SHA1 hash 3395856ce81f2b7382dee72602f798b642f14140 of the curl process is identified by VirusTotal as virus.eicar/test, indicating it is a known test virus.", 
  "The process CURL is associated with multiple threat actors, including APT27, APT34, APT41, APT44, APT9, FIN11, FIN13, FIN6, TEMP.Armageddon, Turla Team, UNC1151, UNC1860, UNC215, UNC2165, UNC2500, UNC251, UNC2595, UNC2633, UNC2900, UNC2975, UNC3569, UNC3661, UNC3944, UNC4483, UNC4936, UNC4962, UNC5007, UNC5051, UNC5055, UNC5156, UNC5221, UNC5266, UNC5330, UNC5371, UNC5470, UNC5859, and UNC961, suggesting a potential link to malicious activity.", 
  "CURL is known to use various MITRE ATT&CK techniques such as T1113, T1095, T1036, T1553, T1222, T1055, T1140, T1070, T1027, T1622, T1057, T1010, T1083, T1518, T1082, T1016, T1059, T1496, and T1588, indicating a wide range of potential malicious behaviors.", 
  "The file eicar_test_vanshikavw-test-new was not found in GTI MALWARE searches, and the IP addresses 10.150.0.3 and 34.85.128.214 were not found in GTI IP_ADDRESS searches."]}

输出消息

创建 Gemini 支持请求摘要操作可以返回以下输出消息：

脚本结果

下表列出了使用 Create Gemini Case Summary 操作时脚本结果输出的值：

创建或更新实体属性

使用创建或更新实体属性操作可为实体范围内的实体创建或更改属性。

此操作会在所有 Google SecOps 实体上运行。

操作输入

创建或更新实体属性操作需要以下参数：

操作输出

创建或更新实体属性操作提供以下输出：

输出消息

Add Vote To Entity 操作可以返回以下输出消息：

脚本结果

下表列出了使用创建或更新实体属性操作时脚本结果输出的值：

获取支持请求详情

使用 Get Case Details 操作可获取案例中的所有数据（包括评论、实体信息、数据分析、已运行的 playbook、提醒信息和事件）。

此操作不适用于 Google SecOps 实体。

操作输入

获取支持请求详情操作需要以下参数：

操作输出

获取支持请求详情操作提供以下输出：

JSON 结果

以下示例展示了使用获取支持请求详情操作时收到的 JSON 结果输出：

{
"id": 24879,
"creationTimeUnixTimeInMs": 1750862500562,
"modificationTimeUnixTimeInMs": 1750862500562,
"name": "Malware",
"priority": -1,
"isImportant": false,
"isIncident": false,
"startTimeUnixTimeInMs": 1727243021999,
"endTimeUnixTimeInMs": 1727243022479,
"assignedUser": "@Tier1",
"description": null,
"isTestCase": true,
"type": 1,
"stage": "Triage",
"environment": "Default Environment",
"status": 1,
"incidentId": null,
"tags": ["hi", "Simulated Case"],
"alertCards": [{
  "id": 172354,
  "creationTimeUnixTimeInMs": 1750862500651,
  "modificationTimeUnixTimeInMs": 1750862500651,
  "identifier": "EICAR_TEST_VANSHIKAVW-TEST-NEW0CC43705-04A7-43FD-88CD-B3E7FECA881D",
  "status": 0,
  "name": "EICAR_TEST_VANSHIKAVW-TEST-NEW",
  "priority": -1,
  "workflowsStatus": 1,
  "slaExpirationUnixTime": null,
  "slaCriticalExpirationUnixTime": null,
  "startTime": 1727243021999,
  "endTime": 1727243022479,
  "alertGroupIdentifier": "MalwareSFBrxjAXvKJsJyKe5iQalf00zrv/QwX966dRoEyP2eA=_8cc160b5-7039-421c-926c-1a98073f11d2",
  "eventsCount": 3,
  "title": "EICAR_TEST_VANSHIKAVW-TEST-NEW",
  "ruleGenerator": "Malware",
  "deviceProduct": "SentinelOneV2",
  "deviceVendor": "SentinelOneV2",
  "playbookAttached": "Testing",
  "playbookRunCount": 1,
  "isManualAlert": false,
  "sla": {
    "slaExpirationTime": null,
    "criticalExpirationTime": null,
    "expirationStatus": 2,
    "remainingTimeSinceLastPause": null
    },
  "fieldsGroups": [],
  "sourceUrl": null,
  "sourceRuleUrl": null,
  "siemAlertId": null,
  "relatedCases": [],
  "lastSourceUpdateUnixTimeInMs": null,
  "caseId": 24879,
  "nestingDepth": 0
  }],
"isOverflowCase": false,
"isManualCase": false,
"slaExpirationUnixTime": null,
"slaCriticalExpirationUnixTime": null,
"stageSlaExpirationUnixTimeInMs": null,
"stageSlaCriticalExpirationUnixTimeInMs": null,
"canOpenIncident": false,
"sla": {
  "slaExpirationTime": null,
  "criticalExpirationTime": null,
  "expirationStatus": 2,
  "remainingTimeSinceLastPause": null
  },
"stageSla": {
  "slaExpirationTime": null,
  "criticalExpirationTime": null,
  "expirationStatus": 2,
  "remainingTimeSinceLastPause": null},
  "relatedAlertTicketId": null,
  "relatedAlertCards": []
  }

输出消息

获取支持请求详细信息操作可以返回以下输出消息：

脚本结果

下表列出了使用获取支持请求详情操作时脚本结果输出的值：

获取连接器上下文值

使用 Get Connector Context Value 操作可获取存储在 Google SecOps 数据库中指定键下的连接器上下文值。

此操作不适用于 Google SecOps 实体。

操作输入

获取连接器上下文值操作需要以下参数：

操作输出

获取连接器上下文值操作提供以下输出：

“案例墙”表格

获取连接器上下文值操作可以生成下表：

表格名称：Connector

表列：

• 连接器标识符
• 键
• 值

输出消息

获取连接器上下文值操作可以返回以下输出消息：

脚本结果

下表列出了使用 Get Connector Context Value 操作时脚本结果输出的值：

获取自定义字段值

使用 Get Custom Field Values 操作可根据指定范围检索自定义字段的当前值。

此操作不适用于 Google SecOps 实体。

操作输入

获取自定义字段值操作需要以下参数：

操作输出

获取自定义字段值操作提供以下输出：

JSON 结果

以下示例展示了使用获取自定义字段值操作时收到的 JSON 结果输出：

[{
   "Case": {
       "Case Custom Field Name 1": "Updated Custom Field Value",
       "Case Custom Field Name 2": "Updated Custom Field Value"
   },
   "Alert": {
       "Alert Custom Field Name 1": "Updated Custom Field Value",
       "Alert Custom Field Name 2": "Updated Custom Field Value"
   }
}]

输出消息

获取自定义字段值操作可以返回以下输出消息：

脚本结果

下表列出了使用获取自定义字段值操作时脚本结果输出的值：

获取范围上下文值

使用 Get Scope Context Value 操作获取存储在 Google SecOps 数据库中指定键下的值。

此操作不适用于 Google SecOps 实体。

操作输入

获取范围上下文值操作需要以下参数：

操作输出

获取范围上下文值操作提供以下输出：

“案例墙”表格

获取范围上下文值操作可以生成下表：

表格名称：SCOPE

表列：

• 键
• 值

输出消息

获取范围上下文值操作可以返回以下输出消息：

脚本结果

下表列出了使用 Get Scope Context Value 操作时脚本结果输出的值：

获取类似支持请求

使用 Get Similar Cases 操作搜索类似支持请求并返回其 ID。

此操作会在所有 Google SecOps 实体上运行。

操作输入

获取类似支持请求操作需要以下参数：

获取类似支持请求操作会将逻辑 AND 运算符应用于 Rule Generator、Port、Category Outcome、Entity Identifier、Include Open Cases 和 Include Closed Cases 参数，以便在同一搜索中使用这些参数。

操作输出

获取类似支持请求操作提供以下输出：

JSON 结果

以下示例展示了在使用获取类似支持请求操作时收到的 JSON 结果输出：

{
  "results": [{
    "id": 23874, 
    "name": "Malware", 
    "tags": ["hi", "Simulated Case"], 
    "start time": "2024-09-25 05:43:41.999000+00:00", 
    "start time unix": 1727243021999, 
    "last modified": "2025-06-19 13:24:01.062000+00:00", 
    "priority": "Informative", 
    "assigned user": "@Tier1", 
    "matching_criteria": {
        "ruleGenerator": true, 
        "port": true, 
        "outcome": true, 
        "entities": true
      }, 
    "matched_entities": [
      {"entity": "INSTANCE-1", "type": "HOSTNAME", "isSuspicious": false}, 
      {"entity": "10.150.0.3", "type": "ADDRESS", "isSuspicious": false}, {"entity": "172.17.0.1", "type": "ADDRESS", "isSuspicious": false}, {"entity": "VANSHIKAVW_GOOGLE_COM", "type": "USERUNIQNAME", "isSuspicious": false}, 
      {"entity": "CURL", "type": "PROCESS", "isSuspicious": false}, {"entity": "EICAR_TEST_VANSHIKAVW-TEST-NEW", "type": "FILENAME", "isSuspicious": false}, 
      {"entity": "3395856CE81F2B7382DEE72602F798B642F14140", "type": "FILEHASH", "isSuspicious": false}, 
      {"entity": "34.85.128.214", "type": "ADDRESS", "isSuspicious": false}, 
      {"entity": "/HOME/VANSHIKAVW_GOOGLE_COM/EICAR_TEST_VANSHIKAVW-TEST-NEW", "type": "FILENAME", "isSuspicious": false}
      ], 
      "status": "Open"}], 
      "stats": 
      {"Malicious": 0.0, "Is Important": 0.0, "Is Incident": 0.0, "Status Open": 100.0}, 
      "platform_url": "https://soarapitest.backstory.chronicle.security/"
}

输出消息

获取类似支持请求操作可以返回以下输出消息：

脚本结果

下表列出了使用获取类似支持请求操作时脚本结果输出的值：

指令

使用指令操作为分析师设置指令。

此操作会在所有 Google SecOps 实体上运行。

操作输入

指令操作需要以下参数：

操作输出

指令操作提供以下输出：

输出消息

Add Vote To Entity 操作可以返回以下输出消息：

脚本结果

下表列出了使用 Instruction 操作时脚本结果输出的值：

是否在自定义列表中

使用 Is In Custom List 操作检查实体标识符是否属于指定的自定义列表。

此操作会在所有 Google SecOps 实体上运行。

操作输入

位于自定义列表操作需要以下参数：

操作输出

位于自定义列表操作提供以下输出：

输出消息

Is In Custom List 操作可以返回以下输出消息：

脚本结果

下表列出了使用 Is In Custom List 操作时脚本结果输出的值：

标记为重要

使用标记为重要操作将支持请求标记为重要。

此操作会在所有 Google SecOps 实体上运行。

操作输入

无。

操作输出

标记为重要操作会提供以下输出：

输出消息

标记为重要操作可能会返回以下输出消息：

脚本结果

下表列出了使用标记为重要邮件操作时脚本结果输出的值：

开放式 Web 网址

使用 Open Web Url 操作生成浏览器链接。

此操作会在所有 Google SecOps 实体上运行。

操作输入

打开网页网址操作需要以下参数：

操作输出

打开网页网址操作提供以下输出：

输出消息

打开网页网址操作可以返回以下输出消息：

脚本结果

下表列出了使用打开网页网址操作时脚本结果输出的值：

暂停提醒服务等级协议

使用暂停提醒服务等级协议操作可暂停支持请求中特定提醒的服务等级协议 (SLA) 计时器。

此操作不适用于 Google SecOps 实体。

操作输入

暂停提醒服务等级协议操作需要以下参数：

操作输出

暂停提醒服务等级协议操作提供以下输出：

输出消息

暂停提醒服务等级协议操作可以返回以下输出消息：

脚本结果

下表列出了使用暂停提醒 SLA 操作时脚本结果输出的值：

暂停支持请求 SLA

使用暂停支持请求 SLA 操作可暂停特定支持请求的服务等级协议 (SLA) 计时器。

此操作不适用于 Google SecOps 实体。

操作输入

暂停支持请求 SLA 操作需要以下参数：

操作输出

暂停支持请求 SLA 操作提供以下输出：

输出消息

暂停支持请求 SLA 操作可以返回以下输出消息：

脚本结果

下表列出了使用暂停支持请求 SLA 操作时脚本结果输出的值：

允许的提醒时间

使用 Permitted Alert Time 操作检查所选提醒的开始时间是否符合用户定义的时间条件。

此操作会在所有 Google SecOps 实体上运行。

操作输入

允许的提醒时间操作需要以下参数：

操作输出

允许的提醒时间操作提供以下输出：

输出消息

允许的提醒时间操作可以返回以下输出消息：

脚本结果

下表列出了使用 Permitted Alert Time 操作时脚本结果输出的值：

Ping

使用 Ping 操作测试连接。

此操作会在所有 Google SecOps 实体上运行。

操作输入

无。

操作输出

Ping 操作提供以下输出：

输出消息

Ping 操作可以返回以下输出消息：

脚本结果

下表列出了使用 Ping 操作时脚本结果输出的值：

引发突发事件

使用提出突发事件操作提出支持服务请求，并将真正发现的阳性病例标记为 Critical。

此操作会在所有 Google SecOps 实体上运行。

操作输入

提交突发事件操作需要以下参数：

操作输出

提出突发事件操作提供以下输出：

输出消息

搜索 ASM 问题 操作可以返回以下输出消息：

脚本结果

下表列出了使用 Raise Incident 操作时脚本结果输出的值：

移除代码

使用移除标记操作可从支持请求中移除标记。

此操作会在所有 Google SecOps 实体上运行。

操作输入

移除标记操作需要以下参数：

操作输出

移除标记操作提供以下输出：

输出消息

移除标记操作可以返回以下输出消息：

脚本结果

下表列出了使用移除标记操作时脚本结果输出的值：

从自定义列表中移除

使用 Remove From Custom List 操作可从指定的自定义列表类别中移除与提醒相关联的实体。

此操作会在所有 Google SecOps 实体上运行。

操作输入

从自定义列表中移除操作需要以下参数：

操作输出

从自定义列表中移除操作提供以下输出：

输出消息

从自定义列表中移除操作可以返回以下输出消息：

脚本结果

下表列出了使用从自定义列表中移除操作时脚本结果输出的值：

恢复提醒服务等级协议

使用恢复提醒服务等级协议操作可重新启动支持请求中特定提醒的服务等级协议 (SLA) 计时器。

此操作不适用于 Google SecOps 实体。

操作输入

无。

操作输出

恢复提醒服务等级协议操作提供以下输出：

输出消息

恢复提醒服务等级协议操作可以返回以下输出消息：

脚本结果

下表列出了使用 Resume Alert SLA 操作时脚本结果输出的值：

恢复支持请求 SLA

使用恢复支持请求 SLA 操作可针对特定支持请求重新启动服务等级协议 (SLA) 计时器。

此操作不适用于 Google SecOps 实体。

操作输入

无。

操作输出

恢复支持请求 SLA 操作提供以下输出：

输出消息

恢复支持请求 SLA 操作可以返回以下输出消息：

脚本结果

下表列出了使用 Resume Case SLA 操作时脚本结果输出的值：

设置提醒服务等级协议

使用设置提醒 SLA 操作可为提醒设置 SLA 计时器。

此操作具有最高优先级，会替换为特定提醒定义的现有 SLA。

此操作不适用于 Google SecOps 实体。

操作输入

设置提醒 SLA 操作需要以下参数：

操作输出

设置提醒 SLA 操作提供以下输出：

输出消息

设置提醒 SLA 操作可以返回以下输出消息：

脚本结果

下表列出了使用设置提醒 SLA 操作时脚本结果输出的值：

设置支持请求 SLA

使用设置支持请求 SLA 操作可为支持请求设置 SLA。

此操作具有最高优先级，会替换为特定支持请求定义的现有 SLA。

此操作不适用于 Google SecOps 实体。

操作输入

设置支持请求 SLA 操作需要以下参数：

操作输出

设置支持请求 SLA 操作提供以下输出：

输出消息

搜索 ASM 问题 操作可以返回以下输出消息：

脚本结果

下表列出了使用设置支持请求 SLA 操作时脚本结果输出的值：

设置自定义字段

使用设置自定义字段操作可为自定义字段设置值。

此操作不适用于 Google SecOps 实体。

操作输入

设置自定义字段操作需要以下参数：

    {
      "Custom Field Name 1": "Custom Field Value 1",
      "Custom Field Name 2": "Custom Field Value 2"
    }
    

操作输出

设置自定义字段操作提供以下输出：

JSON 结果

以下示例展示了使用设置自定义字段操作时收到的 JSON 结果输出：

{
"Custom Field Name": "Updated Custom Field Value",
"Custom Field Name": "Updated Custom Field Value",
}

输出消息

设置自定义字段操作可以返回以下输出消息：

脚本结果

下表列出了使用设置自定义字段操作时脚本结果输出的值：

设置风险得分

使用设置风险得分操作更新支持请求的风险得分。

此操作不适用于 Google SecOps 实体。

操作输入

设置风险得分操作需要以下参数：

操作输出

设置风险得分操作提供以下输出：

输出消息

设置风险得分操作可以返回以下输出消息：

脚本结果

下表列出了使用设置风险得分操作时脚本结果输出的值：

设置范围上下文值

使用 Set Scope Context Value 操作可为存储在 Google SecOps 数据库中的键设置值。

此操作不适用于 Google SecOps 实体。

操作输入

设置范围上下文值操作需要以下参数：

操作输出

获取范围上下文值操作提供以下输出：

输出消息

设置范围上下文值操作可以返回以下输出消息：

脚本结果

下表列出了使用设置范围上下文值操作时脚本结果输出的值：

更新支持请求说明

使用更新支持请求说明操作更新支持请求说明。

此操作不适用于 Google SecOps 实体。

操作输入

更新支持请求说明操作需要以下参数：

操作输出

更新支持请求说明操作提供以下输出：

输出消息

更新支持请求说明操作可以返回以下输出消息：

脚本结果

下表列出了使用更新支持请求说明操作时脚本结果输出的值：

等待自定义字段

使用 Wait For Custom Fields 操作等待自定义字段值，然后继续执行 playbook。

此操作不适用于 Google SecOps 实体。

操作输入

等待自定义字段操作需要以下参数：

    {
      "Custom Field": ""
    }
    

    {
      "Custom Field": "VALUE_1"
    }
    

    {
      "Custom Field Name 1": "Custom Field Value 1",
      "Custom Field Name 2": "Custom Field Value 2"
    }
    

操作输出

等待自定义字段操作提供以下输出：

JSON 结果

以下示例展示了使用等待自定义字段操作时收到的 JSON 结果输出：

{
"Custom Field Name": "Updated Custom Field Value",
"Custom Field Name": "Updated Custom Field Value",
}

输出消息

等待自定义字段操作可以返回以下输出消息：

脚本结果

下表列出了使用等待自定义字段操作时脚本结果输出的值：

作业

通过 Siemplify 集成，您可以使用以下作业：

• Siemplify - Actions Monitor
• Siemplify - Cases Collector DB
• Siemplify - 日志收集器

Siemplify - 操作监控器

使用 Siemplify - 操作监控器作业，接收过去 3 小时内至少单独失败 3 次的所有操作的通知。

作业输入

Siemplify - Actions Monitor 作业需要以下参数：

Siemplify - Cases Collector 数据库

使用 Siemplify - Cases Collector DB 作业从指定发布者处检索和处理安全事件。

作业输入

Siemplify - Cases Collector DB 作业需要以下参数：

Siemplify - 日志收集器

使用 Siemplify - Logs Collector 作业从指定发布者处检索和处理日志。

作业输入

Siemplify - Logs Collector 作业需要以下参数：

需要更多帮助？从社区成员和 Google SecOps 专业人士那里获得解答。