整合 Siemplify 與 Google SecOps

本文說明如何將 Siemplify 與 Google Security Operations (Google SecOps) 整合。

整合版本：94.0

用途

Siemplify 整合功能可解決下列用途：

• 網路釣魚調查：使用 Google SecOps 功能自動分析網路釣魚電子郵件、擷取遭駭指標 (IOC)，並透過威脅情報擴增這些指標。

• 遏止惡意軟體：使用 Google SecOps 功能自動隔離受感染的端點、啟動掃描，並在偵測到惡意軟體時隔離惡意檔案。

• 安全漏洞管理：運用 Google SecOps 功能協調安全漏洞掃描作業、根據風險決定安全漏洞的優先順序，並自動建立修復單。

• 威脅搜尋：使用 Google SecOps 功能，自動在各種安全工具和資料集中執行威脅搜尋查詢。

• 安全警示分類：運用 Google SecOps 功能，自動擴充安全警示的背景資訊、將警示與其他事件建立關聯，並根據嚴重程度設定優先順序。

• 事件應變：運用 Google SecOps 功能，協調整個事件應變程序，從初步偵測到防堵和清除，無一不包。

• 法規遵循報告：使用 Google SecOps 功能，自動收集及分析安全資料，以製作法規遵循報告。

整合參數

Siemplify 整合功能需要下列參數：

如需在 Google SecOps 中設定整合功能的操作說明，請參閱「設定整合功能」。

如有需要，您可以在稍後階段進行變更。設定整合執行個體後，您就可以在劇本中使用該執行個體。如要進一步瞭解如何設定及支援多個執行個體，請參閱「支援多個執行個體」。

動作

如要進一步瞭解動作，請參閱「 從工作台回覆待處理動作」和「執行手動動作」。

新增實體洞察

使用「Add Entity Insight」動作，將洞察資訊新增至 Siemplify 中目標 Google SecOps 實體。

這項操作會對所有 Google SecOps 實體執行。

動作輸入內容

「新增實體洞察」動作需要下列參數：

動作輸出內容

「新增實體洞察」動作會提供下列輸出內容：

輸出訊息

「新增實體洞察」動作可能會傳回下列輸出訊息：

指令碼結果

下表列出使用「新增實體洞察」動作時，指令碼結果輸出的值：

新增一般洞察

使用「新增一般洞察」動作，在案件中新增一般洞察。

這項操作會對所有 Google SecOps 實體執行。

動作輸入內容

「新增一般洞察資料」動作需要下列參數：

動作輸出內容

「新增一般洞察」動作會提供下列輸出內容：

輸出訊息

「新增一般洞察」動作可能會傳回下列輸出訊息：

指令碼結果

下表列出使用「新增一般洞察」動作時，指令碼結果輸出的值：

為類似案件新增標記

使用「Add Tags To Similar Cases」(為類似案件新增標記) 動作，為類似案件新增標記。

如要尋找類似案件，這項動作會使用 siemplify.get_similar_cases() 函式和擷取的參數，傳回案件 ID 清單。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「將標記新增至類似案件」動作需要下列參數：

動作輸出內容

「Add Tags To Similar Cases」(將標記新增至類似案件) 動作會提供下列輸出內容：

輸出訊息

「為類似案件新增標記」動作可能會傳回下列輸出訊息：

指令碼結果

下表列出使用「Add Tags To Similar Cases」(將標記新增至類似案件) 動作時，指令碼結果輸出的值：

新增至自訂清單

使用「新增至自訂清單」動作，將實體 ID 新增至分類自訂清單，並在其他動作中執行未來的比較。

這項操作會對所有 Google SecOps 實體執行。

動作輸入內容

「新增至自訂清單」動作需要下列參數：

動作輸出內容

「新增至自訂清單」動作會提供下列輸出內容：

輸出訊息

「新增至自訂清單」動作可能會傳回下列輸出訊息：

指令碼結果

下表列出使用「新增至自訂清單」動作時，指令碼結果輸出的值：

指派案件

使用「指派案件」動作，將案件指派給特定使用者或使用者群組。

這項操作會對所有 Google SecOps 實體執行。

動作輸入內容

「指派案件」動作需要下列參數：

動作輸出內容

「指派案件」動作會提供下列輸出內容：

輸出訊息

「新增至自訂清單」動作可能會傳回下列輸出訊息：

指令碼結果

下表列出使用「指派案件」動作時，指令碼結果輸出的值：

將應對手冊附加至快訊

使用「將應對手冊附加至警告」動作，將特定應對手冊附加至警告。

這項操作會對所有 Google SecOps 實體執行。

動作輸入內容

「將應對手冊附加至快訊」動作需要下列參數：

動作輸出內容

「Attach Playbook to Alert」(將應對手冊附加至快訊) 動作會提供下列輸出內容：

輸出訊息

「搜尋圖表」動作可以傳回下列輸出訊息：

指令碼結果

下表列出使用「Attach Playbook to Alert」(將劇本附加至快訊) 動作時，指令碼結果輸出的值：

案件註解

使用「案件註解」動作，在目前警報所屬的案件中新增註解。

這項操作會對所有 Google SecOps 實體執行。

動作輸入內容

「案件留言」動作需要下列參數：

動作輸出內容

「案件留言」動作會提供下列輸出內容：

輸出訊息

「Add Vote To Entity」動作可傳回下列輸出訊息：

指令碼結果

下表列出使用「案件留言」動作時，指令碼結果輸出的值：

案件標記

使用「案件標記」動作，將標記新增至目前警報所屬的案件。

這項操作會對所有 Google SecOps 實體執行。

動作輸入內容

「案件標記」動作需要下列參數：

動作輸出內容

「案件標記」動作會提供下列輸出內容：

輸出訊息

「案件標記」動作可以傳回下列輸出訊息：

指令碼結果

下表列出使用「案件標記」動作時，指令碼結果輸出的值：

變更警告優先順序

使用「變更快訊優先順序」動作，更新案件中快訊的優先順序。

這項操作會對所有 Google SecOps 實體執行。

動作輸入內容

「變更快訊優先順序」動作需要下列參數：

動作輸出內容

「變更警告優先順序」動作會提供下列輸出內容：

輸出訊息

「Add Vote To Entity」動作可傳回下列輸出訊息：

指令碼結果

下表列出使用「變更快訊優先順序」動作時，指令碼結果輸出的值：

變更案件階段

使用「變更案件階段」動作變更案件階段。

這項操作會對所有 Google SecOps 實體執行。

動作輸入內容

「變更案件階段」動作需要下列參數：

動作輸出內容

「變更案件階段」動作會提供下列輸出內容：

輸出訊息

「Add Vote To Entity」動作可傳回下列輸出訊息：

指令碼結果

下表列出使用「變更案件階段」動作時，指令碼結果輸出的值：

變更優先順序

使用「變更優先順序」動作，更新調查案件的優先順序。

這項操作會對所有 Google SecOps 實體執行。

動作輸入內容

「變更優先順序」動作需要下列參數：

動作輸出內容

「變更優先順序」動作會提供下列輸出內容：

輸出訊息

「Add Vote To Entity」動作可傳回下列輸出訊息：

指令碼結果

下表列出使用「變更優先順序」動作時，指令碼結果輸出的值：

關閉快訊

使用「關閉快訊」動作關閉快訊。

這項操作會對所有 Google SecOps 實體執行。

動作輸入內容

「關閉快訊」動作需要下列參數：

動作輸出內容

「關閉快訊」動作會提供下列輸出內容：

輸出訊息

「Add Vote To Entity」動作可傳回下列輸出訊息：

指令碼結果

下表列出使用「關閉快訊」動作時，指令碼結果輸出的值：

關閉案件

使用「關閉案件」動作關閉案件。

這項操作會對所有 Google SecOps 實體執行。

動作輸入內容

「Close Case」動作需要下列參數：

動作輸出內容

「Close Case」(結案) 動作會提供下列輸出內容：

輸出訊息

「Add Vote To Entity」動作可傳回下列輸出訊息：

指令碼結果

下表列出使用「結案」動作時，指令碼結果輸出的值：

建立實體

使用「建立實體」動作建立新實體，並新增至快訊。

這項操作會對所有 Google SecOps 實體執行。

動作輸入內容

「建立實體」動作需要下列參數：

動作輸出內容

「建立實體」動作會提供下列輸出內容：

輸出訊息

「建立實體」動作可傳回下列輸出訊息：

指令碼結果

下表列出使用「建立實體」動作時，指令碼結果輸出的值：

建立 Gemini 案件摘要

使用「Create Gemini Case Summary」(建立 Gemini 案件摘要) 動作，建立新的 Gemini 案件摘要並新增至快訊。

這項操作會對所有 Google SecOps 實體執行。

動作輸入內容

無

動作輸出內容

「建立 Gemini 案件摘要」動作會提供下列輸出內容：

JSON 結果

以下範例顯示使用「建立 Gemini 案件摘要」動作時收到的 JSON 結果輸出內容：

{
  "summary": "On the Linux agent instance-1 (IP addresses 10.150.0.3 and 34.85.128.214), user vanshikavw_google_com initiated the process curl (SHA1 hash 3395856ce81f2b7382dee72602f798b642f14140) to create the malware file /home/vanshikavw_google_com/eicar_test_vanshikavw-test-new.\n*  VirusTotal identifies the SHA1 hash 3395856ce81f2b7382dee72602f798b642f14140 as a virus.eicar/test.\n*  CURL is associated with multiple actors, including APT27, APT34, APT41, APT44, APT9, FIN11, FIN13, FIN6, TEMP.Armageddon, Turla Team, UNC1151, UNC1860, UNC215, UNC2165, UNC2500, UNC251, UNC2595, UNC2633, UNC2900, UNC2975, UNC3569, UNC3661, UNC3944, UNC4483, UNC4936, UNC4962, UNC5007, UNC5051, UNC5055, UNC5156, UNC5221, UNC5266, UNC5330, UNC5371, UNC5470, UNC5859, and UNC961.\n*  CURL is known to use MITRE ATT&CK techniques such as T1113, T1095, T1036, T1553, T1222, T1055, T1140, T1070, T1027, T1622, T1057, T1010, T1083, T1518, T1082, T1016, T1059, T1496, and T1588.\n*  A GTI MALWARE search did not find any information about eicar_test_vanshikavw-test-new.\n*  A GTI IP_ADDRESS search did not find any information about 10.150.0.3 or 34.85.128.214.", 
  "next_steps": ["Isolate instance-1 to prevent any potential lateral movement or further compromise of the network, as the curl process is associated with multiple threat actors.", 
  "Investigate the user account vanshikavw_google_com to determine if the user's credentials have been compromised or if the user initiated the curl process intentionally, as the curl process is associated with multiple threat actors.", 
  "Analyze the network traffic to and from the IP addresses 10.150.0.3 and 34.85.128.214 for any suspicious communication patterns, as the curl process is associated with multiple threat actors.", 
  "Examine the process execution logs on instance-1 for any other unusual or unauthorized activities, as the curl process is associated with multiple threat actors.", 
  "Review the configuration of the Linux agent on instance-1 to ensure that it is properly secured and that no unauthorized modifications have been made, as the curl process is associated with multiple threat actors."], 
  "reasons": ["The case involves a Linux agent instance-1 (IP addresses 10.150.0.3 and 34.85.128.214) where user vanshikavw_google_com initiated the process curl to create the file /home/vanshikavw_google_com/eicar_test_vanshikavw-test-new.", 
  "The SHA1 hash 3395856ce81f2b7382dee72602f798b642f14140 of the curl process is identified by VirusTotal as virus.eicar/test, indicating it is a known test virus.", 
  "The process CURL is associated with multiple threat actors, including APT27, APT34, APT41, APT44, APT9, FIN11, FIN13, FIN6, TEMP.Armageddon, Turla Team, UNC1151, UNC1860, UNC215, UNC2165, UNC2500, UNC251, UNC2595, UNC2633, UNC2900, UNC2975, UNC3569, UNC3661, UNC3944, UNC4483, UNC4936, UNC4962, UNC5007, UNC5051, UNC5055, UNC5156, UNC5221, UNC5266, UNC5330, UNC5371, UNC5470, UNC5859, and UNC961, suggesting a potential link to malicious activity.", 
  "CURL is known to use various MITRE ATT&CK techniques such as T1113, T1095, T1036, T1553, T1222, T1055, T1140, T1070, T1027, T1622, T1057, T1010, T1083, T1518, T1082, T1016, T1059, T1496, and T1588, indicating a wide range of potential malicious behaviors.", 
  "The file eicar_test_vanshikavw-test-new was not found in GTI MALWARE searches, and the IP addresses 10.150.0.3 and 34.85.128.214 were not found in GTI IP_ADDRESS searches."]}

輸出訊息

「建立 Gemini 案件摘要」動作可能會傳回下列輸出訊息：

指令碼結果

下表列出使用「建立 Gemini 案件摘要」動作時，指令碼結果輸出的值：

建立或更新實體屬性

使用「建立或更新實體屬性」動作，為實體範圍內的實體建立或變更屬性。

這項操作會對所有 Google SecOps 實體執行。

動作輸入內容

「建立或更新實體屬性」動作需要下列參數：

動作輸出內容

「建立或更新實體屬性」動作會提供下列輸出內容：

輸出訊息

「Add Vote To Entity」動作可傳回下列輸出訊息：

指令碼結果

下表列出使用「建立或更新實體屬性」動作時，指令碼結果輸出的值：

取得案件詳細資料

使用「Get Case Details」(取得案件詳細資料) 動作，取得案件的所有資料 (包括註解、實體資訊、深入分析、執行的應對手冊、快訊資訊和事件)。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「取得案件詳細資料」動作需要下列參數：

動作輸出內容

「取得案件詳細資料」動作會提供下列輸出內容：

JSON 結果

以下範例顯示使用「取得案件詳細資料」動作時收到的 JSON 結果輸出內容：

{
"id": 24879,
"creationTimeUnixTimeInMs": 1750862500562,
"modificationTimeUnixTimeInMs": 1750862500562,
"name": "Malware",
"priority": -1,
"isImportant": false,
"isIncident": false,
"startTimeUnixTimeInMs": 1727243021999,
"endTimeUnixTimeInMs": 1727243022479,
"assignedUser": "@Tier1",
"description": null,
"isTestCase": true,
"type": 1,
"stage": "Triage",
"environment": "Default Environment",
"status": 1,
"incidentId": null,
"tags": ["hi", "Simulated Case"],
"alertCards": [{
  "id": 172354,
  "creationTimeUnixTimeInMs": 1750862500651,
  "modificationTimeUnixTimeInMs": 1750862500651,
  "identifier": "EICAR_TEST_VANSHIKAVW-TEST-NEW0CC43705-04A7-43FD-88CD-B3E7FECA881D",
  "status": 0,
  "name": "EICAR_TEST_VANSHIKAVW-TEST-NEW",
  "priority": -1,
  "workflowsStatus": 1,
  "slaExpirationUnixTime": null,
  "slaCriticalExpirationUnixTime": null,
  "startTime": 1727243021999,
  "endTime": 1727243022479,
  "alertGroupIdentifier": "MalwareSFBrxjAXvKJsJyKe5iQalf00zrv/QwX966dRoEyP2eA=_8cc160b5-7039-421c-926c-1a98073f11d2",
  "eventsCount": 3,
  "title": "EICAR_TEST_VANSHIKAVW-TEST-NEW",
  "ruleGenerator": "Malware",
  "deviceProduct": "SentinelOneV2",
  "deviceVendor": "SentinelOneV2",
  "playbookAttached": "Testing",
  "playbookRunCount": 1,
  "isManualAlert": false,
  "sla": {
    "slaExpirationTime": null,
    "criticalExpirationTime": null,
    "expirationStatus": 2,
    "remainingTimeSinceLastPause": null
    },
  "fieldsGroups": [],
  "sourceUrl": null,
  "sourceRuleUrl": null,
  "siemAlertId": null,
  "relatedCases": [],
  "lastSourceUpdateUnixTimeInMs": null,
  "caseId": 24879,
  "nestingDepth": 0
  }],
"isOverflowCase": false,
"isManualCase": false,
"slaExpirationUnixTime": null,
"slaCriticalExpirationUnixTime": null,
"stageSlaExpirationUnixTimeInMs": null,
"stageSlaCriticalExpirationUnixTimeInMs": null,
"canOpenIncident": false,
"sla": {
  "slaExpirationTime": null,
  "criticalExpirationTime": null,
  "expirationStatus": 2,
  "remainingTimeSinceLastPause": null
  },
"stageSla": {
  "slaExpirationTime": null,
  "criticalExpirationTime": null,
  "expirationStatus": 2,
  "remainingTimeSinceLastPause": null},
  "relatedAlertTicketId": null,
  "relatedAlertCards": []
  }

輸出訊息

「Get Case Details」(取得案件詳細資料) 動作可傳回下列輸出訊息：

指令碼結果

下表列出使用「取得案件詳細資料」動作時，指令碼結果輸出的值：

取得連接器內容值

使用「Get Connector Context Value」動作，取得儲存在 Google SecOps 資料庫中，指定連接器環境定義鍵的值。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「取得連接器背景資訊值」動作需要下列參數：

動作輸出內容

「取得連結器背景資訊值」動作會提供下列輸出內容：

案件總覽表格

「取得連接器內容值」動作可產生下表：

資料表名稱：Connector

資料表欄：

• 連接器 ID
• 金鑰
• 值

輸出訊息

「取得連結器背景資訊值」動作可能會傳回下列輸出訊息：

指令碼結果

下表列出使用「取得連接器內容值」動作時，指令碼結果輸出的值：

取得自訂欄位值

使用「取得自訂欄位值」動作，根據指定範圍擷取自訂欄位的目前值。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「取得自訂欄位值」動作需要下列參數：

動作輸出內容

「取得自訂欄位值」動作會提供下列輸出內容：

JSON 結果

以下範例顯示使用「取得自訂欄位值」動作時收到的 JSON 結果輸出內容：

[{
   "Case": {
       "Case Custom Field Name 1": "Updated Custom Field Value",
       "Case Custom Field Name 2": "Updated Custom Field Value"
   },
   "Alert": {
       "Alert Custom Field Name 1": "Updated Custom Field Value",
       "Alert Custom Field Name 2": "Updated Custom Field Value"
   }
}]

輸出訊息

「取得自訂欄位值」動作可傳回下列輸出訊息：

指令碼結果

下表列出使用「取得自訂欄位值」動作時，指令碼結果輸出的值：

取得範圍內容值

使用「Get Scope Context Value」動作，取得儲存在 Google SecOps 資料庫中指定金鑰下的值。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「取得範圍背景資訊值」動作需要下列參數：

動作輸出內容

「取得範圍內容值」動作會提供下列輸出內容：

案件總覽表格

「取得範圍內容值」動作可產生下表：

資料表名稱：SCOPE

資料表欄：

• 金鑰
• 值

輸出訊息

「取得範圍背景資訊值」動作可能會傳回下列輸出訊息：

指令碼結果

下表列出使用「取得範圍內容值」動作時，指令碼結果輸出的值：

取得類似案件

使用「Get Similar Cases」(取得類似案件) 動作搜尋類似案件，並傳回案件 ID。

這項操作會對所有 Google SecOps 實體執行。

動作輸入內容

「取得類似案件」動作需要下列參數：

「取得類似案件」動作會將邏輯 AND 運算子套用至 Rule Generator、Port、Category Outcome、Entity Identifier、Include Open Cases 和 Include Closed Cases 參數，以便在同一次搜尋中使用這些參數。

動作輸出內容

「Get Similar Cases」(取得類似案件) 動作會提供下列輸出內容：

JSON 結果

以下範例顯示使用「取得類似案件」動作時收到的 JSON 結果輸出內容：

{
  "results": [{
    "id": 23874, 
    "name": "Malware", 
    "tags": ["hi", "Simulated Case"], 
    "start time": "2024-09-25 05:43:41.999000+00:00", 
    "start time unix": 1727243021999, 
    "last modified": "2025-06-19 13:24:01.062000+00:00", 
    "priority": "Informative", 
    "assigned user": "@Tier1", 
    "matching_criteria": {
        "ruleGenerator": true, 
        "port": true, 
        "outcome": true, 
        "entities": true
      }, 
    "matched_entities": [
      {"entity": "INSTANCE-1", "type": "HOSTNAME", "isSuspicious": false}, 
      {"entity": "10.150.0.3", "type": "ADDRESS", "isSuspicious": false}, {"entity": "172.17.0.1", "type": "ADDRESS", "isSuspicious": false}, {"entity": "VANSHIKAVW_GOOGLE_COM", "type": "USERUNIQNAME", "isSuspicious": false}, 
      {"entity": "CURL", "type": "PROCESS", "isSuspicious": false}, {"entity": "EICAR_TEST_VANSHIKAVW-TEST-NEW", "type": "FILENAME", "isSuspicious": false}, 
      {"entity": "3395856CE81F2B7382DEE72602F798B642F14140", "type": "FILEHASH", "isSuspicious": false}, 
      {"entity": "34.85.128.214", "type": "ADDRESS", "isSuspicious": false}, 
      {"entity": "/HOME/VANSHIKAVW_GOOGLE_COM/EICAR_TEST_VANSHIKAVW-TEST-NEW", "type": "FILENAME", "isSuspicious": false}
      ], 
      "status": "Open"}], 
      "stats": 
      {"Malicious": 0.0, "Is Important": 0.0, "Is Incident": 0.0, "Status Open": 100.0}, 
      "platform_url": "https://soarapitest.backstory.chronicle.security/"
}

輸出訊息

「Get Similar Cases」(取得類似案件) 動作可傳回下列輸出訊息：

指令碼結果

下表列出使用「Get Similar Cases」(取得類似案件) 動作時，指令碼結果輸出的值：

指示

使用「指示」動作為分析師設定指示。

這項操作會對所有 Google SecOps 實體執行。

動作輸入內容

Instruction 動作需要下列參數：

動作輸出內容

「指令」動作會提供下列輸出內容：

輸出訊息

「Add Vote To Entity」動作可傳回下列輸出訊息：

指令碼結果

下表列出使用「指令」動作時，指令碼結果輸出的值：

是否在自訂清單中

使用「是否在自訂清單中」動作，檢查實體 ID 是否屬於指定自訂清單。

這項操作會對所有 Google SecOps 實體執行。

動作輸入內容

「是否在自訂清單中」動作需要下列參數：

動作輸出內容

「是否在自訂清單中」動作會提供下列輸出內容：

輸出訊息

「Is In Custom List」動作可傳回下列輸出訊息：

指令碼結果

下表列出使用「Is In Custom List」動作時，指令碼結果輸出的值：

標示為重要

使用「標示為重要」動作將案件標示為重要。

這項操作會對所有 Google SecOps 實體執行。

動作輸入內容

無

動作輸出內容

「標示為重要」動作會提供下列輸出內容：

輸出訊息

「標示為重要」動作可能會傳回下列輸出訊息：

指令碼結果

下表列出使用「標示為重要」動作時，指令碼結果輸出的值：

開啟網頁網址

使用「Open Web Url」(開啟網頁網址) 動作產生瀏覽器連結。

這項操作會對所有 Google SecOps 實體執行。

動作輸入內容

「開啟網頁網址」動作需要下列參數：

動作輸出內容

「開啟網頁網址」動作會提供下列輸出內容：

輸出訊息

「開啟網頁網址」動作可傳回下列輸出訊息：

指令碼結果

下表列出使用「開啟網頁網址」動作時，指令碼結果輸出的值：

暫停警告服務水準協議

使用「暫停警告服務水準協議」動作，暫停案件中特定警告的服務水準協議 (SLA) 計時器。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「暫停警告服務水準協議」動作需要下列參數：

動作輸出內容

「暫停警告服務水準協議」動作會提供下列輸出內容：

輸出訊息

「暫停警告服務水準協議」動作可能會傳回下列輸出訊息：

指令碼結果

下表列出使用「暫停快訊 SLA」動作時，指令碼結果輸出的值：

暫停案件服務水準協議

使用「暫停案件服務水準協議」動作，暫停特定案件的服務水準協議 (SLA) 計時器。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「暫停案件服務水準協議」動作需要下列參數：

動作輸出內容

「暫停案件服務水準協議」動作會提供下列輸出內容：

輸出訊息

「暫停案件服務水準協議」動作可能會傳回下列輸出訊息：

指令碼結果

下表列出使用「暫停案件服務等級協議」動作時，指令碼結果輸出的值：

允許的警示時間

使用「允許的快訊時間」動作，檢查所選快訊的開始時間是否符合使用者定義的時間條件。

這項操作會對所有 Google SecOps 實體執行。

動作輸入內容

「允許警報時間」動作需要下列參數：

動作輸出內容

「允許的快訊時間」動作會提供下列輸出內容：

輸出訊息

「允許的警報時間」動作可能會傳回下列輸出訊息：

指令碼結果

下表列出使用「允許的警報時間」動作時，指令碼結果輸出的值：

乒乓

使用「Ping」動作測試連線。

這項操作會對所有 Google SecOps 實體執行。

動作輸入內容

無

動作輸出內容

「Ping」動作會提供下列輸出內容：

輸出訊息

「Ping」動作可能會傳回下列輸出訊息：

指令碼結果

下表列出使用「Ping」動作時，指令碼結果輸出的值：

提出事件

使用「Raise Incident」動作提出案件事件，並將真正陽性案件標示為 Critical。

這項操作會對所有 Google SecOps 實體執行。

動作輸入內容

「Raise Incident」動作需要下列參數：

動作輸出內容

「Raise Incident」動作會提供下列輸出內容：

輸出訊息

「Search ASM Issues」(搜尋 ASM 問題) 動作可能會傳回下列輸出訊息：

指令碼結果

下表列出使用「Raise Incident」動作時，指令碼結果輸出的值：

移除標記

使用「移除標記」動作，從案件中移除標記。

這項操作會對所有 Google SecOps 實體執行。

動作輸入內容

「移除代碼」動作需要下列參數：

動作輸出內容

「移除標記」動作會提供下列輸出內容：

輸出訊息

「移除代碼」動作可能會傳回下列輸出訊息：

指令碼結果

下表列出使用「移除代碼」動作時，指令碼結果輸出的值：

從自訂清單中移除

使用「從自訂清單中移除」動作，從指定自訂清單類別中移除與快訊相關聯的實體。

這項操作會對所有 Google SecOps 實體執行。

動作輸入內容

「從自訂清單中移除」動作需要下列參數：

動作輸出內容

「從自訂清單中移除」動作會提供下列輸出內容：

輸出訊息

「從自訂清單中移除」動作可能會傳回下列輸出訊息：

指令碼結果

下表列出使用「從自訂清單中移除」動作時，指令碼結果輸出的值：

恢復警告服務水準協議

使用「恢復警告服務水準協議」動作，重新啟動案件中特定警告的服務水準協議 (SLA) 計時器。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

無

動作輸出內容

「恢復警告服務水準協議」動作會提供下列輸出內容：

輸出訊息

「恢復警告服務水準協議」動作可能會傳回下列輸出訊息：

指令碼結果

下表列出使用「Resume Alert SLA」(繼續警報 SLA) 動作時，指令碼結果輸出的值：

恢復案件服務水準協議

使用「Resume Case SLA」(恢復案件服務水準協議) 動作，重新啟動特定案件的服務水準協議 (SLA) 計時器。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

無

動作輸出內容

「恢復案件服務水準協議」動作會提供下列輸出內容：

輸出訊息

「恢復案件服務水準協議」動作可能會傳回下列輸出訊息：

指令碼結果

下表列出使用「繼續案件服務等級協議」動作時，指令碼結果輸出的值：

設定快訊服務水準協議

使用「設定警報服務水準協議」動作，為警報設定服務水準協議計時器。

這項動作的優先順序最高，會覆寫為特定快訊定義的現有服務等級協議。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「設定快訊服務水準協議」動作需要下列參數：

動作輸出內容

「設定快訊服務水準協議」動作會提供下列輸出內容：

輸出訊息

「設定警告服務水準協議」動作可傳回下列輸出訊息：

指令碼結果

下表列出使用「設定快訊服務水準協議」動作時，指令碼結果輸出的值：

設定案件服務水準協議

使用「設定案件服務等級協議」動作，為案件設定服務等級協議。

這項動作的優先順序最高，會覆寫特定案件的現有服務等級協議。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「設定案件服務等級協議」動作需要下列參數：

動作輸出內容

「設定案件服務等級協議」動作會提供下列輸出內容：

輸出訊息

「Search ASM Issues」(搜尋 ASM 問題) 動作可能會傳回下列輸出訊息：

指令碼結果

下表列出使用「設定案件服務等級協議」動作時，指令碼結果輸出的值：

設定自訂欄位

使用「設定自訂欄位」動作設定自訂欄位的值。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「設定自訂欄位」動作需要下列參數：

    {
      "Custom Field Name 1": "Custom Field Value 1",
      "Custom Field Name 2": "Custom Field Value 2"
    }
    

動作輸出內容

「設定自訂欄位」動作會提供下列輸出內容：

JSON 結果

以下範例顯示使用「設定自訂欄位」動作時收到的 JSON 結果輸出內容：

{
"Custom Field Name": "Updated Custom Field Value",
"Custom Field Name": "Updated Custom Field Value",
}

輸出訊息

「設定自訂欄位」動作可傳回下列輸出訊息：

指令碼結果

下表列出使用「設定自訂欄位」動作時，指令碼結果輸出的值：

設定風險分數

使用「設定風險分數」動作更新案件的風險分數。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「設定風險評分」動作需要下列參數：

動作輸出內容

「設定風險分數」動作會提供下列輸出內容：

輸出訊息

「設定風險評分」動作可能會傳回下列輸出訊息：

指令碼結果

下表列出使用「設定風險評分」動作時，指令碼結果輸出的值：

設定範圍背景資訊值

使用「設定範圍內容值」動作，為儲存在 Google SecOps 資料庫中的索引鍵設定值。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「設定範圍背景資訊值」動作需要下列參數：

動作輸出內容

「取得範圍內容值」動作會提供下列輸出內容：

輸出訊息

「設定範圍背景資訊值」動作可傳回下列輸出訊息：

指令碼結果

下表列出使用「設定範圍環境值」動作時，指令碼結果輸出的值：

更新案件說明

使用「Update Case Description」(更新案件說明) 動作更新案件說明。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「更新案件說明」動作需要下列參數：

動作輸出內容

「更新案件說明」動作會提供下列輸出內容：

輸出訊息

「更新案件說明」動作可能會傳回下列輸出訊息：

指令碼結果

下表列出使用「更新案件說明」動作時，指令碼結果輸出的值：

等待自訂欄位

使用「Wait For Custom Fields」動作，等待自訂欄位值，然後繼續執行劇本。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「等待自訂欄位」動作需要下列參數：

    {
      "Custom Field": ""
    }
    

    {
      "Custom Field": "VALUE_1"
    }
    

    {
      "Custom Field Name 1": "Custom Field Value 1",
      "Custom Field Name 2": "Custom Field Value 2"
    }
    

動作輸出內容

「等待自訂欄位」動作會提供下列輸出內容：

JSON 結果

以下範例顯示使用「Wait For Custom Fields」(等待自訂欄位) 動作時收到的 JSON 結果輸出內容：

{
"Custom Field Name": "Updated Custom Field Value",
"Custom Field Name": "Updated Custom Field Value",
}

輸出訊息

「等待自訂欄位」動作可傳回下列輸出訊息：

指令碼結果

下表列出使用「等待自訂欄位」動作時，指令碼結果輸出的值：

工作

透過 Siemplify 整合功能，您可以使用下列工作：

• Siemplify - Actions Monitor
• Siemplify - Cases Collector DB
• Siemplify - Logs Collector

Siemplify - Actions Monitor

使用 Siemplify - Actions Monitor 工作，接收過去三小時內個別動作至少失敗三次的所有通知。

工作輸入內容

「Siemplify - Actions Monitor」作業需要下列參數：

Siemplify - Cases Collector DB

使用「Siemplify - Cases Collector DB」工作，從指定發布者擷取及處理安全事件。

工作輸入內容

「Siemplify - Cases Collector DB」工作需要下列參數：

Siemplify - Logs Collector

使用「Siemplify - Logs Collector」工作，從指定發布商擷取及處理記錄。

工作輸入內容

「Siemplify - Logs Collector」作業需要下列參數：

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。