Web Risk in Google SecOps einbinden

In diesem Dokument wird beschrieben, wie Sie Web Risk in Google Security Operations (Google SecOps) einbinden.

Integrationsversion: 1.0

Integrationsparameter

Für die Web Risk-Integration sind die folgenden Parameter erforderlich:

Parameter Beschreibung
Workload Identity Email

Optional.

Die Client-E‑Mail-Adresse Ihres Dienstkontos.

Sie können diesen Parameter oder den Parameter Service Account JSON File Content konfigurieren.

Wenn Sie diesen Parameter festlegen, konfigurieren Sie den Parameter Quota Project ID.

Um die Identität von Dienstkonten mit der Workload Identity Federation zu übernehmen, weisen Sie Ihrem Dienstkonto die Rolle Service Account Token Creator zu. Weitere Informationen zu Workload Identitys und deren Verwendung finden Sie unter Identitäten für Arbeitslasten.
Service Account JSON File Content

Optional.

Der Inhalt einer JSON-Datei mit einem Dienstkontoschlüssel.

Sie können diesen Parameter oder den Parameter Workload Identity Email konfigurieren.

Geben Sie zur Konfiguration dieses Parameters den vollständigen Inhalt der JSON-Datei für den Dienstkontoschlüssel ein, die Sie beim Erstellen eines Dienstkontos heruntergeladen haben.
Quota Project ID

Optional.

Die Google Cloud -Projekt-ID, die Sie für Google Cloud -APIs und die Abrechnung verwenden. Für diesen Parameter müssen Sie Ihrem Dienstkonto die Rolle Service Usage Consumer zuweisen.

Wenn Sie keinen Wert für diesen Parameter festlegen, ruft die Integration die Projekt-ID aus Ihrem Google Cloud Dienstkonto ab.
Project ID

Optional.

Die Projekt-ID, die in der Integration verwendet werden soll.

Wenn Sie keinen Wert für diesen Parameter festlegen, ruft die Integration die Projekt-ID aus Ihrem Google Cloud Dienstkonto ab.
Verify SSL

Erforderlich.

Wenn diese Option ausgewählt ist, wird das SSL-Zertifikat bei der Verbindung zum Web Risk-Server validiert.

Standardmäßig ausgewählt.

Eine Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.

Bei Bedarf können Sie später Änderungen vornehmen. Nachdem Sie eine Integrationsinstanz konfiguriert haben, können Sie sie in Playbooks verwenden. Weitere Informationen zum Konfigurieren und Unterstützen mehrerer Instanzen finden Sie unter Mehrere Instanzen unterstützen.

Aktionen

Weitere Informationen zu Aktionen finden Sie unter Ausstehende Aktionen über „Mein Arbeitsbereich“ bearbeiten und Manuelle Aktion ausführen.

Entitäten anreichern

Mit der Aktion Enrich Entities (Entitäten anreichern) können Sie Informationen zu Google SecOps-Entitäten aus Web Risk abrufen.

Diese Aktion wird für die Google SecOps-URL-Entität ausgeführt.

Aktionseingaben

Keine.

Aktionsausgaben

Die Aktion Enrich Entities (Entitäten anreichern) gibt Folgendes aus:

Ausgabetyp der Aktion Verfügbarkeit
Anhang im Fall-Repository Nicht verfügbar
Link zum Fall‑Repository Nicht verfügbar
Tabelle „Fall-Repository“ Nicht verfügbar
Tabelle zur Elementanreicherung Verfügbar
JSON-Ergebnis Verfügbar
Ausgabemeldungen Verfügbar
Scriptergebnis Verfügbar
Tabelle zur Elementanreicherung

Mit der Aktion Enrich Entities (Entitäten anreichern) kann die Entität URL angereichert werden. Dabei werden die folgenden Ergebnisse zurückgegeben:

Name des Anreicherungsfelds Quelle (JSON-Schlüssel) Gültigkeit
threatTypes Die CSV-Datei mit den Bedrohungsarten. Wenn im JSON-Ergebnis verfügbar.
JSON-Ergebnis

Im folgenden Beispiel sehen Sie die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Enrich Entities (Entitäten anreichern) empfangen wird:

{
   "Entity": "Entity",
   "EntityResult": [
       {
           "expireTime": "2024-12-20T13:47:20.786242980Z",
           "threatTypes": [
               "SOCIAL_ENGINEERING_EXTENDED_COVERAGE"
           ]
       }
   ]
}
Ausgabemeldungen

Die Aktion Enrich Entities kann die folgenden Ausgabenachrichten zurückgeben:

Ausgabemeldung Nachrichtenbeschreibung

Successfully enriched the following entities in Web Risk: ENTITY_ID.

The action wasn't able to enrich the following entities in Web Risk: ENTITY_ID.

No information was found for the provided entities.

 Die Aktion wurde ausgeführt.
Error executing action "Enrich Entities". Reason: ERROR_REASON

Die Aktion ist fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.
Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Enrich Entities verwendet wird:

Name des Scriptergebnisses Wert
is_success True oder False

Ping

Verwenden Sie die Aktion Ping, um die Verbindung zu Web Risk zu testen.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Keine.

Aktionsausgaben

Die Aktion Ping bietet die folgenden Ausgaben:

Ausgabetyp der Aktion Verfügbarkeit
Anhang im Fall-Repository Nicht verfügbar
Link zum Fall‑Repository Nicht verfügbar
Tabelle „Fall-Repository“ Nicht verfügbar
Anreicherungstabelle Nicht verfügbar
JSON-Ergebnis Nicht verfügbar
Ausgabemeldungen Verfügbar
Scriptergebnis Verfügbar
Ausgabemeldungen

Die Aktion Ping kann die folgenden Ausgabenachrichten zurückgeben:

Ausgabemeldung Nachrichtenbeschreibung
Successfully connected to the Web Risk server with the provided connection parameters! Die Aktion wurde ausgeführt.
Failed to connect to the Web Risk server! Error is ERROR_REASON

Die Aktion ist fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.
Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Ping aufgeführt:

Name des Scriptergebnisses Wert
is_success True oder False

Entitäten einreichen

Mit der Aktion Entitäten einreichen können Sie Entitäten zur Analyse an Web Risk senden.

Diese Aktion ist asynchron. Passen Sie den Script-Timeout-Wert in der integrierten Entwicklungsumgebung (IDE) von Google SecOps für die Aktion nach Bedarf an.

Diese Aktion wird für die Google SecOps-URL-Entität ausgeführt.

Aktionseingaben

Für die Aktion Submit Entities sind die folgenden Parameter erforderlich:

Parameter Beschreibung
Abuse Type

Optional.

Der Missbrauchstyp, der mit einer Einreichung verknüpft ist.

Weitere Informationen zu Missbrauchstypen finden Sie unter AbuseType.

Folgende Werte sind möglich:

  • Select One
  • Malware
  • Social Engineering
  • Unwanted Software

Der Standardwert ist Select One.
Confidence Level

Optional.

Das Konfidenzniveau für eine Einsendung.

Weitere Informationen zu Konfidenzniveaus finden Sie unter Confidence und ConfidenceLevel.

Folgende Werte sind möglich:

  • Select One
  • Low
  • Medium
  • High

Der Standardwert ist Select One.
Justification

Optional.

Die Begründung für eine Einsendung.

Weitere Informationen zu den Optionen für die Begründung finden Sie unter JustificationLabel.

Folgende Werte sind möglich:

  • Manual Verification
  • User Report
  • Automated Report

Der Standardwert ist User Report.
Comment

Optional.

Ein Kommentar zur Begründung der Einreichung.
Region Code

Optional.

Eine durch Kommas getrennte Liste der CLDR-Codes (Common Locale Data Repository) für Länder oder Regionen, die mit der Einreichung verknüpft sind. Weitere Informationen zu Einsendungen finden Sie unter Einsendung.
Platform

Optional.

Ein Plattformtyp, auf dem die Einreichung erkannt wurde.

Folgende Werte sind möglich:

  • Select One
  • Android
  • iOS
  • MacOS
  • Windows

Der Standardwert ist Select One.
Skip Waiting

Optional.

Wenn diese Option ausgewählt ist, wird die Einreichung durch die Aktion initialisiert, es wird aber nicht gewartet, bis sie abgeschlossen ist.

Der Standardwert ist True.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten