Integrar Web Risk con Google SecOps

En este documento se explica cómo integrar Web Risk con Google Security Operations (Google SecOps).

Versión de la integración: 1.0

Parámetros de integración

La integración de Web Risk requiere los siguientes parámetros:

Parámetro Descripción
Workload Identity Email

Opcional.

La dirección de correo del cliente de tu cuenta de servicio.

Puede configurar este parámetro o el parámetro Service Account JSON File Content.

Si defines este parámetro, configura el parámetro Quota Project ID.

Para suplantar cuentas de servicio con la federación de identidades de cargas de trabajo, asigna el rol Service Account Token Creator a tu cuenta de servicio. Para obtener más información sobre las identidades de carga de trabajo y cómo trabajar con ellas, consulta Identidades de cargas de trabajo.
Service Account JSON File Content

Opcional.

El contenido de un archivo JSON de clave de cuenta de servicio.

Puede configurar este parámetro o el parámetro Workload Identity Email.

Para configurar este parámetro, introduce todo el contenido del archivo JSON de la clave de la cuenta de servicio que descargaste al crear una cuenta de servicio.
Quota Project ID

Opcional.

El Google Cloud ID de proyecto que usas para las APIs Google Cloud y la facturación. Para usar este parámetro, debe conceder el rol Service Usage Consumer a su cuenta de servicio.

Si no asignas ningún valor a este parámetro, la integración recuperará el ID del proyecto de tu Google Cloud cuenta de servicio.
Project ID

Opcional.

El ID del proyecto que se va a usar en la integración.

Si no asignas ningún valor a este parámetro, la integración obtiene el ID de proyecto de tu cuenta de servicio Google Cloud .
Verify SSL

Obligatorio.

Si se selecciona esta opción, la integración valida el certificado SSL al conectarse al servidor de Web Risk.

Esta opción está seleccionada de forma predeterminada.

Para obtener instrucciones sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.

Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en los cuadernos de estrategias. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Admitir varias instancias.

Acciones

Para obtener más información sobre las acciones, consulta Responder a acciones pendientes desde Tu espacio de trabajo y Realizar una acción manual.

Enriquecer entidades

Usa la acción Enrich Entities para obtener información sobre las entidades de Google SecOps de Web Risk.

Esta acción se ejecuta en la entidad URL de Google SecOps.

Entradas de acciones

Ninguno

Resultados de la acción

La acción Enriquecer entidades proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento de entidades Disponible
Resultado de JSON Disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Tabla de enriquecimiento de entidades

La acción Enrich Entities puede enriquecer la entidad URL y proporcionar los siguientes resultados:

Nombre del campo de enriquecimiento Fuente (clave JSON) Aplicabilidad
threatTypes El archivo CSV de tipos de amenazas. Cuando esté disponible en el resultado JSON.
Resultado de JSON

En el siguiente ejemplo se muestra el resultado JSON que se recibe al usar la acción Enrich Entities (Enriquecer entidades):

{
   "Entity": "Entity",
   "EntityResult": [
       {
           "expireTime": "2024-12-20T13:47:20.786242980Z",
           "threatTypes": [
               "SOCIAL_ENGINEERING_EXTENDED_COVERAGE"
           ]
       }
   ]
}
Mensajes de salida

La acción Enrich Entities puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Successfully enriched the following entities in Web Risk: ENTITY_ID.

The action wasn't able to enrich the following entities in Web Risk: ENTITY_ID.

No information was found for the provided entities.

 La acción se ha realizado correctamente.
Error executing action "Enrich Entities". Reason: ERROR_REASON

No se ha podido realizar la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Enriquecer entidades:

Nombre del resultado del script Valor
is_success True o False

Ping

Usa la acción Ping para probar la conectividad con Web Risk.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

Ninguno

Resultados de la acción

La acción Ping proporciona las siguientes salidas:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Mensajes de salida

La acción Ping puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje
Successfully connected to the Web Risk server with the provided connection parameters! La acción se ha realizado correctamente.
Failed to connect to the Web Risk server! Error is ERROR_REASON

No se ha podido realizar la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Ping:

Nombre del resultado del script Valor
is_success True o False

Enviar entidades

Usa la acción Enviar entidades para enviar entidades a Web Risk para que se analicen.

Esta acción es asíncrona. Ajusta el valor de tiempo de espera de la secuencia de comandos en el entorno de desarrollo integrado (IDE) de Google SecOps para la acción, según sea necesario.

Esta acción se ejecuta en la entidad URL de Google SecOps.

Entradas de acciones

La acción Enviar entidades requiere los siguientes parámetros:

Parámetro Descripción
Abuse Type

Opcional.

El tipo de abuso asociado a un envío.

Para obtener más información sobre los tipos de abuso, consulta AbuseType.

Estos son los valores posibles:

  • Select One
  • Malware
  • Social Engineering
  • Unwanted Software

El valor predeterminado es Select One.
Confidence Level

Opcional.

El nivel de confianza de un envío.

Para obtener más información sobre los niveles de confianza, consulta Confianza y ConfidenceLevel.

Los valores posibles son los siguientes:

  • Select One
  • Low
  • Medium
  • High

El valor predeterminado es Select One.
Justification

Opcional.

La justificación de un envío.

Para obtener más información sobre las opciones de justificación, consulta JustificationLabel.

Estos son los valores posibles:

  • Manual Verification
  • User Report
  • Automated Report

El valor predeterminado es User Report.
Comment

Opcional.

Un comentario para justificar el envío.
Region Code

Opcional.

Lista separada por comas de los códigos del repositorio de datos de configuración regional comunes (CLDR) de los países o las regiones asociados al envío. Para obtener más información sobre los envíos, consulta Envío.
Platform

Opcional.

Tipo de plataforma en la que se ha detectado el envío.

Estos son los valores posibles:

  • Select One
  • Android
  • iOS
  • MacOS
  • Windows

El valor predeterminado es Select One.
Skip Waiting

Opcional.

Si se selecciona esta opción, la acción inicializa el envío y no espera a que finalice.

El valor predeterminado es True.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.