Intégrer Web Risk à Google SecOps

Ce document explique comment intégrer Web Risk à Google Security Operations (Google SecOps).

Version de l'intégration : 1.0

Paramètres d'intégration

L'intégration Web Risk nécessite les paramètres suivants :

Paramètre Description
Workload Identity Email

Facultatif.

Adresse e-mail du client de votre compte de service.

Vous pouvez configurer ce paramètre ou le paramètre Service Account JSON File Content.

Si vous définissez ce paramètre, configurez le paramètre Quota Project ID.

Pour emprunter l'identité de comptes de service avec la fédération d'identité de charge de travail, accordez le rôle Service Account Token Creator à votre compte de service. Pour en savoir plus sur les identités de charge de travail et leur utilisation, consultez Identités pour les charges de travail.
Service Account JSON File Content

Facultatif.

Contenu d'un fichier JSON de clé de compte de service.

Vous pouvez configurer ce paramètre ou le paramètre Workload Identity Email.

Pour configurer ce paramètre, saisissez l'intégralité du contenu du fichier JSON de la clé de compte de service que vous avez téléchargé lorsque vous avez créé un compte de service.
Quota Project ID

Facultatif.

ID de projet Google Cloud que vous utilisez pour les API Google Cloud et la facturation. Ce paramètre nécessite que vous accordiez le rôle Service Usage Consumer à votre compte de service.

Si vous ne définissez pas de valeur pour ce paramètre, l'intégration récupère l'ID du projet à partir de votre compte de service Google Cloud .
Project ID

Facultatif.

ID du projet à utiliser dans l'intégration.

Si vous ne définissez pas de valeur pour ce paramètre, l'intégration récupère l'ID du projet à partir de votre compte de service Google Cloud .
Verify SSL

Obligatoire.

Si cette option est sélectionnée, l'intégration valide le certificat SSL lors de la connexion au serveur Web Risk.

Cette option est sélectionnée par défaut.

Pour obtenir des instructions sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.

Vous pourrez apporter des modifications ultérieurement, si nécessaire. Une fois que vous avez configuré une instance d'intégration, vous pouvez l'utiliser dans des playbooks. Pour savoir comment configurer et prendre en charge plusieurs instances, consultez Prise en charge de plusieurs instances.

Actions

Pour en savoir plus sur les actions, consultez Répondre aux actions en attente depuis Votre bureau et Effectuer une action manuelle.

Enrichir les entités

Utilisez l'action Enrichir les entités pour renvoyer des informations sur les entités Google SecOps à partir de Web Risk.

Cette action s'exécute sur l'entité URL de Google SecOps.

Entrées d'action

Aucun

Sorties d'action

L'action Enrichir les entités fournit les sorties suivantes :

Type de sortie de l'action Disponibilité
Pièce jointe au mur des cas Non disponible
Lien vers le mur des cas Non disponible
Table du mur des cas Non disponible
Table d'enrichissement des entités Disponible
Résultat JSON Disponible
Messages de sortie Disponible
Résultat du script Disponible
Table d'enrichissement des entités

L'action Enrich Entities peut enrichir l'entité URL et fournir les résultats d'enrichissement suivants :

Nom du champ d'enrichissement Source (clé JSON) Applicabilité
threatTypes Fichier CSV des types de menaces. Lorsqu'il est disponible dans le résultat JSON.
Résultat JSON

L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Enrichir les entités :

{
   "Entity": "Entity",
   "EntityResult": [
       {
           "expireTime": "2024-12-20T13:47:20.786242980Z",
           "threatTypes": [
               "SOCIAL_ENGINEERING_EXTENDED_COVERAGE"
           ]
       }
   ]
}
Messages de sortie

L'action Enrichir les entités peut renvoyer les messages de sortie suivants :

Message affiché Description du message

Successfully enriched the following entities in Web Risk: ENTITY_ID.

The action wasn't able to enrich the following entities in Web Risk: ENTITY_ID.

No information was found for the provided entities.

 L'action a réussi.
Error executing action "Enrich Entities". Reason: ERROR_REASON

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.
Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Enrichir les entités :

Nom du résultat du script Valeur
is_success True ou False

Ping

Utilisez l'action Ping pour tester la connectivité à Web Risk.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

Aucun

Sorties d'action

L'action Ping fournit les résultats suivants :

Type de sortie de l'action Disponibilité
Pièce jointe au mur des cas Non disponible
Lien vers le mur des cas Non disponible
Table du mur des cas Non disponible
Table d'enrichissement Non disponible
Résultat JSON Non disponible
Messages de sortie Disponible
Résultat du script Disponible
Messages de sortie

L'action Ping peut renvoyer les messages de résultat suivants :

Message affiché Description du message
Successfully connected to the Web Risk server with the provided connection parameters! L'action a réussi.
Failed to connect to the Web Risk server! Error is ERROR_REASON

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.
Résultat du script

Le tableau suivant répertorie la valeur du résultat du script lorsque vous utilisez l'action Ping :

Nom du résultat du script Valeur
is_success True ou False

Envoyer des entités

Utilisez l'action Envoyer des entités pour envoyer des entités à Web Risk à des fins d'analyse.

Cette action est asynchrone. Ajustez la valeur du délai d'expiration du script dans l'environnement de développement intégré (IDE) Google SecOps pour l'action, si nécessaire.

Cette action s'exécute sur l'entité URL de Google SecOps.

Entrées d'action

L'action Envoyer des entités nécessite les paramètres suivants :

Paramètre Description
Abuse Type

Facultatif.

Type d'utilisation abusive associé à une demande.

Pour en savoir plus sur les types d'utilisation abusive, consultez AbuseType.

Les valeurs possibles sont les suivantes :

  • Select One
  • Malware
  • Social Engineering
  • Unwanted Software

La valeur par défaut est Select One.
Confidence Level

Facultatif.

Niveau de confiance d'une contribution.

Pour en savoir plus sur les niveaux de confiance, consultez Confiance et ConfidenceLevel.

Voici les valeurs possibles :

  • Select One
  • Low
  • Medium
  • High

La valeur par défaut est Select One.
Justification

Facultatif.

Justification d'un envoi.

Pour en savoir plus sur les options de justification, consultez JustificationLabel.

Voici les valeurs possibles :

  • Manual Verification
  • User Report
  • Automated Report

La valeur par défaut est User Report.
Comment

Facultatif.

Un commentaire pour justifier l'envoi.
Region Code

Facultatif.

Liste de codes CLDR (Common Locale Data Repository) pour les pays ou régions associés à l'envoi, séparés par des virgules. Pour en savoir plus sur les envois, consultez Envoi.
Platform

Facultatif.

Type de plate-forme sur laquelle l'envoi a été détecté.

Les valeurs possibles sont les suivantes :

  • Select One
  • Android
  • iOS
  • MacOS
  • Windows

La valeur par défaut est Select One.
Skip Waiting

Facultatif.

Si cette option est sélectionnée, l'action initialise l'envoi et n'attend pas qu'il se termine.

La valeur par défaut est True.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.