Integrare Web Risk con Google SecOps

Questo documento spiega come integrare Web Risk con Google Security Operations (Google SecOps).

Versione integrazione: 1.0

Parametri di integrazione

L'integrazione di Web Risk richiede i seguenti parametri:

Parametro Descrizione
Workload Identity Email

Facoltativo.

L'indirizzo email client del tuo account di servizio.

Puoi configurare questo parametro o il parametro Service Account JSON File Content.

Se imposti questo parametro, configura il parametro Quota Project ID.

Per simulare l'identità dei service account con la federazione delle identità per i carichi di lavoro, concedi il ruolo Service Account Token Creator al tuo account di servizio. Per ulteriori dettagli sulle identità dei workload e su come utilizzarle, consulta Identità per i workload.
Service Account JSON File Content

Facoltativo.

Il contenuto di un file JSON della chiave dell'account di servizio.

Puoi configurare questo parametro o il parametro Workload Identity Email.

Per configurare questo parametro, inserisci l'intero contenuto del file JSON della chiave dell'account di servizio che hai scaricato quando hai creato un account di servizio.
Quota Project ID

Facoltativo.

L'ID progetto Google Cloud che utilizzi per le API e la fatturazione. Google Cloud Questo parametro richiede che tu conceda il ruolo Service Usage Consumer al tuo account di servizio.

Se non imposti un valore per questo parametro, l'integrazione recupera l'ID progetto dal tuo account di servizio Google Cloud .
Project ID

Facoltativo.

L'ID progetto da utilizzare nell'integrazione.

Se non imposti un valore per questo parametro, l'integrazione recupera l'ID progetto dal tuo account di servizio Google Cloud .
Verify SSL

Obbligatorio.

Se selezionata, l'integrazione convalida il certificato SSL quando si connette al server Web Risk.

Questa opzione è selezionata per impostazione predefinita.

Per istruzioni su come configurare un'integrazione in Google SecOps, consulta Configurare le integrazioni.

Se necessario, potrai apportare modifiche in un secondo momento. Dopo aver configurato un'istanza di integrazione, puoi utilizzarla nei playbook. Per saperne di più su come configurare e supportare più istanze, consulta Supportare più istanze.

Azioni

Per ulteriori informazioni sulle azioni, vedi Rispondere alle azioni in attesa dalla tua scrivania e Eseguire un'azione manuale.

Arricchisci entità

Utilizza l'azione Arricchisci entità per restituire informazioni sulle entità Google SecOps da Web Risk.

Questa azione viene eseguita sull'entità Google SecOps URL.

Input azione

Nessuno.

Output dell'azione

L'azione Arricchisci entità fornisce i seguenti output:

Tipo di output dell'azione Disponibilità
Allegato della bacheca casi Non disponibile
Link alla bacheca richieste Non disponibile
Tabella della bacheca casi Non disponibile
Tabella di arricchimento delle entità Disponibile
Risultato JSON Disponibile
Messaggi di output Disponibile
Risultato dello script Disponibile
Tabella di arricchimento delle entità

L'azione Arricchisci entità può arricchire l'entità URL e fornire i seguenti risultati di arricchimento:

Nome del campo di arricchimento Origine (chiave JSON) Applicabilità
threatTypes Il file CSV dei tipi di minaccia. Quando disponibile nel risultato JSON.
Risultato JSON

L'esempio seguente mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Arricchisci entità:

{
   "Entity": "Entity",
   "EntityResult": [
       {
           "expireTime": "2024-12-20T13:47:20.786242980Z",
           "threatTypes": [
               "SOCIAL_ENGINEERING_EXTENDED_COVERAGE"
           ]
       }
   ]
}
Messaggi di output

L'azione Arricchisci entità può restituire i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

Successfully enriched the following entities in Web Risk: ENTITY_ID.

The action wasn't able to enrich the following entities in Web Risk: ENTITY_ID.

No information was found for the provided entities.

 L'azione è riuscita.
Error executing action "Enrich Entities". Reason: ERROR_REASON

L'azione non è riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.
Risultato dello script

La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Arricchisci entità:

Nome del risultato dello script Valore
is_success True o False

Dindin

Utilizza l'azione Ping per testare la connettività a Web Risk.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

Nessuno.

Output dell'azione

L'azione Ping fornisce i seguenti output:

Tipo di output dell'azione Disponibilità
Allegato della bacheca casi Non disponibile
Link alla bacheca richieste Non disponibile
Tabella della bacheca casi Non disponibile
Tabella di arricchimento Non disponibile
Risultato JSON Non disponibile
Messaggi di output Disponibile
Risultato dello script Disponibile
Messaggi di output

L'azione Ping può restituire i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio
Successfully connected to the Web Risk server with the provided connection parameters! L'azione è riuscita.
Failed to connect to the Web Risk server! Error is ERROR_REASON

L'azione non è riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.
Risultato dello script

La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Ping:

Nome del risultato dello script Valore
is_success True o False

Invia entità

Utilizza l'azione Invia entità per inviare le entità a Web Risk per l'analisi.

Questa azione è asincrona. Regola il valore di timeout dello script nell'ambiente di sviluppo integrato (IDE) di Google SecOps per l'azione, se necessario.

Questa azione viene eseguita sull'entità Google SecOps URL.

Input azione

L'azione Invia entità richiede i seguenti parametri:

Parametro Descrizione
Abuse Type

Facoltativo.

Il tipo di abuso associato a un invio.

Per ulteriori informazioni sui tipi di abuso, vedi AbuseType.

I valori possibili sono:

  • Select One
  • Malware
  • Social Engineering
  • Unwanted Software

Il valore predefinito è Select One.
Confidence Level

Facoltativo.

Il livello di confidenza per un invio.

Per maggiori informazioni sui livelli di confidenza, vedi Confidenza e ConfidenceLevel.

I valori possibili sono i seguenti:

  • Select One
  • Low
  • Medium
  • High

Il valore predefinito è Select One.
Justification

Facoltativo.

La motivazione di un invio.

Per ulteriori informazioni sulle opzioni di giustificazione, consulta JustificationLabel.

I valori possibili sono i seguenti:

  • Manual Verification
  • User Report
  • Automated Report

Il valore predefinito è User Report.
Comment

Facoltativo.

Un commento per giustificare l'invio.
Region Code

Facoltativo.

Un elenco separato da virgole dei codici CLDR (Common Locale Data Repository) per i paesi o le regioni associati all'invio. Per ulteriori informazioni sugli invii, consulta Invio.
Platform

Facoltativo.

Un tipo di piattaforma in cui è stato rilevato l'invio.

I valori possibili sono:

  • Select One
  • Android
  • iOS
  • MacOS
  • Windows

Il valore predefinito è Select One.
Skip Waiting

Facoltativo.

Se selezionata, l'azione inizializza l'invio e non attende il completamento.

Il valore predefinito è True.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.