Web Risk を Google SecOps と統合する
このドキュメントでは、ウェブ リスクを Google Security Operations(Google SecOps)と統合する方法について説明します。
統合バージョン: 1.0
統合のパラメータ
Web Risk の統合には次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Workload Identity Email |
省略可。 サービス アカウントのクライアント メールアドレス。 このパラメータまたは このパラメータを設定する場合は、 Workload Identity 連携を使用してサービス アカウントの権限を借用するには、サービス アカウントに |
Service Account JSON File Content |
省略可。 サービス アカウント キーの JSON ファイルの内容。 このパラメータまたは このパラメータを構成するには、サービス アカウントの作成時にダウンロードしたサービス アカウント キーの JSON ファイルの内容全体を入力します。 |
Quota Project ID |
省略可。 Google Cloud API と課金に使用する Google Cloud プロジェクト ID。このパラメータを使用するには、サービス アカウントに
このパラメータの値を設定しない場合、統合は Google Cloud サービス アカウントからプロジェクト ID を取得します。 |
Project ID |
省略可。 統合で使用するプロジェクト ID。 このパラメータの値を設定しない場合、統合は Google Cloud サービス アカウントからプロジェクト ID を取得します。 |
Verify SSL |
必須。 選択すると、統合によって Web Risk サーバーに接続するときに SSL 証明書が検証されます。 デフォルトで選択されています。 |
Google SecOps で統合を構成する手順については、統合を構成するをご覧ください。
必要に応じて、後の段階で変更できます。統合インスタンスを構成すると、ハンドブックで使用できるようになります。複数のインスタンスの構成とサポートの方法については、複数のインスタンスのサポートをご覧ください。
操作
アクションの詳細については、 デスクから保留中のアクションに対応すると手動アクションを実行するをご覧ください。
エンティティの拡充
エンティティの拡充アクションを使用して、Web Risk から Google SecOps エンティティに関する情報を返します。
このアクションは Google SecOps の URL エンティティに対して実行されます。
アクション入力
なし
アクションの出力
[エンティティを拡充] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| エンティティ拡充テーブル | 利用可能 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
エンティティ拡充テーブル
エンティティを拡充するアクションは、URL エンティティを拡充し、次の拡充結果を提供できます。
| 拡充フィールド名 | ソース(JSON キー) | 適用範囲 |
|---|---|---|
threatTypes |
脅威タイプの CSV ファイル。 | JSON の結果で利用可能な場合。 |
JSON の結果
次の例は、エンティティの拡充アクションを使用した場合に受信される JSON 結果の出力を示しています。
{
"Entity": "Entity",
"EntityResult": [
{
"expireTime": "2024-12-20T13:47:20.786242980Z",
"threatTypes": [
"SOCIAL_ENGINEERING_EXTENDED_COVERAGE"
]
}
]
}
出力メッセージ
エンティティを拡充アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Enrich Entities". Reason: ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、[エンティティを拡充] アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
Ping
Ping アクションを使用して、Web Risk への接続をテストします。
このアクションは Google SecOps エンティティに対して実行されません。
アクション入力
なし
アクションの出力
[Ping] アクションでは、次の出力が提供されます。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用不可 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
出力メッセージ
Ping アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
Successfully connected to the Web Risk server with the
provided connection parameters! |
アクションが成功しました。 |
Failed to connect to the Web Risk server! Error is ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、Ping アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
エンティティを送信する
エンティティを送信アクションを使用して、分析のためにエンティティを Web Risk に送信します。
このアクションは非同期です。必要に応じて、Google SecOps 統合開発環境(IDE)でアクションのスクリプト タイムアウト値を調整します。
このアクションは Google SecOps の URL エンティティに対して実行されます。
アクション入力
Submit Entities アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Abuse Type |
省略可。 送信に関連付けられている不正行為のタイプ。 不正使用の種類の詳細については、AbuseType をご覧ください。 値は次のいずれかになります。
デフォルト値は |
Confidence Level |
省略可。 送信の信頼レベル。 信頼度について詳しくは、信頼度と ConfidenceLevel をご覧ください。 使用できる値は次のとおりです。
デフォルト値は |
Justification |
省略可。 送信の理由。 正当化オプションの詳細については、JustificationLabel をご覧ください。 使用できる値は次のとおりです。
デフォルト値は |
Comment |
省略可。 送信の理由を示すコメント。 |
Region Code |
省略可。 送信に関連付けられている国または地域の Common Locale Data Repository(CLDR)コードのカンマ区切りリスト。送信の詳細については、送信をご覧ください。 |
Platform |
省略可。 送信が検出されたプラットフォーム タイプ。 値は次のいずれかになります。
デフォルト値は |
Skip Waiting |
省略可。 選択すると、アクションは送信を初期化し、完了を待機しません。 デフォルト値は |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。