Connector testen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie einen Connector testen, indem Sie eine bösartige Beispiel-E‑Mail in die Google Security Operations-Plattform aufnehmen. Im Testprozess wird Folgendes veranschaulicht:

  • Nehmen Sie eine schädliche Beispiel-E‑Mail auf.
  • Führen Sie den Connector aus.
  • Laden Sie die Benachrichtigung in die Fallwarteschlange.
  • Ansehen, wie Benachrichtigungsdaten übersetzt werden

Nachdem Sie diese Schritte ausgeführt haben, können Sie sich den neuen Fall ansehen, eine Vorschau des E-Mail-Inhalts aufrufen und nachvollziehen, wie die Benachrichtigungsdaten in der Plattform übersetzt und angezeigt werden, bevor sie zugeordnet und modelliert werden.

Schädliche Beispiel-E‑Mail aufnehmen

So nehmen Sie eine bösartige Beispiel-E-Mail in die Google SecOps-Plattform auf:

  1. Eine schädliche E‑Mail in die Plattform einfügen
  2. Kopieren Sie den folgenden Beispieltext für die E‑Mail und senden Sie diese E‑Mail von einem anderen Nutzer:
    Subject: Your new salary notification
    

    Email body:
    Hello, You have an important email from the Human Resources Department with regards to your December 2018 Paycheck. This email is enclosed in the Marquette University secure network.
    Access the documents here: www.example.com. Ensure your login credentials are correct to avoid cancellations.
    
Faithfully,
    Human Resources
    
University of California, Berkeley

Connector ausführen

So führen Sie den Connector aus:

  1. Rufen Sie die Einstellungen > Ingestion > Connectors auf.
  2. Klicken Sie auf dem Tab Testen auf Connector einmal ausführen. Die Ergebnisse werden im Bereich Ausgabe angezeigt. Dort sehen Sie, dass eine neue Connector-Instanz auf der Plattform erstellt wurde. Jedes Mal, wenn Sie diese Funktion ausführen, wird sie so ausgeführt, als wäre es die erste Iteration. Es werden keine Zeitstempel gespeichert und keine IDs im Backend hinterlegt.
    Wenn Ihr Connector erfolgreich ausgeführt wird, wird eine Benachrichtigung für eine einzelne ungelesene E‑Mail angezeigt. Ihr Postfach muss für diesen Test mindestens eine ungelesene E-Mail enthalten.
  3. Optional: Klicken Sie auf Vorschau, um eine Vorschau der E‑Mail zu sehen.

Benachrichtigung in die Fallwarteschlange laden

Nachdem Sie eine Beispielbenachrichtigung aufgenommen haben, nehmen Sie die Benachrichtigung in die Warteschlange für Fälle auf. Gehen Sie dazu so vor:

  1. Wählen Sie die Benachrichtigung aus und klicken Sie auf Ins System laden.
  2. Sehen Sie sich den aufgenommenen Fall auf dem Tab Fälle an.
  3. Nachdem der Connector die E‑Mail empfangen hat, indem er die E‑Mail-Daten in Google SecOps-Daten übersetzt hat, können Sie die Benachrichtigung auf dem Tab Fälle in der Fallwarteschlange sehen.

Nachdem der Connector die E-Mail-Daten in das Google SecOps-Format übersetzt hat, wird die Benachrichtigung in der Warteschlange für Fälle angezeigt. Wenn der Fall zum ersten Mal auftritt, wird er nicht zugeordnet oder modelliert. Diese Schritte folgen als Nächstes im Workflow.

Übersetzung von Benachrichtigungsdaten ansehen

Sie können sehen, wie jedes Feld im Connector-Code dem entsprechenden Feld in den Kontextdetails der Plattform entspricht.

Wenn Sie sehen möchten, wie die Benachrichtigungsdaten auf der Plattform dargestellt werden, klicken Sie auf die Benachrichtigung, um die Details zum Benachrichtigungskontext aufzurufen.

Plattformfeld Beschreibung Codezuordnung
Feldname/Wert E‑Mail-Betreff, z. B. „BENACHRICHTIGUNG ÜBER IHR NEUES GEHALT“ alert_info.name = email_message_data['Subject']
RuleGenerator / Mail Der Name der Google Security Operations SIEM-Regel, die die Erstellung der Benachrichtigung verursacht alert_info.rule_generator = RULE_GENERATOR_EXAMPLE
TicketID Die eindeutige ID der E‑Mail-Nachricht alert_info.ticket_id = f"{alert_id}"
AlertID Die eindeutige ID der E‑Mail-Nachricht alert_info.display_id = f"{alert_id}"
DeviceProduct / Mail Wie in CONSTANTS definiert: PRODUCT= "Mail" alert_info.device_product = PRODUCT
DeviceVendor / Mail Wie in CONSTANTS definiert: VENDOR = "Mail" alert_info.device_vendor = VENDOR
DetectionTime / EndTime / StartTime / EstimatedStartTime Zeitpunkt des Empfangs der E‑Mail-Nachricht alert_info.start_time = datetime_in_unix_time
alert_info.end_time = datetime_in_unix_time
Priorität / Informativ Wie für diese Benachrichtigung definiert:
  • Informativ = -1
  • Niedrig = 40
  • Mittel = 60
  • Hoch = 80
  • Kritisch = 100
 alert_info.priority = 60

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten