Probar un conector
En este documento se explica cómo probar un conector ingiriendo un correo electrónico malicioso de muestra en la plataforma Google Security Operations. El proceso de prueba muestra cómo hacer lo siguiente:
- Ingiere un correo malicioso de muestra.
- Ejecuta el conector.
- Carga la alerta en la cola de casos.
- Consulta cómo se traducen los datos de las alertas.
Una vez que hayas completado estos pasos, podrás ver el nuevo caso, obtener una vista previa del contenido del correo y saber cómo se traducen y se muestran los datos de la alerta en la plataforma antes de que se asignen y se modelen.
Ingerir un correo malicioso de ejemplo
Para insertar un correo malicioso de muestra en la plataforma Google SecOps, sigue estos pasos:
- Insertar un correo malicioso en la plataforma.
- Copia el siguiente texto de correo de ejemplo y envíalo desde otra cuenta de usuario:
Subject: Your new salary notification
Email body:
Hello, You have an important email from the Human Resources Department with regards to your December 2018 Paycheck. This email is enclosed in the Marquette University secure network.
Access the documents here: www.example.com. Ensure your login credentials are correct to avoid cancellations.
Faithfully,
Human Resources
University of California, Berkeley
Ejecutar el conector
Para ejecutar el conector, sigue estos pasos:
- Ve a Ajustes > Ingesta > Conectores.
- En la pestaña Pruebas, haga clic en Ejecutar conector una vez. Los resultados se mostrarán en la sección Salida y se mostrará una nueva instancia del conector creada en la plataforma. Cada vez que ejecute esta función, se ejecutará como si fuera la primera iteración.
No se guardan marcas de tiempo ni se almacenan IDs en el backend.
Si el conector se ejecuta correctamente, aparecerá una alerta de un solo correo sin leer. Asegúrate de que tu buzón contenga al menos un correo sin leer para esta prueba. - Opcional: Haz clic en Vista previa para ver una vista previa del correo.
Cargar la alerta en la cola de casos
Después de ingerir una alerta de muestra, ingiere la alerta en la cola de casos siguiendo estos pasos:
- Selecciona la alerta y haz clic en Cargar en el sistema.
- En la pestaña Cases (Casos), consulta el caso insertado.
- Una vez que el conector reciba el correo traduciendo los datos del correo a datos de Google SecOps, podrás ver la alerta en la pestaña Casos de la cola de casos.
Una vez que el conector traduce los datos del correo al formato de Google SecOps, la alerta aparece en la cola de casos. Cuando aparece por primera vez, no se asigna ni se modeliza. Estos pasos se producen a continuación en el flujo de trabajo.
Ver cómo se traducen los datos de las alertas
Puede ver cómo se corresponde cada campo del código del conector con el campo pertinente que se muestra en los detalles del contexto de la plataforma.
Para ver cómo aparecen los datos de las alertas en la plataforma, haz clic en la alerta para ver los detalles del contexto de la alerta.
| Campo de plataforma | Descripción | Asignación de código |
|---|---|---|
| Nombre o valor del campo | Asunto del correo, por ejemplo: "NOTIFICACIÓN DE TU NUEVO SALARIO" | alert_info.name = email_message_data['Subject'] |
| RuleGenerator/Mail | Nombre de la regla de Google Security Operations SIEM que provoca la creación de la alerta. | alert_info.rule_generator = RULE_GENERATOR_EXAMPLE |
| TicketID | ID único del mensaje de correo | alert_info.ticket_id = f"{alert_id}" |
| AlertID | ID único del mensaje de correo | alert_info.display_id = f"{alert_id}" |
| DeviceProduct/Mail | Tal como hemos definido en CONSTANTS: PRODUCT= "Mail" |
alert_info.device_product = PRODUCT |
| DeviceVendor/Mail | Tal como hemos definido en CONSTANTS: VENDOR = "Mail" |
alert_info.device_vendor = VENDOR |
| DetectionTime/EndTime/StartTime/EstimatedStartTime | La hora a la que se recibió el mensaje de correo |
alert_info.start_time = datetime_in_unix_time
alert_info.end_time = datetime_in_unix_time
|
| Prioridad o Informativo | Tal como hemos definido en esta alerta:
|
alert_info.priority = 60 |
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.