Cómo probar un conector
En este documento, se explica cómo probar un conector incorporando un correo electrónico malicioso de muestra en la plataforma de Google Security Operations. El proceso de prueba muestra cómo hacer lo siguiente:
- Ingiere un correo electrónico malicioso de muestra.
- Ejecuta el conector.
- Carga la alerta en la cola de casos.
- Consulta cómo se traducen los datos de las alertas.
Después de completar estos pasos, puedes ver el caso nuevo, obtener una vista previa del contenido del correo electrónico y comprender cómo se traducen y muestran los datos de la alerta en la plataforma antes de que se asignen y modelen.
Ingiere un correo electrónico malicioso de muestra
Para transferir una muestra de correo electrónico malicioso a la plataforma de Google SecOps, sigue estos pasos:
- Insertar un correo electrónico malicioso en la plataforma
- Copia el siguiente texto de correo electrónico de ejemplo y envíalo desde otro usuario:
Subject: Your new salary notification
Email body:
Hello, You have an important email from the Human Resources Department with regards to your December 2018 Paycheck. This email is enclosed in the Marquette University secure network.
Access the documents here: www.example.com. Ensure your login credentials are correct to avoid cancellations.
Faithfully,
Human Resources
University of California, Berkeley
Ejecución del conector
Para ejecutar el conector, sigue estos pasos:
- Ve a Configuración > Ingestión > Conectores.
- En la pestaña Pruebas, haz clic en Ejecutar el conector una vez. Los resultados aparecerán en la sección Salida y mostrarán una nueva instancia del conector creada en la plataforma. Cada vez que ejecutes esta función, se ejecutará como si fuera la primera iteración.
No se guardan marcas de tiempo ni se almacenan IDs en el backend.
Si el conector se ejecuta correctamente, aparecerá una alerta para un solo correo electrónico sin leer. Asegúrate de que tu buzón de correo electrónico contenga al menos un correo electrónico no leído para esta prueba. - Opcional: Haz clic en Vista previa para ver una vista previa del correo electrónico.
Carga la alerta en la cola de casos
Después de transferir una alerta de muestra, transfiérela a la cola de casos siguiendo estos pasos:
- Selecciona la alerta y haz clic en Cargar en el sistema.
- En la pestaña Cases, consulta el caso que se ingirió.
- Después de que el conector reciba el correo electrónico traduciendo los datos del correo electrónico a datos de SecOps de Google, podrás ver la alerta en la pestaña Cases de la cola de casos.
Después de que el conector traduce los datos del correo electrónico al formato de SecOps de Google, la alerta aparece en la cola de casos. Cuando aparece el caso por primera vez, no se asigna ni se modela. Estos pasos ocurren a continuación en el flujo de trabajo.
Cómo se traducen los datos de las alertas
Puedes ver cómo cada campo del código del conector corresponde al campo pertinente que se presenta en los detalles del contexto de la plataforma.
Para ver cómo aparecen los datos de la alerta en la plataforma, haz clic en la alerta para ver los detalles del contexto de la alerta.
| Campo de plataforma | Descripción | Asignación de códigos |
|---|---|---|
| Nombre o valor del campo | Asunto del correo electrónico, por ejemplo: "YOUR NEW SALARY NOTIFICATION" | alert_info.name = email_message_data['Subject'] |
| RuleGenerator / Mail | Nombre de la regla de Google Security Operations SIEM que provoca la creación de la alerta | alert_info.rule_generator = RULE_GENERATOR_EXAMPLE |
| TicketID | ID único del mensaje de correo electrónico | alert_info.ticket_id = f"{alert_id}" |
| AlertID | ID único del mensaje de correo electrónico | alert_info.display_id = f"{alert_id}" |
| DeviceProduct / Mail | Como definimos en CONSTANTS: PRODUCT= "Mail" |
alert_info.device_product = PRODUCT |
| DeviceVendor / Mail | Como definimos en CONSTANTS: VENDOR = "Mail" |
alert_info.device_vendor = VENDOR |
| DetectionTime / EndTime / StartTime / EstimatedStartTime | La fecha y hora en que se recibió el mensaje de correo electrónico |
alert_info.start_time = datetime_in_unix_time
alert_info.end_time = datetime_in_unix_time
|
| Prioridad o Informativo | Como definimos para esta alerta:
|
alert_info.priority = 60 |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.