Tester un connecteur

Compatible avec :

Ce document explique comment tester un connecteur en ingérant un exemple d'e-mail malveillant dans la plate-forme Google Security Operations. La procédure de test montre comment :

  • Ingérez un exemple d'e-mail malveillant.
  • Exécutez le connecteur.
  • Chargez l'alerte dans la file d'attente des demandes.
  • Découvrez comment les données d'alerte sont traduites.

Une fois ces étapes terminées, vous pouvez consulter la nouvelle demande, prévisualiser le contenu de l'e-mail et comprendre comment les données d'alerte sont traduites et affichées dans la plate-forme avant d'être mappées et modélisées.

Ingérer un exemple d'e-mail malveillant

Pour ingérer un exemple d'e-mail malveillant dans la plate-forme Google SecOps, procédez comme suit :

  1. Insérez un e-mail malveillant dans la plate-forme.
  2. Copiez l'exemple de texte d'e-mail suivant et envoyez cet e-mail depuis un autre utilisateur :
    Subject: Your new salary notification
    

    Email body:
    Hello, You have an important email from the Human Resources Department with regards to your December 2018 Paycheck. This email is enclosed in the Marquette University secure network.
    Access the documents here: www.example.com. Ensure your login credentials are correct to avoid cancellations.
    
Faithfully,
    Human Resources
    
University of California, Berkeley

Exécuter le connecteur

Pour exécuter le connecteur, procédez comme suit :

  1. Accédez à Paramètres> Ingestion > Connecteurs.
  2. Dans l'onglet Test, cliquez sur Exécuter le connecteur une fois. Les résultats s'affichent dans la section Sortie et indiquent qu'une nouvelle instance de connecteur a été créée sur la plate-forme. Chaque fois que vous exécutez cette fonction, elle s'exécute comme s'il s'agissait de la première itération. Aucun code temporel n'est enregistré et aucun ID n'est stocké dans le backend.
    Si votre connecteur s'exécute correctement, une alerte s'affiche pour un seul e-mail non lu. Assurez-vous que votre boîte aux lettres contient au moins un e-mail non lu pour ce test.
  3. Facultatif : Cliquez sur Aperçu pour prévisualiser l'e-mail.

Charger l'alerte dans la file d'attente des cas

Après avoir ingéré un exemple d'alerte, ingérez l'alerte dans la file d'attente des demandes en procédant comme suit :

  1. Sélectionnez l'alerte, puis cliquez sur Charger dans le système.
  2. Dans l'onglet Demandes, affichez la demande ingérée.
  3. Une fois que le connecteur a reçu l'e-mail en traduisant les données de l'e-mail en données Google SecOps, vous pouvez voir votre alerte dans l'onglet Cas de la file d'attente des cas.

Une fois que le connecteur a traduit les données de l'e-mail au format Google SecOps, l'alerte s'affiche dans la file d'attente des demandes. Lorsqu'une demande apparaît pour la première fois, elle n'est pas mappée ni modélisée. Ces étapes se déroulent ensuite dans le workflow.

Afficher la traduction des données d'alerte

Vous pouvez voir comment chaque champ du code du connecteur correspond au champ pertinent présenté dans les détails du contexte de la plate-forme.

Pour voir comment les données d'alerte s'affichent dans la plate-forme, cliquez sur l'alerte pour afficher les détails du contexte de l'alerte.

Champ "Plate-forme" Description Mappage de code
Nom/Valeur du champ Objet de l'e-mail, par exemple : "NOTIFICATION DE VOTRE NOUVEAU SALAIRE" alert_info.name = email_message_data['Subject']
RuleGenerator / Mail Nom de la règle Google Security Operations SIEM qui a entraîné la création de l'alerte alert_info.rule_generator = RULE_GENERATOR_EXAMPLE
TicketID ID unique de l'e-mail alert_info.ticket_id = f"{alert_id}"
AlertID ID unique de l'e-mail alert_info.display_id = f"{alert_id}"
DeviceProduct / Mail Comme nous l'avons défini dans CONSTANTS : PRODUCT= "Mail" alert_info.device_product = PRODUCT
DeviceVendor / Mail Comme nous l'avons défini dans CONSTANTS : VENDOR = "Mail" alert_info.device_vendor = VENDOR
DetectionTime / EndTime / StartTime / EstimatedStartTime Heure de réception de l'e-mail alert_info.start_time = datetime_in_unix_time
alert_info.end_time = datetime_in_unix_time
Priorité / Informatif Comme nous l'avons défini pour cette alerte :
  • Informatif = -1
  • Faible = 40
  • Support = 60
  • Élevé = 80
  • Critique = 100
 alert_info.priority = 60

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.