Menguji konektor
Dokumen ini menjelaskan cara menguji konektor dengan menyerap email berbahaya contoh ke platform Google Security Operations. Proses pengujian menunjukkan cara:
- Masukkan sampel email berbahaya.
- Jalankan konektor.
- Muat pemberitahuan ke dalam antrean kasus.
- Melihat cara data pemberitahuan diterjemahkan.
Setelah menyelesaikan langkah-langkah ini, Anda dapat melihat kasus baru, melihat pratinjau konten email, dan memahami cara data pemberitahuan diterjemahkan dan ditampilkan dalam platform sebelum dipetakan dan dimodelkan.
Menyerap email berbahaya sampel
Untuk menyerap contoh email berbahaya ke platform Google SecOps, ikuti langkah-langkah berikut:
- Menyisipkan email berbahaya ke dalam platform.
- Salin teks email contoh berikut dan kirim email ini dari pengguna lain:
Subject: Your new salary notification
Email body:
Hello, You have an important email from the Human Resources Department with regards to your December 2018 Paycheck. This email is enclosed in the Marquette University secure network.
Access the documents here: www.example.com. Ensure your login credentials are correct to avoid cancellations.
Faithfully,
Human Resources
University of California, Berkeley
Menjalankan konektor
Untuk menjalankan konektor, ikuti langkah-langkah berikut:
- Buka Setelan > Penyerapan > Konektor.
- Di tab Testing, klik Run connector once. Hasilnya akan muncul di bagian Output dan menampilkan instance konektor baru yang dibuat di platform.
Setiap kali Anda menjalankan fungsi ini, fungsi akan dieksekusi seolah-olah ini adalah iterasi pertama.
Tidak ada stempel waktu yang disimpan dan tidak ada ID yang disimpan di backend.
Jika konektor Anda berjalan dengan berhasil, pemberitahuan untuk satu email yang belum dibaca akan muncul. Pastikan kotak surat Anda berisi setidaknya satu email yang belum dibaca untuk pengujian ini. - Opsional: Klik Pratinjau untuk melihat pratinjau email.
Memuat pemberitahuan ke dalam antrean kasus
Setelah menyerap contoh pemberitahuan, serap pemberitahuan ke dalam antrean kasus dengan mengikuti langkah-langkah berikut:
- Pilih pemberitahuan, lalu klik Muat ke sistem.
- Di tab Kasus, lihat kasus yang diserap.
- Setelah konektor menerima email dengan menerjemahkan data email menjadi data Google SecOps, Anda dapat melihat pemberitahuan di tab Kasus di antrean kasus.
Setelah konektor menerjemahkan data email ke format Google SecOps, pemberitahuan akan muncul di antrean kasus. Saat pertama kali muncul, kasus ini tidak dipetakan atau dimodelkan. Langkah-langkah ini terjadi berikutnya dalam alur kerja.
Melihat cara data pemberitahuan diterjemahkan
Anda dapat melihat bagaimana setiap kolom dalam kode konektor sesuai dengan kolom yang relevan yang ditampilkan dalam detail konteks platform.
Untuk melihat cara data pemberitahuan muncul di platform, klik pemberitahuan untuk melihat detail Konteks Pemberitahuan.
| Kolom platform | Deskripsi | Pemetaan kode |
|---|---|---|
| Nama/Nilai kolom | Subjek email, misalnya: "PEMBERITAHUAN GAJI BARU ANDA" | alert_info.name = email_message_data['Subject'] |
| RuleGenerator / Mail | Nama aturan SIEM Google Security Operations yang menyebabkan pembuatan notifikasi | alert_info.rule_generator = RULE_GENERATOR_EXAMPLE |
| TicketID | ID unik pesan email | alert_info.ticket_id = f"{alert_id}" |
| AlertID | ID unik pesan email | alert_info.display_id = f"{alert_id}" |
| DeviceProduct / Mail | Seperti yang kita definisikan di CONSTANTS: PRODUCT= "Mail" |
alert_info.device_product = PRODUCT |
| DeviceVendor / Mail | Seperti yang kita definisikan di CONSTANTS: VENDOR = "Mail" |
alert_info.device_vendor = VENDOR |
| DetectionTime / EndTime / StartTime / EstimatedStartTime | Waktu pesan email diterima |
alert_info.start_time = datetime_in_unix_time
alert_info.end_time = datetime_in_unix_time
|
| Prioritas / Informatif | Seperti yang kami tetapkan untuk pemberitahuan ini:
|
alert_info.priority = 60 |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.