Testare un connettore
Questo documento spiega come testare un connettore inserendo un'email dannosa di esempio nella piattaforma Google Security Operations. La procedura di test mostra come:
- Inserisci un'email dannosa di esempio.
- Esegui il connettore.
- Carica l'avviso nella coda delle richieste.
- Visualizza come vengono tradotti i dati degli avvisi.
Dopo aver completato questi passaggi, puoi visualizzare il nuovo caso, visualizzare l'anteprima del contenuto dell'email e capire come vengono tradotti e visualizzati i dati degli avvisi all'interno della piattaforma prima di essere mappati e modellati.
Inserire un'email dannosa di esempio
Per importare un'email dannosa di esempio nella piattaforma Google SecOps:
- Inserisci un'email dannosa nella piattaforma.
- Copia il seguente testo dell'email di esempio e invia questa email da un altro utente:
Subject: Your new salary notification
Email body:
Hello, You have an important email from the Human Resources Department with regards to your December 2018 Paycheck. This email is enclosed in the Marquette University secure network.
Access the documents here: www.example.com. Ensure your login credentials are correct to avoid cancellations.
Faithfully,
Human Resources
University of California, Berkeley
Esegui il connettore
Per eseguire il connettore:
- Vai a Impostazioni > Inserimento > Connettori.
- Nella scheda Test, fai clic su Esegui connettore una volta. I risultati vengono visualizzati nella
sezione Output e mostrano una nuova istanza del connettore creata nella piattaforma.
Ogni volta che esegui questa funzione, viene eseguita come se fosse la prima iterazione.
Nessun timestamp viene salvato e nessun ID viene memorizzato nel backend.
Se il connettore viene eseguito correttamente, viene visualizzato un avviso per una singola email non letta. Assicurati che la tua casella di posta contenga almeno un'email non letta per questo test. - (Facoltativo) Fai clic su Anteprima per visualizzare un'anteprima dell'email.
Caricare l'avviso nella coda delle richieste
Dopo aver importato un avviso di esempio, importalo nella coda delle richieste seguendo questi passaggi:
- Seleziona l'avviso e fai clic su Carica nel sistema.
- Nella scheda Richieste, visualizza la richiesta inserita.
- Dopo che il connettore riceve l'email traducendo i dati dell'email in dati Google SecOps, puoi visualizzare l'avviso nella scheda Casi nella coda dei casi.
Dopo che il connettore ha convertito i dati email nel formato Google SecOps, l'avviso viene visualizzato nella coda delle richieste. Quando viene visualizzato per la prima volta, il caso non viene mappato o modellato. Questi passaggi vengono eseguiti successivamente nel flusso di lavoro.
Visualizzare la modalità di traduzione dei dati degli avvisi
Puoi vedere come ogni campo del codice del connettore corrisponde al campo pertinente presentato nei dettagli del contesto della piattaforma.
Per vedere come vengono visualizzati i dati degli avvisi nella piattaforma, fai clic sull'avviso per visualizzare i dettagli del contesto dell'avviso.
| Campo Piattaforma | Descrizione | Mappatura dei codici |
|---|---|---|
| Nome campo/Valore | Oggetto dell'email, ad esempio: "NOTIFICA DEL TUO NUOVO STIPENDIO" | alert_info.name = email_message_data['Subject'] |
| RuleGenerator / Mail | Il nome della regola SIEM di Google Security Operations che causa la creazione dell'avviso | alert_info.rule_generator = RULE_GENERATOR_EXAMPLE |
| TicketID | L'ID univoco del messaggio email | alert_info.ticket_id = f"{alert_id}" |
| AlertID | L'ID univoco del messaggio email | alert_info.display_id = f"{alert_id}" |
| DeviceProduct / Mail | Come abbiamo definito in CONSTANTS: PRODUCT= "Mail" |
alert_info.device_product = PRODUCT |
| DeviceVendor / Mail | Come abbiamo definito in CONSTANTS: VENDOR = "Mail" |
alert_info.device_vendor = VENDOR |
| DetectionTime / EndTime / StartTime / EstimatedStartTime | Ora in cui è stato ricevuto il messaggio email |
alert_info.start_time = datetime_in_unix_time
alert_info.end_time = datetime_in_unix_time
|
| Priorità / Informativo | Come abbiamo definito per questo avviso:
|
alert_info.priority = 60 |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.