コネクタをテストする

以下でサポートされています。

このドキュメントでは、サンプルの悪意のある メールを Google Security Operations プラットフォームに取り込んでコネクタをテストする方法について説明します。テストプロセスでは、次の方法について説明します。

  • サンプルの悪意のあるメールを取り込む。
  • コネクタを実行する。
  • アラートをケースキューに読み込む。
  • アラートデータの変換方法を確認する。

これらの手順が完了すると、新しいケースを表示し、 メール コンテンツをプレビューして、アラートデータがマッピングおよびモデリングされる前に、プラットフォーム内でどのように変換および 表示されるかを確認できます。

サンプルの悪意のあるメールを取り込む

サンプルの悪意のあるメールを Google SecOps プラットフォームに取り込む手順は次のとおりです。

  1. 悪意のあるメールをプラットフォームに挿入します。
  2. 次のメールのサンプル テキストをコピーし、別のユーザーからこのメールを送信します。
    Subject: Your new salary notification
    

    Email body:
    Hello, You have an important email from the Human Resources Department with regards to your December 2018 Paycheck. This email is enclosed in the Marquette University secure network.
    Access the documents here: www.example.com. Ensure your login credentials are correct to avoid cancellations.
    
Faithfully,
    Human Resources
    
University of California, Berkeley

コネクタを実行する

コネクタを実行する手順は次のとおりです。

  1. [設定]> [取り込み]> [コネクタ] に移動します。
  2. [テスト] タブで、[コネクタを 1 回実行] をクリックします。結果が [出力] セクションに表示され、プラットフォームに新しいコネクタ インスタンスが作成されたことが示されます。この関数を実行するたびに、最初の反復処理であるかのように実行されます。 タイムスタンプは保存されず、ID はバックエンドに保存されません。
    コネクタが正常に 実行されると、未読メールが 1 件あることを示すアラートが表示されます。このテストでは、 メールボックスに未読メールが 1 件以上含まれていることを確認してください。
  3. 省略可: [プレビュー] をクリックして、メールのプレビューを表示します。

アラートをケースキューに読み込む

サンプル アラートを取り込んだら、次の手順でアラートをケースキューに取り込みます。

  1. アラートを選択して [Load to system] をクリックします。
  2. [ケース] タブで、取り込まれたケースを表示します。
  3. コネクタがメールデータを Google SecOps データに変換してメールを受信すると、ケースキューの [ケース] タブにアラートが表示されます。

コネクタがメールデータを Google SecOps 形式に変換すると、アラートがケースキューに表示されます。ケースが最初に表示されるときは、マッピングもモデリングもされていません。これらの手順は、ワークフローの次のステップで行われます。

アラートデータの変換方法を確認する

コネクタコードの各フィールドが、プラットフォームのコンテキストの詳細に表示される関連フィールド にどのように対応しているかを確認できます。

アラートデータがプラットフォームにどのように表示されるかを確認するには、アラートをクリックして [アラート コンテキストの詳細] を表示します。

プラットフォーム フィールド 説明 コード マッピング
フィールド名/値 メールの件名(例: 「YOUR NEW SALARY NOTIFICATION」) alert_info.name = email_message_data['Subject']
RuleGenerator / Mail アラートの作成を引き起こす Google Security Operations SIEM ルールの名前 alert_info.rule_generator = RULE_GENERATOR_EXAMPLE
TicketID メール メッセージの一意の ID alert_info.ticket_id = f"{alert_id}"
AlertID メール メッセージの一意の ID alert_info.display_id = f"{alert_id}"
DeviceProduct / Mail CONSTANTS で定義されているように: PRODUCT= "Mail" alert_info.device_product = PRODUCT
DeviceVendor / Mail CONSTANTS で定義されているように: VENDOR = "Mail" alert_info.device_vendor = VENDOR
DetectionTime / EndTime / StartTime / EstimatedStartTime メール メッセージを受信した時刻 alert_info.start_time = datetime_in_unix_time
alert_info.end_time = datetime_in_unix_time
候補 / 有益性 このアラートに対して定義されているように:
  • 有益性 = -1
  • 低 = 40
  • 中 = 60
  • 高 = 80
  • 重大 = 100
 alert_info.priority = 60

さらにサポートが必要な場合コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。