コネクタをテストする

以下でサポートされています。

このドキュメントでは、サンプル悪意のあるメールを Google Security Operations プラットフォームに取り込んでコネクタをテストする方法について説明します。テストプロセスでは、次の方法を示します。

  • 悪意のあるメールのサンプルを取り込みます。
  • コネクタを実行します。
  • アラートをケースキューに読み込みます。
  • アラートデータの変換方法を確認する。

これらの手順を完了すると、新しいケースを表示し、メールの内容をプレビューして、アラートデータがマッピングとモデリングの前にプラットフォーム内でどのように変換されて表示されるかを確認できます。

悪意のあるメールのサンプルを取り込む

サンプル悪意のあるメールを Google SecOps プラットフォームに取り込む手順は次のとおりです。

  1. プラットフォームに不正なメールを挿入します。
  2. 次のメールのサンプル テキストをコピーし、別のユーザーからこのメールを送信します。
    Subject: Your new salary notification
    

    Email body:
    Hello, You have an important email from the Human Resources Department with regards to your December 2018 Paycheck. This email is enclosed in the Marquette University secure network.
    Access the documents here: www.example.com. Ensure your login credentials are correct to avoid cancellations.
    
Faithfully,
    Human Resources
    
University of California, Berkeley

コネクタを実行する

コネクタを実行する手順は次のとおりです。

  1. [設定] > [取り込み] > [コネクタ] に移動します。
  2. [テスト] タブで、[コネクタを 1 回実行] をクリックします。結果が [出力] セクションに表示され、プラットフォームで作成された新しいコネクタ インスタンスが表示されます。この関数を実行するたびに、最初のイテレーションであるかのように実行されます。タイムスタンプは保存されず、ID はバックエンドに保存されません。
    コネクタが正常に実行されると、未読メールが 1 件あることを示すアラートが表示されます。このテスト用に、メールボックスに未読のメールが少なくとも 1 通含まれていることを確認します。
  3. 省略可: [プレビュー] をクリックして、メールのプレビューを表示します。

アラートをケースキューに読み込む

サンプル アラートを取り込んだら、次の手順でアラートをケースキューに取り込みます。

  1. アラートを選択して、[Load to system] をクリックします。
  2. [Cases] タブで、取り込まれたケースを表示します。
  3. コネクタがメールデータを Google SecOps データに変換してメールを受信すると、ケースキューの [ケース] タブにアラートが表示されます。

コネクタがメールデータを Google SecOps 形式に変換すると、ケースキューにアラートが表示されます。ケースが最初に表示されたときは、マッピングもモデリングもされていません。ワークフローの次の手順に進みます。

アラート データの変換方法を表示する

コネクタコードの各フィールドが、プラットフォームのコンテキストの詳細に表示される関連フィールドにどのように対応しているかを確認できます。

アラート データがプラットフォームにどのように表示されるかを確認するには、アラートをクリックしてアラート コンテキストの詳細を表示します。

プラットフォーム フィールド 説明 コード マッピング
フィールド名/値 メールの件名(例: 「YOUR NEW SALARY NOTIFICATION」) alert_info.name = email_message_data['Subject']
RuleGenerator / Mail アラートの作成を引き起こす Google Security Operations SIEM ルールの名前 alert_info.rule_generator = RULE_GENERATOR_EXAMPLE
TicketID メール メッセージの一意の ID alert_info.ticket_id = f"{alert_id}"
AlertID メール メッセージの一意の ID alert_info.display_id = f"{alert_id}"
DeviceProduct / Mail CONSTANTS で定義したとおり、PRODUCT= "Mail" alert_info.device_product = PRODUCT
DeviceVendor / Mail CONSTANTS で定義したとおり、VENDOR = "Mail" alert_info.device_vendor = VENDOR
DetectionTime / EndTime / StartTime / EstimatedStartTime メール メッセージの受信時刻 alert_info.start_time = datetime_in_unix_time
alert_info.end_time = datetime_in_unix_time
優先度 / 情報 このアラートで定義したとおり、
  • Informative = -1
  • 低 = 40
  • Medium = 60
  • 高 = 80
  • 重大 = 100
 alert_info.priority = 60

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。