Teste um conetor
Este documento explica como testar um conector ingerindo um email malicioso de amostra na plataforma Google Security Operations. O processo de teste demonstra como:
- Carregue um exemplo de email malicioso.
- Execute o conetor.
- Carregue o alerta na fila de casos.
- Veja como os dados de alertas são traduzidos.
Depois de concluir estes passos, pode ver o novo registo, pré-visualizar o conteúdo do email e compreender como os dados dos alertas são traduzidos e apresentados na plataforma antes de serem mapeados e modelados.
Carregue um exemplo de email malicioso
Para carregar um exemplo de email malicioso para a plataforma Google SecOps, siga estes passos:
- Inserir um email malicioso na plataforma.
- Copie o seguinte texto de email de exemplo e envie este email a partir de outro utilizador:
Subject: Your new salary notification
Email body:
Hello, You have an important email from the Human Resources Department with regards to your December 2018 Paycheck. This email is enclosed in the Marquette University secure network.
Access the documents here: www.example.com. Ensure your login credentials are correct to avoid cancellations.
Faithfully,
Human Resources
University of California, Berkeley
Execute o conetor
Para executar o conector, siga estes passos:
- Aceda a Definições > Carregamento > Conetores.
- No separador Testes, clique em Executar conetor uma vez. Os resultados são apresentados na secção Saída e mostram uma nova instância do conetor criada na plataforma. Cada vez que executa esta função, é executada como se fosse a primeira iteração.
Não são guardadas datas/horas nem armazenados IDs no back-end.
Se o conector for executado com êxito, é apresentado um alerta para um único email não lido. Certifique-se de que a sua caixa de correio tem, pelo menos, um email não lido para este teste. - Opcional: clique em Pré-visualizar para ver uma pré-visualização do email.
Carregue o alerta na fila de registos
Depois de carregar um alerta de exemplo, carregue o alerta para a fila de registos seguindo estes passos:
- Selecione o alerta e clique em Carregar para o sistema.
- No separador Registos, veja o registo carregado.
- Depois de o conetor receber o email através da tradução dos dados do email para dados do Google SecOps, pode ver o seu alerta no separador Registos na fila de registos.
Depois de o conetor traduzir os dados de email para o formato do Google SecOps, o alerta aparece na fila de registos. Quando o caso aparece pela primeira vez, não é mapeado nem modelado. Estes passos ocorrem a seguir no fluxo de trabalho.
Veja como os dados de alertas são traduzidos
Pode ver como cada campo no código do conetor corresponde ao campo relevante apresentado nos detalhes do contexto da plataforma.
Para ver como os dados de alerta são apresentados na plataforma, clique no alerta para ver os detalhes do contexto do alerta.
| Campo Plataforma | Descrição | Mapeamento de código |
|---|---|---|
| Nome do campo/Valor | Assunto do email, por exemplo: "A SUA NOVA NOTIFICAÇÃO DE SALÁRIO" | alert_info.name = email_message_data['Subject'] |
| RuleGenerator / Mail | O nome da regra SIEM do Google Security Operations que causa a criação do alerta | alert_info.rule_generator = RULE_GENERATOR_EXAMPLE |
| TicketID | O ID exclusivo da mensagem de email | alert_info.ticket_id = f"{alert_id}" |
| AlertID | O ID exclusivo da mensagem de email | alert_info.display_id = f"{alert_id}" |
| DeviceProduct / Mail | Conforme definimos em CONSTANTES: PRODUCT= "Mail" |
alert_info.device_product = PRODUCT |
| DeviceVendor / Mail | Conforme definimos em CONSTANTES: VENDOR = "Mail" |
alert_info.device_vendor = VENDOR |
| DetectionTime / EndTime / StartTime / EstimatedStartTime | A hora em que a mensagem de email foi recebida |
alert_info.start_time = datetime_in_unix_time
alert_info.end_time = datetime_in_unix_time
|
| Prioridade / informativo | Conforme definimos para este alerta:
|
alert_info.priority = 60 |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.