Testar um conector
Este documento explica como testar um conector ingerindo uma amostra de e-mail malicioso na plataforma do Google Security Operations. O processo de teste demonstra como:
- Ingira um exemplo de e-mail malicioso.
- Execute o conector.
- Carregue o alerta na fila de casos.
- Saiba como os dados de alerta são traduzidos.
Depois de concluir essas etapas, você poderá conferir o novo caso, visualizar o conteúdo do e-mail e entender como os dados de alerta são traduzidos e mostrados na plataforma antes de serem mapeados e modelados.
Ingerir um exemplo de e-mail malicioso
Para ingerir um e-mail malicioso de amostra na plataforma do Google SecOps, siga estas etapas:
- Inserir um e-mail malicioso na plataforma.
- Copie o texto de e-mail de exemplo a seguir e envie este e-mail de outro usuário:
Subject: Your new salary notification
Email body:
Hello, You have an important email from the Human Resources Department with regards to your December 2018 Paycheck. This email is enclosed in the Marquette University secure network.
Access the documents here: www.example.com. Ensure your login credentials are correct to avoid cancellations.
Faithfully,
Human Resources
University of California, Berkeley
Executar o conector.
Para executar o conector, siga estas etapas:
- Acesse Configurações > Ingestão > Conectores.
- Na guia Teste, clique em Executar conector uma vez. Os resultados aparecem na seção Saída e mostram uma nova instância de conector criada na plataforma. Cada vez que você executa essa função, ela é executada como se fosse a primeira iteração.
Nenhum carimbo de data/hora é salvo, e nenhum ID é armazenado no back-end.
Se o conector for executado com êxito, um alerta para um único e-mail não lido vai aparecer. Verifique se sua caixa de correio tem pelo menos um e-mail não lido para esse teste. - Opcional: clique em Visualizar para ver uma prévia do e-mail.
Carregar o alerta na fila de casos
Depois de ingerir um alerta de amostra, faça o mesmo com o alerta na fila de casos seguindo estas etapas:
- Selecione o alerta e clique em Carregar no sistema.
- Na guia Casos, confira o caso ingerido.
- Depois que o conector recebe o e-mail traduzindo os dados para o Google SecOps, você pode ver o alerta na guia Casos da fila de casos.
Depois que o conector traduz os dados de e-mail para o formato do Google SecOps, o alerta aparece na fila de casos. Quando o caso aparece pela primeira vez, ele não é mapeado nem modelado. Essas etapas ocorrem em seguida no fluxo de trabalho.
Ver como os dados de alerta são traduzidos
É possível conferir como cada campo no código do conector corresponde ao campo relevante apresentado nos detalhes de contexto da plataforma.
Para ver como os dados de alerta aparecem na plataforma, clique no alerta para conferir os detalhes do contexto do alerta.
| Campo "Plataforma" | Descrição | Mapeamento de código |
|---|---|---|
| Nome/valor do campo | Assunto do e-mail, por exemplo: "NOTIFICAÇÃO DO SEU NOVO SALÁRIO" | alert_info.name = email_message_data['Subject'] |
| RuleGenerator / Mail | O nome da regra do SIEM do Google Security Operations que causa a criação do alerta. | alert_info.rule_generator = RULE_GENERATOR_EXAMPLE |
| TicketID | O ID exclusivo da mensagem de e-mail | alert_info.ticket_id = f"{alert_id}" |
| AlertID | O ID exclusivo da mensagem de e-mail | alert_info.display_id = f"{alert_id}" |
| DeviceProduct / Mail | Como definimos em CONSTANTS: PRODUCT= "Mail" |
alert_info.device_product = PRODUCT |
| DeviceVendor / Mail | Como definimos em CONSTANTS: VENDOR = "Mail" |
alert_info.device_vendor = VENDOR |
| DetectionTime / EndTime / StartTime / EstimatedStartTime | A hora em que a mensagem de e-mail foi recebida |
alert_info.start_time = datetime_in_unix_time
alert_info.end_time = datetime_in_unix_time
|
| Prioridade / Informativa | Como definimos para este alerta:
|
alert_info.priority = 60 |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.