Integrar Google Chronicle con Google SecOps
En este documento se explica cómo integrar Google Chronicle con Google Security Operations (Google SecOps).
Versión de integración: 64.0
Casos prácticos
La integración de Google Chronicle puede abordar los siguientes casos prácticos:
Investigación y corrección automáticas de phishing: usa las funciones de SOAR de Google SecOps para consultar automáticamente datos históricos de correos, registros de actividad de usuarios e información sobre amenazas para evaluar la legitimidad de los correos. La corrección automatizada puede ayudarte con la clasificación y la contención, ya que evita la propagación de malware o las brechas de seguridad de datos.
Enriquecimiento de las alertas de seguridad: usa las funciones de SOAR de Google SecOps para enriquecer una alerta generada en un SIEM con contexto histórico, como el comportamiento anterior de los usuarios y la información de los activos. De esta forma, los analistas obtienen una visión completa de un incidente, lo que les permite tomar decisiones más rápidas y fundamentadas.
Búsqueda de amenazas basada en las estadísticas de Google SecOps: usa las funciones de SOAR de Google SecOps para automatizar el proceso de consultar otras herramientas de seguridad en busca de indicadores de compromiso (IOCs) relacionados. Esto puede ayudarte a identificar de forma proactiva posibles brechas antes de que se agraven.
Guías de respuesta a incidentes automatizadas: usa las funciones de SOAR de Google SecOps para activar guías predefinidas que utilicen datos de Google SecOps para aislar sistemas vulnerados, bloquear direcciones IP maliciosas y notificar a las partes interesadas pertinentes. De esta forma, se puede reducir el tiempo de respuesta a incidentes y minimizar el impacto de los incidentes de seguridad.
Informes y auditorías de cumplimiento: usa las funciones de SOAR de Google SecOps para automatizar la recogida de datos de seguridad de Google SecOps para generar informes de cumplimiento, agilizar el proceso de auditoría y reducir el trabajo manual.
Antes de empezar
Antes de configurar la integración de Google Chronicle en Google SecOps, asegúrate de que tienes lo siguiente:
Google Cloud project: acceso a un proyecto activo Google Cloud .
Permisos: los roles de Gestión de Identidades y Accesos (IAM) necesarios en tu proyectoGoogle Cloud para crear y gestionar cuentas de servicio y políticas de IAM.
Configurar la integración
Los pasos de configuración dependen del tipo de implementación de Google SecOps:
Implementación de SecOps unificado: si tu instancia de Google SecOps forma parte de una implementación de SecOps unificado (integrada con Google Security Operations SIEM), la integración suele utilizar una cuenta de servicio predeterminada gestionada por Google. En este caso, no es necesario subir una clave JSON de cuenta de servicio ni configurar Workload Identity manualmente. Los permisos necesarios están preconfigurados o se heredan del entorno host.
Implementación independiente de SOAR: si tu instancia de Google SecOps es una implementación independiente de SOAR (no integrada con Google Security Operations SIEM), debes configurar manualmente la autenticación mediante uno de los siguientes métodos:
Archivo de clave JSON de la cuenta de servicio
Federación de identidades de cargas de trabajo
Autenticación con una clave JSON de cuenta de servicio
El proceso de autenticación de una clave JSON de cuenta de servicio difiere entre la API de Chronicle y la API de Backstory.
Autenticación de la API Chronicle (opción recomendada)
Para usar la API de Chronicle, debes crear una cuenta de servicio en tuGoogle Cloud proyecto.
En la Google Cloud consola, ve a IAM y administración > Cuentas de servicio.
Selecciona Crear cuenta de servicio y sigue las instrucciones para crear la cuenta de servicio que necesites.
Selecciona la dirección de correo de la nueva cuenta de servicio y ve a Claves > Añadir clave > Crear clave.
Selecciona
JSONcomo tipo de clave y haz clic en Crear. Se descargará un archivo de clave JSON en tu ordenador.En Permisos > Gestionar acceso, asigna los roles de gestión de identidades y accesos específicos de Google SecOps necesarios a la cuenta de servicio.
Autenticación de la API de Backstory
Para usar la API Backstory, se necesita una cuenta de servicio. Un administrador debe crear esta cuenta por ti.
Ponte en contacto con el equipo de Asistencia de Google SecOps y solicita una cuenta de servicio para la API de Backstory. Proporciona los detalles necesarios para tu implementación de SOAR.
El equipo de Asistencia de SecOps de Google te proporcionará un archivo de clave JSON para la cuenta de servicio.
Usa la clave proporcionada en la configuración de la integración.
Autenticación con Workload Identity (opción recomendada)
Workload Identity es el método de autenticación recomendado y más seguro para las implementaciones de SOAR independientes. Elimina la necesidad de gestionar claves de cuenta de servicio de larga duración al habilitar credenciales federadas de corta duración.
Para configurar la autenticación con Workload Identity, sigue estos pasos:
Crea un grupo y un proveedor de identidades de carga de trabajo:
En la Google Cloud consola, ve a IAM y administración > Federación de identidades de carga de trabajo.
Sigue las instrucciones para crear un grupo de identidades de carga de trabajo y, a continuación, un proveedor de grupos de identidades de carga de trabajo que confíe en Google SecOps como identidad externa.
Puedes configurar el proveedor para que confíe en Google SecOps como fuente de identidad externa mediante OpenID Connect (OIDC).
-
En la Google Cloud consola, ve a IAM y administración > Cuentas de servicio.
Crea una cuenta de servicio específica en tu Google Cloud proyecto. La carga de trabajo externa (Google SecOps) suplantará la identidad de esta cuenta.
Concede permisos a la cuenta de servicio:
Asigna los roles de gestión de identidades y accesos específicos de Google SecOps necesarios (por ejemplo, Lector de Chronicle o Editor de Chronicle Security Operations) a la cuenta de servicio.
Asigna el rol
Service Account Token Creatoral proveedor de grupos de identidades de carga de trabajo que has creado. Este permiso permite al proveedor suplantar la identidad de esta cuenta de servicio.
Configura la relación de confianza:
Establece la relación de confianza entre tu proveedor de grupos de identidades de carga de trabajo y la cuenta de servicio. De esta forma, se vincula la identidad externa (que representa a Google SecOps) a la cuenta de servicio de Google Cloud .
Configura el parámetro de integración:
En el cuadro de diálogo de configuración de la integración, introduce la dirección de correo de la cuenta de servicio en el campo Correo de identidad de carga de trabajo.
Para obtener instrucciones más detalladas sobre cómo configurar la federación de identidades de cargas de trabajo, consulta Google Cloud Workload Identity.
Parámetros de integración
La integración de Google Chronicle requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
UI Root |
Obligatorio. La URL base de la interfaz de SIEM de Google SecOps. Se usa para generar automáticamente enlaces directos a la plataforma SIEM desde los registros de casos. El valor predeterminado es |
API Root |
Obligatorio. La raíz de la API de tu instancia de SIEM de Google SecOps. El valor depende del método de autenticación:
Si se usan las credenciales incorrectas para la raíz de la API, se producirá un error de conexión. |
User's Service Account |
Opcional. El contenido completo del archivo de clave JSON de la cuenta de servicio. Si no se definen este parámetro y el parámetro |
Workload Identity Email |
Opcional. Dirección de correo del cliente de tu federación de identidades de cargas de trabajo. Este parámetro tiene prioridad sobre el archivo de clave Para usar la federación de identidades de carga de trabajo, debes asignar el rol |
Verify SSL |
Obligatorio. Si se selecciona esta opción, la integración valida el certificado SSL al conectarse al servidor SIEM de Google SecOps. Esta opción está habilitada de forma predeterminada. |
Para obtener instrucciones sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.
Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en los cuadernos de estrategias. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Admitir varias instancias.
Acciones
Para obtener más información sobre las acciones, consulta Responder a acciones pendientes desde Tu espacio de trabajo y Realizar una acción manual.
Añadir filas a una tabla de datos
Usa la acción Añadir filas a tabla de datos para añadir filas a una tabla de datos en Google SecOps.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
Para configurar la acción, usa los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Data Table Name |
Obligatorio. El nombre visible de la tabla de datos que se va a actualizar. |
Rows |
Obligatorio. Lista de objetos JSON que contiene información sobre las filas que se van a añadir. Por ejemplo:
{
"columnName1": "value1",
"columnName2": "value2"
}
|
Resultados de la acción
La acción Añadir filas a tabla de datos proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Información valiosa sobre la entidad | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestra un resultado JSON de ejemplo devuelto por la acción Añadir filas a tabla de datos:
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table/dataTableRows/840d18a85944833e1b97ed6d2fb11377",
"values": {
"columnName1": "asda",
"columnName2": "asdasd",
"columnName3": "zxczxc"
}
}
Mensajes de salida
La acción Añadir filas a tabla de datos proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
Successfully added rows to the data table
DATA_TABLE_NAME in
Google SecOps. |
La acción se ha realizado correctamente. |
Error executing action "Add Rows to Data Table". Reason:
ERROR_REASON |
No se ha podido realizar la acción.
Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción Añadir filas a tabla de datos:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
true o false |
Añadir valores a la lista de referencias
Usa la acción Añadir valores a la lista de referencia para añadir valores a una lista de referencia en Google SecOps.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
Para configurar la acción, usa los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Reference List Name |
Obligatorio. Nombre de la lista de referencias que se va a actualizar. |
Values |
Obligatorio. Lista de valores separados por comas que se van a añadir a la lista de referencias. |
Resultados de la acción
La acción Añadir valor a lista de referencia proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Información valiosa sobre la entidad | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se describe la salida del resultado JSON recibida al usar la acción Añadir valor a la lista de referencias con la API Backstory:
{
"name": "list_name",
"description": "description of the list",
"lines": [
"192.0.2.0/24",
"198.51.100.0/24"
],
"create_time": "2020-11-20T17:18:20.409247Z",
"content_type": "CIDR"
}
En el siguiente ejemplo se describe el resultado JSON que se recibe al usar la acción Añadir valor a la lista de referencias con la API de Chronicle:
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/referenceLists/REFERENCE_LIST_NAME",
"displayName": "REFERENCE_LIST_NAME",
"revisionCreateTime": "2025-01-16T09:15:21.795743Z",
"description": "Test reference list",
"entries": [
{
"value": "example.com"
},
{
"value": "exampledomain.com"
}
],
"syntaxType": "REFERENCE_LIST_SYNTAX_TYPE_PLAIN_TEXT_STRING",
"scopeInfo": {
"referenceListScope": {}
},
"createTime": "2025-01-16T09:15:21.795743Z",
"lines": [
"example.com",
"exampledomain.com"
]
}
Mensajes de salida
La acción Añadir valores a la lista de referencia proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
Successfully added values to the reference list
REFERENCE_LIST_NAME. |
La acción se ha realizado correctamente. |
Error executing action "Add Values To Reference List". Reason:
ERROR_REASON |
No se ha podido realizar la acción.
Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción Añadir valores a la lista de referencias:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Preguntar a Gemini
Usa la acción Pregúntaselo a Gemini para enviar una petición de texto a Gemini en Google SecOps.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
Para configurar la acción, usa los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Automatic Opt-in |
Opcional. Si se selecciona esta opción, el manual de procedimientos habilita automáticamente la conversación con Gemini sin necesidad de que el usuario lo confirme manualmente. Esta opción está habilitada de forma predeterminada. |
Prompt |
Obligatorio. La petición de texto o pregunta inicial que se envía a Gemini. |
Resultados de la acción
La acción Pídeselo a Gemini proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Información valiosa sobre la entidad | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se describe la salida del resultado JSON que se recibe al usar la acción Pregunta a Gemini:
{
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/users/me/conversations/db3b0fc2-94f8-42ae-b743-c3693f593269/messages/b58e3186-e697-4400-9da8-8ef252a20bd9",
"input": {
"body": "Is IP 159.138.84.217 malicious? What can you tell me about it?"
},
"responses": [
{
"blocks": [
{
"blockType": "HTML",
"htmlContent": {
"privateDoNotAccessOrElseSafeHtmlWrappedValue": "<p>The IP address 159.138.84.217 is associated with malware and threat actors.</p>\n<ul>\n<li>It is an IPv4 indicator.</li>\n<li>It is associated with BEACON malware.</li>\n<li>It is categorized as malware-Backdoor.</li>\n<li>It has a low confidence, high severity threat rating.</li>\n<li>VirusTotal's IP Address Report indicates the network for this IP is 159.138.80.0/20, and the IP is associated with HUAWEI CLOUDS in Singapore.</li>\n<li>VirusTotal's last analysis on April 22, 2025, showed 8 malicious detections out of 94 sources.</li>\n</ul>\n<p>I might have more details for a question with more context (e.g., what is the source of the IP, what type of network traffic is associated with the IP).</p>\n"
}
}
],
"references": [
{
"blockType": "HTML",
"htmlContent": {
"privateDoNotAccessOrElseSafeHtmlWrappedValue": "<ol>\n<li><a href=\"https://advantage.mandiant.com/indicator/ipv4/159.138.84.217\" target=\"_blank\">Mandiant - indicator - 159.138.84.217</a></li>\n</ol>\n"
}
}
],
"groundings": [
"IP address 159.138.84.217 malicious cybersecurity",
"IP address 159.138.84.217 threat intelligence"
]
}
],
"createTime": "2025-05-16T11:31:36.660538Z"
}
}
Mensajes de salida
La acción Pídeselo a Gemini proporciona los siguientes mensajes:
| Mensaje resultante | Descripción del mensaje |
|---|---|
Successfully executed a prompt in Google SecOps. |
La acción se ha realizado correctamente. |
Error executing action "GoogleChronicle - Ask Gemini".
Reason: ERROR_REASON |
No se ha podido realizar la acción.
Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción Pregunta a Gemini:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Enrich Domain (obsoleto)
Usa la acción Enriquecer dominio para enriquecer dominios con información de indicadores de compromiso en Google SecOps SIEM.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
URLHostname
Entradas de acciones
La acción Enrich Domain requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Create Insight |
Si se selecciona esta opción, la acción creará una estadística que contenga información sobre las entidades. Esta opción está habilitada de forma predeterminada. |
Only Suspicious Insight |
Si se selecciona esta opción, la acción solo creará una estadística para las entidades que estén marcadas como sospechosas. No está habilitada de forma predeterminada. Si selecciona este parámetro, también debe seleccionar
|
Lowest Suspicious Severity |
Obligatorio. La gravedad más baja asociada al dominio necesaria para marcarlo como sospechoso. El valor predeterminado es
|
Mark Suspicious N/A Severity |
Obligatorio. Si se selecciona esta opción y no se dispone de información sobre la gravedad, la acción marca la entidad como sospechosa. |
Resultados de la acción
La acción Enriquecer dominio proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | Disponible |
| Tabla de enriquecimiento | Disponible |
| Información valiosa sobre la entidad | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Tabla del panel de casos
La acción Enrich Domain (Enriquecer dominio) proporciona la siguiente tabla:
Nombre: ENTITY_IDENTIFIER
Columnas:
- Origen
- Gravedad
- Categoría
- Confianza
Enriquecimiento de entidades
La acción Enrich Domain admite la siguiente lógica de enriquecimiento de entidades:
| Campo de enriquecimiento | Lógica (cuándo se aplica) |
|---|---|
severity |
Cuando esté disponible en JSON |
average_confidence |
Cuando esté disponible en JSON |
related_domains |
Cuando esté disponible en JSON |
categories |
Cuando esté disponible en JSON |
sources |
Cuando esté disponible en JSON |
first_seen |
Cuando esté disponible en JSON |
last_seen |
Cuando esté disponible en JSON |
report_link |
Cuando esté disponible en JSON |
Resultado de JSON
En el siguiente ejemplo se describe el resultado JSON que se obtiene al usar la acción Enrich Domain (Enriquecer dominio) con la API Backstory:
{
{
"sources": [
{
"source": "ET Intelligence Rep List",
"confidenceScore": {
"normalizedConfidenceScore": "Low",
"intRawConfidenceScore": 0
},
"rawSeverity": "High",
"category": "Malware Command and Control Server"
}
],
"iocIngestTime": "2021-01-26T17:00:00Z",
"firstSeenTime": "2018-10-03T00:03:53Z",
"lastSeenTime": "2022-02-09T10:52:21.229Z",
"uri": [
"https://INSTANCE/domainResults?domain=example.net&selectedList=DomainViewDistinctAssets&whoIsTimestamp=2022-02-09T11%3A51%3A52.393783515Z"
]
}
}
En el siguiente ejemplo se describe el resultado JSON que se recibe al usar la acción Enrich Domain (Enriquecer dominio) con la API de Chronicle:
[
{
"Entity": "example.com",
"EntityResult": {
"sources": [
{
"category": "Indicator was published in publicly available sources",
"firstActiveTime": "1970-01-01T00:00:01Z",
"lastActiveTime": "9999-12-31T23:59:59Z",
"addresses": [
{
"domain": "example.com"
}
],
"rawSeverity": "medium",
"confidenceScore": {
"strRawConfidenceScore": "100"
}
},
{
"category": "Phishing",
"firstActiveTime": null,
"lastActiveTime": "2020-11-27T14:31:37Z",
"addresses": [
{
"domain": "example.com"
},
{
"ipAddress": "IP_ADDRESS"
}
],
"rawSeverity": "high",
"confidenceScore": {
"strRawConfidenceScore": "high"
}
},
{
"category": "Indicator was published in publicly available sources",
"firstActiveTime": "1970-01-01T00:00:01Z",
"lastActiveTime": "9999-12-31T23:59:59Z",
"addresses": [
{
"domain": "example.com"
}
],
"rawSeverity": "medium",
"confidenceScore": {
"strRawConfidenceScore": "100"
}
}
],
"feeds": [
{
"metadata": {
"title": "Mandiant Open Source Intelligence",
"description": "Open Source Intel IoC",
"confidenceScoreBucket": {
"rangeEnd": 100
}
},
"iocs": [
{
"domainAndPorts": {
"domain": "example.com"
},
"categorization": "Indicator was published in publicly available sources",
"activeTimerange": {
"start": "1970-01-01T00:00:01Z",
"end": "9999-12-31T23:59:59Z"
},
"confidenceScore": "100",
"rawSeverity": "Medium"
}
]
},
{
"metadata": {
"title": "ESET Threat Intelligence",
"description": "ESET Threat Intelligence"
},
"iocs": [
{
"domainAndPorts": {
"domain": "example.com"
},
"categorization": "Phishing",
"activeTimerange": {
"end": "2020-11-27T14:31:37Z"
},
"ipAndPorts": {
"ipAddress": "IP_ADDRESS"
},
"confidenceScore": "High",
"rawSeverity": "High"
}
]
},
{
"metadata": {
"title": "Mandiant Active Breach Intelligence",
"description": "Mandiant Active Breach IoC",
"confidenceScoreBucket": {
"rangeEnd": 100
}
},
"iocs": [
{
"domainAndPorts": {
"domain": "example.com"
},
"categorization": "Indicator was published in publicly available sources",
"activeTimerange": {
"start": "1970-01-01T00:00:01Z",
"end": "9999-12-31T23:59:59Z"
},
"confidenceScore": "100",
"rawSeverity": "Medium"
}
]
}
]
}
}
]
Mensajes de salida
La acción Enrich Domain (Enriquecer dominio) proporciona los siguientes mensajes:
| Mensaje resultante | Descripción del mensaje |
|---|---|
Successfully enriched the following domain in Google Chronicle:
LIST_OF_IDS |
La acción se ha realizado correctamente. |
Error executing action "Enrich Domain". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores de la salida del resultado de la secuencia de comandos al usar la acción Enriquecer dominio:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Enriquecer entidades
Usa la acción Enriquecer entidades para consultar Google SecOps y obtener contexto y atributos adicionales de los tipos de entidades especificados. Esta acción mejora los datos de investigación de amenazas al integrar inteligencia externa.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
DomainFile HashHostnameIP AddressURL(extrae el dominio de la URL)UserEmail(entidad de usuario con expresión regular de correo electrónico)
Entradas de acciones
La acción Enrich Entities requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Namespace |
Opcional. La agrupación lógica o el ámbito de las entidades que se van a enriquecer. Si no se selecciona, el enriquecimiento se aplica a las entidades del espacio de nombres predeterminado o a todos los espacios de nombres accesibles. Las entidades deben pertenecer a este espacio de nombres para poder procesarse. |
Time Frame |
Opcional. Un periodo relativo (por ejemplo, Este parámetro tiene prioridad sobre |
Start Time |
Opcional. Hora de inicio del periodo de enriquecimiento en formato ISO 8601. Úsalo con |
End Time |
Opcional. Hora de finalización absoluta del periodo de enriquecimiento en formato ISO 8601. Se usa con |
Resultados de la acción
La acción Enriquecer entidades proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | Disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
| Campo de enriquecimiento | Fuente (clave JSON) | Aplicabilidad |
|---|---|---|
GoogleSecOps_related_entities |
El número de related_entities | Cuando esté disponible en el resultado JSON. |
GoogleSecOps_alert_count_ruleName |
{alertCounts.count} para cada regla específica | Cuando esté disponible en el resultado JSON. |
GoogleSecOps_first_seen |
metric.firstSeen |
Cuando esté disponible en el resultado JSON. |
GoogleSecOps_last_seen |
metric.lastSeen |
Cuando esté disponible en el resultado JSON. |
GoogleSecOps_flattened_key_under_entity |
Valor de la clave, acoplado de la estructura anidada del objeto "entity". |
Cuando esté disponible en el resultado JSON. |
Resultado de JSON
En el siguiente ejemplo se muestra el resultado JSON que se recibe al usar la acción Enrich Entities (Enriquecer entidades):
[
{
"Entity": "HTTP://MARKOSSOLOMON.COM/F1Q7QX.PHP",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/ChFtYXJrb3Nzb2xvbW9uLmNvbRDIAQ",
"metadata": { "entityType": "DOMAIN_NAME" },
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/ChFtYXJrb3Nzb2xvbW9uLmNvbRDIAQ",
"metadata": { "entityType": "DOMAIN_NAME" },
"entity": {
"domain": {
"name": "markossolomon.com",
"firstSeenTime": "1970-01-01T00:00:00Z",
"lastSeenTime": "1970-01-01T00:00:00Z",
"registrar": "NameCheap, Inc.",
"creationTime": "2013-12-06T02:41:09Z",
"updateTime": "2019-11-06T11:48:33Z",
"expirationTime": "2020-12-06T02:41:09Z",
"registrant": {
"userDisplayName": "WhoisGuard Protected",
"emailAddresses": [
"58d09cb5035042e9920408f8bafd0869.protect@whoisguard.com"
],
"personalAddress": { "countryOrRegion": "PANAMA" },
"companyName": "WhoisGuard, Inc."
}
}
}
},
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{}
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "npatni-sysops",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg1ucGF0bmktc3lzb3BzEGYaBVl1cml5IhsKCwiC-OzCBhCAvYMUEgwIqvnnwwYQgMyI4QE",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:00:02.042Z",
"endTime": "2025-07-18T07:50:02.472Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg1ucGF0bmktc3lzb3BzEGYaBVl1cml5IhsKCwiC-OzCBhCAvYMUEgwIqvnnwwYQgMyI4QE",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:00:02.042Z",
"endTime": "2025-07-18T07:50:02.472Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": { "hostname": "npatni-sysops" }
},
"metric": {
"firstSeen": "2025-06-25T00:00:02.042Z",
"lastSeen": "2025-07-18T07:50:02.472Z"
}
},
"metric": {
"firstSeen": "2025-06-25T00:00:02.042Z",
"lastSeen": "2025-07-18T07:50:02.472Z"
},
"alertCounts": [
{ "rule": "rule_Pavel_test_Risk_score", "count": "329" },
{ "rule": "rule_testbucket", "count": "339" },
{ "rule": "pavel_test2_rule_1749239699456", "count": "332" }
],
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{ "alertCount": 1000 }
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "exlab2019-ad",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgxleGxhYjIwMTktYWQQZhoFWXVyaXkiGwoMCLv57MIGEMCp7qgDEgsI8PTnwwYQwLD6SA",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:03:07.891Z",
"endTime": "2025-07-18T07:40:32.153Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgxleGxhYjIwMTktYWQQZhoFWXVyaXkiGwoMCLv57MIGEMCp7qgDEgsI8PTnwwYQwLD6SA",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:03:07.891Z",
"endTime": "2025-07-18T07:40:32.153Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": { "hostname": "exlab2019-ad" }
},
"metric": {
"firstSeen": "2025-06-25T00:03:07.891Z",
"lastSeen": "2025-07-18T07:40:32.153Z"
}
},
"metric": {
"firstSeen": "2025-06-25T00:03:07.891Z",
"lastSeen": "2025-07-18T07:40:32.153Z"
},
"alertCounts": [
{ "rule": "pavel_test2_rule_1749239699456", "count": "319" },
{ "rule": "rule_testbucket", "count": "360" },
{ "rule": "rule_Pavel_test_Risk_score", "count": "321" }
],
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{ "alertCount": 26 },
{ "alertCount": 175 },
{ "alertCount": 185 },
{ "alertCount": 195 },
{ "alertCount": 182 },
{ "alertCount": 168 },
{ "alertCount": 69 }
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "172.30.202.229",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg4xNzIuMzAuMjAyLjIyORBkGgVZdXJpeSIbCgwIu_nswgYQwKnuqAMSCwjw9OfDBhDAsPpI",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:03:07.891Z",
"endTime": "2025-07-18T07:40:32.153Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg4xNzIuMzAuMjAyLjIyORBkGgVZdXJpeSIbCgwIu_nswgYQwKnuqAMSCwjw9OfDBhDAsPpI",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:03:07.891Z",
"endTime": "2025-07-18T07:40:32.153Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": { "ip": ["172.30.202.229"] }
},
"metric": {
"firstSeen": "2025-06-25T00:03:07.891Z",
"lastSeen": "2025-07-18T07:40:32.153Z"
}
},
"metric": {
"firstSeen": "2025-06-25T00:03:07.891Z",
"lastSeen": "2025-07-18T07:40:32.153Z"
},
"alertCounts": [
{ "rule": "rule_Pavel_test_Risk_score", "count": "321" },
{ "rule": "rule_testbucket", "count": "360" },
{ "rule": "pavel_test2_rule_1749239699456", "count": "319" }
],
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{ "alertCount": 26 },
{ "alertCount": 175 },
{ "alertCount": 185 },
{ "alertCount": 195 },
{ "alertCount": 182 },
{ "alertCount": 168 },
{ "alertCount": 69 }
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "172.17.0.1",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgoxNzIuMTcuMC4xEGQaBVl1cml5IhsKCwjOzre-BhDA1rU_EgwI9ZOMwAYQgPn82QM",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-03-09T19:09:02.133Z",
"endTime": "2025-04-19T02:27:01.994Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgoxNzIuMTcuMC4xEGQaBVl1cml5IhsKCwjOzre-BhDA1rU_EgwI9ZOMwAYQgPn82QM",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-03-09T19:09:02.133Z",
"endTime": "2025-04-19T02:27:01.994Z"
}
},
"entity": { "namespace": "Yuriy", "asset": { "ip": ["172.17.0.1"] } },
"metric": {
"firstSeen": "2025-03-09T19:09:02.133Z",
"lastSeen": "2025-04-19T02:27:01.994Z"
}
},
"metric": {
"firstSeen": "2025-03-09T19:09:02.133Z",
"lastSeen": "2025-04-19T02:27:01.994Z"
},
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{}
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "911d039e71583a07320b32bde22f8e22",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CiA5MTFkMDM5ZTcxNTgzYTA3MzIwYjMyYmRlMjJmOGUyMhCwAiIVCgYItrj6ugYSCwi_9ufDBhDAyroV",
"metadata": {
"entityType": "FILE",
"interval": {
"startTime": "2024-12-15T09:07:02Z",
"endTime": "2025-07-18T07:43:59.045Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CiA5MTFkMDM5ZTcxNTgzYTA3MzIwYjMyYmRlMjJmOGUyMhCwAiIVCgYItrj6ugYSCwi_9ufDBhDAyroV",
"metadata": {
"entityType": "FILE",
"interval": {
"startTime": "2024-12-15T09:07:02Z",
"endTime": "2025-07-18T07:43:59.045Z"
}
},
"entity": {
"file": {
"sha256": "bc866cfcdda37e24dc2634dc282c7a0e6f55209da17a8fa105b07414c0e7c527",
"md5": "911d039e71583a07320b32bde22f8e22",
"sha1": "ded8fd7f36417f66eb6ada10e0c0d7c0022986e9",
"size": "278528",
"fileType": "FILE_TYPE_PE_EXE",
"names": [
"C:\\Windows\\System32\\cmd.exe",
"cmd",
"Cmd.Exe",
"C:\\Windows\\system32\\cmd.exe",
"C:\\Windows\\SYSTEM32\\cmd.exe",
"cmd.exe",
"C:\\\\Windows\\\\System32\\\\cmd.exe",
"C:\\windows\\SYSTEM32\\cmd.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\wjxpour4.d0f\\cmd.exe",
"c:\\Windows\\System32\\cmd.exe",
"Utilman.exe",
"c:\\windows\\system32\\cmd.exe",
"System32/cmd.exe",
"UtilityVM/Files/Windows/System32/cmd.exe",
"KerishDoctor/Data/KerishDoctor/Restore/cmd.rst",
"cmd.exe_",
"C:\\WINDOWS\\SYSTEM32\\cmd.exe",
"Cmd.exe",
"Windows/System32/cmd.exe",
"sethc.exe",
"C:\\WINDOWS\\System32\\cmd.exe",
"esRzqurX.exe",
"rofl.png",
"F:\\Windows\\SYSTEM32\\cmd.exe",
"utilman.exe",
"C:\\Windows\\system32\\CMD.exe",
"sys32exe/cmd.exe",
"cmd.txt",
"C:\\WINDOWS\\system32\\cmd.exe",
"cmd2.exe",
"Utilman.exe.sc",
"uhrHRIv8.exe",
"C:\\windows\\system32\\cmd.exe",
"submitted_file",
"C:\\Users\\user\\AppData\\Local\\Temp\\n1qo0bq3.2tn\\KerishDoctor\\Data\\KerishDoctor\\Restore\\cmd.rst",
"J6ff7z0hLYo.exe",
"N:\\Windows\\System32\\cmd.exe",
"Q:\\Windows\\System32\\cmd.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\cmd.exe",
"C:\\Users\\<USER>\\AppData\\Local\\Temp\\cmd.exe",
"test.exe",
"68E2F01F8DE9EFCAE9C0DD893DF0E8C34E2B5C98A6C4073C9C9E8093743D318600.blob",
"8FCVE0Kq.exe",
"cmd (7).exe",
"cmd (8).exe",
"21455_16499564_bc866cfcdda37e24dc2634dc282c7a0e6f55209da17a8fa105b07414c0e7c527_cmd.exe",
"LinX v0.9.11 (Intel)/cmd.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\inbvmkaa.1xd\\LinX v0.9.11 (Intel)\\cmd.exe",
"cmd_b.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\sfd5bhoe.nqi\\cmd.exe",
"cMd.exe",
"Repl_Check.bat__",
"cmd.pdf",
"cmd.EXE",
"C:\\Users\\user\\AppData\\Local\\Temp\\uszjr42t.kda\\cmd.exe",
"LFepc1St.exe",
"firefox.exe",
"3BcnNlWV.exe",
"Utilman.exebak",
"utilman1.exe",
"1.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\ispvscgp.ep2\\sys32exe\\cmd.exe",
"cmd_1771019736291028992.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\xijgwqvd.54g\\cmd.exe",
"Sethc.exe",
"\\Device\\CdRom1\\DANFE352023067616112\\DANFE352023067616112.EXE",
"DANFE352023067616112.exe",
"file.exe",
"DANFE352023067616112/DANFE352023067616112.exe",
"C:\\Windows\\SYSTEM32\\Cmd.exe",
"pippo.exe",
"C:\\Windows\\System32\\sethc.exe",
"cmd.exe-bws024-windowsfolder",
"whatever.exe",
"sethc.exe.bak",
"S71dbOR1.exe",
"F:\\windows\\SYSTEM32\\cmd.exe",
"L6puhWL7.exe",
"DANFE357986551413927.exe",
"DANFE357666506667634.exe",
"\\Device\\CdRom1\\DANFE357666506667634\\DANFE357666506667634.EXE",
"\\Device\\CdRom1\\DANFE357986551413927\\DANFE357986551413927.EXE",
"\\Device\\CdRom1\\DANFE358567378531506\\DANFE358567378531506.EXE",
"\\Device\\CdRom1\\HtmlFactura3f48daa069f0e42253194ca7b51e7481DPCYKJ4Ojk\\HTMLFACTURA3F48DAA069F0E42253194CA7B51E7481DPCYKJ4OJK.EXE",
"\\Device\\CdRom1\\DANFE357410790837014\\DANFE357410790837014.EXE",
"\\Device\\CdRom1\\DANFE357702036539112\\DANFE357702036539112.EXE",
"winlogon.exe",
"AccessibilityEscalation.A' in file 'utilman.exe'",
"qpl9AqT0.exe",
"C:\\windows\\system32\\CMD.exe",
"C:\\po8az\\2po9hmc\\4v1b5.exe",
"batya.exe",
"nqAwJaba.exe",
"\\Device\\CdRom1\\DANFE356907191810758\\DANFE356907191810758.EXE",
"/Volumes/10_11_2023/DANFE356907191810758/DANFE356907191810758.exe",
"/Volumes/09_21_2023/DANFE357986551413927/DANFE357986551413927.exe",
"\\Device\\CdRom1\\DANFE355460800350113\\DANFE355460800350113.EXE",
"/Volumes/09_19_2023/DANFE355460800350113/DANFE355460800350113.exe",
"DANFE352429512050669.exe",
"/Volumes/04_15_2023/HtmlFacturaeb58f4396e2028a70905705291031e7b3dlvDNyGp3/HtmlFacturaeb58f4396e2028a70905705291031e7b3dlvDNyGp3.exe"
],
"firstSeenTime": "2024-12-15T09:07:02Z",
"lastSeenTime": "2025-07-18T07:43:59.045Z",
"lastAnalysisTime": "2025-07-16T10:06:40Z",
"signatureInfo": {
"sigcheck": {
"verificationMessage": "Signed",
"verified": true,
"signers": [{ "name": "Microsoft Windows" }]
}
},
"firstSubmissionTime": "2025-07-15T16:30:27Z"
}
},
"metric": {
"firstSeen": "2024-12-15T09:07:02Z",
"lastSeen": "2025-07-18T07:43:59.045Z"
}
},
"metric": {
"firstSeen": "2024-12-15T09:07:02Z",
"lastSeen": "2025-07-18T07:43:59.045Z"
},
"alertCounts": [
{ "rule": "pavel_test2_rule_1749239699456", "count": "329" },
{ "rule": "rule_testbucket", "count": "345" },
{ "rule": "rule_Pavel_test_Risk_score", "count": "326" }
],
"timeline": {
"buckets": [
{},
{},
{},
{},
{ "alertCount": 31 },
{ "alertCount": 111 },
{ "alertCount": 109 },
{ "alertCount": 82 },
{ "alertCount": 86 },
{ "alertCount": 98 },
{ "alertCount": 86 },
{ "alertCount": 85 },
{ "alertCount": 92 },
{ "alertCount": 89 },
{ "alertCount": 90 },
{ "alertCount": 41 }
],
"bucketSize": "172800s"
},
"prevalenceResult": [
{ "prevalenceTime": "2025-01-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-31T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-31T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-31T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-16T00:00:00Z", "count": 2 },
{ "prevalenceTime": "2025-07-17T00:00:00Z", "count": 2 },
{ "prevalenceTime": "2025-07-18T00:00:00Z", "count": 2 }
],
"relatedEntities": [
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgxleGxhYjIwMTktYWQQZhoFWXVyaXkiFQoGCPbso7wGEgsIv_bnwwYQwMq6FQ",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-01-16T12:07:18Z",
"endTime": "2025-07-18T07:43:59.045Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": {
"hostname": "exlab2019-ad",
"firstSeenTime": "2025-01-16T12:07:18Z"
}
},
"metric": {
"firstSeen": "2025-01-16T12:07:18Z",
"lastSeen": "2025-07-18T07:43:59.045Z"
}
},
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg4xNzIuMzAuMjAyLjIyORBkGgVZdXJpeSIVCgYI9uyjvAYSCwi_9ufDBhDAyroV",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-01-16T12:07:18Z",
"endTime": "2025-07-18T07:43:59.045Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": {
"ip": ["172.30.202.229"],
"firstSeenTime": "2025-01-16T12:07:18Z"
}
},
"metric": {
"firstSeen": "2025-01-16T12:07:18Z",
"lastSeen": "2025-07-18T07:43:59.045Z"
}
}
]
}
},
{
"Entity": "tencent.com",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cgt0ZW5jZW50LmNvbRDIASIQCgYInNyZvAYSBgjo-Jm8Bg",
"metadata": {
"entityType": "DOMAIN_NAME",
"interval": {
"startTime": "2025-01-14T14:01:00Z",
"endTime": "2025-01-14T15:02:00Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cgt0ZW5jZW50LmNvbRDIASIQCgYInNyZvAYSBgjo-Jm8Bg",
"metadata": {
"entityType": "DOMAIN_NAME",
"interval": {
"startTime": "2025-01-14T14:01:00Z",
"endTime": "2025-01-14T15:02:00Z"
}
},
"entity": {
"domain": {
"name": "tencent.com",
"firstSeenTime": "2025-01-14T14:01:00Z",
"lastSeenTime": "2025-01-14T15:02:00Z",
"registrar": "MarkMonitor Information Technology (Shanghai) Co., Ltd.",
"creationTime": "1998-09-14T04:00:00Z",
"updateTime": "2024-08-20T08:04:01Z",
"expirationTime": "2032-09-13T04:00:00Z",
"registrant": {
"emailAddresses": [""],
"personalAddress": { "countryOrRegion": "CHINA" },
"companyName": "\u6df1\u5733\u5e02\u817e\u8baf\u8ba1\u7b97\u673a\u7cfb\u7edf\u6709\u9650\u516c\u53f8"
}
}
},
"metric": {
"firstSeen": "2025-01-14T14:01:00Z",
"lastSeen": "2025-01-14T15:02:00Z"
}
},
"metric": {
"firstSeen": "2025-01-14T14:01:00Z",
"lastSeen": "2025-01-14T15:02:00Z"
},
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{}
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "00:50:56:b6:34:86",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/ChEwMDo1MDo1NjpiNjozNDo4NhBlGgVZdXJpeSIKCgASBgjemLzBBg",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "1970-01-01T00:00:00Z",
"endTime": "2025-05-22T11:37:02Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/ChEwMDo1MDo1NjpiNjozNDo4NhBlGgVZdXJpeSIKCgASBgjemLzBBg",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "1970-01-01T00:00:00Z",
"endTime": "2025-05-22T11:37:02Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": { "mac": ["00:50:56:b6:34:86"] }
},
"metric": {
"firstSeen": "1970-01-01T00:00:00Z",
"lastSeen": "2025-05-22T11:37:02Z"
}
},
"metric": {
"firstSeen": "1970-01-01T00:00:00Z",
"lastSeen": "2025-05-22T11:37:02Z"
},
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{}
],
"bucketSize": "172800s"
}
}
}
]
Mensajes de salida
La acción Enrich Entities puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Enrich Entities". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Enriquecer entidades:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Enriquecer IP (obsoleto)
Usa la acción Enriquecer IP para enriquecer entidades de IP con información de indicadores de compromiso de Google SecOps SIEM.
Esta acción se ejecuta en la entidad `IP Address`.
Entradas de acciones
La acción Enriquecer IP requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Create Insight |
Opcional. Si se selecciona esta opción, la acción crea una estadística que contiene información sobre las entidades.Esta opción está habilitada de forma predeterminada. |
Only Suspicious Insight |
Opcional. Si se selecciona esta opción, la acción solo crea estadísticas de las entidades que se hayan marcado como sospechosas.No está habilitada de forma predeterminada. Si selecciona este parámetro, también debe seleccionar |
Lowest Suspicious Severity |
Obligatorio. La gravedad más baja asociada a la dirección IP para marcarla como sospechosa. El valor predeterminado es
|
Mark Suspicious N/A Severity |
Obligatorio. Si se selecciona esta opción y no se dispone de información sobre la gravedad, la acción marca la entidad como sospechosa. |
Resultados de la acción
La acción Enriquecer IP proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | Disponible |
| Tabla de enriquecimiento | Disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Tabla del panel de casos
Nombre: ENTITY_IDENTIFIER
Columnas:
- Origen
- Gravedad
- Categoría
- Confianza
- Dominios relacionados
Enriquecimiento de entidades
La acción Enriquecer IP admite la siguiente lógica de enriquecimiento de entidades:
| Campo de enriquecimiento | Lógica (cuándo se aplica) |
|---|---|
severity |
Cuando esté disponible en JSON |
average_confidence |
Cuando esté disponible en JSON |
related_domains |
Cuando esté disponible en JSON |
categories |
Cuando esté disponible en JSON |
sources |
Cuando esté disponible en JSON |
first_seen |
Cuando esté disponible en JSON |
last_seen |
Cuando esté disponible en JSON |
report_link |
Cuando esté disponible en JSON |
Resultado de JSON
En el siguiente ejemplo se describe el resultado JSON que se obtiene al usar la acción Enrich IP con la API Backstory:
{
{
"sources": [
{
"source": "Example List",
"confidenceScore": {
"normalizedConfidenceScore": "Low",
"intRawConfidenceScore": 0
},
"rawSeverity": "High",
"category": "Malware Command and Control Server"
}
],
"iocIngestTime": "2021-01-26T17:00:00Z",
"firstSeenTime": "2018-10-03T00:03:53Z",
"lastSeenTime": "2022-02-09T10:52:21.229Z",
"uri": [
"https://INSTANCE/domainResults?domain=example.net&selectedList=DomainViewDistinctAssets&whoIsTimestamp=2022-02-09T11%3A51%3A52.393783515Z"
]
}
}
En el siguiente ejemplo se describe el resultado JSON que se recibe al usar la acción Enrich IP con la API de Chronicle:
[
{
"Entity": "192.0.2.121",
"EntityResult": {
"sources": [
{
"category": "Indicator was published in publicly available sources",
"firstActiveTime": "1970-01-01T00:00:01Z",
"lastActiveTime": "9999-12-31T23:59:59Z",
"addresses": [
{
"ipAddress": "IP_ADDRESS"
}
],
"rawSeverity": "low",
"confidenceScore": {
"strRawConfidenceScore": "67"
}
}
],
"feeds": [
{
"metadata": {
"title": "Mandiant Open Source Intelligence",
"description": "Open Source Intel IoC",
"confidenceScoreBucket": {
"rangeEnd": 100
}
},
"iocs": [
{
"categorization": "Indicator was published in publicly available sources",
"activeTimerange": {
"start": "1970-01-01T00:00:01Z",
"end": "9999-12-31T23:59:59Z"
},
"ipAndPorts": {
"ipAddress": "IP_ADDRESS"
},
"confidenceScore": "67",
"rawSeverity": "Low"
}
]
}
]
}
}
]
Mensajes de salida
La acción Enrich IP (Enriquecer IP) proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
Successfully enriched the following IPs from Google Chronicle:
LIST_OF_IPS |
La acción se ha realizado correctamente. |
Error executing action "Enrich IP". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores de la salida del resultado de la secuencia de comandos al usar la acción Enriquecer IP:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Ejecutar RetroHunt
Usa la acción Ejecutar RetroHunt para ejecutar una RetroHunt de una regla en Google SecOps.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Ejecutar búsqueda retrospectiva requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Rule ID |
Obligatorio. ID de la regla para la que se va a ejecutar una RetroHunt. Usa el formato |
Time Frame |
Opcional. Periodo del que se van a obtener los resultados. Estos son los valores posibles:
Si se selecciona El valor predeterminado es |
Start Time |
Hora de inicio de los resultados en formato ISO 8601. Este parámetro es obligatorio si el parámetro |
End Time |
Hora de finalización de los resultados en formato ISO 8601.
Si no asignas ningún valor y seleccionas el valor |
Resultados de la acción
La acción Ejecutar búsqueda retrospectiva proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Información valiosa sobre la entidad | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se describe la salida del resultado JSON que se recibe al usar la acción Ejecutar Retrohunt con la API Backstory:
{
"retrohuntId": "oh_d738c8ea-8fd7-4cc1-b43d-25835b8e1785",
"ruleId": "ru_30979d84-aa89-47d6-bf4d-b4bb0eacb497",
"versionId": "ru_30979d84-aa89-47d6-bf4d-b4bb0eacb497@v_1612472807_179679000",
"eventStartTime": "2021-01-14T23:00:00Z",
"eventEndTime": "2021-01-30T23:00:00Z",
"retrohuntStartTime": "2021-02-08T02:40:59.192113Z",
"state": "RUNNING"
}
En el siguiente ejemplo se describe la salida del resultado JSON que se recibe al usar la acción Ejecutar Retrohunt con la API de Chronicle:
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/operations/OPERATION_ID",
"metadata": {
"@type": "type.googleapis.com/RetrohuntMetadata",
"retrohunt": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/rules/RULE_ID/retrohunts/RETROHUNT_ID",
"executionInterval": {
"startTime": "2025-01-22T12:16:20.963182Z",
"endTime": "2025-01-23T12:16:20.963182Z"
}
},
"retrohuntId": "RETROHUNT_ID",
"ruleId": "RULE_ID",
"versionId": "VERSION_ID",
"eventStartTime": "2025-01-22T12:16:20.963182Z",
"eventEndTime": "2025-01-23T12:16:20.963182Z"
}
Mensajes de salida
La acción Ejecutar búsqueda retrospectiva proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
Successfully executed a retrohunt for the provided rule in Google
Chronicle.
|
La acción se ha realizado correctamente. |
Error executing action "Execute Retrohunt". Reason:
ERROR_REASON |
No se ha podido realizar la acción.
Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción Ejecutar búsqueda retroactiva:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Ejecutar consulta de UDM
Usa la acción Ejecutar consulta de UDM para ejecutar una consulta de UDM personalizada en Google SecOps.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Ejecutar consulta de UDM requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Query String |
Obligatorio. Consulta que se va a ejecutar en Google SecOps. |
Time Frame |
Opcional. Periodo del que se van a obtener los resultados. Estos son los valores posibles:
Si se selecciona El valor predeterminado es |
Start Time |
Opcional. Hora de inicio de los resultados en formato ISO 8601 (por ejemplo, Este parámetro es obligatorio si el parámetro El periodo máximo es de 90 días. |
End Time |
Opcional. La hora de finalización de los resultados en formato ISO 8601 (por ejemplo, Si no defines ningún valor y el parámetro El periodo máximo es de 90 días. |
Max Results To Return |
Opcional. Número de resultados que se devolverán en una única consulta. El valor máximo es El valor predeterminado es |
Resultados de la acción
La acción Ejecutar consulta de UDM proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se describe la salida del resultado JSON que se recibe al usar la acción Ejecutar consulta de UDM:
{
"events":[
"event":{
"metadata":{
"eventTimestamp":"2022-01-20T09:15:15.687Z",
"eventType":"USER_LOGIN",
"vendorName":"Example Vendor",
"productName":"Example Product",
"ingestedTimestamp":"2022-01-20T09:45:07.433587Z"
},
"principal":{
"hostname":"example-user-pc",
"ip":[
"203.0.113.0"
],
"mac":[
"01:23:45:ab:cd:ef",
"01:23:45:ab:cd:ef",
"01:23:45:ab:cd:ef"
],
"location":{
"city":"San Francisco",
"state":"California",
"countryOrRegion":"US"
},
"asset":{
"hostname":"example-user-pc",
"ip":[
"203.0.113.1",
"203.0.113.1",
"203.0.113.1"
],
"mac":[
"01:23:45:ab:cd:ef",
"01:23:45:ab:cd:ef",
"01:23:45:ab:cd:ef"
]
}
},
"target":{
"user":{
"userid":"Example",
"userDisplayName":"Example User",
"windowsSid":"S-1-5-21-4712406912-7108061610-2717800068-993683",
"emailAddresses":[
"example@example.com",
"admin.example@example.com"
],
"employeeId":"2406187",
"productObjectId":"f93f1540-4935-4266-aa8e-a750a319aa1c",
"firstName":"Example",
"lastName":"User",
"phoneNumbers":[
"555-01-75"
],
"title":"Executive Assistant",
"companyName":"Example Corp",
"department":[
"Executive - Admin"
],
"managers":[
{
"userDisplayName":"Example User",
"windowsSid":"S-1-5-21-6051382818-4135626959-8120238335-834071",
"emailAddresses":[
"user@example.com"
],
"employeeId":"5478500",
"productObjectId":"8b3924d5-6157-43b3-857b-78aa6bd94705",
"firstName":"User",
"lastName":"Example",
"phoneNumbers":[
"555-01-75"
],
"title":"Chief Technology Officer",
"companyName":"Example Corp",
"department":[
"Executive - Admin"
]
}
]
},
"ip":[
"198.51.100.1"
],
"email":"email@example.com",
"application":"Example Sign In"
},
"securityResult":[
{
"summary":"Successful Login",
"action":[
"ALLOW"
]
}
],
"extensions":{
"auth":{
"type":"SSO"
}
}
},
"eventLogToken":"96f23eb9ffaa9f7e7b0e2ff5a0d2e34c,1,1642670115687000,USER,|USER_LOGIN"
]
}
Mensajes de salida
La acción Ejecutar consulta de UDM proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Execute UDM Query". Reason:
ERROR_REASON
|
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Error executing action "Execute UDM Query". Reason: you've reached a
rate limit. Please wait for several minutes and try again. |
No se ha podido realizar la acción. Espera varios minutos antes de volver a ejecutar la acción. |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción Ejecutar consulta de UDM:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Obtener tablas de datos
Usa la acción Obtener tablas de datos para recuperar las tablas de datos disponibles en Google SecOps.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Obtener tablas de datos requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Filter Key |
Opcional. La clave por la que se va a filtrar La opción Estos son los valores posibles: NameDescription |
Filter Logic |
Opcional. La lógica de filtro que se va a aplicar. Estos son los valores posibles: Equal (para concordancias exactas)Contains(para coincidencias de cadena secundaria) |
Filter Value |
Opcional. El valor que se debe usar en el filtro. Estos son los valores posibles: Equal (para concordancias exactas)Contains(para coincidencias de cadena secundaria)
Si no se proporciona nada, el filtro no se aplicará. |
Expanded Rows |
Opcional. Si se selecciona esta opción, la respuesta incluye filas de tabla de datos detalladas. No está habilitada de forma predeterminada. |
Max Data Tables To Return |
Obligatorio. Número de tablas de datos que se van a devolver. El valor máximo es |
Max Data Table Rows To Return |
Obligatorio. Cantidad de filas de la tabla de datos que se van a devolver. Solo debes usar este parámetro si El valor máximo es |
Resultados de la acción
La acción Obtener tablas de datos proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se describe la salida del resultado en JSON que se recibe al usar la acción Get Data Tables (Obtener tablas de datos):
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table",
"displayName": "data_table",
"createTime": "2025-05-14T12:52:50.064133Z",
"updateTime": "2025-05-14T13:13:48.631442Z",
"columnInfo": [
{
"originalColumn": "columnName1",
"columnType": "STRING"
},
{
"columnIndex": 1,
"originalColumn": "columnName2",
"columnType": "STRING"
},
{
"columnIndex": 2,
"originalColumn": "columnName3",
"columnType": "STRING"
}
],
"dataTableUuid": "c3cce57bb8d940d5ac4523c37d540436",
"approximateRowCount": "2",
"rows": [
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table/dataTableRows/840d18a85944833e1b97ed6d2fb11377",
"values": {
"columnName1": "asda",
"columnName2": "asdasd",
"columnName3": "zxczxc"
},
"createTime": "2025-05-14T12:52:51.908143Z",
"updateTime": "2025-05-14T12:52:51.908143Z"
}
]
}
Mensajes de salida
La acción Obtener tablas de datos proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
Successfully found data tables for the provided criteria in Google
SecOps |
La acción se ha realizado correctamente. |
Error executing action "Get Data Tables". Reason:
ERROR_REASON |
No se ha podido realizar la acción.
Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores de la salida del resultado de la secuencia de comandos al usar la acción Obtener tablas de datos:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
true o false |
Get Detection Details
Usa la acción Get Detection Details para obtener información sobre una detección en Google SecOps.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Obtener detalles de la detección requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Rule ID |
Obligatorio. ID de la regla relacionada con la detección. Usa el formato |
Detection ID |
Obligatorio. ID de la detección de la que se van a obtener los detalles. Si se proporcionan caracteres especiales, la acción no falla, pero devuelve una lista de detecciones. |
Resultados de la acción
La acción Obtener detalles de la detección proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se describe el resultado en JSON que se obtiene al usar la acción Get Detection Details (Obtener detalles de detección):
{
"type": "RULE_DETECTION",
"detection": [
{
"ruleName": "singleEventRule2",
"urlBackToProduct":
"https://INSTANCE/ruleDetections?
ruleId=ru_1f54ab4b-e523-48f7-ae25-271b5ea8337d&selectedList=RuleDetectionsViewTimeline&
selectedParentDetectionId=de_ce594791-09ed-9681-27fa-3b7c8fa6054c&
selectedTimestamp=2020-12-03T16: 50: 47.647245Z","ruleId": "ru_1f54ab4b-e523-48f7-ae25-271b5ea8337d",
"ruleVersion": "ru_1f54ab4b-e523-48f7-ae25-271b5ea8337d@v_1605892822_687503000",
"alertState": "NOT_ALERTING",
"ruleType": "SINGLE_EVENT"
}
],
"createdTime": "2020-12-03T19:19:21.325134Z",
"id": "de_ce594791-09ed-9681-27fa-3b7c8fa6054c",
"timeWindow": {
"startTime": "2020-12-03T16:50:47.647245Z",
"endTime": "2020-12-03T16:50:47.647245Z"
},
"collectionElements": [
{
"references": [
{
"event": {
"metadata": {
"eventTimestamp": "2020-12-03T16:50:47.647245Z",
"collectedTimestamp": "2020-12-03T16:50:47.666064010Z",
"eventType": "NETWORK_DNS",
"productName": "ProductName",
"ingestedTimestamp": "2020-12-03T16:50:49.494542Z"
},
"principal": {
"ip": [
"192.0.2.1"
]
},
"target": {
"ip": [
"203.0.113.1"
]
},
"securityResult": [
{
"action": [
"UNKNOWN_ACTION"
]
}
],
"network": {
"applicationProtocol": "DNS",
"dns": {
"questions": [
{
"name": "example.com",
"type": 1,
"class": 1
}
],
"id": 12345,
"recursionDesired": true
}
}
}
}
],
"label": "e"
}
],
"detectionTime": "2020-12-03T16:50:47.647245Z"
}
Mensajes de salida
La acción Obtener detalles de la detección proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
Successfully fetched information about the detection with ID
DETECTION_ID in Google Chronicle. |
La acción se ha realizado correctamente. |
Error executing action "Get Detection Details". Reason:
ERROR_REASON |
No se ha podido realizar la acción.
Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción Obtener detalles de detección:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Obtener listas de referencias
Usa la acción Get Reference Lists (Obtener listas de referencias) para recuperar las listas de referencias disponibles en Google SecOps.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Get Reference Lists requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Filter Key |
La clave por la que se va a filtrar.
Estos son los valores posibles:
|
Filter Logic |
La lógica de filtro que se va a aplicar. Estos son los valores posibles: Equal (para concordancias exactas)Contains(para coincidencias de cadena secundaria)El valor predeterminado es |
Filter Value |
El valor que se debe usar en el filtro.
Estos son los valores posibles: Equal (para concordancias exactas)Contains(para coincidencias de cadena secundaria)
Si no se proporciona ningún valor, el filtro no se aplica. |
Expanded Details |
Si se selecciona esta opción, la acción devuelve información detallada sobre las listas de referencias.
No está habilitada de forma predeterminada. |
Max Reference Lists To Return |
Número de listas de referencias que se devolverán.
El valor predeterminado es |
Resultados de la acción
La acción Obtener lista de referencias proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | Disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Tabla del panel de casos
En un muro de casos, la opción Obtener listas de referencias proporciona la siguiente tabla:
Nombre: Listas de referencias disponibles
Columnas:
- Nombre
- Descripción
- Tipo
Resultado de JSON
En el siguiente ejemplo se describe la salida del resultado JSON recibida al usar la acción Get Reference Lists (Obtener listas de referencia) con la API Backstory:
{
"name": "list_name",
"description": "description of the list",
"lines": [
"192.0.2.0/24",
"198.51.100.0/24"
],
"create_time": "2020-11-20T17:18:20.409247Z",
"content_type": "CIDR"
}
En el siguiente ejemplo se describe la salida de resultados JSON recibida al usar la acción Get Reference Lists (Obtener listas de referencia) con la API de Chronicle:
[
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/referenceLists/REFERENCE_LIST_ID",
"displayName": "REFERENCE_LIST_ID",
"revisionCreateTime": "2025-01-09T15:53:10.851775Z",
"description": "Test reference list",
"syntaxType": "REFERENCE_LIST_SYNTAX_TYPE_PLAIN_TEXT_STRING",
"scopeInfo": {
"referenceListScope": {}
},
"createTime": "2025-01-09T15:53:10.851775Z"
}
]
Mensajes de salida
La acción Obtener listas de referencia proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action
ACTION_NAME. Reason:
ERROR_REASON
|
No se ha podido realizar la acción.
Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Error executing action
ACTION_NAME. Reason: "Invalid
value was provided for "Max Reference Lists to Return":
PROVIIDED_VALUE. Positive number should be provided. |
No se ha podido realizar la acción.
Compruebe el valor del parámetro |
Secuencia de comandos
En la siguiente tabla se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Obtener listas de referencias:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Obtener detalles de la regla
Usa la acción Get Rule Details (Obtener detalles de la regla) para consultar información sobre una regla en Google SecOps.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Get Rule Details requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Rule ID |
Obligatorio. ID de la regla de la que se van a obtener los detalles. |
Resultados de la acción
La acción Obtener detalles de la regla proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se describe el resultado JSON que se recibe al usar la acción Get Rule Details (Obtener detalles de la regla) con la API Backstory:
{
"ruleId": "ru_e6abfcb5-1b85-41b0-b64c-695b3250436f",
"versionId": "ru_e6abfcb5-1b85-41b0-b64c-695b3250436f@v_1602631093_146879000",
"ruleName": "SampleRule",
"metadata": {
"description": "Sample Description of the Rule",
"author": "author@example.com"
},
"ruleText": "rule SampleRule {
meta:
description = \"Sample Description of the Rule\"
author = \"author@example.com\"
events:
// This will just generate lots of detections
$event.metadata.event_type = \"NETWORK_HTTP\"
condition:
$event
} ",
"liveRuleEnabled": true,
"versionCreateTime": "2020-10-13T23:18:13.146879Z",
"compilationState": "SUCCEEDED"
}
En el siguiente ejemplo se describe el resultado JSON que se obtiene al usar la acción Get Rule Details (Obtener detalles de la regla) con la API de Chronicle:
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/rules/RULE_ID",
"revisionId": "v_1733917896_973567000",
"displayName": "Test_rule_SingleEvent",
"text": "rule Test_rule_SingleEvent {\n // This rule matches single events. Rules can also match multiple events within\n // some time window. For details about how to write a multi-event rule, see\n // URL\n\n meta:\n // Allows for storage of arbitrary key-value pairs of rule details - who\n // wrote it, what it detects on, version control, etc.\n // The \"author\" and \"severity\" fields are special, as they are used as\n // columns on the rules dashboard. If you want to sort based on\n // these fields on the dashboard, make sure to add them here.\n // Severity value, by convention, should be \"Low\", \"Medium\" or \"High\"\n author = \"example_user\"\n description = \"windowed single event example rule\"\n //severity = \"Medium\"\n\n events:\n $e.metadata.event_type = \"USER_LOGIN\"\n $e.principal.user.userid = $user\n\n //outcome:\n // For a multi-event rule an aggregation function is required\n // e.g., risk_score = max(0)\n // See URL\n //$risk_score = 0\n match:\n $user over 1m\n\n condition:\n #e > 0\n}\n",
"author": "example_user",
"metadata": {
"author": "example_user",
"description": "windowed single event example rule",
"severity": null
},
"createTime": "2024-12-11T11:36:18.192127Z",
"revisionCreateTime": "2024-12-11T11:51:36.973567Z",
"compilationState": "SUCCEEDED",
"type": "SINGLE_EVENT",
"allowedRunFrequencies": [
"LIVE",
"HOURLY",
"DAILY"
],
"etag": "CMj55boGEJjondAD",
"ruleId": "RULE_ID",
"versionId": "RULE_ID@v_1733917896_973567000",
"ruleName": "Test_rule_SingleEvent",
"ruleText": "rule Test_rule_SingleEvent {\n // This rule matches single events. Rules can also match multiple events within\n // some time window. For details about how to write a multi-event rule, see\n // URL\n\n meta:\n // Allows for storage of arbitrary key-value pairs of rule details - who\n // wrote it, what it detects on, version control, etc.\n // The \"author\" and \"severity\" fields are special, as they are used as\n // columns on the rules dashboard. If you want to sort based on\n // these fields on the dashboard, make sure to add them here.\n // Severity value, by convention, should be \"Low\", \"Medium\" or \"High\"\n author = \"example_user\"\n description = \"windowed single event example rule\"\n //severity = \"Medium\"\n\n events:\n $e.metadata.event_type = \"USER_LOGIN\"\n $e.principal.user.userid = $user\n\n //outcome:\n // For a multi-event rule an aggregation function is required\n // e.g., risk_score = max(0)\n // See URL\n //$risk_score = 0\n match:\n $user over 1m\n\n condition:\n #e > 0\n}\n",
"ruleType": "SINGLE_EVENT",
"versionCreateTime": "2024-12-11T11:51:36.973567Z"
}
Mensajes de salida
La acción Obtener detalles de la regla proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
Successfully fetched information about the rule with ID
RULE_ID in Google Chronicle.
|
La acción se ha realizado correctamente. |
Error executing action "Get Rule Details". Reason:
ERROR_REASON
|
No se ha podido realizar la acción.
Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción Obtener detalles de la regla:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
¿El valor está en la tabla de datos?
Usa ¿El valor está en la tabla de datos? para comprobar si los valores proporcionados están en una tabla de datos de Google SecOps.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción ¿El valor está en la tabla de datos? requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Data Table Name |
Obligatorio. El nombre visible de la tabla de datos que se va a buscar. |
Column |
Opcional. Lista de columnas separadas por comas en las que se buscará. Si no se proporciona ningún valor, la acción buscará en todas las columnas. |
Values |
Obligatorio. Lista de valores separados por comas que se van a buscar. |
Case Insensitive Search |
Opcional. Si se selecciona esta opción, en la búsqueda no se distinguirá entre mayúsculas y minúsculas. Esta opción está habilitada de forma predeterminada. |
Max Data Table Rows To Return |
Obligatorio. Número de filas de la tabla de datos que se deben devolver por cada valor coincidente. El valor máximo es |
Resultados de la acción
La acción ¿El valor está en la tabla de datos? proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se describe el resultado en JSON que se obtiene al usar la acción Is Value In Data Table (¿El valor está en la tabla de datos?):
[{
"Entity": "asda",
"EntityResult": {
"is_found": true,
"matched_rows": [
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table/dataTableRows/840d18a85944833e1b97ed6d2fb11377",
"values": {
"columnName1": "asda",
"columnName2": "asdasd",
"columnName3": "zxczxc"
},
"createTime": "2025-05-14T12:52:51.908143Z",
"updateTime": "2025-05-14T12:52:51.908143Z"
}
]
}
}]
Mensajes de salida
La acción ¿El valor está en la tabla de datos? proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
Successfully searched provided values in the data table {data table}
in Google SecOps.
|
La acción se ha realizado correctamente. |
| Error al ejecutar la acción "Is Value In Data Table". Motivo: ERROR_REASON | No se ha podido realizar la acción.
Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Error executing action "Is Value In Data Table". Reason: the
following data tables were not found in:
DATA_TABLE_NAME:
COLUMN_NAMES. Please check the
spelling.
|
No se ha podido realizar la acción. |
Error executing action "Is Value In Data Table". Reason:
This action is not supported for Backstory API configuration. Please update
the integration configuration.
|
No se ha podido realizar la acción. |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción ¿El valor está en la tabla de datos?:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
true o false |
Is Value In Reference List
Usa la acción ¿El valor está en la lista de referencia? para comprobar si los valores proporcionados se encuentran en las listas de referencia de Google SecOps.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción ¿El valor está en la lista de referencia? requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Reference List Names |
Obligatorio. Lista de nombres de listas de referencia separada por comas que se va a buscar. |
Values |
Obligatorio. Lista de valores separados por comas que se van a buscar. |
Case Insensitive Search |
Opcional. Si se selecciona esta opción, en la búsqueda no se distinguirá entre mayúsculas y minúsculas. |
Resultados de la acción
La acción El valor está en la lista de referencia proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se describe la salida del resultado JSON recibida al usar la acción Is Value In Reference List (¿El valor está en la lista de referencia?) con la API Backstory:
{
"Entity": "example.com",
"EntityResult": {
"found_in": [
"Reference list names, where item was found"
],
"not_found_in": [
"Reference list names, where items wasn't found"
],
"overall_status": "found, if at least one reference list had the value/not found, if non of the reference lists found the value"
}
}
En el siguiente ejemplo se describe la salida del resultado JSON recibida al usar la acción Is Value In Reference List (¿El valor está en la lista de referencia?) con la API Chronicle:
{
"Entity": "example.com",
"EntityResult": {
"found_in": [
"Reference list names, where item was found"
],
"not_found_in": [
"Reference list names, where items wasn't found"
],
"overall_status": "found, if at least one reference list had the value/not found, if non of the reference lists found the value"
}
}
Mensajes de salida
La acción ¿El valor está en la lista de referencia? proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
Successfully searched provided values in the reference lists in
Google Chronicle.
|
La acción se ha realizado correctamente. |
| Error al ejecutar la acción "Is Value In Reference List". Motivo: ERROR_REASON | No se ha podido realizar la acción.
Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Error executing action "Is Value In Reference List". Reason: the
following reference lists were not found in Google Chronicle:
MISSING_REFERENCE_LIST_NAME(S).
Please use the action "Get Reference Lists" to see what reference lists are
available.
|
No se ha podido realizar la acción. Ejecute la acción Obtener listas de referencia para comprobar si hay listas disponibles. |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción ¿El valor está en la lista de referencia?:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Mostrar recursos
Usa la acción List Assets (Mostrar recursos) para mostrar los recursos de Google SecOps SIEM en función de las entidades relacionadas en un periodo específico.
Esta acción solo admite los hashes MD5, SHA-1 y SHA-256.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
URLIP AddressHash
Entradas de acciones
La acción List Assets (Listar recursos) requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Max Hours Backwards |
Número de horas anteriores a la hora actual para obtener los recursos.
El valor predeterminado es |
Create Insight |
Si se selecciona esta opción, la acción crea una estadística con información sobre las entidades. Esta opción está habilitada de forma predeterminada. |
Max Assets To Return |
Número de recursos que se deben devolver. El valor predeterminado es |
Time Frame |
Opcional. Periodo del que se van a obtener los resultados. Estos son los valores posibles:
Si se selecciona El valor predeterminado es |
Start Time |
Hora de inicio en formato ISO 8601. Este parámetro es obligatorio si se asigna el valor |
End Time |
Hora de finalización en formato ISO 8601.
Si no asignas ningún valor y defines el parámetro |
Resultados de la acción
La acción List Assets (Listar recursos) proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | Disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Tabla del panel de casos
Nombre: ENTITY_IDENTIFIER
Columnas:
- Hostname (Nombre de host)
- Dirección IP
- Primer artefacto visto
- Último artefacto visto
Resultado de JSON
En el siguiente ejemplo se describe la salida de resultados JSON recibida al usar la acción List Assets (Listar recursos) con la API Backstory:
{
"assets": [
{
"asset": {
"hostname": "example"
},
"firstSeenArtifactInfo": {
"artifactIndicator": {
"domainName": "www.example.com"
},
"seenTime": "2020-02-28T09:18:15.675Z"
},
"lastSeenArtifactInfo": {
"artifactIndicator": {
"domainName": "www.example.com"
},
"seenTime": "2020-09-24T06:43:59Z"
}
}
],
"uri": [
"https://INSTANCE/domainResults?domain=www.example.com&selectedList=DomainViewDistinctAssets&whoIsTimestamp=2020-09-27T12%3A07%3A34.166830443Z"
]
}
En el siguiente ejemplo se describe el resultado JSON que se recibe al usar la acción List Assets (Listar recursos) con la API de Chronicle:
[
{
"Entity": "192.0.2.229",
"EntityResult": {
"assets": [
{
"artifactIndicator": {
"domain": "example.com"
},
"sources": [
"Mandiant Open Source Intelligence"
],
"categories": [
"Indicator was published in publicly available sources"
],
"assetIndicators": [
{
"assetIpAddress": "192.0.2.229"
}
],
"iocIngestTimestamp": "2024-09-20T14:14:07.843Z",
"firstSeenTimestamp": "2025-01-15T11:20:00Z",
"lastSeenTimestamp": "2025-01-15T11:20:00Z",
"filterProperties": {
"stringProperties": {
"TLD": {
"values": [
{
"rawValue": ".com"
}
]
},
"IOC FEED": {
"values": [
{
"rawValue": "Mandiant Open Source Intelligence"
}
]
},
"IOC CATEGORIES": {
"values": [
{
"rawValue": "Indicator was published in publicly available sources"
}
]
},
"IOC CONFIDENCE SCORE": {
"values": [
{
"rawValue": "High"
}
]
},
"IOC/ALERT SEVERITY": {
"values": [
{
"rawValue": "Medium"
}
]
}
}
},
"confidenceBucket": "High",
"rawSeverity": "Medium",
"logType": "OPEN_SOURCE_INTEL_IOC",
"confidenceScore": 100,
"globalCustomerId": "ID",
"confidenceScoreBucket": {
"rangeEnd": 100
},
"categorization": "Indicator was published in publicly available sources",
"domainAndPorts": {
"domain": "example.com"
},
"activeTimerange": {
"startTime": "1970-01-01T00:00:01Z",
"endTime": "9999-12-31T23:59:59Z"
},
"feedName": "MANDIANT",
"id": "ID",
"fieldAndValue": {
"value": "ex ",
"valueType": "DOMAIN_NAME"
}
},
{
"artifactIndicator": {
"domain": "example.com"
},
"sources": [
"Mandiant Active Breach Intelligence"
],
"categories": [
"Indicator was published in publicly available sources"
],
"assetIndicators": [
{
"assetIpAddress": "192.0.2.229"
}
],
"iocIngestTimestamp": "2023-07-05T02:42:52.935Z",
"firstSeenTimestamp": "2025-01-15T11:20:00Z",
"lastSeenTimestamp": "2025-01-15T11:20:00Z",
"filterProperties": {
"stringProperties": {
"IOC/ALERT SEVERITY": {
"values": [
{
"rawValue": "Medium"
}
]
},
"IOC CONFIDENCE SCORE": {
"values": [
{
"rawValue": "High"
}
]
},
"IOC FEED": {
"values": [
{
"rawValue": "Mandiant Active Breach Intelligence"
}
]
},
"IOC CATEGORIES": {
"values": [
{
"rawValue": "Indicator was published in publicly available sources"
}
]
},
"TLD": {
"values": [
{
"rawValue": ".com"
}
]
}
}
},
"confidenceBucket": "High",
"rawSeverity": "Medium",
"logType": "MANDIANT_ACTIVE_BREACH_IOC",
"confidenceScore": 100,
"globalCustomerId": "ID",
"confidenceScoreBucket": {
"rangeEnd": 100
},
"categorization": "Indicator was published in publicly available sources",
"domainAndPorts": {
"domain": "example.com"
},
"activeTimerange": {
"startTime": "1970-01-01T00:00:01Z",
"endTime": "9999-12-31T23:59:59Z"
},
"feedName": "MANDIANT",
"id": "ID",
"fieldAndValue": {
"value": "example.com",
"valueType": "DOMAIN_NAME"
}
}
],
"uri": "https://INSTANCE.backstory.chronicle.security/destinationIpResults?ADDRESS=192.0.2.229&selectedList=IpViewDistinctAssets&referenceTime=2025-01-23T11%3A16%3A24.517449Z"
}
}
]
Mensajes de salida
La acción List Assets (Listar recursos) proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
Successfully listed related assets for the following entities
from Google Chronicle:
ENTITY_IDENTIFIER |
La acción se ha realizado correctamente. |
Error executing action "List Assets". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción List Assets (Listar recursos):
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
List Events
Usa la acción List Events (Listar eventos) para enumerar los eventos de un recurso concreto en un periodo específico.
Esta acción solo puede recuperar 10.000 eventos.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
IP addressMAC addressHostname
Entradas de acciones
La acción List Events requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Event Types |
Lista de tipos de eventos separados por comas.
Si no se proporciona ningún valor, se obtendrán todos los tipos de eventos. Para ver una lista de todos los valores posibles, consulta Valores posibles del tipo de evento. |
Time Frame |
El periodo especificado. Recomendamos que sea lo más pequeño posible para obtener mejores resultados.
Si se selecciona Si se selecciona Estos son los valores posibles:
El valor predeterminado es |
Start Time |
Hora de inicio en formato ISO 8601. Este parámetro es obligatorio si el parámetro |
End Time |
Hora de finalización en formato ISO 8601. Si no se proporciona ningún valor y el parámetro Este parámetro acepta el valor |
Reference Time |
Hora de referencia para la búsqueda de eventos.
Si no se proporciona ningún valor, la acción usa la hora de finalización como referencia. |
Output |
Obligatorio. El formato de salida. Estos son los valores posibles:
|
Max Events To Return |
Número de eventos que se van a procesar por cada tipo de entidad. El valor predeterminado es |
Valores posibles del tipo de evento
Los valores posibles del parámetro Event Type son los siguientes:
EVENTTYPE_UNSPECIFIEDPROCESS_UNCATEGORIZEDPROCESS_LAUNCHPROCESS_INJECTIONPROCESS_PRIVILEGE_ESCALATIONPROCESS_TERMINATIONPROCESS_OPENPROCESS_MODULE_LOADREGISTRY_UNCATEGORIZEDREGISTRY_CREATIONREGISTRY_MODIFICATIONREGISTRY_DELETIONSETTING_UNCATEGORIZEDSETTING_CREATIONSETTING_MODIFICATIONSETTING_DELETIONMUTEX_UNCATEGORIZEDMUTEX_CREATIONFILE_UNCATEGORIZEDFILE_CREATIONFILE_DELETIONFILE_MODIFICATIONFILE_READFILE_COPYFILE_OPENFILE_MOVEFILE_SYNCUSER_UNCATEGORIZEDUSER_LOGINUSER_LOGOUTUSER_CREATIONUSER_CHANGE_PASSWORDUSER_CHANGE_PERMISSIONSUSER_STATSUSER_BADGE_INUSER_DELETIONUSER_RESOURCE_CREATIONUSER_RESOURCE_UPDATE_CONTENTUSER_RESOURCE_UPDATE_PERMISSIONSUSER_COMMUNICATIONUSER_RESOURCE_ACCESSUSER_RESOURCE_DELETIONGROUP_UNCATEGORIZEDGROUP_CREATIONGROUP_DELETIONGROUP_MODIFICATIONEMAIL_UNCATEGORIZEDEMAIL_TRANSACTIONEMAIL_URL_CLICKNETWORK_UNCATEGORIZEDNETWORK_FLOWNETWORK_CONNECTIONNETWORK_FTPNETWORK_DHCPNETWORK_DNSNETWORK_HTTPNETWORK_SMTPSTATUS_UNCATEGORIZEDSTATUS_HEARTBEATSTATUS_STARTUPSTATUS_SHUTDOWNSTATUS_UPDATESCAN_UNCATEGORIZEDSCAN_FILESCAN_PROCESS_BEHAVIORSSCAN_PROCESSSCAN_HOSTSCAN_VULN_HOSTSCAN_VULN_NETWORKSCAN_NETWORKSCHEDULED_TASK_UNCATEGORIZEDSCHEDULED_TASK_CREATIONSCHEDULED_TASK_DELETIONSCHEDULED_TASK_ENABLESCHEDULED_TASK_DISABLESCHEDULED_TASK_MODIFICATIONSYSTEM_AUDIT_LOG_UNCATEGORIZEDSYSTEM_AUDIT_LOG_WIPESERVICE_UNSPECIFIEDSERVICE_CREATIONSERVICE_DELETIONSERVICE_STARTSERVICE_STOPSERVICE_MODIFICATIONGENERIC_EVENTRESOURCE_CREATIONRESOURCE_DELETIONRESOURCE_PERMISSIONS_CHANGERESOURCE_READRESOURCE_WRITTENANALYST_UPDATE_VERDICTANALYST_UPDATE_REPUTATIONANALYST_UPDATE_SEVERITY_SCOREANALYST_UPDATE_STATUSANALYST_ADD_COMMENT
Resultados de la acción
La acción List Events (Listar eventos) proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se describe la salida del resultado en JSON que se recibe al usar la acción List Events (Listar eventos):
{
"statistics": {
"NETWORK_CONNECTION": 10
}
{
"events": [
{
"metadata": {
"eventTimestamp": "2020-09-28T14:20:00Z",
"eventType": "NETWORK_CONNECTION",
"productName": "EXAMPLE Name",
"productEventType": "NETWORK_DNS",
"ingestedTimestamp": "2020-09-28T16:28:11.615578Z"
},
"principal": {
"hostname": "user-example-pc",
"assetId": "EXAMPLE:user-example-pc",
"process": {
"pid": "1101",
"productSpecificProcessId": "EXAMPLE:32323"
}
},
"target": {
"hostname": "example.com",
"user": {
"userid": "user"
},
"process": {
"pid": "8172",
"file": {
"md5": "a219fc7fcc93890a842183388f80369e",
"fullPath": "C:\\Program Files(x86)\\adobe\\acrobat reader dc\\reader\\acrord32.exe"
},
"commandLine": "\"C:\\Program Files(x86)\\adobe\\acrobat reader dc\\reader\\acrord32.exe\" ...",
"productSpecificProcessId": "EXAMPLE:82315"
}
}
},
{
"metadata": {
"eventTimestamp": "2020-09-28T17:20:00Z",
"eventType": "NETWORK_CONNECTION",
"productName": "EXAMPLE Name",
"productEventType": "NETWORK_DNS",
"ingestedTimestamp": "2020-09-28T16:28:11.615578Z"
},
"principal": {
"hostname": "user-example-pc",
"assetId": "EXAMPLE:user-example-pc",
"process": {
"pid": "1101",
"productSpecificProcessId": "EXAMPLE:32323"
}
},
"target": {
"hostname": "example.com",
"user": {
"userid": "user"
},
"process": {
"pid": "8172",
"file": {
"md5": "a219fc7fcc93890a842183388f80369e",
"fullPath": "C:\\Program Files(x86)\\adobe\\acrobat reader dc\\reader\\acrord32.exe"
},
"commandLine": "\"C:\\Program Files(x86)\\adobe\\acrobat reader dc\\reader\\acrord32.exe\" ...",
"productSpecificProcessId": "EXAMPLE:82315"
}
}
}
],
"uri": [
"https://INSTANCE/assetResults?assetIdentifier=user-example-pc&referenceTime=2020-09-28T17%3A00%3A00Z&selectedList=AssetViewTimeline&startTime=2020-09-28T14%3A20%3A00Z&endTime=2020-09-28T20%3A20%3A00Z"
]
}
}
Mensajes de salida
La acción List Events (Listar eventos) proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
Successfully listed related events for the following entities
from Google Chronicle:
ENTITY_IDENTIFIER |
La acción se ha realizado correctamente. |
Error executing action "List Events". Reason:
ERROR_REASON
|
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Error executing action "List Events". Reason: invalid event type
is provided. Please check the spelling. Supported event types:
SUPPORTED_EVENT_TYPES
|
No se ha podido realizar la acción.
Comprueba que estén correctamente escritas. |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción List Events (Listar eventos):
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Listar IOCs
Usa la acción List IOCs (Lista de indicadores de compromiso) para enumerar todos los IoCs descubiertos en tu empresa en un periodo de tiempo específico.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción List IOCs requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Start Time |
Hora de inicio de los resultados en formato ISO 8601. |
Max IoCs to Fetch |
Número máximo de IoCs que se devolverán.
El intervalo es El valor predeterminado es |
Resultados de la acción
La acción List IOCs (Lista de IOCs) proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | Disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Tabla del panel de casos
Columnas:
- Domain (Dominio)
- Categoría
- Origen
- Confianza
- Gravedad
- Hora de ingestión de IoC
- Hora de primera detección del IoC
- Hora de última detección del IoC
- URI
Resultado de JSON
En el siguiente ejemplo se describe la salida del resultado en JSON que se recibe al usar la acción List IOCs (Listar indicadores de compromiso):
{
"matches":[
{
"artifact":{
"domainName":"www.example.com"
},
"firstSeenTime":"2018-05-25T20:47:11.048998Z",
"iocIngestTime":"2019-08-14T21:00:00Z",
"lastSeenTime":"2019-10-24T16:19:46.880830Z",
"sources":[
{
"category":"Spyware Reporting Server",
"confidenceScore":{
"intRawConfidenceScore":0,
"normalizedConfidenceScore":"Low"
},
"rawSeverity":"Medium",
"source":"Example List"
}
],
"uri":["URI"]
}
],
"moreDataAvailable":true
}
Mensajes de salida
La acción List IOCs (Listar indicadores de compromiso) proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
Successfully listed IOCs from the provided timeframe in Google
Chronicle. |
La acción se ha realizado correctamente. |
Error executing action "List IOCs". Reason:
ERROR_REASON.
|
No se ha podido realizar la acción.
Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción List IOCs (Lista de IOCs):
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Buscar alertas similares
Usa la acción Buscar alertas similares para buscar alertas similares en Google SecOps.
Esta acción solo funciona con las alertas de Google SecOps recibidas del conector de alertas de Chronicle.
Entradas de acciones
La acción Buscar alertas similares requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Time Frame |
El periodo especificado de los resultados. Para obtener los mejores resultados, acota el periodo lo máximo posible.
Estos son los valores posibles:
|
IOCs / Assets |
Obligatorio. Lista separada por comas de IoCs o activos que se deben buscar en las alertas. La acción realiza una búsqueda independiente de cada elemento proporcionado. |
Similarity By |
Atributos que se usarán para buscar alertas similares. Estos son los valores posibles:
El valor predeterminado es |
Cómo funciona el parámetro Similitud por
El parámetro Similarity By se aplica de forma diferente a las alertas de reglas y a las alertas externas.
Si se selecciona
Alert Name, Alert Type and ProductoAlert Name, Alert Type:En el caso de las alertas externas, la acción busca otras alertas externas que tengan el mismo nombre.
En el caso de las alertas de reglas, la acción procesa las alertas que se han originado en la misma regla.
Si se selecciona
Product:- La acción procesa las alertas que se han originado en el mismo producto, independientemente de si son alertas de reglas o alertas externas.
Por ejemplo, una alerta de Crowdstrike solo se asociará con otras alertas de Crowdstrike.
Si se selecciona
Only IOCs/Assets:La acción coincide con las alertas en función de los IOCs proporcionados en el parámetro
IOCs/Assets. Busca estos indicadores tanto en las alertas de reglas como en las alertas externas.Una alerta de IOC solo puede llevar a cabo esta acción si se selecciona esta opción. Si se proporciona cualquier otra opción, la acción se establece de forma predeterminada en
Only IOCs/Assets.
La acción Buscar alertas similares es una herramienta versátil para analizar alertas. Permite a los analistas correlacionar alertas del mismo periodo y extraer indicadores de compromiso relevantes para determinar si un incidente es un verdadero positivo.
Resultados de la acción
La acción Buscar alertas similares proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | Disponible |
| Tabla del panel de casos | Disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se describe la salida del resultado JSON recibida al usar la acción Buscar alertas similares:
{
"count": 123,
"distinct": [
{
"first_seen": "time of the first alert that matched our conditions",
"last_seen": "time of the last alert that matched our conditions",
"product_name": "product name",
"used_ioc_asset": "what user provided in the parameter IOCs and Assets",
"name": "Alert Name/Rule Name",
"hostnames": "csv list of unique hostnames that were found in alerts",
"urls": "csv list of unique urls that were found in alerts",
"ips": "csv list of unique ips that were found in alerts",
"subjects": "csv list of unique subjects that were found in alerts",
"users": "csv list of unique users that were found in alerts",
"email_addresses": "csv list of unique email_addresses that were found in alerts",
"hashes": "csv list of unique hashes that were found in alerts",
"processes": "csv list of unique processes that were found in alerts"
"rule_urls": ["Chronicle URL from API response for Rule"]
"count": 123
}
],
"processed_alerts": 10000,
"run_time": "how long it took to run the action or at least API request",
"EXTERNAL_url": "Chronicle URL from API response for EXTERNAL"
}
Mensajes de salida
La acción Buscar alertas similares proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Lookup Similar Alerts". Reason:
ERROR_REASON
|
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Error executing action "Lookup Similar Alerts". Reason: all of the
retries are exhausted. Please wait for a minute and try again.
|
No se ha podido realizar la acción. Espera un minuto antes de volver a ejecutar la acción. |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Buscar alertas similares:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Tabla del panel de casos
Nombre de la tabla: IOC/ASSET_IDENTIFIER
Columnas de la tabla:
- Producto
- Nombres de host
- IPs
- Usuarios
- Direcciones de correo
- Temas
- URLs
- Hashes
- Procesos
- Visto por primera vez
- Última vez
- Nombre de alerta
- General
Enlace del panel de casos
La acción Buscar alertas similares puede devolver los siguientes enlaces:
- CBN: GENERATED_LINK_BASED_ON_IU_ROOT_URL
- Regla: GENERATED_LINK_BASED_ON_IU_ROOT_URL
Ping
Usa la acción Ping para probar la conectividad con Google SecOps.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
Ninguno
Resultados de la acción
La acción Ping proporciona las siguientes salidas:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Mensajes de salida
La acción Ping proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
Successfully connected to the Google Chronicle backstory with the
provided connection parameters! |
La acción se ha realizado correctamente. |
Failed to connect to the Google Chronicle backstory. Error is
ERROR_REASON
|
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción Ping:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Eliminar filas de una tabla de datos
Usa la acción Quitar filas de tabla de datos para quitar filas de una tabla de datos en Google SecOps.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Quitar filas de tabla de datos requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Data Table Name |
Obligatorio. El nombre visible de la tabla de datos que se va a actualizar. |
Rows |
Obligatorio. Lista de objetos JSON que se usa para buscar y eliminar filas. Solo se deben incluir las columnas válidas. El valor predeterminado es: |
Resultados de la acción
La acción Quitar filas de tabla de datos proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se describe el resultado en JSON que se obtiene al usar la acción Eliminar filas de tabla de datos:
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table/dataTableRows/840d18a85944833e1b97ed6d2fb11377",
"values": {
"columnName1": "asda",
"columnName2": "asdasd",
"columnName3": "zxczxc"
},
"createTime": "2025-05-14T12:52:51.908143Z",
"updateTime": "2025-05-14T12:52:51.908143Z"
}
Mensajes de salida
La acción Eliminar filas de tabla de datos proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
Successfully removed rows from the data table
DATA_TABLE_NAME in
Google SecOps.
|
La acción se ha realizado correctamente. |
Error executing action "Remove Rows From Data Table". Reason:
ERROR_REASON
|
No se ha podido realizar la acción.
Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción Eliminar filas de tabla de datos:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Quitar valores de la lista de referencia
Usa la acción Eliminar valores de la lista de referencia para quitar valores de una lista de referencia en Google SecOps.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Eliminar valores de la lista de referencia requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Reference List Name |
Obligatorio. Nombre de la lista de referencias que se va a actualizar. |
Values |
Obligatorio. Lista de valores separados por comas que se van a quitar de la lista de referencia. |
Resultados de la acción
La acción Eliminar valores de la lista de referencias proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se describe la salida de resultados JSON recibida al usar la acción Remove Values From Reference List (Eliminar valores de la lista de referencia) con la API Backstory:
{
"name": "list_name",
"description": "description of the list",
"lines": [
"192.0.2.0/24",
"198.51.100.0/24"
],
"create_time": "2020-11-20T17:18:20.409247Z",
"content_type": "CIDR"
}
En el siguiente ejemplo se describe el resultado JSON que se recibe al usar la acción Remove Values From Reference List (Eliminar valores de la lista de referencias) con la API de Chronicle:
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/referenceLists/<var class="readonly">REFERENCE_LIST_NAME</var>' }}",
"displayName": "REFERENCE_LIST_NAME",
"revisionCreateTime": "2025-01-16T09:15:21.795743Z",
"description": "Test reference list",
"entries": [
{
"value": "example.com"
},
{
"value": "exampledomain.com"
}
],
"syntaxType": "REFERENCE_LIST_SYNTAX_TYPE_PLAIN_TEXT_STRING",
"scopeInfo": {
"referenceListScope": {}
},
"createTime": "2025-01-16T09:15:21.795743Z",
"lines": [
"example.com",
"exampledomain.com"
]
}
Mensajes de salida
La acción Eliminar valores de la lista de referencias proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
Successfully removed values from the reference list.
|
La acción se ha realizado correctamente. |
Error executing action "Remove Values From Reference List". Reason:
ERROR_REASON
|
No se ha podido realizar la acción.
Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores de la salida del resultado de la secuencia de comandos al usar la acción Eliminar valores de la lista de referencia:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Conectores
Para obtener más información sobre cómo configurar conectores en Google SecOps, consulta el artículo Ingerir datos (conectores).
Google Chronicle - Conector de alertas de Chronicle
Usa el conector de alertas de Google Chronicle para extraer información sobre alertas basadas en reglas de Google SecOps SIEM.
Este conector se puede filtrar mediante una lista dinámica.
Información general
El conector de alertas de Google Chronicle - Chronicle ingiere varios tipos de alertas de Google SecOps SIEM.
Estas son algunas de las funciones y los detalles operativos principales:
Consulta datos de un periodo de una semana.
Para evitar que se pierdan alertas debido a retrasos en la indexación, se pueden configurar un periodo de relleno y un tiempo de espera del conector más largo, aunque un relleno significativo puede afectar negativamente al rendimiento.
El conector utiliza listas dinámicas para ofrecer una configuración flexible.
Proporciona un
Fallback Severitypara las alertas que no tienen un valor de gravedad.Para ingerir IoCs, se debe crear una regla de detección correspondiente en Google SecOps SIEM que genere alertas basadas en los IoCs.
Filtro de lista dinámica
La lista dinámica se usa para filtrar alertas directamente desde la página de configuración del conector.
Lógica de operador
La lista dinámica usa una combinación de lógica AND y OR para procesar las reglas de filtro:
Lógica O: los valores de la misma línea, separados por una coma, se tratan con la lógica O (por ejemplo,
Rule.severity = low,mediumsignificalowOmediumseverity).Lógica Y: cada línea independiente de la lista dinámica se trata con la lógica Y (por ejemplo, una línea para
Rule.severityy otra paraRule.ruleNamesignificaseverityYruleName).Los operadores admitidos (
=,!=,>,<,>=y<=) varían en función de la clave de filtro.
A continuación, se muestran ejemplos de uso de reglas de operadores:
- Rule.severity = medium: el conector solo ingiere alertas de reglas con gravedad media.
- Rule.severity = low,medium: el conector solo ingiere alertas de reglas con gravedad media o baja.
- Rule.ruleName = default_rule: el conector solo ingiere alertas de reglas con el nombre
default_rule.
Filtros admitidos
El conector de alertas de Chronicle admite el filtrado por las siguientes claves:
| Teclas de filtro | Clave de respuesta | Operadores | Posibles valores |
|---|---|---|---|
Rule.severity |
detection, ruleLabels o severity |
=, !=, >, <,
>=, <= |
El sistema no distingue entre mayúsculas y minúsculas. |
Rule.ruleName |
detection o ruleName |
=, != |
Definido por el usuario. |
Rule.ruleID |
detection o ruleId |
=, != |
Definido por el usuario. |
Rule.ruleLabels.{key} |
detection o ruleLabels |
=, != |
Definido por el usuario. |
Gestión de ruleLabels
Para filtrar por una etiqueta específica de una regla, usa el formato Rule.ruleLabels.{key}.
Por ejemplo, para filtrar por una etiqueta con la clave type y el valor suspicious_behaviour, la entrada de la lista dinámica debe ser la siguiente:
Rule.ruleLabels.type=suspicious_behaviour
Entradas de conectores
El conector de alertas de Chronicle requiere los siguientes parámetros:
El valor predeterminado es Medium.
| Parámetro | Descripción |
|---|---|
Product Field Name |
Obligatorio. Nombre del campo en el que se almacena el nombre del producto. El nombre del producto influye principalmente en la asignación. Para optimizar y mejorar el proceso de asignación del conector, el valor predeterminado se resuelve en un valor de reserva al que se hace referencia desde el código. Cualquier entrada no válida de este parámetro se resuelve en un valor de reserva de forma predeterminada. El valor predeterminado es |
Event Field Name |
Obligatorio. Nombre del campo que determina el nombre del evento (subtipo). |
Environment Field Name |
Opcional. Nombre del campo en el que se almacena el nombre del entorno. Si falta el campo de entorno, el conector usa el valor predeterminado. El valor predeterminado es |
Environment Regex Pattern |
Opcional. Patrón de expresión regular que se va a ejecutar en el valor encontrado en el campo Usa el valor predeterminado Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
Script Timeout (Seconds) |
Obligatorio. El límite de tiempo de espera, en segundos, del proceso de Python que ejecuta la secuencia de comandos actual. El valor predeterminado es |
API Root |
Obligatorio. La raíz de la API de la instancia de SIEM de Google SecOps. Google SecOps proporciona endpoints regionales para cada API. Por ejemplo, Ponte en contacto con el equipo de Asistencia de Google Cloud para saber qué endpoint debes usar. El valor predeterminado es |
User's Service Account |
Obligatorio. El contenido JSON completo de la cuenta de servicio utilizada para la autenticación. |
Fallback Severity |
Obligatorio. La gravedad predeterminada que se debe usar si la alerta de Google SecOps SIEM no incluye un valor de gravedad. Los valores posibles son los siguientes:
|
Max Hours Backwards |
Opcional. Número de horas anteriores a la ejecución inicial del conector para recuperar incidentes. Este parámetro solo se aplica una vez. El valor máximo es El valor predeterminado es |
Max Alerts To Fetch |
Opcional. Número de alertas que se deben procesar en cada iteración del conector. El valor predeterminado es |
Disable Event Splitting |
Opcional. Si se selecciona esta opción, el conector no dividirá los eventos originales en varias partes, lo que garantiza que el recuento de eventos coincida entre la fuente y Google SecOps SOAR. No está habilitada de forma predeterminada. |
Verify SSL |
Obligatorio. Si se selecciona esta opción, la integración valida el certificado SSL al conectarse al servidor SIEM de Google SecOps. Esta opción está habilitada de forma predeterminada. |
Proxy Server Address |
Opcional. Dirección del servidor proxy que se va a usar. |
Proxy Username |
Opcional. Nombre de usuario del proxy para autenticarse. |
Proxy Password |
Opcional. La contraseña del proxy para autenticarte. |
Disable Overflow |
Opcional. Si se selecciona esta opción, el conector ignora el mecanismo de desbordamiento de Google SecOps. No está habilitada de forma predeterminada. |
Reglas de conectores
El conector de alertas de Google Chronicle - Chronicle admite proxies.
Eventos del conector
El conector de alertas de Google Chronicle - Chronicle procesa tres tipos de eventos de Google SecOps SIEM.
Alertas basadas en reglas
Este tipo de evento lo genera una regla de detección en Google SecOps SIEM.
{
"alert_type": "RULE",
"event_type": "NETWORK_DHCP",
"type": "RULE_DETECTION",
"detection": [
{
"ruleName": "d3_test",
"urlBackToProduct": "https://INSTANCE/ruleDetections?ruleId=ru_74dd17e2-5aad-4053-acd7-958bead014f2&selectedList=RuleDetectionsViewTimeline&selectedParentDetectionId=de_b5dadaf4-b398-325f-9f09-833b71b3ffbb&selectedTimestamp=2022-02-08T05:02:36Z&versionTimestamp=2020-11-19T18:19:11.951951Z",
"ruleId": "ru_74dd17e2-5aad-4053-acd7-958bead014f2",
"ruleVersion": "ru_74dd17e2-5aad-4053-acd7-958bead014f2@v_1605809951_951951000",
"alertState": "NOT_ALERTING",
"ruleType": "SINGLE_EVENT",
"ruleLabels": [
{
"key": "author",
"value": "analyst123"
},
{
"key": "description",
"value": "8:00 AM local time"
},
{
"key": "severity",
"value": "Medium"
}
]
}
],
"createdTime": "2022-02-08T06:07:33.944951Z",
"id": "de_b5dadaf4-b398-325f-9f09-833b71b3ffbb",
"timeWindow": {
"startTime": "2022-02-08T05:02:36Z",
"endTime": "2022-02-08T05:02:36Z"
},
"collectionElements": [
{
"references": [
{
"event": {
"metadata": {
"eventTimestamp": "2022-02-08T05:02:36Z",
"eventType": "NETWORK_DHCP",
"productName": "Infoblox DHCP",
"ingestedTimestamp": "2022-02-08T05:03:03.892234Z"
},
"principal": {
"ip": [
"198.51.100.255",
"198.51.100.1"
],
"mac": [
"01:23:45:ab:cd:ef"
],
"email_address": [
"example@example.com"
]
},
"target": {
"hostname": "dhcp_server",
"ip": [
"198.51.100.0",
"198.51.100.1"
]
},
"network": {
"applicationProtocol": "DHCP",
"dhcp": {
"opcode": "BOOTREQUEST",
"ciaddr": "198.51.100.255",
"giaddr": "198.51.100.0",
"chaddr": "01:23:45:ab:cd:ef",
"type": "REQUEST",
"clientHostname": "example-user-pc",
"clientIdentifier": "AFm/LDfjAw=="
}
}
}
}
],
"label": "e"
}
],
"detectionTime": "2022-02-08T05:02:36Z"
}
Alertas externas
Este tipo de evento se basa en una alerta externa que se ingiere en Google SecOps SIEM.
{
"alert_type": "External",
"event_type": "GENERIC_EVENT",
"name": "Authentication failure [32038]",
"sourceProduct": "Internal Alert",
"severity": "Medium",
"timestamp": "2020-09-30T18:03:34.898194Z",
"rawLog": "U2VwIDMwIDE4OjAzOjM0Ljg5ODE5NCAxMC4wLjI5LjEwOSBBdXRoZW50aWNhdGlvbiBmYWlsdXJlIFszMjAzOF0=",
"uri": [
"https://INSTANCE/assetResults?assetIdentifier=198.51.100.109&namespace=[untagged]&referenceTime=2020-09-30T18%3A03%3A34.898194Z&selectedList=AssetViewTimeline&startTime=2020-09-30T17%3A58%3A34.898194Z&endTime=2020-09-30T18%3A08%3A34.898194Z&selectedAlert=-610875602&selectedEventTimestamp=2020-09-30T18%3A03%3A34.898194Z"
],
"event": {
"metadata": {
"eventTimestamp": "2020-09-30T18:03:34.898194Z",
"eventType": "GENERIC_EVENT",
"productName": "Chronicle Internal",
"ingestedTimestamp": "2020-09-30T18:03:34.991592Z"
},
"target": [
{
"ip": [
"198.51.100.255",
"198.51.100.1"
]
}
],
"securityResult": [
{
"summary": "Authentication failure [32038]",
"severityDetails": "Medium"
}
]
}
}
Alertas de IoC
Este tipo de evento coincide con una lista predefinida de IoCs.
{
"alert_type": "IOC",
"event_type": "IOC Alert",
"artifact": {
"domainName": "example.com"
},
"sources": [
{
"source": "Example List",
"confidenceScore": {
"normalizedConfidenceScore": "Low",
"intRawConfidenceScore": 0
},
"rawSeverity": "High",
"category": "Malware Command and Control Server"
}
],
"iocIngestTime": "2020-09-07T11:00:00Z",
"firstSeenTime": "2018-10-03T00:01:59Z",
"lastSeenTime": "2022-02-04T20:02:29.191Z",
"uri": [
"https://INSTANCE/domainResults?domain=example.com&selectedList=DomainViewDistinctAssets&whoIsTimestamp=2022-02-08T15%3A08%3A52.434022777Z"
]
}
Estructura de las alertas
En la siguiente tabla se describe cómo rellena el conector Google Chronicle - Chronicle Alerts los atributos de una alerta en Google SecOps. Los atributos de las alertas se agrupan por su origen y tipo para que sean más fáciles de entender.
Atributos generados internamente
Estos atributos los genera el framework y son coherentes en todos los tipos de alertas.
| Nombre del atributo de alerta | Fuente |
|---|---|
SourceSystemName |
Generado internamente por el framework. |
TicketId |
El valor se toma del archivo ids.json. |
DisplayId |
Generado automáticamente. |
Atributos de todos los tipos de alertas
Estos atributos se derivan de la alerta de origen, pero su clave de origen varía según el tipo de alerta.
| Nombre del atributo de alerta | Fuente |
|---|---|
Priority |
Se toma de la respuesta de la API o del parámetro Fallback Severity. |
DeviceVendor |
El valor codificado es Google Chronicle. |
DeviceProduct |
Valor codificado que depende del tipo de alerta: RULE para las alertas de detección de reglas, IOC para las coincidencias de IOCs o EXTERNAL para las alertas externas. |
Description |
En el caso de las alertas basadas en reglas, esta información procede de detection/ruleLabels/description (si existe). No está disponible para otros tipos de alertas. |
Reason |
No está disponible. |
SourceGroupingIdentifier |
No está disponible. |
Chronicle Alert - Attachments |
No está disponible. |
Tipos de alertas específicos
Estos atributos son específicos del origen de la alerta, lo que facilita la comprensión de cómo se rellena cada uno.
| Nombre del atributo de alerta | Alertas basadas en reglas | Alertas basadas en IOCs | Alertas externas |
|---|---|---|---|
Name |
detection/ruleName |
IOC Alert (codificado de forma rígida) |
alertInfos/name |
RuleGenerator |
detection/ruleName |
IOC Alert (codificado de forma rígida) |
alertInfos/name |
StartTime y EndTime |
timeWindow o startTime |
lastSeenTime |
timestamp |
Chronicle Alert - Extensions |
rule_id (ruleId), product_name (CSV
de un evento, metadatos o un valor de productName) |
No aplicable | alert_name (name), product_name (CSV de un evento o metadatos de UDM, o un valor de productName) |
Obsoleto: conector de alertas de Google Chronicle
Este conector extrae alertas de activos de Google SecOps SIEM y las convierte en alertas de Google SecOps SIEM.
Puedes autenticarte con la biblioteca de Google con google.oauth2.service_account y AuthorizedSession.
Este conector requiere la API de búsqueda de SIEM de Google SecOps.
Entradas de conectores
El
| Parámetro | Descripción |
|---|---|
Product Field Name |
Obligatorio.
Nombre del campo en el que se almacena el nombre del producto. El nombre del producto influye principalmente en la asignación. Para optimizar y mejorar el proceso de asignación del conector, el valor predeterminado se resuelve en un valor de reserva al que se hace referencia desde el código. Cualquier entrada no válida de este parámetro se resuelve en un valor de reserva de forma predeterminada. El valor predeterminado es |
Environment Field Name |
Opcional. Nombre del campo en el que se almacena el nombre del entorno. Si falta el campo de entorno, el conector usa el valor predeterminado. El valor predeterminado es |
Environment Regex Pattern |
Opcional. Patrón de expresión regular que se va a ejecutar en el valor encontrado en el campo Usa el valor predeterminado Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
Script Timeout (Seconds) |
Obligatorio. El límite de tiempo de espera, en segundos, del proceso de Python que ejecuta la secuencia de comandos actual. El valor predeterminado es |
Service Account Credentials |
Obligatorio. El contenido del archivo JSON de la cuenta de servicio. |
Fetch Max Hours Backwards |
Opcional. Número de horas anteriores a la ejecución inicial del conector para recuperar incidentes. Este parámetro solo se aplica una vez. El valor máximo es El valor predeterminado es |
Obsoleto: conector de IoCs de Google Chronicle
En su lugar, usa el conector de alertas de Chronicle.
Este conector extrae las coincidencias de dominio de IOC de Google SecOps SIEM y las convierte en alertas de Google SecOps SIEM.
Puedes autenticarte con la biblioteca de Google con google.oauth2.service_account y AuthorizedSession.
Este conector usa la API de búsqueda de SIEM de Google SecOps.
Entradas de conectores
El conector de indicadores de compromiso (IoCs) de Google Chronicle requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Product Field Name |
Obligatorio.
Nombre del campo en el que se almacena el nombre del producto. El nombre del producto influye principalmente en la asignación. Para optimizar y mejorar el proceso de asignación del conector, el valor predeterminado se resuelve en un valor de reserva al que se hace referencia desde el código. Cualquier entrada no válida de este parámetro se resuelve en un valor de reserva de forma predeterminada. El valor predeterminado es |
Environment Field Name |
Opcional. Nombre del campo en el que se almacena el nombre del entorno. Si falta el campo de entorno, el conector usa el valor predeterminado. El valor predeterminado es |
Environment Regex Pattern |
Opcional. Patrón de expresión regular que se va a ejecutar en el valor encontrado en el campo Usa el valor predeterminado Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
Script Timeout (Seconds) |
Obligatorio. El límite de tiempo de espera, en segundos, del proceso de Python que ejecuta la secuencia de comandos actual. El valor predeterminado es |
Service Account Credentials |
Obligatorio. El contenido del archivo JSON de la cuenta de servicio. |
Fetch Max Hours Backwards |
Opcional. Número de horas anteriores a la ejecución inicial del conector para recuperar las alertas. Este parámetro solo se aplica una vez. El valor máximo es El valor predeterminado es |
Max Alerts To Fetch |
Opcional. Número máximo de alertas que se procesarán en cada iteración del conector. El valor predeterminado es |
| Campo de seguimiento | Campo sincronizado |
|---|---|
Priority |
Priority |
Status |
Status |
Title |
Title |
| No aplicable | Stage |
| No aplicable | Google SecOps Case ID |
| No aplicable | Google SecOps Case ID |
El ID de caso de Google SecOps es un identificador único de caso en Google SecOps SOAR y Google SecOps SIEM.
El trabajo Sincronización de datos de Google Chronicle monitoriza y sincroniza los siguientes campos de las alertas:
| Campo de seguimiento | Campo sincronizado |
|---|---|
Priority |
Priority |
Status |
Status |
Case ID |
No aplicable |
| No aplicable | Google SecOps Alert ID |
| No aplicable | Google SecOps Case ID |
| No aplicable | Verdict |
| No aplicable | Closure Comment |
| No aplicable | Closure Reason |
| No aplicable | Closure Root Cause |
| No aplicable | Usefulness |
El ID de alerta de Google SecOps es un identificador único de alerta en Google SecOps SOAR.
En una iteración, el trabajo sincroniza hasta 1000 casos y 1000 alertas. La sincronización se produce en el entorno SOAR de Google SecOps especificado en la configuración del trabajo. El mecanismo de sincronización asegura que un caso del entorno especificado no se pueda sincronizar con otro entorno.
Configurar el trabajo de sincronización de datos de Google Chronicle
Este trabajo solo sincroniza los casos de SOAR de Google SecOps que se han ingerido desde el SIEM de Google SecOps.
Asegúrate de haber completado los pasos previos antes de configurar el trabajo.
Para configurar el trabajo Sincronización de datos de Google Chronicle, sigue estos pasos:
En la sección Parámetros, configure los siguientes parámetros:
Parámetro Descripción EnvironmentObligatorio.
El nombre del entorno creado en Google SecOps SOAR en el que quieres sincronizar casos y alertas.
API RootObligatorio.
La raíz de la API de la instancia de SIEM de Google SecOps.
Google SecOps proporciona endpoints regionales para cada API.
Por ejemplo,
https://europe-backstory.googleapis.comohttps://asia-southeast1-backstory.googleapis.com.Si no sabes qué endpoint usar, [ponte en contacto con el equipo de Asistencia de Cloud](/chronicle/docs/getting-support).
El valor predeterminado es
https://backstory.googleapis.com.User's Service AccountObligatorio.
El contenido del archivo JSON de la cuenta de servicio de tu instancia de Google SecOps SIEM.
Max Hours BackwardsOpcional.
Número de horas a partir de las que se deben obtener las alertas. Usa solo números positivos. Si introduces 0 o un número negativo, se mostrará un error. Si este parámetro está vacío, la tarea usará el valor predeterminado.
El valor predeterminado es
24.Verify SSLObligatorio.
Si se selecciona esta opción, Google SecOps verifica que el certificado SSL para conectarse al servidor SIEM de Google SecOps sea válido. Te recomendamos que selecciones esta opción.
Esta opción está seleccionada de forma predeterminada.
El trabajo Google Chronicle Sync Data está habilitado de forma predeterminada. Cuando guardes el trabajo configurado correctamente, empezará a sincronizar datos con el SIEM de Google SecOps inmediatamente. Para inhabilitar el trabajo, activa o desactiva el interruptor situado junto al nombre del trabajo.
Para completar la configuración, haga clic en Guardar.
Si el botón Guardar está inactivo, asegúrese de que ha definido todos los parámetros obligatorios.
Opcional: Para ejecutar el trabajo inmediatamente después de guardarlo, haz clic en Ejecutar ahora.
La opción Ejecutar ahora te permite activar una sola ejecución de la tarea que sincroniza los datos de alertas y casos de SOAR de Google SecOps con el SIEM de Google SecOps.
Mensajes de registro
En la siguiente tabla se enumeran los posibles mensajes de registro de la tarea Sincronización de datos de Google Chronicle:
| Entrada de registro | Tipo | Descripción |
|---|---|---|
Unable to parse credentials as JSON. Please validate creds.
|
Error | La cuenta de servicio proporcionada en el parámetro User's Service Account
está dañada. |
"Max Hours Backwards" parameter must be a positive number. |
Error | El parámetro Max Hours backwards tiene el valor 0 o un número negativo. |
Current platform version does not support SDK methods designed for
Google SecOps. Please use version 6.1.33 or higher. |
Error | La versión actual de la instancia de la plataforma Google SecOps no admite la ejecución de la secuencia de comandos del trabajo de sincronización de datos de Chronicle. Esto significa que la versión de compilación de la instancia es anterior a la 6.1.33. |
Unable to connect to Google SecOps, please validate
your credentials: CREDENTIALS |
Error | No se han podido validar los valores de la cuenta de servicio o de la raíz de la API en la instancia de SIEM de Google SecOps. Este error se produce si falla la prueba de conectividad. |
--- Start Processing Updated Cases --- |
Información | Se ha iniciado el bucle de procesamiento de casos. |
Last success time. Date time:DATE_AND_TIME.
Unix:UNIX_EPOCH_TIME
|
Información | Marca de tiempo de la última ejecución correcta de la secuencia de comandos en casos o alertas:
|
Key: "DATABASE_KEY" does not exist in the
database. Returning default
value instead: DEFAULT_VALUE |
Información | La clave de la base de datos de alertas o casos pendientes no existe en la base de datos. Esta entrada de registro siempre aparece en la primera ejecución de la secuencia de comandos. |
Failed to parse data as JSON. Returning default value instead:
"DEFAULT_VALUE. ERROR:
ERROR |
Error | El valor obtenido de la base de datos no tiene un formato JSON válido. |
Exception was raised from the database. ERROR:
ERROR. |
Error | Hay un problema de conexión con la base de datos. |
|
Información | Los IDs de los casos o las alertas pendientes se han recuperado correctamente del backlog. CASE_IDS es el número de IDs de asistencia que se han proporcionado. |
|
Error | El número de casos o IDs de alertas pendientes que se obtienen de la base de datos es superior al límite (1000). Los IDs que superen el límite se ignorarán. Este error puede indicar una posible corrupción de la base de datos. |
|
Información | Los IDs de casos o alertas recién actualizados se han obtenido correctamente de la plataforma. |
|
Información | Se ha iniciado la actualización de casos y alertas en la instancia de Google SecOps SIEM. |
|
Error | El caso o la alerta especificados no se pueden sincronizar con Google SecOps SIEM. |
|
Información | El caso o la alerta pendientes especificados han alcanzado el límite de reintentos de sincronización (5) y no se han insertado de nuevo en la lista de pendientes. |
|
Información | Lista de IDs de casos o alertas que no se pueden sincronizar con la SIEM de Google SecOps. |
Updated External Case IDs for the following cases:
CASE_IDS |
Información | Lista de casos en los que el trabajo ha actualizado el ID de caso externo de SIEM de Google SecOps correspondiente en la plataforma SOAR de Google SecOps. |
Failed to update external ids. |
Error | La entrada de registro que indica que ha habido un problema con el método o la conexión del SDK que ha impedido actualizar los IDs de caso externos en la plataforma. |
|
Error | La entrada de registro que indica que se ha producido un error de finalización que ha impedido que el bucle de procesamiento de casos o alertas finalice de forma natural. La traza de pila se imprime después de este registro con el error específico. |
|
Información | El bucle de procesamiento de casos y alertas ha finalizado, ya sea de forma natural o con un error. |
|
Error | Lista de IDs de casos o alertas fallidos que tienen un número de reintentos inferior o igual a 5 para volver a escribirse en la lista de pendientes. |
|
Información | Se ha completado la fase de procesamiento de casos y alertas. |
Saving timestamps. |
Información | Guardar en la base de datos las marcas de tiempo de la última actualización correcta de casos y alertas. |
Saving pending ids. |
Información | Guardar los IDs de casos y alertas pendientes en la base de datos. |
Got exception on main handler. Error:
ERROR_REASON |
Error | Se ha producido un error general de finalización. La traza de pila se imprime después de este registro con el error específico. |
Google Chronicle Alerts Creator job
El trabajo Google Chronicle Alerts Creator requiere la versión 6.2.30 o posterior de la plataforma Google SecOps.
Esta tarea crea todas las alertas de Google SecOps SOAR en Google SecOps SIEM, incluidas las alertas de desbordamiento. El trabajo Creador de alertas de Google Chronicle no replica las alertas que proceden de Google SecOps.
El trabajo Google Chronicle Alerts Creator consulta la plataforma SOAR mediante el SDK de Python para alertas no sincronizadas. La tarea envía alertas no sincronizadas a SIEM de forma individual. SIEM actualiza y devuelve los identificadores de las alertas de SIEM correspondientes, y SOAR guarda los identificadores mediante la API de la plataforma SOAR a través del SDK de Python.
Relación entre los trabajos de Google Chronicle
Un sistema completo de Google SecOps ejecuta los siguientes tres componentes simultáneamente:
- Conector de alertas de Chronicle
- Trabajo Sincronizar datos de Google Chronicle
- Google Chronicle Alerts Creator
El trabajo Google Chronicle Sync Data crea y sincroniza casos. También sincroniza las modificaciones de casos y alertas, como los cambios de prioridad.
El trabajo Google Chronicle Alerts Creator genera todas las alertas, excepto las alertas de SIEM. La tarea Datos de sincronización de Google Chronicle envía actualizaciones sobre las alertas no sincronizadas después de que la tarea Creador de alertas de Google Chronicle cree las alertas.
Sincronización de datos de incidencias y alertas
Los casos se sincronizan de la misma forma que con el trabajo de datos de Google Chronicle Sync.
En Google SecOps SIEM, cada alerta se identifica con un identificador de alerta de SIEM. Las alertas de SOAR pueden adoptar un identificador de SIEM en dos casos:
Se genera una alerta en SIEM.
Esta alerta ya existe en Google SecOps SIEM y no es necesario duplicarla. El conector rellena el campo
siem_alert_id.Se genera una alerta en los conectores de terceros.
Esta alerta no existe en Google SecOps SIEM y requiere ejecutar una operación de sincronización explícita de la que se encarga el trabajo Google Chronicle Alerts Creator. Una vez completada la operación de sincronización, la alerta adquiere un nuevo identificador de SIEM.
Configurar el trabajo de Google Chronicle Alerts Creator
Asegúrate de haber completado los pasos previos antes de configurar el trabajo.
Para configurar el trabajo Google Chronicle Alerts Creator, sigue estos pasos:
Configure los parámetros de trabajo de la siguiente tabla:
Parámetro Descripción EnvironmentObligatorio.
El nombre del entorno creado en Google SecOps SOAR en el que quieres sincronizar casos y alertas.
API RootObligatorio.
La raíz de la API de la instancia de SIEM de Google SecOps.
Google SecOps proporciona endpoints regionales para cada API.
Por ejemplo,
https://europe-backstory.googleapis.comohttps://asia-southeast1-backstory.googleapis.com.Si no sabes qué endpoint usar, [ponte en contacto con el equipo de Asistencia de Cloud](/chronicle/docs/getting-support).
El valor predeterminado es
https://backstory.googleapis.com.User's Service AccountObligatorio.
El contenido del archivo JSON de la cuenta de servicio de tu instancia de Google SecOps SIEM.
Verify SSLObligatorio.
Si se selecciona esta opción, Google SecOps verifica que el certificado SSL para conectarse al servidor SIEM de Google SecOps sea válido. Te recomendamos que selecciones esta opción.
Esta opción está seleccionada de forma predeterminada.
Para completar la configuración, haga clic en Guardar.
Si el botón Guardar está inactivo, asegúrese de que ha definido todos los parámetros obligatorios.
Opcional: Para ejecutar el trabajo inmediatamente después de guardarlo, haz clic en Ejecutar ahora.
La opción Ejecutar ahora te permite activar una sola ejecución de la tarea que sincroniza los datos de alertas y casos de SOAR de Google SecOps con el SIEM de Google SecOps.
Mensajes de registro y gestión de errores
| Registro | Nivel | Descripción |
|---|---|---|
|
ERROR | La cuenta de servicio proporcionada en el parámetro User's Service Account está dañada. |
|
ERROR | La versión actual de la instancia de la plataforma Google SecOps no admite la ejecución de la secuencia de comandos de Google Chronicle Alerts Creator Job. Este error significa que la versión de compilación de la instancia es anterior a la 6.2.30. |
|
ERROR | Los valores de la cuenta de servicio o de la raíz de la API no se pueden validar en la instancia de Google SecOps SIEM. Este error se produce si falla la prueba de conectividad. |
|
INFO | Mensaje de registro que indica que el trabajo ha empezado. |
|
INFO | Mensaje de registro que indica que se ha iniciado la función principal. |
|
INFO | Mensaje de registro que indica el número de iteración del intento consecutivo actual. |
|
INFO | Mensaje de registro que indica que el código no obtiene más de BATCH_SIZE alertas nuevas de SOAR. |
|
INFO | Mensaje de registro que indica que se han obtenido alertas de NUMBER_OF_NEW_ALERTS SOAR. |
|
INFO | Mensaje de registro que indica que no se han encontrado alertas de SOAR nuevas y que el trabajo se va a detener. |
|
INFO | Mensaje de registro que indica que el trabajo ha obtenido las alertas de SOAR con los siguientes identificadores en la lista de IDs. Puedes usar esta información para monitorizar el progreso del trabajo y solucionar problemas con el código. |
|
INFO | Mensaje de registro que indica que la tarea está enviando alertas de SOAR a SIEM. |
|
ERROR | Mensaje de registro que indica que la alerta no se ha creado correctamente en SIEM debido a un error. |
|
INFO | Mensaje de registro que indica que el trabajo está actualizando SOAR con la respuesta de SIEM. |
|
ADVERTENCIA | Indica que SOAR no ha podido actualizar el estado de la sincronización de alertas. |
|
INFO | Mensaje de registro que indica que se han sincronizado un total de total_synced alertas
en la ejecución actual. |
|
INFO | Mensaje de registro que indica que el trabajo ha finalizado. |
|
ERROR | Mensaje de registro que indica que se ha producido una excepción en la función principal. El mensaje de excepción se incluye en el mensaje de registro. |
Casos prácticos
La integración de Google Chronicle te permite llevar a cabo los siguientes casos prácticos:
- Investigación y respuesta a amenazas de Windows en Chronicle
- Security Command Center y Chronicle Cloud DIR
Instalar el caso práctico
En Google SecOps Marketplace, ve a la pestaña Casos de uso.
En un campo de búsqueda, introduce el nombre del caso práctico.
Haz clic en el caso práctico.
Sigue los pasos de configuración y las instrucciones del asistente de instalación.
Una vez finalizado el proceso, todos los componentes necesarios se habrán instalado en tu máquina de Google SecOps. Para finalizar la instalación, configura el bloque Initialization (Inicialización) en el playbook que corresponda a tu caso práctico.
Investigación y respuesta ante amenazas de Windows de Chronicle
Aprovecha la potencia de SecOps de Google para responder en tiempo real a las amenazas de Windows en tu entorno. Con la inteligencia frente a amenazas para Google SecOps, los equipos de seguridad pueden aprovechar un servicio de inteligencia frente a amenazas de alta fidelidad junto con Google SecOps. Ahora, las amenazas reales de tu entorno se pueden clasificar y corregir automáticamente en un breve periodo de tiempo.
En Google SecOps, ve a Respuesta > Libros de jugadas.
Selecciona el playbook Google Chronicle - Windows Threats Investigation & Response (Google Chronicle - Investigación y respuesta ante amenazas de Windows). El manual se abre en la vista de diseñador de manuales.
Haz doble clic en Set Initialization Block_1. Se abre el cuadro de diálogo de configuración del bloque.
Para configurar el manual de procedimientos, usa los siguientes parámetros:
Parámetro de entrada Posibles valores Descripción edr_product- CrowdStrike
- Negro carbón
- Ninguno
El producto de EDR que se va a usar en la guía. itsm_product- Service Now
- Jira
- ZenDesk
- Ninguno
El producto de gestión de servicios de TI que se va a usar en la guía. Jira requiere una configuración adicional en el bloque Abrir incidencia. crowdstrike_use_spotlightTrueoFalseSi True, la guía ejecuta acciones de Crowdstrike que requieren una licencia de Spotlight (información sobre vulnerabilidades).use_mandiantTrueoFalseSi True, la guía ejecuta el bloque de Mandiant.slack_userNombre de usuario o dirección de correo electrónico El nombre de usuario o la dirección de correo electrónico del usuario de Slack. Si no se proporciona ninguna, el manual salta los bloques de Slack. Haz clic en Guardar. Se cierra el cuadro de diálogo de configuración del bloque.
En el panel del diseñador de manuales, haz clic en Guardar.
Para probar el manual de instrucciones en el caso práctico, ingiere el caso de prueba incluido en el paquete. Algunas funciones de los casos de prueba pueden fallar porque los datos utilizados para las pruebas no están disponibles en tu entorno.
Security Command Center y Chronicle Cloud DIR
Integra Security Command Center con el SIEM de Google SecOps para que tus analistas puedan investigar los incidentes y las amenazas que detecte Security Command Center.
Configurar el caso práctico
Para este caso práctico, debe configurar las siguientes integraciones:
- Siemplify
- Herramientas
- Mitre ATT&CK
- Google Cloud IAM
- Google Chronicle
- Functions
- Computación de Google Cloud
- Email V2
- VirusTotal v3
Las integraciones de Google Security Command Center y Mandiant son opcionales.
Asegúrate de haber instalado el caso práctico antes de configurarlo.
- En Google SecOps, ve a la pestaña Playbooks.
- Selecciona el manual de procedimientos SCC y Chronicle Cloud DIR.
- Haz doble clic en el bloque de inicialización para configurarlo.
- Configura el manual de procedimientos con los siguientes parámetros:
| Nombre del parámetro | Posibles valores | Descripción |
|---|---|---|
Mandiant_Enrichment |
True o False |
Si La integración de Mandiant debe configurarse para esta configuración. Puedes quitar el enriquecimiento si rara vez obtienes información útil. Si quitas el bloque de enriquecimiento, se mejora la velocidad de ejecución de la guía. |
SCC_Enrichment |
True o False |
Si La integración con Security Command Center debe configurarse para esta configuración. Puedes quitar el enriquecimiento si rara vez obtienes información útil. Si quitas el bloque de enriquecimiento, se mejora la velocidad de ejecución de la guía. |
IAM_Enrichment |
True o False |
Si True, la guía usa las funciones de gestión de identidades y accesos para enriquecerla aún más. Puedes quitar el enriquecimiento si rara vez obtienes información útil. Si quitas el bloque de enriquecimiento, se mejora la velocidad de ejecución de la guía. |
Compute_Enrichment |
True o False |
Si True, el playbook usa las funciones de Compute Engine
para obtener información adicional. Puedes quitar el enriquecimiento si rara vez obtienes información útil. Si quitas el bloque de enriquecimiento, se mejora la velocidad de ejecución de la guía. |
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.