Intégrer Google Chronicle à Google SecOps
Ce document explique comment intégrer Google Chronicle à Google Security Operations (Google SecOps).
Version de l'intégration : 64.0
Cas d'utilisation
L'intégration de Google Chronicle peut répondre aux cas d'utilisation suivants :
Enquête et correction automatisées du hameçonnage : utilisez les fonctionnalités SOAR de Google SecOps pour interroger automatiquement les données d'e-mails historiques, les journaux d'activité des utilisateurs et les renseignements sur les menaces afin d'évaluer la légitimité des e-mails. La correction automatique peut vous aider à trier et à contenir les problèmes en empêchant la propagation de logiciels malveillants ou de violations de données.
Enrichissement des alertes de sécurité : utilisez les fonctionnalités SOAR de Google SecOps pour enrichir une alerte générée dans un SIEM avec un contexte historique, comme le comportement passé des utilisateurs et les informations sur les composants. Les analystes disposent ainsi d'une vue complète d'un incident, ce qui leur permet de prendre des décisions plus rapides et plus éclairées.
Chasse aux menaces basée sur les insights Google SecOps : utilisez les fonctionnalités SOAR de Google SecOps pour automatiser le processus d'interrogation d'autres outils de sécurité afin de trouver des indicateurs de compromission (IOC) associés. Cela peut vous aider à identifier de manière proactive les potentielles failles avant qu'elles ne prennent de l'ampleur.
Playbooks de réponse aux incidents automatisés : utilisez les fonctionnalités SOAR de Google SecOps pour déclencher des playbooks prédéfinis qui utilisent les données Google SecOps afin d'isoler les systèmes compromis, de bloquer les adresses IP malveillantes et d'informer les parties prenantes concernées. Cela peut réduire le temps de réponse aux incidents et minimiser l'impact des incidents de sécurité.
Rapports et audits de conformité : utilisez les fonctionnalités SOAR de Google SecOps pour automatiser la collecte des données de sécurité à partir de Google SecOps pour les rapports de conformité, rationaliser le processus d'audit et réduire l'effort manuel.
Avant de commencer
Avant de configurer l'intégration de Google Chronicle dans Google SecOps, assurez-vous de disposer des éléments suivants :
Google Cloud project : accès à un projetGoogle Cloud actif.
Autorisations : les rôles IAM (Identity and Access Management) nécessaires dans votre projetGoogle Cloud pour créer et gérer des comptes de service et des règles IAM.
Configurer l'intégration
Les étapes de configuration dépendent de votre type de déploiement Google SecOps :
Déploiement SecOps unifié : si votre instance Google SecOps fait partie d'un déploiement SecOps unifié (intégré à Google Security Operations SIEM), l'intégration utilise généralement un compte de service par défaut géré par Google. Dans ce cas, vous n'avez pas besoin d'importer de clé JSON de compte de service ni de configurer manuellement Workload Identity. Les autorisations requises sont préconfigurées ou héritées de l'environnement hôte.
Déploiement SOAR autonome : si votre instance Google SecOps est un déploiement SOAR autonome (non intégré à Google Security Operations SIEM), vous devez configurer manuellement l'authentification à l'aide de l'une des méthodes suivantes :
Fichier de clé JSON du compte de service
Fédération d'identité de charge de travail
S'authentifier à l'aide d'une clé JSON de compte de service
Le processus d'authentification pour une clé JSON de compte de service diffère entre l'API Chronicle et l'API Backstory.
Authentification de l'API Chronicle (recommandée)
Pour utiliser l'API Chronicle, vous devez créer un compte de service dans votre projetGoogle Cloud .
Dans la console Google Cloud , accédez à IAM et administration > Comptes de service.
Sélectionnez Créer un compte de service et suivez les instructions pour créer le compte de service requis.
Sélectionnez l'adresse e-mail du nouveau compte de service, puis accédez à Clés > Ajouter une clé > Créer une clé.
Sélectionnez
JSONcomme type de clé, puis cliquez sur Créer. Un fichier de clé JSON est téléchargé sur votre ordinateur.Dans Autorisations > Gérer l'accès, attribuez les rôles IAM spécifiques à Google SecOps requis au compte de service.
Authentification de l'API Backstory
Pour utiliser l'API Backstory, vous devez disposer d'un compte de service. Un administrateur doit créer ce compte pour vous.
Contactez l'assistance Google SecOps et demandez un compte de service pour l'API Backstory. Fournissez les informations nécessaires au déploiement de votre SOAR.
L'assistance Google SecOps vous fournira un fichier de clé JSON pour le compte de service.
Utilisez la clé fournie dans la configuration de l'intégration.
Authentification avec Workload Identity (recommandé)
Workload Identity est la méthode d'authentification recommandée et la plus sécurisée pour les déploiements SOAR autonomes. Il élimine la nécessité de gérer des clés de compte de service de longue durée en permettant l'utilisation d'identifiants fédérés de courte durée.
Pour configurer l'authentification avec Workload Identity, procédez comme suit :
Créez un pool d'identités de charge de travail et un fournisseur :
Dans la console Google Cloud , accédez à IAM et administration > Fédération d'identité de charge de travail.
Suivez les instructions pour créer un pool d'identités de charge de travail, puis un fournisseur de pool d'identités de charge de travail qui approuve Google SecOps en tant qu'identité externe.
Vous pouvez configurer le fournisseur pour qu'il fasse confiance à Google SecOps en tant que source d'identité externe à l'aide d'OpenID Connect (OIDC).
-
Dans la console Google Cloud , accédez à IAM et administration > Comptes de service.
Créez un compte de service dédié dans votre projet Google Cloud . Ce compte sera usurpé par la charge de travail externe (Google SecOps).
Accordez des autorisations au compte de service :
Attribuez les rôles IAM spécifiques à Google SecOps requis (par exemple, Lecteur Chronicle, Éditeur Chronicle Security Operations) au compte de service.
Attribuez le rôle
Service Account Token Creatorau fournisseur de pool d'identités de charge de travail que vous avez créé. Cette autorisation permet au fournisseur d'emprunter l'identité de ce compte de service.
Configurez la relation d'approbation :
Établissez la relation d'approbation entre votre fournisseur de pools d'identités de charge de travail et le compte de service. Cela associe l'identité externe (représentant Google SecOps) au compte de service Google Cloud .
Configurez le paramètre d'intégration :
Dans la boîte de dialogue de configuration de l'intégration, saisissez l'adresse e-mail du compte de service dans le champ Adresse e-mail Workload Identity.
Pour obtenir des instructions plus détaillées sur la configuration de la fédération d'identité de charge de travail, consultez Google Cloud Workload Identity.
Paramètres d'intégration
L'intégration de Google Chronicle nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
UI Root |
Obligatoire. URL de base de l'interface Google SecOps SIEM. Il est utilisé pour générer automatiquement des liens directs vers la plate-forme SIEM à partir de vos enregistrements d'incidents. La valeur par défaut est |
API Root |
Obligatoire. Racine de l'API pour votre instance Google SecOps SIEM. La valeur dépend de votre méthode d'authentification :
Si vous utilisez les mauvais identifiants pour la racine de l'API, la connexion échouera. |
User's Service Account |
Facultatif. Contenu complet du fichier de clé JSON du compte de service. Si ces paramètres et ceux de |
Workload Identity Email |
Facultatif. Adresse e-mail du client de votre fédération d'identité de charge de travail. Ce paramètre est prioritaire sur le fichier clé Pour utiliser la fédération d'identité de charge de travail, vous devez accorder le rôle |
Verify SSL |
Obligatoire. Si cette option est sélectionnée, l'intégration valide le certificat SSL lors de la connexion au serveur Google SecOps SIEM. Cette option est activée par défaut. |
Pour obtenir des instructions sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Vous pourrez apporter des modifications ultérieurement, si nécessaire. Une fois que vous avez configuré une instance d'intégration, vous pouvez l'utiliser dans des playbooks. Pour savoir comment configurer et prendre en charge plusieurs instances, consultez Prise en charge de plusieurs instances.
Actions
Pour en savoir plus sur les actions, consultez Répondre aux actions en attente depuis Votre bureau et Effectuer une action manuelle.
Ajouter des lignes au tableau de données
Utilisez l'action Ajouter des lignes à la table de données pour ajouter des lignes à une table de données dans Google SecOps.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
Pour configurer l'action, utilisez les paramètres suivants :
| Paramètre | Description |
|---|---|
Data Table Name |
Obligatoire. Nom à afficher du tableau de données à mettre à jour. |
Rows |
Obligatoire. Liste d'objets JSON contenant des informations sur les lignes à ajouter. Exemple :
{
"columnName1": "value1",
"columnName2": "value2"
}
|
Sorties d'action
L'action Ajouter des lignes à la table de données fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Insight sur les entités | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre un exemple de résultat JSON renvoyé par l'action Ajouter des lignes à la table de données :
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table/dataTableRows/840d18a85944833e1b97ed6d2fb11377",
"values": {
"columnName1": "asda",
"columnName2": "asdasd",
"columnName3": "zxczxc"
}
}
Messages de sortie
L'action Ajouter des lignes à la table de données fournit les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
Successfully added rows to the data table
DATA_TABLE_NAME in
Google SecOps. |
L'action a réussi. |
Error executing action "Add Rows to Data Table". Reason:
ERROR_REASON |
Échec de l'action.
Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant décrit les valeurs de la sortie du résultat du script lorsque vous utilisez l'action Ajouter des lignes à la table de données :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
true ou false |
Ajouter des valeurs à la liste de référence
Utilisez l'action Ajouter des valeurs à la liste de référence pour ajouter des valeurs à une liste de référence dans Google SecOps.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
Pour configurer l'action, utilisez les paramètres suivants :
| Paramètre | Description |
|---|---|
Reference List Name |
Obligatoire. Nom de la liste de références à mettre à jour. |
Values |
Obligatoire. Liste de valeurs séparées par une virgule à ajouter à la liste de référence. |
Sorties d'action
L'action Ajouter une valeur à la liste de référence fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Insight sur les entités | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action Ajouter une valeur à la liste de référence avec l'API Backstory :
{
"name": "list_name",
"description": "description of the list",
"lines": [
"192.0.2.0/24",
"198.51.100.0/24"
],
"create_time": "2020-11-20T17:18:20.409247Z",
"content_type": "CIDR"
}
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action Ajouter une valeur à la liste de référence avec l'API Chronicle :
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/referenceLists/REFERENCE_LIST_NAME",
"displayName": "REFERENCE_LIST_NAME",
"revisionCreateTime": "2025-01-16T09:15:21.795743Z",
"description": "Test reference list",
"entries": [
{
"value": "example.com"
},
{
"value": "exampledomain.com"
}
],
"syntaxType": "REFERENCE_LIST_SYNTAX_TYPE_PLAIN_TEXT_STRING",
"scopeInfo": {
"referenceListScope": {}
},
"createTime": "2025-01-16T09:15:21.795743Z",
"lines": [
"example.com",
"exampledomain.com"
]
}
Messages de sortie
L'action Ajouter des valeurs à la liste de référence fournit les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
Successfully added values to the reference list
REFERENCE_LIST_NAME. |
L'action a réussi. |
Error executing action "Add Values To Reference List". Reason:
ERROR_REASON |
Échec de l'action.
Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant décrit les valeurs de sortie des résultats du script lorsque vous utilisez l'action Ajouter des valeurs à la liste de référence :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Demander à Gemini
Utilisez l'action Demander à Gemini pour envoyer une requête textuelle à Gemini dans Google SecOps.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
Pour configurer l'action, utilisez les paramètres suivants :
| Paramètre | Description |
|---|---|
Automatic Opt-in |
Facultatif. Si cette option est sélectionnée, le playbook active automatiquement la conversation Gemini pour l'utilisateur sans nécessiter de confirmation manuelle. Cette option est activée par défaut. |
Prompt |
Obligatoire. Requête ou question textuelle initiale à envoyer à Gemini. |
Sorties d'action
L'action Demander à Gemini fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Insight sur les entités | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant décrit le résultat JSON obtenu lors de l'utilisation de l'action Demander à Gemini :
{
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/users/me/conversations/db3b0fc2-94f8-42ae-b743-c3693f593269/messages/b58e3186-e697-4400-9da8-8ef252a20bd9",
"input": {
"body": "Is IP 159.138.84.217 malicious? What can you tell me about it?"
},
"responses": [
{
"blocks": [
{
"blockType": "HTML",
"htmlContent": {
"privateDoNotAccessOrElseSafeHtmlWrappedValue": "<p>The IP address 159.138.84.217 is associated with malware and threat actors.</p>\n<ul>\n<li>It is an IPv4 indicator.</li>\n<li>It is associated with BEACON malware.</li>\n<li>It is categorized as malware-Backdoor.</li>\n<li>It has a low confidence, high severity threat rating.</li>\n<li>VirusTotal's IP Address Report indicates the network for this IP is 159.138.80.0/20, and the IP is associated with HUAWEI CLOUDS in Singapore.</li>\n<li>VirusTotal's last analysis on April 22, 2025, showed 8 malicious detections out of 94 sources.</li>\n</ul>\n<p>I might have more details for a question with more context (e.g., what is the source of the IP, what type of network traffic is associated with the IP).</p>\n"
}
}
],
"references": [
{
"blockType": "HTML",
"htmlContent": {
"privateDoNotAccessOrElseSafeHtmlWrappedValue": "<ol>\n<li><a href=\"https://advantage.mandiant.com/indicator/ipv4/159.138.84.217\" target=\"_blank\">Mandiant - indicator - 159.138.84.217</a></li>\n</ol>\n"
}
}
],
"groundings": [
"IP address 159.138.84.217 malicious cybersecurity",
"IP address 159.138.84.217 threat intelligence"
]
}
],
"createTime": "2025-05-16T11:31:36.660538Z"
}
}
Messages de sortie
L'action Demander à Gemini fournit les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
Successfully executed a prompt in Google SecOps. |
L'action a réussi. |
Error executing action "GoogleChronicle - Ask Gemini".
Reason: ERROR_REASON |
Échec de l'action.
Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant décrit les valeurs de la sortie des résultats du script lorsque vous utilisez l'action Demander à Gemini :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Enrichir le domaine (obsolète)
Utilisez l'action Enrichir le domaine pour enrichir les domaines à l'aide des informations provenant des IoC dans Google SecOps SIEM.
Cette action s'exécute sur les entités Google SecOps suivantes :
URLHostname
Entrées d'action
L'action Enrichir le domaine nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Create Insight |
Si cette option est sélectionnée, l'action créera un insight contenant des informations sur les entités. Cette option est activée par défaut. |
Only Suspicious Insight |
Si cette option est sélectionnée, l'action ne créera un insight que pour les entités marquées comme suspectes. Cette option n'est pas activée par défaut. Si vous sélectionnez ce paramètre, vous devez également sélectionner |
Lowest Suspicious Severity |
Obligatoire. Niveau de gravité le plus bas associé au domaine nécessaire pour le signaler comme suspect. La valeur par défaut est
|
Mark Suspicious N/A Severity |
Obligatoire. Si cette option est sélectionnée et que les informations sur la gravité ne sont pas disponibles, l'action marque l'entité comme suspecte. |
Sorties d'action
L'action Enrichir le domaine fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Disponible |
| Table d'enrichissement | Disponible |
| Insight sur les entités | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Table du mur des cas
L'action Enrichir le domaine fournit le tableau suivant :
Nom : ENTITY_IDENTIFIER
Colonnes :
- Source
- Gravité
- Catégorie
- Confiance
Enrichissement d'entités
L'action Enrichir le domaine est compatible avec la logique d'enrichissement d'entités suivante :
| Champ d'enrichissement | Logique (quand les utiliser) |
|---|---|
severity |
Lorsqu'il est disponible au format JSON |
average_confidence |
Lorsqu'il est disponible au format JSON |
related_domains |
Lorsqu'il est disponible au format JSON |
categories |
Lorsqu'il est disponible au format JSON |
sources |
Lorsqu'il est disponible au format JSON |
first_seen |
Lorsqu'il est disponible au format JSON |
last_seen |
Lorsqu'il est disponible au format JSON |
report_link |
Lorsqu'il est disponible au format JSON |
Résultat JSON
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action Enrichir le domaine avec l'API Backstory :
{
{
"sources": [
{
"source": "ET Intelligence Rep List",
"confidenceScore": {
"normalizedConfidenceScore": "Low",
"intRawConfidenceScore": 0
},
"rawSeverity": "High",
"category": "Malware Command and Control Server"
}
],
"iocIngestTime": "2021-01-26T17:00:00Z",
"firstSeenTime": "2018-10-03T00:03:53Z",
"lastSeenTime": "2022-02-09T10:52:21.229Z",
"uri": [
"https://INSTANCE/domainResults?domain=example.net&selectedList=DomainViewDistinctAssets&whoIsTimestamp=2022-02-09T11%3A51%3A52.393783515Z"
]
}
}
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action Enrichir le domaine avec l'API Chronicle :
[
{
"Entity": "example.com",
"EntityResult": {
"sources": [
{
"category": "Indicator was published in publicly available sources",
"firstActiveTime": "1970-01-01T00:00:01Z",
"lastActiveTime": "9999-12-31T23:59:59Z",
"addresses": [
{
"domain": "example.com"
}
],
"rawSeverity": "medium",
"confidenceScore": {
"strRawConfidenceScore": "100"
}
},
{
"category": "Phishing",
"firstActiveTime": null,
"lastActiveTime": "2020-11-27T14:31:37Z",
"addresses": [
{
"domain": "example.com"
},
{
"ipAddress": "IP_ADDRESS"
}
],
"rawSeverity": "high",
"confidenceScore": {
"strRawConfidenceScore": "high"
}
},
{
"category": "Indicator was published in publicly available sources",
"firstActiveTime": "1970-01-01T00:00:01Z",
"lastActiveTime": "9999-12-31T23:59:59Z",
"addresses": [
{
"domain": "example.com"
}
],
"rawSeverity": "medium",
"confidenceScore": {
"strRawConfidenceScore": "100"
}
}
],
"feeds": [
{
"metadata": {
"title": "Mandiant Open Source Intelligence",
"description": "Open Source Intel IoC",
"confidenceScoreBucket": {
"rangeEnd": 100
}
},
"iocs": [
{
"domainAndPorts": {
"domain": "example.com"
},
"categorization": "Indicator was published in publicly available sources",
"activeTimerange": {
"start": "1970-01-01T00:00:01Z",
"end": "9999-12-31T23:59:59Z"
},
"confidenceScore": "100",
"rawSeverity": "Medium"
}
]
},
{
"metadata": {
"title": "ESET Threat Intelligence",
"description": "ESET Threat Intelligence"
},
"iocs": [
{
"domainAndPorts": {
"domain": "example.com"
},
"categorization": "Phishing",
"activeTimerange": {
"end": "2020-11-27T14:31:37Z"
},
"ipAndPorts": {
"ipAddress": "IP_ADDRESS"
},
"confidenceScore": "High",
"rawSeverity": "High"
}
]
},
{
"metadata": {
"title": "Mandiant Active Breach Intelligence",
"description": "Mandiant Active Breach IoC",
"confidenceScoreBucket": {
"rangeEnd": 100
}
},
"iocs": [
{
"domainAndPorts": {
"domain": "example.com"
},
"categorization": "Indicator was published in publicly available sources",
"activeTimerange": {
"start": "1970-01-01T00:00:01Z",
"end": "9999-12-31T23:59:59Z"
},
"confidenceScore": "100",
"rawSeverity": "Medium"
}
]
}
]
}
}
]
Messages de sortie
L'action Enrichir le domaine fournit les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
Successfully enriched the following domain in Google Chronicle:
LIST_OF_IDS |
L'action a réussi. |
Error executing action "Enrich Domain". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant décrit les valeurs du résultat du script lorsque vous utilisez l'action Enrichir le domaine :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Enrichir les entités
Utilisez l'action Enrichir les entités pour interroger Google SecOps et obtenir des attributs et un contexte supplémentaires pour les types d'entités spécifiés. Cette action améliore les données d'analyse des menaces en intégrant des renseignements externes.
Cette action s'exécute sur les entités Google SecOps suivantes :
DomainFile HashHostnameIP AddressURL(extrait le domaine de l'URL)UserEmail(entité utilisateur avec expression régulière pour l'adresse e-mail)
Entrées d'action
L'action Enrichir les entités nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Namespace |
Facultatif. Regroupement logique ou portée des entités à enrichir. Si cette option n'est pas sélectionnée, l'enrichissement s'applique aux entités de l'espace de noms par défaut ou à tous les espaces de noms accessibles. Les entités doivent appartenir à cet espace de noms pour être traitées. |
Time Frame |
Facultatif. Période relative (par exemple, Ce paramètre est prioritaire sur |
Start Time |
Facultatif. Heure de début de la période d'enrichissement au format ISO 8601. Utilisez ce paramètre avec |
End Time |
Facultatif. Heure de fin absolue de la période d'enrichissement au format ISO 8601. Utilisé avec |
Sorties d'action
L'action Enrichir les entités fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
| Champ d'enrichissement | Source (clé JSON) | Applicabilité |
|---|---|---|
GoogleSecOps_related_entities |
Nombre de related_entities | Lorsqu'il est disponible dans le résultat JSON. |
GoogleSecOps_alert_count_ruleName |
{alertCounts.count} pour chaque règle spécifique | Lorsqu'il est disponible dans le résultat JSON. |
GoogleSecOps_first_seen |
metric.firstSeen |
Lorsqu'il est disponible dans le résultat JSON. |
GoogleSecOps_last_seen |
metric.lastSeen |
Lorsqu'il est disponible dans le résultat JSON. |
GoogleSecOps_flattened_key_under_entity |
Valeur de la clé, aplatie à partir de la structure imbriquée sous l'objet "entity". |
Lorsqu'il est disponible dans le résultat JSON. |
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Enrichir les entités :
[
{
"Entity": "HTTP://MARKOSSOLOMON.COM/F1Q7QX.PHP",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/ChFtYXJrb3Nzb2xvbW9uLmNvbRDIAQ",
"metadata": { "entityType": "DOMAIN_NAME" },
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/ChFtYXJrb3Nzb2xvbW9uLmNvbRDIAQ",
"metadata": { "entityType": "DOMAIN_NAME" },
"entity": {
"domain": {
"name": "markossolomon.com",
"firstSeenTime": "1970-01-01T00:00:00Z",
"lastSeenTime": "1970-01-01T00:00:00Z",
"registrar": "NameCheap, Inc.",
"creationTime": "2013-12-06T02:41:09Z",
"updateTime": "2019-11-06T11:48:33Z",
"expirationTime": "2020-12-06T02:41:09Z",
"registrant": {
"userDisplayName": "WhoisGuard Protected",
"emailAddresses": [
"58d09cb5035042e9920408f8bafd0869.protect@whoisguard.com"
],
"personalAddress": { "countryOrRegion": "PANAMA" },
"companyName": "WhoisGuard, Inc."
}
}
}
},
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{}
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "npatni-sysops",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg1ucGF0bmktc3lzb3BzEGYaBVl1cml5IhsKCwiC-OzCBhCAvYMUEgwIqvnnwwYQgMyI4QE",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:00:02.042Z",
"endTime": "2025-07-18T07:50:02.472Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg1ucGF0bmktc3lzb3BzEGYaBVl1cml5IhsKCwiC-OzCBhCAvYMUEgwIqvnnwwYQgMyI4QE",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:00:02.042Z",
"endTime": "2025-07-18T07:50:02.472Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": { "hostname": "npatni-sysops" }
},
"metric": {
"firstSeen": "2025-06-25T00:00:02.042Z",
"lastSeen": "2025-07-18T07:50:02.472Z"
}
},
"metric": {
"firstSeen": "2025-06-25T00:00:02.042Z",
"lastSeen": "2025-07-18T07:50:02.472Z"
},
"alertCounts": [
{ "rule": "rule_Pavel_test_Risk_score", "count": "329" },
{ "rule": "rule_testbucket", "count": "339" },
{ "rule": "pavel_test2_rule_1749239699456", "count": "332" }
],
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{ "alertCount": 1000 }
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "exlab2019-ad",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgxleGxhYjIwMTktYWQQZhoFWXVyaXkiGwoMCLv57MIGEMCp7qgDEgsI8PTnwwYQwLD6SA",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:03:07.891Z",
"endTime": "2025-07-18T07:40:32.153Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgxleGxhYjIwMTktYWQQZhoFWXVyaXkiGwoMCLv57MIGEMCp7qgDEgsI8PTnwwYQwLD6SA",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:03:07.891Z",
"endTime": "2025-07-18T07:40:32.153Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": { "hostname": "exlab2019-ad" }
},
"metric": {
"firstSeen": "2025-06-25T00:03:07.891Z",
"lastSeen": "2025-07-18T07:40:32.153Z"
}
},
"metric": {
"firstSeen": "2025-06-25T00:03:07.891Z",
"lastSeen": "2025-07-18T07:40:32.153Z"
},
"alertCounts": [
{ "rule": "pavel_test2_rule_1749239699456", "count": "319" },
{ "rule": "rule_testbucket", "count": "360" },
{ "rule": "rule_Pavel_test_Risk_score", "count": "321" }
],
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{ "alertCount": 26 },
{ "alertCount": 175 },
{ "alertCount": 185 },
{ "alertCount": 195 },
{ "alertCount": 182 },
{ "alertCount": 168 },
{ "alertCount": 69 }
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "172.30.202.229",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg4xNzIuMzAuMjAyLjIyORBkGgVZdXJpeSIbCgwIu_nswgYQwKnuqAMSCwjw9OfDBhDAsPpI",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:03:07.891Z",
"endTime": "2025-07-18T07:40:32.153Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg4xNzIuMzAuMjAyLjIyORBkGgVZdXJpeSIbCgwIu_nswgYQwKnuqAMSCwjw9OfDBhDAsPpI",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:03:07.891Z",
"endTime": "2025-07-18T07:40:32.153Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": { "ip": ["172.30.202.229"] }
},
"metric": {
"firstSeen": "2025-06-25T00:03:07.891Z",
"lastSeen": "2025-07-18T07:40:32.153Z"
}
},
"metric": {
"firstSeen": "2025-06-25T00:03:07.891Z",
"lastSeen": "2025-07-18T07:40:32.153Z"
},
"alertCounts": [
{ "rule": "rule_Pavel_test_Risk_score", "count": "321" },
{ "rule": "rule_testbucket", "count": "360" },
{ "rule": "pavel_test2_rule_1749239699456", "count": "319" }
],
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{ "alertCount": 26 },
{ "alertCount": 175 },
{ "alertCount": 185 },
{ "alertCount": 195 },
{ "alertCount": 182 },
{ "alertCount": 168 },
{ "alertCount": 69 }
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "172.17.0.1",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgoxNzIuMTcuMC4xEGQaBVl1cml5IhsKCwjOzre-BhDA1rU_EgwI9ZOMwAYQgPn82QM",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-03-09T19:09:02.133Z",
"endTime": "2025-04-19T02:27:01.994Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgoxNzIuMTcuMC4xEGQaBVl1cml5IhsKCwjOzre-BhDA1rU_EgwI9ZOMwAYQgPn82QM",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-03-09T19:09:02.133Z",
"endTime": "2025-04-19T02:27:01.994Z"
}
},
"entity": { "namespace": "Yuriy", "asset": { "ip": ["172.17.0.1"] } },
"metric": {
"firstSeen": "2025-03-09T19:09:02.133Z",
"lastSeen": "2025-04-19T02:27:01.994Z"
}
},
"metric": {
"firstSeen": "2025-03-09T19:09:02.133Z",
"lastSeen": "2025-04-19T02:27:01.994Z"
},
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{}
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "911d039e71583a07320b32bde22f8e22",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CiA5MTFkMDM5ZTcxNTgzYTA3MzIwYjMyYmRlMjJmOGUyMhCwAiIVCgYItrj6ugYSCwi_9ufDBhDAyroV",
"metadata": {
"entityType": "FILE",
"interval": {
"startTime": "2024-12-15T09:07:02Z",
"endTime": "2025-07-18T07:43:59.045Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CiA5MTFkMDM5ZTcxNTgzYTA3MzIwYjMyYmRlMjJmOGUyMhCwAiIVCgYItrj6ugYSCwi_9ufDBhDAyroV",
"metadata": {
"entityType": "FILE",
"interval": {
"startTime": "2024-12-15T09:07:02Z",
"endTime": "2025-07-18T07:43:59.045Z"
}
},
"entity": {
"file": {
"sha256": "bc866cfcdda37e24dc2634dc282c7a0e6f55209da17a8fa105b07414c0e7c527",
"md5": "911d039e71583a07320b32bde22f8e22",
"sha1": "ded8fd7f36417f66eb6ada10e0c0d7c0022986e9",
"size": "278528",
"fileType": "FILE_TYPE_PE_EXE",
"names": [
"C:\\Windows\\System32\\cmd.exe",
"cmd",
"Cmd.Exe",
"C:\\Windows\\system32\\cmd.exe",
"C:\\Windows\\SYSTEM32\\cmd.exe",
"cmd.exe",
"C:\\\\Windows\\\\System32\\\\cmd.exe",
"C:\\windows\\SYSTEM32\\cmd.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\wjxpour4.d0f\\cmd.exe",
"c:\\Windows\\System32\\cmd.exe",
"Utilman.exe",
"c:\\windows\\system32\\cmd.exe",
"System32/cmd.exe",
"UtilityVM/Files/Windows/System32/cmd.exe",
"KerishDoctor/Data/KerishDoctor/Restore/cmd.rst",
"cmd.exe_",
"C:\\WINDOWS\\SYSTEM32\\cmd.exe",
"Cmd.exe",
"Windows/System32/cmd.exe",
"sethc.exe",
"C:\\WINDOWS\\System32\\cmd.exe",
"esRzqurX.exe",
"rofl.png",
"F:\\Windows\\SYSTEM32\\cmd.exe",
"utilman.exe",
"C:\\Windows\\system32\\CMD.exe",
"sys32exe/cmd.exe",
"cmd.txt",
"C:\\WINDOWS\\system32\\cmd.exe",
"cmd2.exe",
"Utilman.exe.sc",
"uhrHRIv8.exe",
"C:\\windows\\system32\\cmd.exe",
"submitted_file",
"C:\\Users\\user\\AppData\\Local\\Temp\\n1qo0bq3.2tn\\KerishDoctor\\Data\\KerishDoctor\\Restore\\cmd.rst",
"J6ff7z0hLYo.exe",
"N:\\Windows\\System32\\cmd.exe",
"Q:\\Windows\\System32\\cmd.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\cmd.exe",
"C:\\Users\\<USER>\\AppData\\Local\\Temp\\cmd.exe",
"test.exe",
"68E2F01F8DE9EFCAE9C0DD893DF0E8C34E2B5C98A6C4073C9C9E8093743D318600.blob",
"8FCVE0Kq.exe",
"cmd (7).exe",
"cmd (8).exe",
"21455_16499564_bc866cfcdda37e24dc2634dc282c7a0e6f55209da17a8fa105b07414c0e7c527_cmd.exe",
"LinX v0.9.11 (Intel)/cmd.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\inbvmkaa.1xd\\LinX v0.9.11 (Intel)\\cmd.exe",
"cmd_b.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\sfd5bhoe.nqi\\cmd.exe",
"cMd.exe",
"Repl_Check.bat__",
"cmd.pdf",
"cmd.EXE",
"C:\\Users\\user\\AppData\\Local\\Temp\\uszjr42t.kda\\cmd.exe",
"LFepc1St.exe",
"firefox.exe",
"3BcnNlWV.exe",
"Utilman.exebak",
"utilman1.exe",
"1.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\ispvscgp.ep2\\sys32exe\\cmd.exe",
"cmd_1771019736291028992.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\xijgwqvd.54g\\cmd.exe",
"Sethc.exe",
"\\Device\\CdRom1\\DANFE352023067616112\\DANFE352023067616112.EXE",
"DANFE352023067616112.exe",
"file.exe",
"DANFE352023067616112/DANFE352023067616112.exe",
"C:\\Windows\\SYSTEM32\\Cmd.exe",
"pippo.exe",
"C:\\Windows\\System32\\sethc.exe",
"cmd.exe-bws024-windowsfolder",
"whatever.exe",
"sethc.exe.bak",
"S71dbOR1.exe",
"F:\\windows\\SYSTEM32\\cmd.exe",
"L6puhWL7.exe",
"DANFE357986551413927.exe",
"DANFE357666506667634.exe",
"\\Device\\CdRom1\\DANFE357666506667634\\DANFE357666506667634.EXE",
"\\Device\\CdRom1\\DANFE357986551413927\\DANFE357986551413927.EXE",
"\\Device\\CdRom1\\DANFE358567378531506\\DANFE358567378531506.EXE",
"\\Device\\CdRom1\\HtmlFactura3f48daa069f0e42253194ca7b51e7481DPCYKJ4Ojk\\HTMLFACTURA3F48DAA069F0E42253194CA7B51E7481DPCYKJ4OJK.EXE",
"\\Device\\CdRom1\\DANFE357410790837014\\DANFE357410790837014.EXE",
"\\Device\\CdRom1\\DANFE357702036539112\\DANFE357702036539112.EXE",
"winlogon.exe",
"AccessibilityEscalation.A' in file 'utilman.exe'",
"qpl9AqT0.exe",
"C:\\windows\\system32\\CMD.exe",
"C:\\po8az\\2po9hmc\\4v1b5.exe",
"batya.exe",
"nqAwJaba.exe",
"\\Device\\CdRom1\\DANFE356907191810758\\DANFE356907191810758.EXE",
"/Volumes/10_11_2023/DANFE356907191810758/DANFE356907191810758.exe",
"/Volumes/09_21_2023/DANFE357986551413927/DANFE357986551413927.exe",
"\\Device\\CdRom1\\DANFE355460800350113\\DANFE355460800350113.EXE",
"/Volumes/09_19_2023/DANFE355460800350113/DANFE355460800350113.exe",
"DANFE352429512050669.exe",
"/Volumes/04_15_2023/HtmlFacturaeb58f4396e2028a70905705291031e7b3dlvDNyGp3/HtmlFacturaeb58f4396e2028a70905705291031e7b3dlvDNyGp3.exe"
],
"firstSeenTime": "2024-12-15T09:07:02Z",
"lastSeenTime": "2025-07-18T07:43:59.045Z",
"lastAnalysisTime": "2025-07-16T10:06:40Z",
"signatureInfo": {
"sigcheck": {
"verificationMessage": "Signed",
"verified": true,
"signers": [{ "name": "Microsoft Windows" }]
}
},
"firstSubmissionTime": "2025-07-15T16:30:27Z"
}
},
"metric": {
"firstSeen": "2024-12-15T09:07:02Z",
"lastSeen": "2025-07-18T07:43:59.045Z"
}
},
"metric": {
"firstSeen": "2024-12-15T09:07:02Z",
"lastSeen": "2025-07-18T07:43:59.045Z"
},
"alertCounts": [
{ "rule": "pavel_test2_rule_1749239699456", "count": "329" },
{ "rule": "rule_testbucket", "count": "345" },
{ "rule": "rule_Pavel_test_Risk_score", "count": "326" }
],
"timeline": {
"buckets": [
{},
{},
{},
{},
{ "alertCount": 31 },
{ "alertCount": 111 },
{ "alertCount": 109 },
{ "alertCount": 82 },
{ "alertCount": 86 },
{ "alertCount": 98 },
{ "alertCount": 86 },
{ "alertCount": 85 },
{ "alertCount": 92 },
{ "alertCount": 89 },
{ "alertCount": 90 },
{ "alertCount": 41 }
],
"bucketSize": "172800s"
},
"prevalenceResult": [
{ "prevalenceTime": "2025-01-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-31T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-31T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-31T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-16T00:00:00Z", "count": 2 },
{ "prevalenceTime": "2025-07-17T00:00:00Z", "count": 2 },
{ "prevalenceTime": "2025-07-18T00:00:00Z", "count": 2 }
],
"relatedEntities": [
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgxleGxhYjIwMTktYWQQZhoFWXVyaXkiFQoGCPbso7wGEgsIv_bnwwYQwMq6FQ",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-01-16T12:07:18Z",
"endTime": "2025-07-18T07:43:59.045Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": {
"hostname": "exlab2019-ad",
"firstSeenTime": "2025-01-16T12:07:18Z"
}
},
"metric": {
"firstSeen": "2025-01-16T12:07:18Z",
"lastSeen": "2025-07-18T07:43:59.045Z"
}
},
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg4xNzIuMzAuMjAyLjIyORBkGgVZdXJpeSIVCgYI9uyjvAYSCwi_9ufDBhDAyroV",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-01-16T12:07:18Z",
"endTime": "2025-07-18T07:43:59.045Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": {
"ip": ["172.30.202.229"],
"firstSeenTime": "2025-01-16T12:07:18Z"
}
},
"metric": {
"firstSeen": "2025-01-16T12:07:18Z",
"lastSeen": "2025-07-18T07:43:59.045Z"
}
}
]
}
},
{
"Entity": "tencent.com",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cgt0ZW5jZW50LmNvbRDIASIQCgYInNyZvAYSBgjo-Jm8Bg",
"metadata": {
"entityType": "DOMAIN_NAME",
"interval": {
"startTime": "2025-01-14T14:01:00Z",
"endTime": "2025-01-14T15:02:00Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cgt0ZW5jZW50LmNvbRDIASIQCgYInNyZvAYSBgjo-Jm8Bg",
"metadata": {
"entityType": "DOMAIN_NAME",
"interval": {
"startTime": "2025-01-14T14:01:00Z",
"endTime": "2025-01-14T15:02:00Z"
}
},
"entity": {
"domain": {
"name": "tencent.com",
"firstSeenTime": "2025-01-14T14:01:00Z",
"lastSeenTime": "2025-01-14T15:02:00Z",
"registrar": "MarkMonitor Information Technology (Shanghai) Co., Ltd.",
"creationTime": "1998-09-14T04:00:00Z",
"updateTime": "2024-08-20T08:04:01Z",
"expirationTime": "2032-09-13T04:00:00Z",
"registrant": {
"emailAddresses": [""],
"personalAddress": { "countryOrRegion": "CHINA" },
"companyName": "\u6df1\u5733\u5e02\u817e\u8baf\u8ba1\u7b97\u673a\u7cfb\u7edf\u6709\u9650\u516c\u53f8"
}
}
},
"metric": {
"firstSeen": "2025-01-14T14:01:00Z",
"lastSeen": "2025-01-14T15:02:00Z"
}
},
"metric": {
"firstSeen": "2025-01-14T14:01:00Z",
"lastSeen": "2025-01-14T15:02:00Z"
},
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{}
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "00:50:56:b6:34:86",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/ChEwMDo1MDo1NjpiNjozNDo4NhBlGgVZdXJpeSIKCgASBgjemLzBBg",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "1970-01-01T00:00:00Z",
"endTime": "2025-05-22T11:37:02Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/ChEwMDo1MDo1NjpiNjozNDo4NhBlGgVZdXJpeSIKCgASBgjemLzBBg",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "1970-01-01T00:00:00Z",
"endTime": "2025-05-22T11:37:02Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": { "mac": ["00:50:56:b6:34:86"] }
},
"metric": {
"firstSeen": "1970-01-01T00:00:00Z",
"lastSeen": "2025-05-22T11:37:02Z"
}
},
"metric": {
"firstSeen": "1970-01-01T00:00:00Z",
"lastSeen": "2025-05-22T11:37:02Z"
},
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{}
],
"bucketSize": "172800s"
}
}
}
]
Messages de sortie
L'action Enrichir les entités peut renvoyer les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Enrich Entities". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Enrichir les entités :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Enrichissement de l'adresse IP (obsolète)
Utilisez l'action Enrichir l'adresse IP pour enrichir les entités d'adresses IP à l'aide des informations provenant des IoC dans Google SecOps SIEM.
Cette action s'exécute sur l'entité "Adresse IP".
Entrées d'action
L'action Enrichir l'adresse IP nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Create Insight |
Facultatif. Si cette option est sélectionnée, l'action crée un insight contenant des informations sur les entités.Cette option est activée par défaut. |
Only Suspicious Insight |
Facultatif. Si cette option est sélectionnée, l'action ne crée des insights que pour les entités marquées comme suspectes.Cette option n'est pas activée par défaut. Si vous sélectionnez ce paramètre, vous devez également sélectionner |
Lowest Suspicious Severity |
Obligatoire. Niveau de gravité le plus bas associé à l'adresse IP pour la marquer comme suspecte. La valeur par défaut est
|
Mark Suspicious N/A Severity |
Obligatoire. Si cette option est sélectionnée et que les informations sur la gravité ne sont pas disponibles, l'action marque l'entité comme suspecte. |
Sorties d'action
L'action Enrichir l'adresse IP fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Disponible |
| Table d'enrichissement | Disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Table du mur des cas
Nom : ENTITY_IDENTIFIER
Colonnes :
- Source
- Gravité
- Catégorie
- Confiance
- Domaines associés
Enrichissement d'entités
L'action Enrichir l'adresse IP est compatible avec la logique d'enrichissement d'entités suivante :
| Champ d'enrichissement | Logique (quand les utiliser) |
|---|---|
severity |
Lorsqu'il est disponible au format JSON |
average_confidence |
Lorsqu'il est disponible au format JSON |
related_domains |
Lorsqu'il est disponible au format JSON |
categories |
Lorsqu'il est disponible au format JSON |
sources |
Lorsqu'il est disponible au format JSON |
first_seen |
Lorsqu'il est disponible au format JSON |
last_seen |
Lorsqu'il est disponible au format JSON |
report_link |
Lorsqu'il est disponible au format JSON |
Résultat JSON
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action Enrichir l'adresse IP avec l'API Backstory :
{
{
"sources": [
{
"source": "Example List",
"confidenceScore": {
"normalizedConfidenceScore": "Low",
"intRawConfidenceScore": 0
},
"rawSeverity": "High",
"category": "Malware Command and Control Server"
}
],
"iocIngestTime": "2021-01-26T17:00:00Z",
"firstSeenTime": "2018-10-03T00:03:53Z",
"lastSeenTime": "2022-02-09T10:52:21.229Z",
"uri": [
"https://INSTANCE/domainResults?domain=example.net&selectedList=DomainViewDistinctAssets&whoIsTimestamp=2022-02-09T11%3A51%3A52.393783515Z"
]
}
}
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action Enrich IP avec l'API Chronicle :
[
{
"Entity": "192.0.2.121",
"EntityResult": {
"sources": [
{
"category": "Indicator was published in publicly available sources",
"firstActiveTime": "1970-01-01T00:00:01Z",
"lastActiveTime": "9999-12-31T23:59:59Z",
"addresses": [
{
"ipAddress": "IP_ADDRESS"
}
],
"rawSeverity": "low",
"confidenceScore": {
"strRawConfidenceScore": "67"
}
}
],
"feeds": [
{
"metadata": {
"title": "Mandiant Open Source Intelligence",
"description": "Open Source Intel IoC",
"confidenceScoreBucket": {
"rangeEnd": 100
}
},
"iocs": [
{
"categorization": "Indicator was published in publicly available sources",
"activeTimerange": {
"start": "1970-01-01T00:00:01Z",
"end": "9999-12-31T23:59:59Z"
},
"ipAndPorts": {
"ipAddress": "IP_ADDRESS"
},
"confidenceScore": "67",
"rawSeverity": "Low"
}
]
}
]
}
}
]
Messages de sortie
L'action Enrichir l'adresse IP fournit les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
Successfully enriched the following IPs from Google Chronicle:
LIST_OF_IPS |
L'action a réussi. |
Error executing action "Enrich IP". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant décrit les valeurs de sortie des résultats du script lorsque vous utilisez l'action Enrichir l'adresse IP :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Exécuter la recherche RetroHunt
Utilisez l'action Exécuter une analyse rétroactive pour exécuter une analyse rétroactive des règles dans Google SecOps.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Exécuter Retrohunt nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Rule ID |
Obligatoire. ID de la règle pour laquelle exécuter une recherche Retrohunt. Utilisez le format |
Time Frame |
Facultatif. Période pour laquelle récupérer les résultats. Les valeurs possibles sont les suivantes :
Si La valeur par défaut est |
Start Time |
Heure de début des résultats au format ISO 8601. Ce paramètre est obligatoire si le paramètre |
End Time |
Heure de fin des résultats au format ISO 8601.
Si vous ne définissez pas de valeur et sélectionnez la valeur |
Sorties d'action
L'action Exécuter Retrohunt fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Insight sur les entités | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action Execute Retrohunt avec l'API Backstory :
{
"retrohuntId": "oh_d738c8ea-8fd7-4cc1-b43d-25835b8e1785",
"ruleId": "ru_30979d84-aa89-47d6-bf4d-b4bb0eacb497",
"versionId": "ru_30979d84-aa89-47d6-bf4d-b4bb0eacb497@v_1612472807_179679000",
"eventStartTime": "2021-01-14T23:00:00Z",
"eventEndTime": "2021-01-30T23:00:00Z",
"retrohuntStartTime": "2021-02-08T02:40:59.192113Z",
"state": "RUNNING"
}
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action Execute Retrohunt avec l'API Chronicle :
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/operations/OPERATION_ID",
"metadata": {
"@type": "type.googleapis.com/RetrohuntMetadata",
"retrohunt": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/rules/RULE_ID/retrohunts/RETROHUNT_ID",
"executionInterval": {
"startTime": "2025-01-22T12:16:20.963182Z",
"endTime": "2025-01-23T12:16:20.963182Z"
}
},
"retrohuntId": "RETROHUNT_ID",
"ruleId": "RULE_ID",
"versionId": "VERSION_ID",
"eventStartTime": "2025-01-22T12:16:20.963182Z",
"eventEndTime": "2025-01-23T12:16:20.963182Z"
}
Messages de sortie
L'action Exécuter Retrohunt fournit les messages de résultat suivants :
| Message affiché | Description du message |
|---|---|
Successfully executed a retrohunt for the provided rule in Google
Chronicle.
|
L'action a réussi. |
Error executing action "Execute Retrohunt". Reason:
ERROR_REASON |
Échec de l'action.
Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant décrit les valeurs de sortie des résultats du script lorsque vous utilisez l'action Exécuter une analyse rétroactive :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Exécuter une requête UDM
Utilisez l'action Exécuter une requête UDM pour exécuter une requête UDM personnalisée dans Google SecOps.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Exécuter une requête UDM nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Query String |
Obligatoire. Requête à exécuter dans Google SecOps. |
Time Frame |
Facultatif. Période pour laquelle récupérer les résultats. Les valeurs possibles sont les suivantes :
Si La valeur par défaut est |
Start Time |
Facultatif. Heure de début des résultats au format ISO 8601 (par exemple, Ce paramètre est obligatoire si le paramètre La période maximale est de 90 jours. |
End Time |
Facultatif. Heure de fin des résultats au format ISO 8601 (par exemple, Si vous ne définissez pas de valeur et que le paramètre La période maximale est de 90 jours. |
Max Results To Return |
Facultatif. Nombre de résultats à renvoyer pour une seule requête. La valeur maximale est de La valeur par défaut est |
Sorties d'action
L'action Exécuter une requête UDM fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action Exécuter une requête UDM :
{
"events":[
"event":{
"metadata":{
"eventTimestamp":"2022-01-20T09:15:15.687Z",
"eventType":"USER_LOGIN",
"vendorName":"Example Vendor",
"productName":"Example Product",
"ingestedTimestamp":"2022-01-20T09:45:07.433587Z"
},
"principal":{
"hostname":"example-user-pc",
"ip":[
"203.0.113.0"
],
"mac":[
"01:23:45:ab:cd:ef",
"01:23:45:ab:cd:ef",
"01:23:45:ab:cd:ef"
],
"location":{
"city":"San Francisco",
"state":"California",
"countryOrRegion":"US"
},
"asset":{
"hostname":"example-user-pc",
"ip":[
"203.0.113.1",
"203.0.113.1",
"203.0.113.1"
],
"mac":[
"01:23:45:ab:cd:ef",
"01:23:45:ab:cd:ef",
"01:23:45:ab:cd:ef"
]
}
},
"target":{
"user":{
"userid":"Example",
"userDisplayName":"Example User",
"windowsSid":"S-1-5-21-4712406912-7108061610-2717800068-993683",
"emailAddresses":[
"example@example.com",
"admin.example@example.com"
],
"employeeId":"2406187",
"productObjectId":"f93f1540-4935-4266-aa8e-a750a319aa1c",
"firstName":"Example",
"lastName":"User",
"phoneNumbers":[
"555-01-75"
],
"title":"Executive Assistant",
"companyName":"Example Corp",
"department":[
"Executive - Admin"
],
"managers":[
{
"userDisplayName":"Example User",
"windowsSid":"S-1-5-21-6051382818-4135626959-8120238335-834071",
"emailAddresses":[
"user@example.com"
],
"employeeId":"5478500",
"productObjectId":"8b3924d5-6157-43b3-857b-78aa6bd94705",
"firstName":"User",
"lastName":"Example",
"phoneNumbers":[
"555-01-75"
],
"title":"Chief Technology Officer",
"companyName":"Example Corp",
"department":[
"Executive - Admin"
]
}
]
},
"ip":[
"198.51.100.1"
],
"email":"email@example.com",
"application":"Example Sign In"
},
"securityResult":[
{
"summary":"Successful Login",
"action":[
"ALLOW"
]
}
],
"extensions":{
"auth":{
"type":"SSO"
}
}
},
"eventLogToken":"96f23eb9ffaa9f7e7b0e2ff5a0d2e34c,1,1642670115687000,USER,|USER_LOGIN"
]
}
Messages de sortie
L'action Exécuter une requête UDM fournit les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Execute UDM Query". Reason:
ERROR_REASON
|
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Error executing action "Execute UDM Query". Reason: you've reached a
rate limit. Please wait for several minutes and try again. |
Échec de l'action. Patientez quelques minutes avant de relancer l'action. |
Résultat du script
Le tableau suivant décrit les valeurs de la sortie des résultats du script lorsque vous utilisez l'action Exécuter une requête UDM :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Obtenir des tables de données
Utilisez l'action Get Data Tables (Obtenir les tables de données) pour récupérer les tables de données disponibles dans Google SecOps.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Get Data Tables (Obtenir les tables de données) nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Filter Key |
Facultatif. Clé de filtrage L'option Les valeurs possibles sont les suivantes : NameDescription |
Filter Logic |
Facultatif. Logique de filtre à appliquer. Les valeurs possibles sont les suivantes : Equal (pour les correspondances exactes)Contains(pour les correspondances de sous-chaînes) |
Filter Value |
Facultatif. Valeur à utiliser dans le filtre. Les valeurs possibles sont les suivantes : Equal (pour les correspondances exactes)Contains(pour les correspondances de sous-chaînes)
Si vous ne fournissez aucune valeur, le filtre ne sera pas appliqué. |
Expanded Rows |
Facultatif. Si cette option est sélectionnée, la réponse inclut des lignes de tableau de données détaillées. Cette option n'est pas activée par défaut. |
Max Data Tables To Return |
Obligatoire. Nombre de tableaux de données à renvoyer. La valeur maximale est de |
Max Data Table Rows To Return |
Obligatoire. Nombre de lignes du tableau de données à renvoyer. N'utilisez ce paramètre que si La valeur maximale est de |
Sorties d'action
L'action Obtenir les tables de données fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action Obtenir les tables de données :
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table",
"displayName": "data_table",
"createTime": "2025-05-14T12:52:50.064133Z",
"updateTime": "2025-05-14T13:13:48.631442Z",
"columnInfo": [
{
"originalColumn": "columnName1",
"columnType": "STRING"
},
{
"columnIndex": 1,
"originalColumn": "columnName2",
"columnType": "STRING"
},
{
"columnIndex": 2,
"originalColumn": "columnName3",
"columnType": "STRING"
}
],
"dataTableUuid": "c3cce57bb8d940d5ac4523c37d540436",
"approximateRowCount": "2",
"rows": [
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table/dataTableRows/840d18a85944833e1b97ed6d2fb11377",
"values": {
"columnName1": "asda",
"columnName2": "asdasd",
"columnName3": "zxczxc"
},
"createTime": "2025-05-14T12:52:51.908143Z",
"updateTime": "2025-05-14T12:52:51.908143Z"
}
]
}
Messages de sortie
L'action Obtenir les tables de données fournit les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
Successfully found data tables for the provided criteria in Google
SecOps |
L'action a réussi. |
Error executing action "Get Data Tables". Reason:
ERROR_REASON |
Échec de l'action.
Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant décrit les valeurs de la sortie des résultats du script lorsque vous utilisez l'action Obtenir les tables de données :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
true ou false |
Obtenir les détails de la détection
Utilisez l'action Obtenir les détails de la détection pour récupérer des informations sur une détection dans Google SecOps.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Obtenir les détails de la détection nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Rule ID |
Obligatoire. ID de la règle associée à la détection. Utilisez le format |
Detection ID |
Obligatoire. ID de la détection pour laquelle récupérer les détails. Si des caractères spéciaux sont fournis, l'action n'échoue pas, mais renvoie une liste de détections. |
Sorties d'action
L'action Obtenir les détails de la détection fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant décrit le résultat JSON obtenu lors de l'utilisation de l'action Obtenir les détails de la détection :
{
"type": "RULE_DETECTION",
"detection": [
{
"ruleName": "singleEventRule2",
"urlBackToProduct":
"https://INSTANCE/ruleDetections?
ruleId=ru_1f54ab4b-e523-48f7-ae25-271b5ea8337d&selectedList=RuleDetectionsViewTimeline&
selectedParentDetectionId=de_ce594791-09ed-9681-27fa-3b7c8fa6054c&
selectedTimestamp=2020-12-03T16: 50: 47.647245Z","ruleId": "ru_1f54ab4b-e523-48f7-ae25-271b5ea8337d",
"ruleVersion": "ru_1f54ab4b-e523-48f7-ae25-271b5ea8337d@v_1605892822_687503000",
"alertState": "NOT_ALERTING",
"ruleType": "SINGLE_EVENT"
}
],
"createdTime": "2020-12-03T19:19:21.325134Z",
"id": "de_ce594791-09ed-9681-27fa-3b7c8fa6054c",
"timeWindow": {
"startTime": "2020-12-03T16:50:47.647245Z",
"endTime": "2020-12-03T16:50:47.647245Z"
},
"collectionElements": [
{
"references": [
{
"event": {
"metadata": {
"eventTimestamp": "2020-12-03T16:50:47.647245Z",
"collectedTimestamp": "2020-12-03T16:50:47.666064010Z",
"eventType": "NETWORK_DNS",
"productName": "ProductName",
"ingestedTimestamp": "2020-12-03T16:50:49.494542Z"
},
"principal": {
"ip": [
"192.0.2.1"
]
},
"target": {
"ip": [
"203.0.113.1"
]
},
"securityResult": [
{
"action": [
"UNKNOWN_ACTION"
]
}
],
"network": {
"applicationProtocol": "DNS",
"dns": {
"questions": [
{
"name": "example.com",
"type": 1,
"class": 1
}
],
"id": 12345,
"recursionDesired": true
}
}
}
}
],
"label": "e"
}
],
"detectionTime": "2020-12-03T16:50:47.647245Z"
}
Messages de sortie
L'action Obtenir les détails de la détection fournit les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
Successfully fetched information about the detection with ID
DETECTION_ID in Google Chronicle. |
L'action a réussi. |
Error executing action "Get Detection Details". Reason:
ERROR_REASON |
Échec de l'action.
Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant décrit les valeurs de sortie des résultats du script lorsque vous utilisez l'action Get Detection Details (Obtenir les détails de la détection) :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Obtenir des listes de référence
Utilisez l'action Get Reference Lists (Obtenir les listes de référence) pour récupérer les listes de référence disponibles dans Google SecOps.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Get Reference Lists (Obtenir des listes de référence) nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Filter Key |
Clé de filtrage.
Les valeurs possibles sont les suivantes :
|
Filter Logic |
Logique de filtre à appliquer. Les valeurs possibles sont les suivantes : Equal (pour les correspondances exactes)Contains(pour les correspondances de sous-chaînes)La valeur par défaut est |
Filter Value |
Valeur à utiliser dans le filtre.
Les valeurs possibles sont les suivantes : Equal (pour les correspondances exactes)Contains(pour les correspondances de sous-chaînes)
Si aucune valeur n'est fournie, le filtre n'est pas appliqué. |
Expanded Details |
Si cette option est sélectionnée, l'action renvoie des informations détaillées sur les listes de références.
Cette option n'est pas activée par défaut. |
Max Reference Lists To Return |
Nombre de listes de références à renvoyer.
La valeur par défaut est |
Sorties d'action
L'action Obtenir la liste de référence fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Table du mur des cas
Sur un mur de demandes, l'option Obtenir des listes de références fournit le tableau suivant :
Nom : Available Reference Lists (Listes de référence disponibles)
Colonnes :
- Nom
- Description
- Type
Résultat JSON
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action Get Reference Lists avec l'API Backstory :
{
"name": "list_name",
"description": "description of the list",
"lines": [
"192.0.2.0/24",
"198.51.100.0/24"
],
"create_time": "2020-11-20T17:18:20.409247Z",
"content_type": "CIDR"
}
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action Get Reference Lists avec l'API Chronicle :
[
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/referenceLists/REFERENCE_LIST_ID",
"displayName": "REFERENCE_LIST_ID",
"revisionCreateTime": "2025-01-09T15:53:10.851775Z",
"description": "Test reference list",
"syntaxType": "REFERENCE_LIST_SYNTAX_TYPE_PLAIN_TEXT_STRING",
"scopeInfo": {
"referenceListScope": {}
},
"createTime": "2025-01-09T15:53:10.851775Z"
}
]
Messages de sortie
L'action Obtenir les listes de référence fournit les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action
ACTION_NAME. Reason:
ERROR_REASON
|
Échec de l'action.
Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Error executing action
ACTION_NAME. Reason: "Invalid
value was provided for "Max Reference Lists to Return":
PROVIIDED_VALUE. Positive number should be provided. |
Échec de l'action.
Vérifiez la valeur du paramètre |
Script
Le tableau suivant décrit les valeurs de sortie des résultats du script lorsque vous utilisez l'action Obtenir les listes de référence :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Obtenir les détails d'une règle
Utilisez l'action Obtenir les détails de la règle pour récupérer des informations sur une règle dans Google SecOps.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Obtenir les détails de la règle nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Rule ID |
Obligatoire. ID de la règle pour laquelle récupérer les détails. |
Sorties d'action
L'action Obtenir les détails de la règle fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action Get Rule Details (Obtenir les détails de la règle) avec l'API Backstory :
{
"ruleId": "ru_e6abfcb5-1b85-41b0-b64c-695b3250436f",
"versionId": "ru_e6abfcb5-1b85-41b0-b64c-695b3250436f@v_1602631093_146879000",
"ruleName": "SampleRule",
"metadata": {
"description": "Sample Description of the Rule",
"author": "author@example.com"
},
"ruleText": "rule SampleRule {
meta:
description = \"Sample Description of the Rule\"
author = \"author@example.com\"
events:
// This will just generate lots of detections
$event.metadata.event_type = \"NETWORK_HTTP\"
condition:
$event
} ",
"liveRuleEnabled": true,
"versionCreateTime": "2020-10-13T23:18:13.146879Z",
"compilationState": "SUCCEEDED"
}
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action Get Rule Details (Obtenir les détails de la règle) avec l'API Chronicle :
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/rules/RULE_ID",
"revisionId": "v_1733917896_973567000",
"displayName": "Test_rule_SingleEvent",
"text": "rule Test_rule_SingleEvent {\n // This rule matches single events. Rules can also match multiple events within\n // some time window. For details about how to write a multi-event rule, see\n // URL\n\n meta:\n // Allows for storage of arbitrary key-value pairs of rule details - who\n // wrote it, what it detects on, version control, etc.\n // The \"author\" and \"severity\" fields are special, as they are used as\n // columns on the rules dashboard. If you want to sort based on\n // these fields on the dashboard, make sure to add them here.\n // Severity value, by convention, should be \"Low\", \"Medium\" or \"High\"\n author = \"example_user\"\n description = \"windowed single event example rule\"\n //severity = \"Medium\"\n\n events:\n $e.metadata.event_type = \"USER_LOGIN\"\n $e.principal.user.userid = $user\n\n //outcome:\n // For a multi-event rule an aggregation function is required\n // e.g., risk_score = max(0)\n // See URL\n //$risk_score = 0\n match:\n $user over 1m\n\n condition:\n #e > 0\n}\n",
"author": "example_user",
"metadata": {
"author": "example_user",
"description": "windowed single event example rule",
"severity": null
},
"createTime": "2024-12-11T11:36:18.192127Z",
"revisionCreateTime": "2024-12-11T11:51:36.973567Z",
"compilationState": "SUCCEEDED",
"type": "SINGLE_EVENT",
"allowedRunFrequencies": [
"LIVE",
"HOURLY",
"DAILY"
],
"etag": "CMj55boGEJjondAD",
"ruleId": "RULE_ID",
"versionId": "RULE_ID@v_1733917896_973567000",
"ruleName": "Test_rule_SingleEvent",
"ruleText": "rule Test_rule_SingleEvent {\n // This rule matches single events. Rules can also match multiple events within\n // some time window. For details about how to write a multi-event rule, see\n // URL\n\n meta:\n // Allows for storage of arbitrary key-value pairs of rule details - who\n // wrote it, what it detects on, version control, etc.\n // The \"author\" and \"severity\" fields are special, as they are used as\n // columns on the rules dashboard. If you want to sort based on\n // these fields on the dashboard, make sure to add them here.\n // Severity value, by convention, should be \"Low\", \"Medium\" or \"High\"\n author = \"example_user\"\n description = \"windowed single event example rule\"\n //severity = \"Medium\"\n\n events:\n $e.metadata.event_type = \"USER_LOGIN\"\n $e.principal.user.userid = $user\n\n //outcome:\n // For a multi-event rule an aggregation function is required\n // e.g., risk_score = max(0)\n // See URL\n //$risk_score = 0\n match:\n $user over 1m\n\n condition:\n #e > 0\n}\n",
"ruleType": "SINGLE_EVENT",
"versionCreateTime": "2024-12-11T11:51:36.973567Z"
}
Messages de sortie
L'action Obtenir les détails de la règle fournit les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
Successfully fetched information about the rule with ID
RULE_ID in Google Chronicle.
|
L'action a réussi. |
Error executing action "Get Rule Details". Reason:
ERROR_REASON
|
Échec de l'action.
Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant décrit les valeurs de sortie des résultats du script lorsque vous utilisez l'action Get Rule Details (Obtenir les détails de la règle) :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
La valeur se trouve-t-elle dans la table de données ?
Utilisez Is Value In Data Table pour vérifier si les valeurs fournies se trouvent dans une table de données dans Google SecOps.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action La valeur est-elle dans le tableau de données ? nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Data Table Name |
Obligatoire. Nom à afficher de la table de données à rechercher. |
Column |
Facultatif. Liste de colonnes dans lesquelles effectuer la recherche, séparées par une virgule. Si aucune valeur n'est fournie, l'action recherche toutes les colonnes. |
Values |
Obligatoire. Liste de valeurs à rechercher, séparées par une virgule. |
Case Insensitive Search |
Facultatif. Si cette option est sélectionnée, la recherche n'est pas sensible à la casse. Cette option est activée par défaut. |
Max Data Table Rows To Return |
Obligatoire. Nombre de lignes du tableau de données à renvoyer par valeur correspondante. La valeur maximale est de |
Sorties d'action
L'action La valeur est-elle dans le tableau de données ? fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action La valeur est-elle dans le tableau de données ? :
[{
"Entity": "asda",
"EntityResult": {
"is_found": true,
"matched_rows": [
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table/dataTableRows/840d18a85944833e1b97ed6d2fb11377",
"values": {
"columnName1": "asda",
"columnName2": "asdasd",
"columnName3": "zxczxc"
},
"createTime": "2025-05-14T12:52:51.908143Z",
"updateTime": "2025-05-14T12:52:51.908143Z"
}
]
}
}]
Messages de sortie
L'action La valeur est-elle dans le tableau de données ? fournit les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
Successfully searched provided values in the data table {data table}
in Google SecOps.
|
L'action a réussi. |
| Erreur lors de l'exécution de l'action "Is Value In Data Table" (La valeur se trouve-t-elle dans le tableau de données ?). Motif : ERROR_REASON | Échec de l'action.
Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Error executing action "Is Value In Data Table". Reason: the
following data tables were not found in:
DATA_TABLE_NAME:
COLUMN_NAMES. Please check the
spelling.
|
Échec de l'action. |
Error executing action "Is Value In Data Table". Reason:
This action is not supported for Backstory API configuration. Please update
the integration configuration.
|
Échec de l'action. |
Résultat du script
Le tableau suivant décrit les valeurs du résultat du script lorsque vous utilisez l'action La valeur est-elle dans le tableau de données ? :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
true ou false |
La valeur figure dans la liste de référence
Utilisez l'action La valeur figure-t-elle dans la liste de référence pour vérifier si les valeurs fournies se trouvent dans les listes de référence de Google SecOps.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Is Value In Reference List (La valeur figure-t-elle dans la liste de référence ?) nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Reference List Names |
Obligatoire. Liste de noms de listes de références à rechercher, séparés par une virgule. |
Values |
Obligatoire. Liste de valeurs à rechercher, séparées par une virgule. |
Case Insensitive Search |
Facultatif. Si cette option est sélectionnée, la recherche n'est pas sensible à la casse. |
Sorties d'action
L'action La valeur est-elle dans la liste de référence ? fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action Is Value In Reference List (La valeur figure-t-elle dans la liste de référence ?) avec l'API Backstory :
{
"Entity": "example.com",
"EntityResult": {
"found_in": [
"Reference list names, where item was found"
],
"not_found_in": [
"Reference list names, where items wasn't found"
],
"overall_status": "found, if at least one reference list had the value/not found, if non of the reference lists found the value"
}
}
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action Is Value In Reference List (La valeur figure-t-elle dans la liste de référence ?) avec l'API Chronicle :
{
"Entity": "example.com",
"EntityResult": {
"found_in": [
"Reference list names, where item was found"
],
"not_found_in": [
"Reference list names, where items wasn't found"
],
"overall_status": "found, if at least one reference list had the value/not found, if non of the reference lists found the value"
}
}
Messages de sortie
L'action La valeur est-elle dans la liste de référence ? fournit les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
Successfully searched provided values in the reference lists in
Google Chronicle.
|
L'action a réussi. |
| Erreur lors de l'exécution de l'action "Is Value In Reference List". Motif : ERROR_REASON | Échec de l'action.
Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Error executing action "Is Value In Reference List". Reason: the
following reference lists were not found in Google Chronicle:
MISSING_REFERENCE_LIST_NAME(S).
Please use the action "Get Reference Lists" to see what reference lists are
available.
|
Échec de l'action. Exécutez l'action Get Reference Lists (Obtenir les listes de référence) pour vérifier les listes disponibles. |
Résultat du script
Le tableau suivant décrit les valeurs du résultat du script lorsque vous utilisez l'action Is Value In Reference List (La valeur figure-t-elle dans la liste de référence ?) :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Répertorier les éléments
Utilisez l'action Lister les composants pour lister les composants dans Google SecOps SIEM en fonction des entités associées au cours d'une période spécifiée.
Cette action n'est compatible qu'avec les hachages MD5, SHA-1 et SHA-256.
Cette action s'exécute sur les entités Google SecOps suivantes :
URLIP AddressHash
Entrées d'action
L'action Lister les composants nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Max Hours Backwards |
Nombre d'heures avant l'heure actuelle pour récupérer les composants.
La valeur par défaut est |
Create Insight |
Si cette option est sélectionnée, l'action crée un insight contenant des informations sur les entités. Cette option est activée par défaut. |
Max Assets To Return |
Nombre d'éléments à renvoyer. La valeur par défaut est |
Time Frame |
Facultatif. Période pour laquelle récupérer les résultats. Les valeurs possibles sont les suivantes :
Si La valeur par défaut est |
Start Time |
Heure de début au format ISO 8601. Ce paramètre est obligatoire si le paramètre |
End Time |
Heure de fin au format ISO 8601.
Si vous ne définissez pas de valeur et que vous définissez le paramètre |
Sorties d'action
L'action Lister les composants fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Table du mur des cas
Nom : ENTITY_IDENTIFIER
Colonnes :
- Hostname (Nom d'hôte)
- Adresse IP
- Artefact vu pour la première fois
- Dernier artefact vu
Résultat JSON
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action List Assets (Lister les composants) avec l'API Backstory :
{
"assets": [
{
"asset": {
"hostname": "example"
},
"firstSeenArtifactInfo": {
"artifactIndicator": {
"domainName": "www.example.com"
},
"seenTime": "2020-02-28T09:18:15.675Z"
},
"lastSeenArtifactInfo": {
"artifactIndicator": {
"domainName": "www.example.com"
},
"seenTime": "2020-09-24T06:43:59Z"
}
}
],
"uri": [
"https://INSTANCE/domainResults?domain=www.example.com&selectedList=DomainViewDistinctAssets&whoIsTimestamp=2020-09-27T12%3A07%3A34.166830443Z"
]
}
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action List Assets (Lister les composants) avec l'API Chronicle :
[
{
"Entity": "192.0.2.229",
"EntityResult": {
"assets": [
{
"artifactIndicator": {
"domain": "example.com"
},
"sources": [
"Mandiant Open Source Intelligence"
],
"categories": [
"Indicator was published in publicly available sources"
],
"assetIndicators": [
{
"assetIpAddress": "192.0.2.229"
}
],
"iocIngestTimestamp": "2024-09-20T14:14:07.843Z",
"firstSeenTimestamp": "2025-01-15T11:20:00Z",
"lastSeenTimestamp": "2025-01-15T11:20:00Z",
"filterProperties": {
"stringProperties": {
"TLD": {
"values": [
{
"rawValue": ".com"
}
]
},
"IOC FEED": {
"values": [
{
"rawValue": "Mandiant Open Source Intelligence"
}
]
},
"IOC CATEGORIES": {
"values": [
{
"rawValue": "Indicator was published in publicly available sources"
}
]
},
"IOC CONFIDENCE SCORE": {
"values": [
{
"rawValue": "High"
}
]
},
"IOC/ALERT SEVERITY": {
"values": [
{
"rawValue": "Medium"
}
]
}
}
},
"confidenceBucket": "High",
"rawSeverity": "Medium",
"logType": "OPEN_SOURCE_INTEL_IOC",
"confidenceScore": 100,
"globalCustomerId": "ID",
"confidenceScoreBucket": {
"rangeEnd": 100
},
"categorization": "Indicator was published in publicly available sources",
"domainAndPorts": {
"domain": "example.com"
},
"activeTimerange": {
"startTime": "1970-01-01T00:00:01Z",
"endTime": "9999-12-31T23:59:59Z"
},
"feedName": "MANDIANT",
"id": "ID",
"fieldAndValue": {
"value": "ex ",
"valueType": "DOMAIN_NAME"
}
},
{
"artifactIndicator": {
"domain": "example.com"
},
"sources": [
"Mandiant Active Breach Intelligence"
],
"categories": [
"Indicator was published in publicly available sources"
],
"assetIndicators": [
{
"assetIpAddress": "192.0.2.229"
}
],
"iocIngestTimestamp": "2023-07-05T02:42:52.935Z",
"firstSeenTimestamp": "2025-01-15T11:20:00Z",
"lastSeenTimestamp": "2025-01-15T11:20:00Z",
"filterProperties": {
"stringProperties": {
"IOC/ALERT SEVERITY": {
"values": [
{
"rawValue": "Medium"
}
]
},
"IOC CONFIDENCE SCORE": {
"values": [
{
"rawValue": "High"
}
]
},
"IOC FEED": {
"values": [
{
"rawValue": "Mandiant Active Breach Intelligence"
}
]
},
"IOC CATEGORIES": {
"values": [
{
"rawValue": "Indicator was published in publicly available sources"
}
]
},
"TLD": {
"values": [
{
"rawValue": ".com"
}
]
}
}
},
"confidenceBucket": "High",
"rawSeverity": "Medium",
"logType": "MANDIANT_ACTIVE_BREACH_IOC",
"confidenceScore": 100,
"globalCustomerId": "ID",
"confidenceScoreBucket": {
"rangeEnd": 100
},
"categorization": "Indicator was published in publicly available sources",
"domainAndPorts": {
"domain": "example.com"
},
"activeTimerange": {
"startTime": "1970-01-01T00:00:01Z",
"endTime": "9999-12-31T23:59:59Z"
},
"feedName": "MANDIANT",
"id": "ID",
"fieldAndValue": {
"value": "example.com",
"valueType": "DOMAIN_NAME"
}
}
],
"uri": "https://INSTANCE.backstory.chronicle.security/destinationIpResults?ADDRESS=192.0.2.229&selectedList=IpViewDistinctAssets&referenceTime=2025-01-23T11%3A16%3A24.517449Z"
}
}
]
Messages de sortie
L'action Lister les composants fournit les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
Successfully listed related assets for the following entities
from Google Chronicle:
ENTITY_IDENTIFIER |
L'action a réussi. |
Error executing action "List Assets". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant décrit les valeurs de la sortie du résultat du script lorsque vous utilisez l'action Lister les composants :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Lister les événements
Utilisez l'action Lister les événements pour lister les événements sur un élément particulier au cours d'une période spécifiée.
Cette action ne peut récupérer que 10 000 événements.
Cette action s'exécute sur les entités Google SecOps suivantes :
IP addressMAC addressHostname
Entrées d'action
L'action Lister les événements nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Event Types |
Liste de types d'événements séparés par une virgule.
Si aucune valeur n'est fournie, tous les types d'événements sont récupérés. Pour obtenir la liste de toutes les valeurs possibles, consultez Valeurs possibles du type d'événement. |
Time Frame |
Période spécifiée. Pour obtenir de meilleurs résultats, nous vous recommandons de la réduire au maximum.
Si Si Les valeurs possibles sont les suivantes :
La valeur par défaut est |
Start Time |
Heure de début au format ISO 8601. Ce paramètre est obligatoire si le paramètre |
End Time |
Heure de fin au format ISO 8601. Si aucune valeur n'est fournie et que le paramètre Ce paramètre accepte la valeur |
Reference Time |
Heure de référence pour la recherche d'événements.
Si aucune valeur n'est fournie, l'action utilise l'heure de fin comme référence. |
Output |
Obligatoire. Format de sortie. Les valeurs possibles sont les suivantes :
|
Max Events To Return |
Nombre d'événements à traiter pour chaque type d'entité. La valeur par défaut est |
Valeurs possibles pour le type d'événement
Les valeurs possibles pour le paramètre Event Type sont les suivantes :
EVENTTYPE_UNSPECIFIEDPROCESS_UNCATEGORIZEDPROCESS_LAUNCHPROCESS_INJECTIONPROCESS_PRIVILEGE_ESCALATIONPROCESS_TERMINATIONPROCESS_OPENPROCESS_MODULE_LOADREGISTRY_UNCATEGORIZEDREGISTRY_CREATIONREGISTRY_MODIFICATIONREGISTRY_DELETIONSETTING_UNCATEGORIZEDSETTING_CREATIONSETTING_MODIFICATIONSETTING_DELETIONMUTEX_UNCATEGORIZEDMUTEX_CREATIONFILE_UNCATEGORIZEDFILE_CREATIONFILE_DELETIONFILE_MODIFICATIONFILE_READFILE_COPYFILE_OPENFILE_MOVEFILE_SYNCUSER_UNCATEGORIZEDUSER_LOGINUSER_LOGOUTUSER_CREATIONUSER_CHANGE_PASSWORDUSER_CHANGE_PERMISSIONSUSER_STATSUSER_BADGE_INUSER_DELETIONUSER_RESOURCE_CREATIONUSER_RESOURCE_UPDATE_CONTENTUSER_RESOURCE_UPDATE_PERMISSIONSUSER_COMMUNICATIONUSER_RESOURCE_ACCESSUSER_RESOURCE_DELETIONGROUP_UNCATEGORIZEDGROUP_CREATIONGROUP_DELETIONGROUP_MODIFICATIONEMAIL_UNCATEGORIZEDEMAIL_TRANSACTIONEMAIL_URL_CLICKNETWORK_UNCATEGORIZEDNETWORK_FLOWNETWORK_CONNECTIONNETWORK_FTPNETWORK_DHCPNETWORK_DNSNETWORK_HTTPNETWORK_SMTPSTATUS_UNCATEGORIZEDSTATUS_HEARTBEATSTATUS_STARTUPSTATUS_SHUTDOWNSTATUS_UPDATESCAN_UNCATEGORIZEDSCAN_FILESCAN_PROCESS_BEHAVIORSSCAN_PROCESSSCAN_HOSTSCAN_VULN_HOSTSCAN_VULN_NETWORKSCAN_NETWORKSCHEDULED_TASK_UNCATEGORIZEDSCHEDULED_TASK_CREATIONSCHEDULED_TASK_DELETIONSCHEDULED_TASK_ENABLESCHEDULED_TASK_DISABLESCHEDULED_TASK_MODIFICATIONSYSTEM_AUDIT_LOG_UNCATEGORIZEDSYSTEM_AUDIT_LOG_WIPESERVICE_UNSPECIFIEDSERVICE_CREATIONSERVICE_DELETIONSERVICE_STARTSERVICE_STOPSERVICE_MODIFICATIONGENERIC_EVENTRESOURCE_CREATIONRESOURCE_DELETIONRESOURCE_PERMISSIONS_CHANGERESOURCE_READRESOURCE_WRITTENANALYST_UPDATE_VERDICTANALYST_UPDATE_REPUTATIONANALYST_UPDATE_SEVERITY_SCOREANALYST_UPDATE_STATUSANALYST_ADD_COMMENT
Sorties d'action
L'action Lister les événements fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action Lister les événements :
{
"statistics": {
"NETWORK_CONNECTION": 10
}
{
"events": [
{
"metadata": {
"eventTimestamp": "2020-09-28T14:20:00Z",
"eventType": "NETWORK_CONNECTION",
"productName": "EXAMPLE Name",
"productEventType": "NETWORK_DNS",
"ingestedTimestamp": "2020-09-28T16:28:11.615578Z"
},
"principal": {
"hostname": "user-example-pc",
"assetId": "EXAMPLE:user-example-pc",
"process": {
"pid": "1101",
"productSpecificProcessId": "EXAMPLE:32323"
}
},
"target": {
"hostname": "example.com",
"user": {
"userid": "user"
},
"process": {
"pid": "8172",
"file": {
"md5": "a219fc7fcc93890a842183388f80369e",
"fullPath": "C:\\Program Files(x86)\\adobe\\acrobat reader dc\\reader\\acrord32.exe"
},
"commandLine": "\"C:\\Program Files(x86)\\adobe\\acrobat reader dc\\reader\\acrord32.exe\" ...",
"productSpecificProcessId": "EXAMPLE:82315"
}
}
},
{
"metadata": {
"eventTimestamp": "2020-09-28T17:20:00Z",
"eventType": "NETWORK_CONNECTION",
"productName": "EXAMPLE Name",
"productEventType": "NETWORK_DNS",
"ingestedTimestamp": "2020-09-28T16:28:11.615578Z"
},
"principal": {
"hostname": "user-example-pc",
"assetId": "EXAMPLE:user-example-pc",
"process": {
"pid": "1101",
"productSpecificProcessId": "EXAMPLE:32323"
}
},
"target": {
"hostname": "example.com",
"user": {
"userid": "user"
},
"process": {
"pid": "8172",
"file": {
"md5": "a219fc7fcc93890a842183388f80369e",
"fullPath": "C:\\Program Files(x86)\\adobe\\acrobat reader dc\\reader\\acrord32.exe"
},
"commandLine": "\"C:\\Program Files(x86)\\adobe\\acrobat reader dc\\reader\\acrord32.exe\" ...",
"productSpecificProcessId": "EXAMPLE:82315"
}
}
}
],
"uri": [
"https://INSTANCE/assetResults?assetIdentifier=user-example-pc&referenceTime=2020-09-28T17%3A00%3A00Z&selectedList=AssetViewTimeline&startTime=2020-09-28T14%3A20%3A00Z&endTime=2020-09-28T20%3A20%3A00Z"
]
}
}
Messages de sortie
L'action Lister les événements fournit les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
Successfully listed related events for the following entities
from Google Chronicle:
ENTITY_IDENTIFIER |
L'action a réussi. |
Error executing action "List Events". Reason:
ERROR_REASON
|
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Error executing action "List Events". Reason: invalid event type
is provided. Please check the spelling. Supported event types:
SUPPORTED_EVENT_TYPES
|
Échec de l'action.
Vérifiez l'orthographe. |
Résultat du script
Le tableau suivant décrit les valeurs de sortie des résultats du script lorsque vous utilisez l'action Lister les événements :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Lister les IOC
Utilisez l'action Lister les IoC pour lister tous les IoC découverts dans votre entreprise au cours d'une période spécifiée.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Lister les IOC nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Start Time |
Heure de début des résultats au format ISO 8601. |
Max IoCs to Fetch |
Nombre maximal d'IoC à renvoyer.
La plage est comprise entre La valeur par défaut est |
Sorties d'action
L'action Lister les IOC fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Table du mur des cas
Colonnes :
- Domaine
- Catégorie
- Source
- Confiance
- Gravité
- Heure de l'ingestion de l'IOC
- Heure de première observation de l'IoC
- Heure de la dernière observation de l'IoC
- URI
Résultat JSON
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action Lister les IOC :
{
"matches":[
{
"artifact":{
"domainName":"www.example.com"
},
"firstSeenTime":"2018-05-25T20:47:11.048998Z",
"iocIngestTime":"2019-08-14T21:00:00Z",
"lastSeenTime":"2019-10-24T16:19:46.880830Z",
"sources":[
{
"category":"Spyware Reporting Server",
"confidenceScore":{
"intRawConfidenceScore":0,
"normalizedConfidenceScore":"Low"
},
"rawSeverity":"Medium",
"source":"Example List"
}
],
"uri":["URI"]
}
],
"moreDataAvailable":true
}
Messages de sortie
L'action List IOCs (Lister les IOC) fournit les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
Successfully listed IOCs from the provided timeframe in Google
Chronicle. |
L'action a réussi. |
Error executing action "List IOCs". Reason:
ERROR_REASON.
|
Échec de l'action.
Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant décrit les valeurs de sortie des résultats du script lorsque vous utilisez l'action Lister les IOC :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Rechercher des alertes similaires
Utilisez l'action Rechercher des alertes similaires pour rechercher des alertes similaires dans Google SecOps.
Cette action ne fonctionne qu'avec les alertes Google SecOps reçues du connecteur Chronicle Alerts.
Entrées d'action
L'action Rechercher des alertes similaires nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Time Frame |
Période spécifiée pour les résultats. Pour obtenir les meilleurs résultats, limitez autant que possible la période.
Les valeurs possibles sont les suivantes :
|
IOCs / Assets |
Obligatoire. Liste d'IoC ou d'assets séparés par une virgule à rechercher dans les alertes. L'action effectue une recherche distincte pour chaque élément fourni. |
Similarity By |
Attributs à utiliser pour trouver des alertes similaires. Les valeurs possibles sont les suivantes :
La valeur par défaut est |
Fonctionnement du paramètre "Similitude par"
Le paramètre Similarity By s'applique différemment aux alertes de règle et aux alertes externes.
Si
Alert Name, Alert Type and ProductouAlert Name, Alert Typeest sélectionné :Pour les alertes externes, l'action recherche d'autres alertes externes portant le même nom.
Pour les alertes de règle, l'action traite les alertes provenant de la même règle.
Si
Productest sélectionné :- L'action traite les alertes provenant du même produit, qu'il s'agisse d'alertes de règle ou d'alertes externes.
Par exemple, une alerte provenant de Crowdstrike ne sera mise en correspondance qu'avec d'autres alertes de Crowdstrike.
Si
Only IOCs/Assetsest sélectionné :L'action correspond aux alertes en fonction des IOC fournis dans le paramètre
IOCs/Assets. Il recherche ces indicateurs dans les alertes basées sur des règles et les alertes externes.Une alerte d'IOC ne peut exécuter cette action que si cette option est sélectionnée. Si une autre option est fournie, l'action est définie par défaut sur
Only IOCs/Assets.
L'action Rechercher des alertes similaires est un outil polyvalent pour analyser les alertes. Il permet aux analystes de corréler les alertes de la même période et d'extraire les IOC pertinents pour déterminer si un incident est un vrai positif.
Sorties d'action
L'action Rechercher des alertes similaires fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Disponible |
| Table du mur des cas | Disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action Rechercher des alertes similaires :
{
"count": 123,
"distinct": [
{
"first_seen": "time of the first alert that matched our conditions",
"last_seen": "time of the last alert that matched our conditions",
"product_name": "product name",
"used_ioc_asset": "what user provided in the parameter IOCs and Assets",
"name": "Alert Name/Rule Name",
"hostnames": "csv list of unique hostnames that were found in alerts",
"urls": "csv list of unique urls that were found in alerts",
"ips": "csv list of unique ips that were found in alerts",
"subjects": "csv list of unique subjects that were found in alerts",
"users": "csv list of unique users that were found in alerts",
"email_addresses": "csv list of unique email_addresses that were found in alerts",
"hashes": "csv list of unique hashes that were found in alerts",
"processes": "csv list of unique processes that were found in alerts"
"rule_urls": ["Chronicle URL from API response for Rule"]
"count": 123
}
],
"processed_alerts": 10000,
"run_time": "how long it took to run the action or at least API request",
"EXTERNAL_url": "Chronicle URL from API response for EXTERNAL"
}
Messages de sortie
L'action Rechercher des alertes similaires fournit les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Lookup Similar Alerts". Reason:
ERROR_REASON
|
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Error executing action "Lookup Similar Alerts". Reason: all of the
retries are exhausted. Please wait for a minute and try again.
|
Échec de l'action. Patientez une minute avant de relancer l'action. |
Résultat du script
Le tableau suivant décrit les valeurs de la sortie du résultat du script lorsque vous utilisez l'action Rechercher des alertes similaires :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Table du mur des cas
Nom de la table : IOC/ASSET_IDENTIFIER
Colonnes du tableau :
- Produit
- Noms d'hôte
- Adresses IP
- Utilisateurs
- Adresses e-mail
- Sujets
- URL
- Hachages
- Processus
- Première diffusion
- Dernière connexion
- Nom de l'alerte
- Général
Lien vers le mur des cas
L'action Rechercher des alertes similaires peut renvoyer les liens suivants :
- CBN : GENERATED_LINK_BASED_ON_IU_ROOT_URL
- Règle : GENERATED_LINK_BASED_ON_IU_ROOT_URL
Ping
Utilisez l'action Ping pour tester la connectivité à Google SecOps.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
Aucun
Sorties d'action
L'action Ping fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Non disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Messages de sortie
L'action Ping fournit les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
Successfully connected to the Google Chronicle backstory with the
provided connection parameters! |
L'action a réussi. |
Failed to connect to the Google Chronicle backstory. Error is
ERROR_REASON
|
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant décrit les valeurs de la sortie des résultats du script lorsque vous utilisez l'action Ping :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Supprimer des lignes d'un tableau de données
Utilisez l'action Supprimer des lignes d'un tableau de données pour supprimer des lignes d'un tableau de données dans Google SecOps.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Supprimer des lignes du tableau de données nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Data Table Name |
Obligatoire. Nom à afficher du tableau de données à mettre à jour. |
Rows |
Obligatoire. Liste d'objets JSON utilisés pour rechercher et supprimer des lignes. Seules les colonnes valides doivent être incluses. La valeur par défaut est la suivante : |
Sorties d'action
L'action Supprimer des lignes du tableau de données fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action Supprimer des lignes du tableau de données :
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table/dataTableRows/840d18a85944833e1b97ed6d2fb11377",
"values": {
"columnName1": "asda",
"columnName2": "asdasd",
"columnName3": "zxczxc"
},
"createTime": "2025-05-14T12:52:51.908143Z",
"updateTime": "2025-05-14T12:52:51.908143Z"
}
Messages de sortie
L'action Supprimer des lignes du tableau de données fournit les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
Successfully removed rows from the data table
DATA_TABLE_NAME in
Google SecOps.
|
L'action a réussi. |
Error executing action "Remove Rows From Data Table". Reason:
ERROR_REASON
|
Échec de l'action.
Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant décrit les valeurs du résultat du script lorsque vous utilisez l'action Supprimer des lignes de la table de données :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Supprimer des valeurs de la liste de référence
Utilisez l'action Supprimer des valeurs de la liste de référence pour supprimer des valeurs d'une liste de référence dans Google SecOps.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Supprimer des valeurs de la liste de référence nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Reference List Name |
Obligatoire. Nom de la liste de références à mettre à jour. |
Values |
Obligatoire. Liste de valeurs à supprimer de la liste de référence, séparées par une virgule. |
Sorties d'action
L'action Supprimer des valeurs de la liste de référence fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action Remove Values From Reference List (Supprimer des valeurs de la liste de référence) avec l'API Backstory :
{
"name": "list_name",
"description": "description of the list",
"lines": [
"192.0.2.0/24",
"198.51.100.0/24"
],
"create_time": "2020-11-20T17:18:20.409247Z",
"content_type": "CIDR"
}
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action Remove Values From Reference List (Supprimer des valeurs de la liste de référence) avec l'API Chronicle :
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/referenceLists/<var class="readonly">REFERENCE_LIST_NAME</var>' }}",
"displayName": "REFERENCE_LIST_NAME",
"revisionCreateTime": "2025-01-16T09:15:21.795743Z",
"description": "Test reference list",
"entries": [
{
"value": "example.com"
},
{
"value": "exampledomain.com"
}
],
"syntaxType": "REFERENCE_LIST_SYNTAX_TYPE_PLAIN_TEXT_STRING",
"scopeInfo": {
"referenceListScope": {}
},
"createTime": "2025-01-16T09:15:21.795743Z",
"lines": [
"example.com",
"exampledomain.com"
]
}
Messages de sortie
L'action Supprimer des valeurs de la liste de référence fournit les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
Successfully removed values from the reference list.
|
L'action a réussi. |
Error executing action "Remove Values From Reference List". Reason:
ERROR_REASON
|
Échec de l'action.
Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant décrit les valeurs de la sortie des résultats du script lorsque vous utilisez l'action Remove Values From Reference List (Supprimer des valeurs de la liste de référence) :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Connecteurs
Pour en savoir plus sur la configuration des connecteurs dans Google SecOps, consultez Ingérer vos données (connecteurs).
Google Chronicle – Connecteur d'alertes Chronicle
Utilisez le connecteur Google Chronicle – Chronicle Alerts pour extraire des informations sur les alertes basées sur des règles depuis Google SecOps SIEM.
Ce connecteur peut être filtré à l'aide d'une liste dynamique.
Présentation
Le connecteur Google Chronicle – Chronicle Alerts ingère plusieurs types d'alertes provenant de Google SecOps SIEM.
Voici les principales caractéristiques et les détails opérationnels :
Elle interroge les données sur une période d'une semaine.
Pour éviter de manquer des alertes en raison de retards d'indexation, vous pouvez configurer une période de marge et augmenter le délai avant expiration du connecteur. Toutefois, une marge importante peut avoir un impact négatif sur les performances.
Le connecteur utilise des listes dynamiques pour une configuration flexible.
Il fournit un
Fallback Severitypour les alertes qui ne comportent pas de valeur de gravité.Pour ingérer des IoC, une règle de détection correspondante doit être créée dans Google SecOps SIEM. Elle génère des alertes en fonction des IoC.
Filtre de liste dynamique
La liste dynamique permet de filtrer les alertes directement depuis la page de configuration du connecteur.
Logique de l'opérateur
La liste dynamique utilise une combinaison de logique AND et OR pour traiter les règles de filtrage :
Logique OU : les valeurs sur la même ligne, séparées par une virgule, sont traitées avec la logique OU (par exemple,
Rule.severity = low,mediumsignifie gravitélowOUmedium).Logique AND : chaque ligne distincte de la liste dynamique est traitée avec la logique AND (par exemple, une ligne pour
Rule.severityet une ligne pourRule.ruleNamesignifieseverityANDruleName).Les opérateurs acceptés (
=,!=,>,<,>=,<=) varient en fonction de la clé de filtre.
Voici des exemples d'utilisation des règles d'opérateur :
- Rule.severity = medium : le connecteur n'ingère que les alertes de règles de gravité moyenne.
- Rule.severity = low,medium : le connecteur n'ingère que les alertes de règles de gravité moyenne ou faible.
- Rule.ruleName = default_rule : le connecteur n'ingère que les alertes de règles portant le nom
default_rule.
Filtres acceptés
Le connecteur Chronicle Alerts permet de filtrer les clés suivantes :
| Clé de filtre | Clé de réponse | Opérateurs | Valeurs possibles |
|---|---|---|---|
Rule.severity |
detection, ruleLabels ou severity |
=, !=, >, <,
>=, <= |
Les valeurs ne sont pas sensibles à la casse. |
Rule.ruleName |
detection ou ruleName |
=, != |
Défini par l'utilisateur. |
Rule.ruleID |
detection ou ruleId |
=, != |
Défini par l'utilisateur. |
Rule.ruleLabels.{key} |
detection ou ruleLabels |
=, != |
Défini par l'utilisateur. |
Gérer ruleLabels
Pour filtrer sur un libellé spécifique dans une règle, utilisez le format Rule.ruleLabels.{key}.
Par exemple, pour filtrer les résultats à l'aide d'un libellé dont la clé est type et la valeur suspicious_behaviour, l'entrée de la liste dynamique doit être la suivante :
Rule.ruleLabels.type=suspicious_behaviour
Entrées du connecteur
Le connecteur Chronicle Alerts nécessite les paramètres suivants :
La valeur par défaut est Medium.
| Paramètre | Description |
|---|---|
Product Field Name |
Obligatoire. Nom du champ dans lequel le nom du produit est stocké. Le nom du produit a principalement un impact sur le mappage. Pour simplifier et améliorer le processus de mappage du connecteur, la valeur par défaut est résolue en une valeur de remplacement référencée dans le code. Toute entrée non valide pour ce paramètre est résolue en une valeur de remplacement par défaut. La valeur par défaut est |
Event Field Name |
Obligatoire. Nom du champ qui détermine le nom (sous-type) de l'événement. |
Environment Field Name |
Facultatif. Nom du champ dans lequel le nom de l'environnement est stocké. Si le champ "environment" (environnement) est manquant, le connecteur utilise la valeur par défaut. La valeur par défaut est |
Environment Regex Pattern |
Facultatif. Modèle d'expression régulière à exécuter sur la valeur trouvée dans le champ Utilisez la valeur par défaut Si le modèle d'expression régulière est nul ou vide, ou si la valeur d'environnement est nulle, le résultat final de l'environnement est l'environnement par défaut. |
Script Timeout (Seconds) |
Obligatoire. Délai limite, en secondes, pour le processus Python qui exécute le script actuel. La valeur par défaut est |
API Root |
Obligatoire. Racine de l'API de l'instance Google SecOps SIEM. Google SecOps fournit des points de terminaison régionaux pour chaque API, par exemple Contactez Cloud Customer Care pour savoir quel point de terminaison utiliser. La valeur par défaut est |
User's Service Account |
Obligatoire. Contenu JSON complet du compte de service utilisé pour l'authentification. |
Fallback Severity |
Obligatoire. Gravité par défaut à utiliser si l'alerte de Google SecOps SIEM n'inclut pas de valeur de gravité. Les valeurs possibles sont les suivantes :
|
Max Hours Backwards |
Facultatif. Nombre d'heures avant la première exécution du connecteur à partir desquelles récupérer les incidents. Ce paramètre ne s'applique qu'une seule fois. La valeur maximale est de La valeur par défaut est |
Max Alerts To Fetch |
Facultatif. Nombre d'alertes à traiter à chaque itération du connecteur. La valeur par défaut est |
Disable Event Splitting |
Facultatif. Si cette option est sélectionnée, le connecteur ne divise pas les événements d'origine en plusieurs parties, ce qui garantit que le nombre d'événements correspond entre la source et Google SecOps SOAR. Cette option n'est pas activée par défaut. |
Verify SSL |
Obligatoire. Si cette option est sélectionnée, l'intégration valide le certificat SSL lors de la connexion au serveur Google SecOps SIEM. Cette option est activée par défaut. |
Proxy Server Address |
Facultatif. Adresse du serveur proxy à utiliser. |
Proxy Username |
Facultatif. Nom d'utilisateur du proxy pour l'authentification. |
Proxy Password |
Facultatif. Mot de passe du proxy pour l'authentification. |
Disable Overflow |
Facultatif. Si cette option est sélectionnée, le connecteur ignore le mécanisme de dépassement de capacité Google SecOps. Cette option n'est pas activée par défaut. |
Règles du connecteur
Le connecteur Google Chronicle – Chronicle Alerts est compatible avec les proxys.
Événements de connecteur
Le connecteur d'alertes Chronicle Google Chronicle traite trois types d'événements provenant de Google SecOps SIEM.
Alertes basées sur des règles
Ce type d'événement est généré par une règle de détection dans Google SecOps SIEM.
{
"alert_type": "RULE",
"event_type": "NETWORK_DHCP",
"type": "RULE_DETECTION",
"detection": [
{
"ruleName": "d3_test",
"urlBackToProduct": "https://INSTANCE/ruleDetections?ruleId=ru_74dd17e2-5aad-4053-acd7-958bead014f2&selectedList=RuleDetectionsViewTimeline&selectedParentDetectionId=de_b5dadaf4-b398-325f-9f09-833b71b3ffbb&selectedTimestamp=2022-02-08T05:02:36Z&versionTimestamp=2020-11-19T18:19:11.951951Z",
"ruleId": "ru_74dd17e2-5aad-4053-acd7-958bead014f2",
"ruleVersion": "ru_74dd17e2-5aad-4053-acd7-958bead014f2@v_1605809951_951951000",
"alertState": "NOT_ALERTING",
"ruleType": "SINGLE_EVENT",
"ruleLabels": [
{
"key": "author",
"value": "analyst123"
},
{
"key": "description",
"value": "8:00 AM local time"
},
{
"key": "severity",
"value": "Medium"
}
]
}
],
"createdTime": "2022-02-08T06:07:33.944951Z",
"id": "de_b5dadaf4-b398-325f-9f09-833b71b3ffbb",
"timeWindow": {
"startTime": "2022-02-08T05:02:36Z",
"endTime": "2022-02-08T05:02:36Z"
},
"collectionElements": [
{
"references": [
{
"event": {
"metadata": {
"eventTimestamp": "2022-02-08T05:02:36Z",
"eventType": "NETWORK_DHCP",
"productName": "Infoblox DHCP",
"ingestedTimestamp": "2022-02-08T05:03:03.892234Z"
},
"principal": {
"ip": [
"198.51.100.255",
"198.51.100.1"
],
"mac": [
"01:23:45:ab:cd:ef"
],
"email_address": [
"example@example.com"
]
},
"target": {
"hostname": "dhcp_server",
"ip": [
"198.51.100.0",
"198.51.100.1"
]
},
"network": {
"applicationProtocol": "DHCP",
"dhcp": {
"opcode": "BOOTREQUEST",
"ciaddr": "198.51.100.255",
"giaddr": "198.51.100.0",
"chaddr": "01:23:45:ab:cd:ef",
"type": "REQUEST",
"clientHostname": "example-user-pc",
"clientIdentifier": "AFm/LDfjAw=="
}
}
}
}
],
"label": "e"
}
],
"detectionTime": "2022-02-08T05:02:36Z"
}
Alertes externes
Ce type d'événement est basé sur une alerte externe ingérée dans Google SecOps SIEM.
{
"alert_type": "External",
"event_type": "GENERIC_EVENT",
"name": "Authentication failure [32038]",
"sourceProduct": "Internal Alert",
"severity": "Medium",
"timestamp": "2020-09-30T18:03:34.898194Z",
"rawLog": "U2VwIDMwIDE4OjAzOjM0Ljg5ODE5NCAxMC4wLjI5LjEwOSBBdXRoZW50aWNhdGlvbiBmYWlsdXJlIFszMjAzOF0=",
"uri": [
"https://INSTANCE/assetResults?assetIdentifier=198.51.100.109&namespace=[untagged]&referenceTime=2020-09-30T18%3A03%3A34.898194Z&selectedList=AssetViewTimeline&startTime=2020-09-30T17%3A58%3A34.898194Z&endTime=2020-09-30T18%3A08%3A34.898194Z&selectedAlert=-610875602&selectedEventTimestamp=2020-09-30T18%3A03%3A34.898194Z"
],
"event": {
"metadata": {
"eventTimestamp": "2020-09-30T18:03:34.898194Z",
"eventType": "GENERIC_EVENT",
"productName": "Chronicle Internal",
"ingestedTimestamp": "2020-09-30T18:03:34.991592Z"
},
"target": [
{
"ip": [
"198.51.100.255",
"198.51.100.1"
]
}
],
"securityResult": [
{
"summary": "Authentication failure [32038]",
"severityDetails": "Medium"
}
]
}
}
Alertes IoC
Ce type d'événement correspond à une liste prédéfinie d'IoC.
{
"alert_type": "IOC",
"event_type": "IOC Alert",
"artifact": {
"domainName": "example.com"
},
"sources": [
{
"source": "Example List",
"confidenceScore": {
"normalizedConfidenceScore": "Low",
"intRawConfidenceScore": 0
},
"rawSeverity": "High",
"category": "Malware Command and Control Server"
}
],
"iocIngestTime": "2020-09-07T11:00:00Z",
"firstSeenTime": "2018-10-03T00:01:59Z",
"lastSeenTime": "2022-02-04T20:02:29.191Z",
"uri": [
"https://INSTANCE/domainResults?domain=example.com&selectedList=DomainViewDistinctAssets&whoIsTimestamp=2022-02-08T15%3A08%3A52.434022777Z"
]
}
Structure des alertes
Le tableau suivant décrit comment le connecteur Google Chronicle – Chronicle Alerts remplit les attributs d'une alerte dans Google SecOps. Pour plus de clarté, les attributs des alertes sont regroupés par origine et par type d'alerte.
Attributs générés en interne
Ces attributs sont générés par le framework et sont cohérents pour tous les types d'alertes.
| Nom de l'attribut d'alerte | Source |
|---|---|
SourceSystemName |
Généré en interne par le framework. |
TicketId |
La valeur est extraite du fichier ids.json. |
DisplayId |
Générée automatiquement. |
Attributs pour tous les types d'alertes
Ces attributs sont dérivés de l'alerte source, mais leur clé source varie en fonction du type d'alerte.
| Nom de l'attribut d'alerte | Source |
|---|---|
Priority |
Extrait de la réponse de l'API ou du paramètre Fallback Severity. |
DeviceVendor |
La valeur codée en dur est Google Chronicle. |
DeviceProduct |
Valeur codée en dur qui dépend du type d'alerte : RULE pour les alertes de détection de règles, IOC pour les correspondances d'IOC ou EXTERNAL pour les alertes externes. |
Description |
Pour les alertes basées sur des règles, cette information provient de detection/ruleLabels/description (si elle existe). Non disponible pour les autres types d'alertes. |
Reason |
Non disponible. |
SourceGroupingIdentifier |
Non disponible. |
Chronicle Alert - Attachments |
Non disponible. |
Types d'alertes spécifiques
Ces attributs sont spécifiques à l'origine de l'alerte, ce qui permet de comprendre plus facilement comment chacun est renseigné.
| Nom de l'attribut d'alerte | Alertes basées sur des règles | Alertes basées sur les IOC | Alertes externes |
|---|---|---|---|
Name |
detection/ruleName |
IOC Alert (codé en dur) |
alertInfos/name |
RuleGenerator |
detection/ruleName |
IOC Alert (codé en dur) |
alertInfos/name |
StartTime et EndTime |
timeWindow ou startTime |
lastSeenTime |
timestamp |
Chronicle Alert - Extensions |
rule_id (ruleId), product_name (CSV d'un événement ou de métadonnées, ou valeur productName) |
Non applicable | alert_name (name), product_name (CSV d'un événement ou de métadonnées UDM, ou valeur productName) |
Obsolète : connecteur d'alertes Google Chronicle
Ce connecteur extrait les alertes d'assets de Google SecOps SIEM et les convertit en alertes Google SecOps SIEM.
Vous pouvez vous authentifier à l'aide de la bibliothèque Google avec google.oauth2.service_account et AuthorizedSession.
Ce connecteur nécessite l'API Google SecOps SIEM Search.
Entrées du connecteur
Le
| Paramètre | Description |
|---|---|
Product Field Name |
Obligatoire.
Nom du champ dans lequel le nom du produit est stocké. Le nom du produit a principalement un impact sur le mappage. Pour simplifier et améliorer le processus de mappage du connecteur, la valeur par défaut est résolue en une valeur de remplacement référencée dans le code. Toute entrée non valide pour ce paramètre est résolue en une valeur de remplacement par défaut. La valeur par défaut est |
Environment Field Name |
Facultatif. Nom du champ dans lequel le nom de l'environnement est stocké. Si le champ "environment" (environnement) est manquant, le connecteur utilise la valeur par défaut. La valeur par défaut est |
Environment Regex Pattern |
Facultatif. Modèle d'expression régulière à exécuter sur la valeur trouvée dans le champ Utilisez la valeur par défaut Si le modèle d'expression régulière est nul ou vide, ou si la valeur d'environnement est nulle, le résultat final de l'environnement est l'environnement par défaut. |
Script Timeout (Seconds) |
Obligatoire. Délai limite, en secondes, pour le processus Python qui exécute le script actuel. La valeur par défaut est |
Service Account Credentials |
Obligatoire. Contenu du fichier JSON du compte de service. |
Fetch Max Hours Backwards |
Facultatif. Nombre d'heures avant la première exécution du connecteur à partir desquelles récupérer les incidents. Ce paramètre ne s'applique qu'une seule fois. La valeur maximale est de La valeur par défaut est |
Obsolète : connecteur Google Chronicle – IoC
Utilisez plutôt le connecteur Chronicle Alerts.
Ce connecteur extrait les correspondances de domaine d'IOC de Google SecOps SIEM et les convertit en alertes Google SecOps SIEM.
Vous pouvez vous authentifier à l'aide de la bibliothèque Google avec google.oauth2.service_account et AuthorizedSession.
Ce connecteur utilise l'API Google SecOps SIEM Search.
Entrées du connecteur
Le connecteur Google Chronicle – IoCs nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Product Field Name |
Obligatoire.
Nom du champ dans lequel le nom du produit est stocké. Le nom du produit a principalement un impact sur le mappage. Pour simplifier et améliorer le processus de mappage du connecteur, la valeur par défaut est résolue en une valeur de remplacement référencée dans le code. Toute entrée non valide pour ce paramètre est résolue en une valeur de remplacement par défaut. La valeur par défaut est |
Environment Field Name |
Facultatif. Nom du champ dans lequel le nom de l'environnement est stocké. Si le champ "environment" (environnement) est manquant, le connecteur utilise la valeur par défaut. La valeur par défaut est |
Environment Regex Pattern |
Facultatif. Modèle d'expression régulière à exécuter sur la valeur trouvée dans le champ Utilisez la valeur par défaut Si le modèle d'expression régulière est nul ou vide, ou si la valeur d'environnement est nulle, le résultat final de l'environnement est l'environnement par défaut. |
Script Timeout (Seconds) |
Obligatoire. Délai limite, en secondes, pour le processus Python qui exécute le script actuel. La valeur par défaut est |
Service Account Credentials |
Obligatoire. Contenu du fichier JSON du compte de service. |
Fetch Max Hours Backwards |
Facultatif. Nombre d'heures avant la première exécution du connecteur à partir desquelles récupérer les alertes. Ce paramètre ne s'applique qu'une seule fois. La valeur maximale est de La valeur par défaut est |
Max Alerts To Fetch |
Facultatif. Nombre maximal d'alertes à traiter à chaque itération du connecteur. La valeur par défaut est |
| Champ suivi | Champ synchronisé |
|---|---|
Priority |
Priority |
Status |
Status |
Title |
Title |
| Non applicable | Stage |
| Non applicable | Google SecOps Case ID |
| Non applicable | Google SecOps Case ID |
L'ID de demande Google SecOps est un identifiant unique dans Google SecOps SOAR et Google SecOps SIEM.
La tâche Synchroniser les données Google Chronicle suit et synchronise les champs suivants pour les alertes :
| Champ suivi | Champ synchronisé |
|---|---|
Priority |
Priority |
Status |
Status |
Case ID |
Non applicable |
| Non applicable | Google SecOps Alert ID |
| Non applicable | Google SecOps Case ID |
| Non applicable | Verdict |
| Non applicable | Closure Comment |
| Non applicable | Closure Reason |
| Non applicable | Closure Root Cause |
| Non applicable | Usefulness |
L'ID d'alerte Google SecOps est un identifiant d'alerte unique dans Google SecOps SOAR.
Lors d'une itération, le job synchronise jusqu'à 1 000 demandes et 1 000 alertes. La synchronisation a lieu dans l'environnement Google Security Operations SOAR spécifié dans la configuration de la tâche. Le mécanisme de synchronisation garantit qu'une demande provenant de l'environnement spécifié ne peut pas être synchronisée avec un autre environnement.
Configurer le job de données Google Chronicle Sync
Ce job ne synchronise que les cas Google SecOps SOAR ingérés à partir de Google SecOps SIEM.
Assurez-vous d'avoir effectué les étapes préalables avant de configurer le job.
Pour configurer le job Synchroniser les données Google Chronicle, procédez comme suit :
Dans la section Paramètres, configurez les paramètres suivants :
Paramètre Description EnvironmentObligatoire.
Nom de l'environnement créé dans Google SecOps SOAR où vous souhaitez synchroniser les demandes et les alertes.
API RootObligatoire.
Racine de l'API de l'instance Google SecOps SIEM.
Google SecOps fournit des points de terminaison régionaux pour chaque API.
Par exemple,
https://europe-backstory.googleapis.comouhttps://asia-southeast1-backstory.googleapis.com.Si vous ne savez pas quel point de terminaison utiliser, [contactez l'Cloud Customer Care](/chronicle/docs/getting-support).
La valeur par défaut est
https://backstory.googleapis.com.User's Service AccountObligatoire.
Le contenu du fichier JSON du compte de service de votre instance Google SecOps SIEM.
Max Hours BackwardsFacultatif.
Nombre d'heures à partir desquelles récupérer les alertes. N'utilisez que des nombres positifs. Si vous saisissez 0 ou un nombre négatif, une erreur est signalée. Si ce paramètre est vide, le job utilise la valeur par défaut.
La valeur par défaut est
24.Verify SSLObligatoire.
Si cette option est sélectionnée, Google SecOps vérifie que le certificat SSL permettant de se connecter au serveur Google SecOps SIEM est valide. Nous vous recommandons de sélectionner cette option.
Cette option est sélectionnée par défaut.
Le job Synchroniser les données Google Chronicle est activé par défaut. Lorsque vous enregistrez le job correctement configuré, il commence immédiatement à synchroniser les données avec Google SecOps SIEM. Pour désactiver le job, basculez le bouton à côté de son nom.
Pour terminer la configuration, cliquez sur Enregistrer.
Si le bouton Enregistrer est inactif, assurez-vous d'avoir défini tous les paramètres obligatoires.
Facultatif : Pour exécuter le job immédiatement après l'avoir enregistré, cliquez sur Exécuter maintenant.
L'option Exécuter maintenant vous permet de déclencher une seule exécution de job qui synchronise les données actuelles des alertes et des demandes Google SecOps SOAR avec Google SecOps SIEM.
Messages de journal
Le tableau suivant répertorie les messages de journaux possibles pour le job Synchronisation des données Google Chronicle :
| Entrée de journal | Type | Description |
|---|---|---|
Unable to parse credentials as JSON. Please validate creds.
|
Erreur | Le compte de service fourni dans le paramètre User's Service Account est corrompu. |
"Max Hours Backwards" parameter must be a positive number. |
Erreur | Le paramètre Max Hours backwards est défini sur 0 ou sur un nombre négatif. |
Current platform version does not support SDK methods designed for
Google SecOps. Please use version 6.1.33 or higher. |
Erreur | La version actuelle de l'instance de la plate-forme Google SecOps n'est pas compatible avec l'exécution du script de tâche de synchronisation des données Chronicle. Cela signifie que la version de compilation de l'instance est antérieure à la version 6.1.33. |
Unable to connect to Google SecOps, please validate
your credentials: CREDENTIALS |
Erreur | Les valeurs du compte de service ou de la racine de l'API n'ont pas pu être validées par rapport à l'instance Google SecOps SIEM. Cette erreur est signalée en cas d'échec du test de connectivité. |
--- Start Processing Updated Cases --- |
Infos | La boucle de traitement des demandes a commencé à s'exécuter. |
Last success time. Date time:DATE_AND_TIME.
Unix:UNIX_EPOCH_TIME
|
Infos | Code temporel de la dernière exécution de script réussie pour les demandes ou les alertes :
|
Key: "DATABASE_KEY" does not exist in the
database. Returning default
value instead: DEFAULT_VALUE |
Infos | La clé de base de données de l'alerte ou de la demande en attente n'existe pas dans la base de données. Cette entrée de journal apparaît toujours lors de la première exécution du script. |
Failed to parse data as JSON. Returning default value instead:
"DEFAULT_VALUE. ERROR:
ERROR |
Erreur | La valeur récupérée de la base de données n'est pas un format JSON valide. |
Exception was raised from the database. ERROR:
ERROR. |
Erreur | Un problème de connexion à la base de données est survenu. |
|
Infos | Les ID des cas ou des alertes en attente ont bien été récupérés dans le backlog. CASE_IDS correspond au nombre de demandes apportées. |
|
Erreur | Le nombre d'ID d'alertes ou de demandes en attente récupérés dans la base de données est supérieur à la limite (1 000). Tous les ID qui dépassent la limite sont ignorés. Cette erreur peut indiquer une éventuelle corruption de la base de données. |
|
Infos | Les ID de cas ou d'alerte récemment mis à jour ont bien été récupérés depuis la plate-forme. |
|
Infos | La mise à jour des cas et des alertes dans l'instance Google SecOps SIEM a commencé. |
|
Erreur | Le cas ou l'alerte spécifiés ne peuvent pas être synchronisés avec Google SecOps SIEM. |
|
Infos | La demande ou l'alerte en attente spécifiée a atteint la limite de tentatives de synchronisation (5) et n'est pas réinsérée dans le backlog. |
|
Infos | Liste des ID d'alertes ou de demandes qui ne peuvent pas être synchronisés avec Google SecOps SIEM. |
Updated External Case IDs for the following cases:
CASE_IDS |
Infos | Liste des requêtes pour lesquelles le job a mis à jour l'ID de requête externe Google SecOps SIEM correspondant dans la plate-forme Google SecOps SOAR. |
Failed to update external ids. |
Erreur | Entrée de journal indiquant qu'un problème lié à la méthode ou à la connexion du SDK a empêché la mise à jour des ID de demandes externes sur la plate-forme. |
|
Erreur | Entrée de journal indiquant qu'une certaine erreur de fin a empêché la boucle de traitement des demandes ou des alertes de se terminer naturellement. La trace de pile est imprimée après ce journal avec l'erreur spécifique. |
|
Infos | La boucle de traitement des demandes et des alertes est terminée, soit naturellement, soit avec une erreur. |
|
Erreur | Liste des ID d'alertes ou d'affaires ayant échoué et dont le nombre de tentatives est inférieur ou égal à 5, à réécrire dans le backlog. |
|
Infos | L'étape de traitement de la demande et de l'alerte est terminée. |
Saving timestamps. |
Infos | Enregistrement des codes temporels de la dernière mise à jour réussie des cas et des alertes dans la base de données. |
Saving pending ids. |
Infos | Enregistrement des ID de demandes et d'alertes en attente dans la base de données. |
Got exception on main handler. Error:
ERROR_REASON |
Erreur | Une erreur de résiliation générale s'est produite. La trace de pile est imprimée après ce journal avec l'erreur spécifique. |
Poste de créateur d'alertes Google Chronicle
Le job Google Chronicle Alerts Creator nécessite la version 6.2.30 ou ultérieure de la plate-forme Google SecOps.
Ce job crée toutes les alertes de Google SecOps SOAR vers Google SecOps SIEM, y compris les alertes de dépassement. Le job Google Chronicle Alerts Creator ne réplique pas les alertes provenant de Google SecOps.
Le job Google Chronicle Alerts Creator interroge la plate-forme SOAR à l'aide du SDK Python pour les alertes non synchronisées. Le job envoie des alertes non synchronisées au SIEM individuellement. Le SIEM met à jour et renvoie les identifiants des alertes SIEM correspondantes, et SOAR enregistre les identifiants à l'aide de l'API de la plate-forme SOAR via le SDK Python.
Relation entre les jobs Google Chronicle
Un système Google SecOps complet exécute simultanément les trois composants suivants :
- Connecteur Chronicle Alerts
- Job Synchroniser les données Google Chronicle
- Tâche Google Chronicle Alerts Creator
Le job Synchroniser les données Google Chronicle crée et synchronise les demandes. Il synchronise également les modifications apportées aux demandes et aux alertes, comme les changements de priorité.
Le job Google Chronicle Alerts Creator génère toutes les alertes, à l'exception des alertes SIEM. Le job Synchroniser les données Google Chronicle envoie des informations sur les alertes non synchronisées après que le job Créateur d'alertes Google Chronicle a créé les alertes.
Synchronisation des données des cas et des alertes
Les cas sont synchronisés de la même manière qu'avec le job de données Google Chronicle Sync.
Dans Google SecOps SIEM, chaque alerte est identifiée par un identifiant d'alerte SIEM. Les alertes SOAR peuvent adopter un identifiant SIEM dans deux cas :
Une alerte est générée dans le SIEM.
Cette alerte existe déjà dans Google SecOps SIEM. Il n'est donc pas nécessaire de la dupliquer. Le connecteur renseigne le champ
siem_alert_id.Une alerte est générée dans les connecteurs tiers.
Cette alerte n'existe pas dans Google SecOps SIEM et nécessite l'exécution d'une opération de synchronisation explicite dont le job Google Chronicle Alerts Creator est responsable. Une fois l'opération de synchronisation terminée, l'alerte acquiert un nouvel identifiant SIEM.
Configurer le job Google Chronicle Alerts Creator
Assurez-vous d'avoir effectué les étapes préalables avant de configurer le job.
Pour configurer le job Google Chronicle Alerts Creator, procédez comme suit :
Configurez les paramètres du job à partir du tableau suivant :
Paramètre Description EnvironmentObligatoire.
Nom de l'environnement créé dans Google SecOps SOAR où vous souhaitez synchroniser les demandes et les alertes.
API RootObligatoire.
Racine de l'API de l'instance Google SecOps SIEM.
Google SecOps fournit des points de terminaison régionaux pour chaque API.
Par exemple,
https://europe-backstory.googleapis.comouhttps://asia-southeast1-backstory.googleapis.com.Si vous ne savez pas quel point de terminaison utiliser, [contactez l'Cloud Customer Care](/chronicle/docs/getting-support).
La valeur par défaut est
https://backstory.googleapis.com.User's Service AccountObligatoire.
Le contenu du fichier JSON du compte de service de votre instance Google SecOps SIEM.
Verify SSLObligatoire.
Si cette option est sélectionnée, Google SecOps vérifie que le certificat SSL permettant de se connecter au serveur Google SecOps SIEM est valide. Nous vous recommandons de sélectionner cette option.
Cette option est sélectionnée par défaut.
Pour terminer la configuration, cliquez sur Enregistrer.
Si le bouton Enregistrer est inactif, assurez-vous d'avoir défini tous les paramètres obligatoires.
Facultatif : Pour exécuter le job immédiatement après l'avoir enregistré, cliquez sur Exécuter maintenant.
L'option Exécuter maintenant vous permet de déclencher une seule exécution de job qui synchronise les données actuelles des alertes et des demandes Google SecOps SOAR avec Google SecOps SIEM.
Messages de journaux et gestion des exceptions
| Journal | Niveau | Description |
|---|---|---|
|
ERREUR | Le compte de service fourni dans le paramètre "Compte de service de l'utilisateur" est corrompu. |
|
ERREUR | La version actuelle de l'instance de la plate-forme Google SecOps ne permet pas l'exécution du script de job Google Chronicle Alerts Creator. Cette erreur signifie que la version du build de l'instance est antérieure à la version 6.2.30. |
|
ERREUR | Les valeurs du compte de service ou de la racine de l'API ne peuvent pas être validées par rapport à l'instance Google SecOps SIEM. Cette erreur est signalée en cas d'échec du test de connectivité. |
|
INFO | Message de journal indiquant que le job a démarré. |
|
INFO | Message de journal indiquant que la fonction principale a démarré. |
|
INFO | Message de journal indiquant le numéro d'itération de la tentative consécutive actuelle. |
|
INFO | Message de journal indiquant que le code ne récupère pas plus de BATCH_SIZE nouvelles alertes à partir de SOAR. |
|
INFO | Message de journal indiquant que les alertes SOAR NUMBER_OF_NEW_ALERTS ont été récupérées. |
|
INFO | Message de journal indiquant qu'aucune nouvelle alerte SOAR n'a été trouvée et que le job s'arrête. |
|
INFO | Message de journal indiquant que le job a récupéré les alertes SOAR avec les identifiants suivants dans la liste des ID. Vous pouvez utiliser ces informations pour suivre la progression du job et résoudre les problèmes liés au code. |
|
INFO | Message de journal indiquant que le job distribue des alertes SOAR à SIEM. |
|
ERREUR | Message de journal indiquant que l'alerte n'a pas été créée correctement dans le SIEM en raison d'une erreur. |
|
INFO | Message de journal indiquant que le job met à jour SOAR avec la réponse SIEM. |
|
AVERTISSEMENT | Indique que SOAR n'a pas pu mettre à jour l'état de la synchronisation des alertes. |
|
INFO | Message du journal indiquant qu'un total de total_synced alertes ont été synchronisées lors de l'exécution actuelle. |
|
INFO | Message de journal indiquant que le job est terminé. |
|
ERREUR | Message de journal indiquant qu'une exception s'est produite dans la fonction principale. Le message d'exception est inclus dans le message du journal. |
Cas d'utilisation
L'intégration de Google Chronicle vous permet d'exécuter les cas d'utilisation suivants :
- Enquête et réponse aux menaces Windows dans Chronicle
- Security Command Center et Chronicle Cloud DIR
Installer le cas d'utilisation
Dans Google SecOps Marketplace, accédez à l'onglet Cas d'utilisation.
Dans un champ de recherche, saisissez le nom du cas d'utilisation.
Cliquez sur le cas d'utilisation.
Suivez les étapes de configuration et les instructions de l'assistant d'installation.
Une fois l'opération terminée, tous les composants requis sont installés sur votre machine Google SecOps. Pour finaliser l'installation, configurez le bloc Initialization (Initialisation) dans le playbook correspondant à votre cas d'utilisation.
Enquête et réponse aux menaces Windows avec Chronicle
Utilisez la puissance de Google SecOps pour répondre en temps réel aux menaces Windows dans votre environnement. Grâce à Threat Intelligence pour Google SecOps, les équipes de sécurité peuvent profiter d'un service de renseignements sur les menaces de haute fidélité avec Google SecOps. Les menaces réelles dans votre environnement peuvent désormais être triées et corrigées automatiquement en un temps court et efficace.
Dans Google SecOps, accédez à Réponse > Playbooks.
Sélectionnez le playbook Google Chronicle – Analyse et réponse aux menaces Windows. Le playbook s'ouvre dans la vue du concepteur de playbook.
Double-cliquez sur Set Initialization Block_1. La boîte de dialogue de configuration du bloc s'ouvre.
Pour configurer le playbook, utilisez les paramètres suivants :
Paramètre d'entrée Valeurs possibles Description edr_product- CrowdStrike
- Noir carbone
- Aucun
Produit EDR à utiliser dans le playbook. itsm_product- Service Now
- Jira
- ZenDesk
- Aucun
Produit ITSM à utiliser dans le playbook. Jira nécessite une configuration supplémentaire dans le bloc "Ouvrir un ticket". crowdstrike_use_spotlightTrueouFalseSi la valeur est True, le playbook exécute les actions CrowdStrike qui nécessitent une licence Spotlight (informations sur les failles).use_mandiantTrueouFalseSi la valeur est True, le playbook exécute le bloc Mandiant.slack_userNom d'utilisateur ou adresse e-mail Nom d'utilisateur ou adresse e-mail de l'utilisateur Slack. Si aucun n'est fourni, le playbook ignore les blocs Slack. Cliquez sur Enregistrer. La boîte de dialogue de configuration du bloc se ferme.
Dans le volet du concepteur de playbook, cliquez sur Enregistrer.
Pour tester le playbook dans le cas d'utilisation, ingérez le scénario de test inclus dans le package. Il est possible que certaines fonctionnalités de scénarios de test échouent, car les données utilisées pour les tests ne sont pas disponibles dans votre environnement.
Security Command Center et Chronicle Cloud DIR
Intégrez Security Command Center à Google SecOps SIEM pour permettre à vos analystes d'examiner les incidents et les menaces détectés par Security Command Center.
Configurer le cas d'utilisation
Le cas d'utilisation vous oblige à configurer les intégrations suivantes :
- Siemplify
- Outils
- Mitre ATT&CK
- Google Cloud IAM
- Google Chronicle
- Fonctions
- Google Cloud Compute
- E-mail V2
- VirusTotal v3
Les intégrations Google Security Command Center et Mandiant sont facultatives.
Assurez-vous d'avoir installé le cas d'utilisation avant de le configurer.
- Dans Google SecOps, accédez à l'onglet Playbooks.
- Sélectionnez le playbook SCC & Chronicle Cloud DIR.
- Double-cliquez sur le bloc d'initialisation pour le configurer.
- Configurez le playbook à l'aide des paramètres suivants :
| Nom du paramètre | Valeurs possibles | Description |
|---|---|---|
Mandiant_Enrichment |
True ou False |
Si la valeur est L'intégration Mandiant doit être configurée pour cette configuration. Vous pouvez supprimer l'enrichissement si vous obtenez rarement des informations utiles. La suppression du bloc d'enrichissement améliore la vitesse d'exécution du playbook. |
SCC_Enrichment |
True ou False |
Si la valeur est L'intégration de Security Command Center doit être configurée pour cette configuration. Vous pouvez supprimer l'enrichissement si vous obtenez rarement des informations utiles. La suppression du bloc d'enrichissement améliore la vitesse d'exécution du playbook. |
IAM_Enrichment |
True ou False |
Si la valeur est True, le playbook utilise les fonctionnalités IAM pour un enrichissement supplémentaire. Vous pouvez supprimer l'enrichissement si vous obtenez rarement des informations utiles. La suppression du bloc d'enrichissement améliore la vitesse d'exécution du playbook. |
Compute_Enrichment |
True ou False |
Si la valeur est True, le playbook utilise les fonctionnalités Compute Engine pour un enrichissement supplémentaire. Vous pouvez supprimer l'enrichissement si vous obtenez rarement des informations utiles. La suppression du bloc d'enrichissement améliore la vitesse d'exécution du playbook. |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.