Google Chronicle を Google SecOps と統合する
このドキュメントでは、Google Chronicle を Google Security Operations(Google SecOps)と統合する方法について説明します。
統合バージョン: 64.0
ユースケース
Google Chronicle の統合は、次のユースケースに対応できます。
フィッシングの自動調査と修復: Google SecOps SOAR 機能を使用して、過去のメールデータ、ユーザー アクティビティ ログ、脅威インテリジェンスを自動的にクエリし、メールの正当性を評価します。自動修復は、マルウェアやデータ侵害の拡大を防ぐことで、トリアージと封じ込めに役立ちます。
セキュリティ アラートの拡充: Google SecOps SOAR の機能を使用して、SIEM で生成されたアラートに、過去のユーザーの行動やアセット情報などの履歴コンテキストを追加します。これにより、アナリストはインシデントの包括的なビューを取得し、より迅速かつ情報に基づいた意思決定を行うことができます。
Google SecOps の分析情報に基づく脅威ハンティング: Google SecOps の SOAR 機能を使用して、関連するセキュリティ侵害インジケーター(IOC)について他のセキュリティ ツールにクエリを実行するプロセスを自動化します。これにより、潜在的な侵害が深刻化する前に、事前に特定できます。
自動インシデント対応ハンドブック: Google SecOps SOAR 機能を使用して、Google SecOps データを使用して侵害されたシステムを分離し、悪意のある IP アドレスをブロックし、関連する関係者に通知する事前定義されたハンドブックをトリガーします。これにより、インシデント対応に要する時間を短縮し、セキュリティ インシデントの影響を最小限に抑えることができます。
コンプライアンス レポートと監査: Google SecOps SOAR 機能を使用して、コンプライアンス レポート用の Google SecOps からのセキュリティ データの収集を自動化し、監査プロセスを効率化して、手作業を減らします。
始める前に
Google SecOps で Google Chronicle 統合を構成する前に、次のことを確認してください。
Google Cloud project: アクティブなGoogle Cloud プロジェクトへのアクセス。
権限: サービス アカウントと IAM ポリシーを作成して管理するために、Google Cloud プロジェクトで必要な Identity and Access Management(IAM)ロール。
インテグレーションを構成する
構成手順は、Google SecOps のデプロイタイプによって異なります。
統合 SecOps デプロイ: Google SecOps インスタンスが統合 SecOps デプロイ(Google Security Operations SIEM と統合)の一部である場合、通常、統合では Googleによって管理されるデフォルトのサービス アカウントが使用されます。この場合、サービス アカウントの JSON キーをアップロードしたり、Workload Identity を手動で構成したりする必要はありません。必要な権限は、事前構成されているか、ホスト環境から継承されています。
スタンドアロン SOAR デプロイ: Google SecOps インスタンスがスタンドアロン SOAR デプロイ(Google Security Operations SIEM と統合されていない)の場合は、次のいずれかの方法で認証を手動で構成する必要があります。
サービス アカウントの JSON キーファイル
Workload Identity 連携
サービス アカウントの JSON キーによる認証
サービス アカウントの JSON キーの認証プロセスは、Chronicle API と Backstory API で異なります。
Chronicle API 認証(推奨)
Chronicle API を使用するには、Google Cloud プロジェクトでサービス アカウントを作成する必要があります。
Google Cloud コンソールで、[IAM と管理] > [サービス アカウント] に移動します。
[サービス アカウントの作成] を選択し、プロンプトに沿って必要なサービス アカウントを作成します。
新しいサービス アカウントのメールアドレスを選択し、[鍵>鍵を追加>新しい鍵を作成] に移動します。
キーのタイプとして [
JSON] を選択し、[作成] をクリックします。JSON キーファイルがパソコンにダウンロードされます。[権限>アクセスを管理] で、必要な Google SecOps 固有の IAM ロールをサービス アカウントに割り当てます。
Backstory API 認証
Backstory API を使用するには、サービス アカウントが必要です。このアカウントは管理者が作成する必要があります。
Google SecOps サポートに連絡し、Backstory API のサービス アカウントをリクエストします。SOAR デプロイに必要な詳細情報を入力します。
Google SecOps サポートから、サービス アカウントの JSON キーファイルが提供されます。
統合構成で提供されたキーを使用します。
Workload Identity による認証(推奨)
Workload Identity は、スタンドアロン SOAR デプロイにおすすめの安全な認証方法です。有効期間の短いフェデレーション認証情報を有効にすることで、有効期間の長いサービス アカウント キーを管理する必要がなくなります。
Workload Identity で認証を設定する手順は次のとおりです。
Workload Identity プールとプロバイダを作成します。
Google Cloud コンソールで、[IAM と管理] > [Workload Identity 連携] に移動します。
プロンプトに従って、Workload Identity プールを作成し、Google SecOps を外部 ID として信頼する Workload Identity プール プロバイダを作成します。
OpenID Connect(OIDC)を使用して、Google SecOps を外部 ID ソースとして信頼するようにプロバイダを構成できます。
-
Google Cloud コンソールで、[IAM と管理] > [サービス アカウント] に移動します。
Google Cloud プロジェクトに専用のサービス アカウントを作成します。このアカウントは、外部ワークロード(Google SecOps)によって権限を借用されます。
サービス アカウントに権限を付与します。
必要な Google SecOps 固有の IAM ロール(Chronicle 閲覧者、Chronicle Security Operations 編集者など)をサービス アカウントに割り当てます。
作成した Workload Identity プール プロバイダに
Service Account Token Creatorロールを付与します。この権限により、プロバイダはこのサービス アカウントの権限を借用できます。
信頼関係を構成します。
Workload Identity プール プロバイダとサービス アカウントの間に信頼関係を確立します。これにより、外部 ID(Google SecOps を表す)が Google Cloud サービス アカウントにリンクされます。
インテグレーション パラメータを構成します。
統合構成ダイアログで、[Workload Identity Email] フィールドにサービス アカウントのメールアドレスを入力します。
Workload Identity 連携の設定の詳細な手順については、Google Cloud Workload Identity をご覧ください。
統合のパラメータ
Google Chronicle の統合には、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
UI Root |
必須。 Google SecOps SIEM インターフェースのベース URL。 これは、ケースレコードから SIEM プラットフォームへの直接リンクを自動的に生成するために使用されます。 デフォルト値は |
API Root |
必須。 Google SecOps SIEM インスタンスの API ルート。値は認証方法によって異なります。
API ルートに間違った認証情報を使用すると、接続が失敗します。 |
User's Service Account |
省略可。 サービス アカウントの JSON 鍵ファイルの完全な内容。 このパラメータと |
Workload Identity Email |
省略可。 Workload Identity 連携のクライアント メールアドレス。 このパラメータは Workload Identity 連携を使用するには、サービス アカウントに |
Verify SSL |
必須。 選択すると、Google SecOps SIEM サーバーに接続するときに SSL 証明書が検証されます。 デフォルトで有効になっています。 |
Google SecOps で統合を構成する手順については、統合を構成するをご覧ください。
必要に応じて、後の段階で変更できます。統合インスタンスを構成すると、ハンドブックで使用できるようになります。複数のインスタンスの構成とサポートの方法については、複数のインスタンスのサポートをご覧ください。
操作
アクションの詳細については、 デスクから保留中のアクションに対応すると手動アクションを実行するをご覧ください。
データテーブルに行を追加する
データテーブルに行を追加アクションを使用して、Google SecOps のデータテーブルに行を追加します。
このアクションは Google SecOps エンティティに対しては実行されません。
アクション入力
アクションを構成するには、次のパラメータを使用します。
| パラメータ | 説明 |
|---|---|
Data Table Name |
必須。 更新するデータテーブルの表示名。 |
Rows |
必須。 追加する行に関する情報を含む JSON オブジェクトのリスト。 次に例を示します。
{
"columnName1": "value1",
"columnName2": "value2"
}
|
アクションの出力
[データテーブルに行を追加] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用できません |
| ケースウォールのリンク | 利用できません |
| ケースウォール テーブル | 利用できません |
| 拡充テーブル | 利用できません |
| エンティティの分析情報 | 利用できません |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、[Add Rows To Data Table] アクションから返される JSON 結果のサンプルを示しています。
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table/dataTableRows/840d18a85944833e1b97ed6d2fb11377",
"values": {
"columnName1": "asda",
"columnName2": "asdasd",
"columnName3": "zxczxc"
}
}
出力メッセージ
[データテーブルに行を追加] アクションでは、次の出力メッセージが表示されます。
| 出力メッセージ | メッセージの説明 |
|---|---|
Successfully added rows to the data table
DATA_TABLE_NAME in
Google SecOps. |
アクションが成功しました。 |
Error executing action "Add Rows to Data Table". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、Add Rows To Data Table アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
true または false |
参照リストに値を追加する
参照リストに値を追加アクションを使用して、Google SecOps の参照リストに値を追加します。
このアクションは Google SecOps エンティティに対しては実行されません。
アクション入力
アクションを構成するには、次のパラメータを使用します。
| パラメータ | 説明 |
|---|---|
Reference List Name |
必須。 更新する参照リストの名前。 |
Values |
必須。 参照リストに追加する値のカンマ区切りのリスト。 |
アクションの出力
[Add Value To Reference List] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| エンティティ分析情報 | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、Backstory API で Add Value To Reference List アクションを使用した場合に受信する JSON 結果の出力を示しています。
{
"name": "list_name",
"description": "description of the list",
"lines": [
"192.0.2.0/24",
"198.51.100.0/24"
],
"create_time": "2020-11-20T17:18:20.409247Z",
"content_type": "CIDR"
}
次の例は、Chronicle API で Add Value To Reference List アクションを使用した場合に受信する JSON 結果の出力について説明しています。
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/referenceLists/REFERENCE_LIST_NAME",
"displayName": "REFERENCE_LIST_NAME",
"revisionCreateTime": "2025-01-16T09:15:21.795743Z",
"description": "Test reference list",
"entries": [
{
"value": "example.com"
},
{
"value": "exampledomain.com"
}
],
"syntaxType": "REFERENCE_LIST_SYNTAX_TYPE_PLAIN_TEXT_STRING",
"scopeInfo": {
"referenceListScope": {}
},
"createTime": "2025-01-16T09:15:21.795743Z",
"lines": [
"example.com",
"exampledomain.com"
]
}
出力メッセージ
Add Values To Reference List アクションは、次の出力メッセージを提供します。
| 出力メッセージ | メッセージの説明 |
|---|---|
Successfully added values to the reference list
REFERENCE_LIST_NAME. |
アクションが成功しました。 |
Error executing action "Add Values To Reference List". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、Add Values To Reference List アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
Gemini に相談
Gemini に質問アクションを使用して、Google SecOps の Gemini にテキスト プロンプトを送信します。
このアクションは Google SecOps エンティティに対しては実行されません。
アクション入力
アクションを構成するには、次のパラメータを使用します。
| パラメータ | 説明 |
|---|---|
Automatic Opt-in |
省略可。 選択すると、プレイブックは手動での確認を必要とせずに、Gemini の会話にユーザーを自動的にオプトインします。 デフォルトで有効になっています。 |
Prompt |
必須。 Gemini に送信する最初のテキスト プロンプトまたは質問。 |
アクションの出力
[Gemini に質問] アクションでは、次の出力が提供されます。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| エンティティ分析情報 | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、Gemini に質問するアクションを使用した場合に受信する JSON 結果の出力について説明しています。
{
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/users/me/conversations/db3b0fc2-94f8-42ae-b743-c3693f593269/messages/b58e3186-e697-4400-9da8-8ef252a20bd9",
"input": {
"body": "Is IP 159.138.84.217 malicious? What can you tell me about it?"
},
"responses": [
{
"blocks": [
{
"blockType": "HTML",
"htmlContent": {
"privateDoNotAccessOrElseSafeHtmlWrappedValue": "<p>The IP address 159.138.84.217 is associated with malware and threat actors.</p>\n<ul>\n<li>It is an IPv4 indicator.</li>\n<li>It is associated with BEACON malware.</li>\n<li>It is categorized as malware-Backdoor.</li>\n<li>It has a low confidence, high severity threat rating.</li>\n<li>VirusTotal's IP Address Report indicates the network for this IP is 159.138.80.0/20, and the IP is associated with HUAWEI CLOUDS in Singapore.</li>\n<li>VirusTotal's last analysis on April 22, 2025, showed 8 malicious detections out of 94 sources.</li>\n</ul>\n<p>I might have more details for a question with more context (e.g., what is the source of the IP, what type of network traffic is associated with the IP).</p>\n"
}
}
],
"references": [
{
"blockType": "HTML",
"htmlContent": {
"privateDoNotAccessOrElseSafeHtmlWrappedValue": "<ol>\n<li><a href=\"https://advantage.mandiant.com/indicator/ipv4/159.138.84.217\" target=\"_blank\">Mandiant - indicator - 159.138.84.217</a></li>\n</ol>\n"
}
}
],
"groundings": [
"IP address 159.138.84.217 malicious cybersecurity",
"IP address 159.138.84.217 threat intelligence"
]
}
],
"createTime": "2025-05-16T11:31:36.660538Z"
}
}
出力メッセージ
[Gemini に相談] アクションでは、次の出力メッセージが表示されます。
| 出力メッセージ | メッセージの説明 |
|---|---|
Successfully executed a prompt in Google SecOps. |
アクションが成功しました。 |
Error executing action "GoogleChronicle - Ask Gemini".
Reason: ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、Gemini に質問するアクションを使用した場合のスクリプト結果の出力値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
ドメインを拡充する - 非推奨
ドメインの拡充アクションを使用して、Google SecOps SIEM の IoC から取得した情報を使用してドメインを拡充します。
このアクションは、次の Google SecOps エンティティに対して実行されます。
URLHostname
アクション入力
[ドメインを拡充] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Create Insight |
選択すると、アクションによってエンティティに関する情報を含む分析情報が作成されます。 デフォルトで有効になっています。 |
Only Suspicious Insight |
選択した場合、不審であるとしてマークされたエンティティに関する分析情報のみがアクションによって作成されます。 デフォルトでは有効になっていません。 このパラメータを選択した場合は、 |
Lowest Suspicious Severity |
必須。 ドメインを不審としてマークするために必要な、ドメインに関連付けられた最も低い重大度。 デフォルト値は
|
Mark Suspicious N/A Severity |
必須。 選択されていて重大度に関する情報が利用できない場合は、このアクションにより、エンティティは不審であるとしてマークされます。 |
アクションの出力
[ドメインを拡充] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用可能 |
| 拡充テーブル | 利用可能 |
| エンティティのインサイト | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
ケースウォール テーブル
[ドメインを拡充] アクションは、次の表を提供します。
名前: ENTITY_IDENTIFIER
列:
- ソース
- 重大度
- カテゴリ
- 信頼度
エンティティ拡充
[ドメインを拡充] アクションは、次のエンティティ拡充ロジックをサポートしています。
| 拡充フィールド | ロジック(適用するタイミング) |
|---|---|
severity |
JSON で利用可能な場合 |
average_confidence |
JSON で利用可能な場合 |
related_domains |
JSON で利用可能な場合 |
categories |
JSON で利用可能な場合 |
sources |
JSON で利用可能な場合 |
first_seen |
JSON で利用可能な場合 |
last_seen |
JSON で利用可能な場合 |
report_link |
JSON で利用可能な場合 |
JSON の結果
次の例は、Backstory API で Enrich Domain アクションを使用した場合に受信する JSON 結果の出力を示しています。
{
{
"sources": [
{
"source": "ET Intelligence Rep List",
"confidenceScore": {
"normalizedConfidenceScore": "Low",
"intRawConfidenceScore": 0
},
"rawSeverity": "High",
"category": "Malware Command and Control Server"
}
],
"iocIngestTime": "2021-01-26T17:00:00Z",
"firstSeenTime": "2018-10-03T00:03:53Z",
"lastSeenTime": "2022-02-09T10:52:21.229Z",
"uri": [
"https://INSTANCE/domainResults?domain=example.net&selectedList=DomainViewDistinctAssets&whoIsTimestamp=2022-02-09T11%3A51%3A52.393783515Z"
]
}
}
次の例は、Chronicle API で ドメインの拡充アクションを使用した場合に受信する JSON 結果の出力について説明しています。
[
{
"Entity": "example.com",
"EntityResult": {
"sources": [
{
"category": "Indicator was published in publicly available sources",
"firstActiveTime": "1970-01-01T00:00:01Z",
"lastActiveTime": "9999-12-31T23:59:59Z",
"addresses": [
{
"domain": "example.com"
}
],
"rawSeverity": "medium",
"confidenceScore": {
"strRawConfidenceScore": "100"
}
},
{
"category": "Phishing",
"firstActiveTime": null,
"lastActiveTime": "2020-11-27T14:31:37Z",
"addresses": [
{
"domain": "example.com"
},
{
"ipAddress": "IP_ADDRESS"
}
],
"rawSeverity": "high",
"confidenceScore": {
"strRawConfidenceScore": "high"
}
},
{
"category": "Indicator was published in publicly available sources",
"firstActiveTime": "1970-01-01T00:00:01Z",
"lastActiveTime": "9999-12-31T23:59:59Z",
"addresses": [
{
"domain": "example.com"
}
],
"rawSeverity": "medium",
"confidenceScore": {
"strRawConfidenceScore": "100"
}
}
],
"feeds": [
{
"metadata": {
"title": "Mandiant Open Source Intelligence",
"description": "Open Source Intel IoC",
"confidenceScoreBucket": {
"rangeEnd": 100
}
},
"iocs": [
{
"domainAndPorts": {
"domain": "example.com"
},
"categorization": "Indicator was published in publicly available sources",
"activeTimerange": {
"start": "1970-01-01T00:00:01Z",
"end": "9999-12-31T23:59:59Z"
},
"confidenceScore": "100",
"rawSeverity": "Medium"
}
]
},
{
"metadata": {
"title": "ESET Threat Intelligence",
"description": "ESET Threat Intelligence"
},
"iocs": [
{
"domainAndPorts": {
"domain": "example.com"
},
"categorization": "Phishing",
"activeTimerange": {
"end": "2020-11-27T14:31:37Z"
},
"ipAndPorts": {
"ipAddress": "IP_ADDRESS"
},
"confidenceScore": "High",
"rawSeverity": "High"
}
]
},
{
"metadata": {
"title": "Mandiant Active Breach Intelligence",
"description": "Mandiant Active Breach IoC",
"confidenceScoreBucket": {
"rangeEnd": 100
}
},
"iocs": [
{
"domainAndPorts": {
"domain": "example.com"
},
"categorization": "Indicator was published in publicly available sources",
"activeTimerange": {
"start": "1970-01-01T00:00:01Z",
"end": "9999-12-31T23:59:59Z"
},
"confidenceScore": "100",
"rawSeverity": "Medium"
}
]
}
]
}
}
]
出力メッセージ
[ドメインを拡充] アクションでは、次の出力メッセージが表示されます。
| 出力メッセージ | メッセージの説明 |
|---|---|
Successfully enriched the following domain in Google Chronicle:
LIST_OF_IDS |
アクションが成功しました。 |
Error executing action "Enrich Domain". Reason:
ERROR_REASON |
操作に失敗しました。 サーバー、入力パラメータ、または認証情報への接続を確認してください。 |
スクリプトの結果
次の表に、ドメインの拡充アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
エンティティの拡充
エンティティの強化アクションを使用して、指定されたエンティティ タイプの追加のコンテキストと属性について Google SecOps にクエリします。このアクションにより、外部インテリジェンスが統合され、脅威調査データが強化されます。
このアクションは、次の Google SecOps エンティティに対して実行されます。
DomainFile HashHostnameIP AddressURL(URL からドメインを抽出)UserEmail(メールの正規表現を含むユーザー エンティティ)
アクション入力
エンティティの拡充アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Namespace |
省略可。 エンティティを拡充する論理グループまたはスコープ。 選択しない場合、エンリッチメントはデフォルトの Namespace またはアクセス可能なすべての Namespace のエンティティに適用されます。 エンティティを処理するには、この Namespace に属している必要があります。 |
Time Frame |
省略可。 相対期間( このパラメータは |
Start Time |
省略可。 エンリッチメント期間の開始時刻(ISO 8601 形式)。
|
End Time |
省略可。 エンリッチメント期間の絶対終了時刻(ISO 8601 形式)。
|
アクションの出力
[エンティティを拡充] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用可能 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
| 拡充フィールド | ソース(JSON キー) | 適用範囲 |
|---|---|---|
GoogleSecOps_related_entities |
related_entities の数 | JSON の結果で利用可能な場合。 |
GoogleSecOps_alert_count_ruleName |
各特定ルールに対する {alertCounts.count} | JSON の結果で利用可能な場合。 |
GoogleSecOps_first_seen |
metric.firstSeen |
JSON の結果で利用可能な場合。 |
GoogleSecOps_last_seen |
metric.lastSeen |
JSON の結果で利用可能な場合。 |
GoogleSecOps_flattened_key_under_entity |
"entity" オブジェクトのネストされた構造からフラット化されたキーの値。 |
JSON の結果で利用可能な場合。 |
JSON の結果
次の例は、エンティティの拡充アクションを使用した場合に受信される JSON 結果の出力を示しています。
[
{
"Entity": "HTTP://MARKOSSOLOMON.COM/F1Q7QX.PHP",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/ChFtYXJrb3Nzb2xvbW9uLmNvbRDIAQ",
"metadata": { "entityType": "DOMAIN_NAME" },
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/ChFtYXJrb3Nzb2xvbW9uLmNvbRDIAQ",
"metadata": { "entityType": "DOMAIN_NAME" },
"entity": {
"domain": {
"name": "markossolomon.com",
"firstSeenTime": "1970-01-01T00:00:00Z",
"lastSeenTime": "1970-01-01T00:00:00Z",
"registrar": "NameCheap, Inc.",
"creationTime": "2013-12-06T02:41:09Z",
"updateTime": "2019-11-06T11:48:33Z",
"expirationTime": "2020-12-06T02:41:09Z",
"registrant": {
"userDisplayName": "WhoisGuard Protected",
"emailAddresses": [
"58d09cb5035042e9920408f8bafd0869.protect@whoisguard.com"
],
"personalAddress": { "countryOrRegion": "PANAMA" },
"companyName": "WhoisGuard, Inc."
}
}
}
},
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{}
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "npatni-sysops",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg1ucGF0bmktc3lzb3BzEGYaBVl1cml5IhsKCwiC-OzCBhCAvYMUEgwIqvnnwwYQgMyI4QE",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:00:02.042Z",
"endTime": "2025-07-18T07:50:02.472Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg1ucGF0bmktc3lzb3BzEGYaBVl1cml5IhsKCwiC-OzCBhCAvYMUEgwIqvnnwwYQgMyI4QE",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:00:02.042Z",
"endTime": "2025-07-18T07:50:02.472Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": { "hostname": "npatni-sysops" }
},
"metric": {
"firstSeen": "2025-06-25T00:00:02.042Z",
"lastSeen": "2025-07-18T07:50:02.472Z"
}
},
"metric": {
"firstSeen": "2025-06-25T00:00:02.042Z",
"lastSeen": "2025-07-18T07:50:02.472Z"
},
"alertCounts": [
{ "rule": "rule_Pavel_test_Risk_score", "count": "329" },
{ "rule": "rule_testbucket", "count": "339" },
{ "rule": "pavel_test2_rule_1749239699456", "count": "332" }
],
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{ "alertCount": 1000 }
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "exlab2019-ad",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgxleGxhYjIwMTktYWQQZhoFWXVyaXkiGwoMCLv57MIGEMCp7qgDEgsI8PTnwwYQwLD6SA",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:03:07.891Z",
"endTime": "2025-07-18T07:40:32.153Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgxleGxhYjIwMTktYWQQZhoFWXVyaXkiGwoMCLv57MIGEMCp7qgDEgsI8PTnwwYQwLD6SA",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:03:07.891Z",
"endTime": "2025-07-18T07:40:32.153Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": { "hostname": "exlab2019-ad" }
},
"metric": {
"firstSeen": "2025-06-25T00:03:07.891Z",
"lastSeen": "2025-07-18T07:40:32.153Z"
}
},
"metric": {
"firstSeen": "2025-06-25T00:03:07.891Z",
"lastSeen": "2025-07-18T07:40:32.153Z"
},
"alertCounts": [
{ "rule": "pavel_test2_rule_1749239699456", "count": "319" },
{ "rule": "rule_testbucket", "count": "360" },
{ "rule": "rule_Pavel_test_Risk_score", "count": "321" }
],
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{ "alertCount": 26 },
{ "alertCount": 175 },
{ "alertCount": 185 },
{ "alertCount": 195 },
{ "alertCount": 182 },
{ "alertCount": 168 },
{ "alertCount": 69 }
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "172.30.202.229",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg4xNzIuMzAuMjAyLjIyORBkGgVZdXJpeSIbCgwIu_nswgYQwKnuqAMSCwjw9OfDBhDAsPpI",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:03:07.891Z",
"endTime": "2025-07-18T07:40:32.153Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg4xNzIuMzAuMjAyLjIyORBkGgVZdXJpeSIbCgwIu_nswgYQwKnuqAMSCwjw9OfDBhDAsPpI",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:03:07.891Z",
"endTime": "2025-07-18T07:40:32.153Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": { "ip": ["172.30.202.229"] }
},
"metric": {
"firstSeen": "2025-06-25T00:03:07.891Z",
"lastSeen": "2025-07-18T07:40:32.153Z"
}
},
"metric": {
"firstSeen": "2025-06-25T00:03:07.891Z",
"lastSeen": "2025-07-18T07:40:32.153Z"
},
"alertCounts": [
{ "rule": "rule_Pavel_test_Risk_score", "count": "321" },
{ "rule": "rule_testbucket", "count": "360" },
{ "rule": "pavel_test2_rule_1749239699456", "count": "319" }
],
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{ "alertCount": 26 },
{ "alertCount": 175 },
{ "alertCount": 185 },
{ "alertCount": 195 },
{ "alertCount": 182 },
{ "alertCount": 168 },
{ "alertCount": 69 }
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "172.17.0.1",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgoxNzIuMTcuMC4xEGQaBVl1cml5IhsKCwjOzre-BhDA1rU_EgwI9ZOMwAYQgPn82QM",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-03-09T19:09:02.133Z",
"endTime": "2025-04-19T02:27:01.994Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgoxNzIuMTcuMC4xEGQaBVl1cml5IhsKCwjOzre-BhDA1rU_EgwI9ZOMwAYQgPn82QM",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-03-09T19:09:02.133Z",
"endTime": "2025-04-19T02:27:01.994Z"
}
},
"entity": { "namespace": "Yuriy", "asset": { "ip": ["172.17.0.1"] } },
"metric": {
"firstSeen": "2025-03-09T19:09:02.133Z",
"lastSeen": "2025-04-19T02:27:01.994Z"
}
},
"metric": {
"firstSeen": "2025-03-09T19:09:02.133Z",
"lastSeen": "2025-04-19T02:27:01.994Z"
},
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{}
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "911d039e71583a07320b32bde22f8e22",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CiA5MTFkMDM5ZTcxNTgzYTA3MzIwYjMyYmRlMjJmOGUyMhCwAiIVCgYItrj6ugYSCwi_9ufDBhDAyroV",
"metadata": {
"entityType": "FILE",
"interval": {
"startTime": "2024-12-15T09:07:02Z",
"endTime": "2025-07-18T07:43:59.045Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CiA5MTFkMDM5ZTcxNTgzYTA3MzIwYjMyYmRlMjJmOGUyMhCwAiIVCgYItrj6ugYSCwi_9ufDBhDAyroV",
"metadata": {
"entityType": "FILE",
"interval": {
"startTime": "2024-12-15T09:07:02Z",
"endTime": "2025-07-18T07:43:59.045Z"
}
},
"entity": {
"file": {
"sha256": "bc866cfcdda37e24dc2634dc282c7a0e6f55209da17a8fa105b07414c0e7c527",
"md5": "911d039e71583a07320b32bde22f8e22",
"sha1": "ded8fd7f36417f66eb6ada10e0c0d7c0022986e9",
"size": "278528",
"fileType": "FILE_TYPE_PE_EXE",
"names": [
"C:\\Windows\\System32\\cmd.exe",
"cmd",
"Cmd.Exe",
"C:\\Windows\\system32\\cmd.exe",
"C:\\Windows\\SYSTEM32\\cmd.exe",
"cmd.exe",
"C:\\\\Windows\\\\System32\\\\cmd.exe",
"C:\\windows\\SYSTEM32\\cmd.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\wjxpour4.d0f\\cmd.exe",
"c:\\Windows\\System32\\cmd.exe",
"Utilman.exe",
"c:\\windows\\system32\\cmd.exe",
"System32/cmd.exe",
"UtilityVM/Files/Windows/System32/cmd.exe",
"KerishDoctor/Data/KerishDoctor/Restore/cmd.rst",
"cmd.exe_",
"C:\\WINDOWS\\SYSTEM32\\cmd.exe",
"Cmd.exe",
"Windows/System32/cmd.exe",
"sethc.exe",
"C:\\WINDOWS\\System32\\cmd.exe",
"esRzqurX.exe",
"rofl.png",
"F:\\Windows\\SYSTEM32\\cmd.exe",
"utilman.exe",
"C:\\Windows\\system32\\CMD.exe",
"sys32exe/cmd.exe",
"cmd.txt",
"C:\\WINDOWS\\system32\\cmd.exe",
"cmd2.exe",
"Utilman.exe.sc",
"uhrHRIv8.exe",
"C:\\windows\\system32\\cmd.exe",
"submitted_file",
"C:\\Users\\user\\AppData\\Local\\Temp\\n1qo0bq3.2tn\\KerishDoctor\\Data\\KerishDoctor\\Restore\\cmd.rst",
"J6ff7z0hLYo.exe",
"N:\\Windows\\System32\\cmd.exe",
"Q:\\Windows\\System32\\cmd.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\cmd.exe",
"C:\\Users\\<USER>\\AppData\\Local\\Temp\\cmd.exe",
"test.exe",
"68E2F01F8DE9EFCAE9C0DD893DF0E8C34E2B5C98A6C4073C9C9E8093743D318600.blob",
"8FCVE0Kq.exe",
"cmd (7).exe",
"cmd (8).exe",
"21455_16499564_bc866cfcdda37e24dc2634dc282c7a0e6f55209da17a8fa105b07414c0e7c527_cmd.exe",
"LinX v0.9.11 (Intel)/cmd.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\inbvmkaa.1xd\\LinX v0.9.11 (Intel)\\cmd.exe",
"cmd_b.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\sfd5bhoe.nqi\\cmd.exe",
"cMd.exe",
"Repl_Check.bat__",
"cmd.pdf",
"cmd.EXE",
"C:\\Users\\user\\AppData\\Local\\Temp\\uszjr42t.kda\\cmd.exe",
"LFepc1St.exe",
"firefox.exe",
"3BcnNlWV.exe",
"Utilman.exebak",
"utilman1.exe",
"1.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\ispvscgp.ep2\\sys32exe\\cmd.exe",
"cmd_1771019736291028992.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\xijgwqvd.54g\\cmd.exe",
"Sethc.exe",
"\\Device\\CdRom1\\DANFE352023067616112\\DANFE352023067616112.EXE",
"DANFE352023067616112.exe",
"file.exe",
"DANFE352023067616112/DANFE352023067616112.exe",
"C:\\Windows\\SYSTEM32\\Cmd.exe",
"pippo.exe",
"C:\\Windows\\System32\\sethc.exe",
"cmd.exe-bws024-windowsfolder",
"whatever.exe",
"sethc.exe.bak",
"S71dbOR1.exe",
"F:\\windows\\SYSTEM32\\cmd.exe",
"L6puhWL7.exe",
"DANFE357986551413927.exe",
"DANFE357666506667634.exe",
"\\Device\\CdRom1\\DANFE357666506667634\\DANFE357666506667634.EXE",
"\\Device\\CdRom1\\DANFE357986551413927\\DANFE357986551413927.EXE",
"\\Device\\CdRom1\\DANFE358567378531506\\DANFE358567378531506.EXE",
"\\Device\\CdRom1\\HtmlFactura3f48daa069f0e42253194ca7b51e7481DPCYKJ4Ojk\\HTMLFACTURA3F48DAA069F0E42253194CA7B51E7481DPCYKJ4OJK.EXE",
"\\Device\\CdRom1\\DANFE357410790837014\\DANFE357410790837014.EXE",
"\\Device\\CdRom1\\DANFE357702036539112\\DANFE357702036539112.EXE",
"winlogon.exe",
"AccessibilityEscalation.A' in file 'utilman.exe'",
"qpl9AqT0.exe",
"C:\\windows\\system32\\CMD.exe",
"C:\\po8az\\2po9hmc\\4v1b5.exe",
"batya.exe",
"nqAwJaba.exe",
"\\Device\\CdRom1\\DANFE356907191810758\\DANFE356907191810758.EXE",
"/Volumes/10_11_2023/DANFE356907191810758/DANFE356907191810758.exe",
"/Volumes/09_21_2023/DANFE357986551413927/DANFE357986551413927.exe",
"\\Device\\CdRom1\\DANFE355460800350113\\DANFE355460800350113.EXE",
"/Volumes/09_19_2023/DANFE355460800350113/DANFE355460800350113.exe",
"DANFE352429512050669.exe",
"/Volumes/04_15_2023/HtmlFacturaeb58f4396e2028a70905705291031e7b3dlvDNyGp3/HtmlFacturaeb58f4396e2028a70905705291031e7b3dlvDNyGp3.exe"
],
"firstSeenTime": "2024-12-15T09:07:02Z",
"lastSeenTime": "2025-07-18T07:43:59.045Z",
"lastAnalysisTime": "2025-07-16T10:06:40Z",
"signatureInfo": {
"sigcheck": {
"verificationMessage": "Signed",
"verified": true,
"signers": [{ "name": "Microsoft Windows" }]
}
},
"firstSubmissionTime": "2025-07-15T16:30:27Z"
}
},
"metric": {
"firstSeen": "2024-12-15T09:07:02Z",
"lastSeen": "2025-07-18T07:43:59.045Z"
}
},
"metric": {
"firstSeen": "2024-12-15T09:07:02Z",
"lastSeen": "2025-07-18T07:43:59.045Z"
},
"alertCounts": [
{ "rule": "pavel_test2_rule_1749239699456", "count": "329" },
{ "rule": "rule_testbucket", "count": "345" },
{ "rule": "rule_Pavel_test_Risk_score", "count": "326" }
],
"timeline": {
"buckets": [
{},
{},
{},
{},
{ "alertCount": 31 },
{ "alertCount": 111 },
{ "alertCount": 109 },
{ "alertCount": 82 },
{ "alertCount": 86 },
{ "alertCount": 98 },
{ "alertCount": 86 },
{ "alertCount": 85 },
{ "alertCount": 92 },
{ "alertCount": 89 },
{ "alertCount": 90 },
{ "alertCount": 41 }
],
"bucketSize": "172800s"
},
"prevalenceResult": [
{ "prevalenceTime": "2025-01-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-31T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-31T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-31T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-16T00:00:00Z", "count": 2 },
{ "prevalenceTime": "2025-07-17T00:00:00Z", "count": 2 },
{ "prevalenceTime": "2025-07-18T00:00:00Z", "count": 2 }
],
"relatedEntities": [
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgxleGxhYjIwMTktYWQQZhoFWXVyaXkiFQoGCPbso7wGEgsIv_bnwwYQwMq6FQ",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-01-16T12:07:18Z",
"endTime": "2025-07-18T07:43:59.045Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": {
"hostname": "exlab2019-ad",
"firstSeenTime": "2025-01-16T12:07:18Z"
}
},
"metric": {
"firstSeen": "2025-01-16T12:07:18Z",
"lastSeen": "2025-07-18T07:43:59.045Z"
}
},
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg4xNzIuMzAuMjAyLjIyORBkGgVZdXJpeSIVCgYI9uyjvAYSCwi_9ufDBhDAyroV",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-01-16T12:07:18Z",
"endTime": "2025-07-18T07:43:59.045Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": {
"ip": ["172.30.202.229"],
"firstSeenTime": "2025-01-16T12:07:18Z"
}
},
"metric": {
"firstSeen": "2025-01-16T12:07:18Z",
"lastSeen": "2025-07-18T07:43:59.045Z"
}
}
]
}
},
{
"Entity": "tencent.com",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cgt0ZW5jZW50LmNvbRDIASIQCgYInNyZvAYSBgjo-Jm8Bg",
"metadata": {
"entityType": "DOMAIN_NAME",
"interval": {
"startTime": "2025-01-14T14:01:00Z",
"endTime": "2025-01-14T15:02:00Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cgt0ZW5jZW50LmNvbRDIASIQCgYInNyZvAYSBgjo-Jm8Bg",
"metadata": {
"entityType": "DOMAIN_NAME",
"interval": {
"startTime": "2025-01-14T14:01:00Z",
"endTime": "2025-01-14T15:02:00Z"
}
},
"entity": {
"domain": {
"name": "tencent.com",
"firstSeenTime": "2025-01-14T14:01:00Z",
"lastSeenTime": "2025-01-14T15:02:00Z",
"registrar": "MarkMonitor Information Technology (Shanghai) Co., Ltd.",
"creationTime": "1998-09-14T04:00:00Z",
"updateTime": "2024-08-20T08:04:01Z",
"expirationTime": "2032-09-13T04:00:00Z",
"registrant": {
"emailAddresses": [""],
"personalAddress": { "countryOrRegion": "CHINA" },
"companyName": "\u6df1\u5733\u5e02\u817e\u8baf\u8ba1\u7b97\u673a\u7cfb\u7edf\u6709\u9650\u516c\u53f8"
}
}
},
"metric": {
"firstSeen": "2025-01-14T14:01:00Z",
"lastSeen": "2025-01-14T15:02:00Z"
}
},
"metric": {
"firstSeen": "2025-01-14T14:01:00Z",
"lastSeen": "2025-01-14T15:02:00Z"
},
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{}
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "00:50:56:b6:34:86",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/ChEwMDo1MDo1NjpiNjozNDo4NhBlGgVZdXJpeSIKCgASBgjemLzBBg",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "1970-01-01T00:00:00Z",
"endTime": "2025-05-22T11:37:02Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/ChEwMDo1MDo1NjpiNjozNDo4NhBlGgVZdXJpeSIKCgASBgjemLzBBg",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "1970-01-01T00:00:00Z",
"endTime": "2025-05-22T11:37:02Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": { "mac": ["00:50:56:b6:34:86"] }
},
"metric": {
"firstSeen": "1970-01-01T00:00:00Z",
"lastSeen": "2025-05-22T11:37:02Z"
}
},
"metric": {
"firstSeen": "1970-01-01T00:00:00Z",
"lastSeen": "2025-05-22T11:37:02Z"
},
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{}
],
"bucketSize": "172800s"
}
}
}
]
出力メッセージ
エンティティを拡充アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Enrich Entities". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、[エンティティを拡充] アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
IP を拡充する - 非推奨
IP の拡充アクションを使用して、Google SecOps SIEM の IoC から取得した情報を使用して IP エンティティを拡充します。
このアクションは IP アドレス エンティティに対して実行されます。
アクション入力
[IP を拡充] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Create Insight |
省略可。 選択すると、アクションによってエンティティに関する情報を含む分析情報が作成されます。デフォルトで有効になっています。 |
Only Suspicious Insight |
省略可。 選択すると、不審であるとしてマークされたエンティティに関する分析情報のみがアクションによって作成されます。デフォルトでは有効になっていません。 このパラメータを選択する場合は、 |
Lowest Suspicious Severity |
必須。 不審であるとしてマークするために、IP アドレスに関連付ける最も低い重大度。 デフォルト値は
|
Mark Suspicious N/A Severity |
必須。 選択されていて重大度に関する情報が利用できない場合は、このアクションにより、エンティティは不審であるとしてマークされます。 |
アクションの出力
[IP を拡充] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用可能 |
| 拡充テーブル | 利用可能 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
ケースウォール テーブル
名前: ENTITY_IDENTIFIER
列:
- ソース
- 重大度
- カテゴリ
- 信頼度
- 関連ドメイン
エンティティ拡充
IP の拡充アクションは、次のエンティティ拡充ロジックをサポートしています。
| 拡充フィールド | ロジック(適用するタイミング) |
|---|---|
severity |
JSON で利用可能な場合 |
average_confidence |
JSON で利用可能な場合 |
related_domains |
JSON で利用可能な場合 |
categories |
JSON で利用可能な場合 |
sources |
JSON で利用可能な場合 |
first_seen |
JSON で利用可能な場合 |
last_seen |
JSON で利用可能な場合 |
report_link |
JSON で利用可能な場合 |
JSON の結果
次の例は、Backstory API で IP の拡充アクションを使用した場合に受信する JSON 結果の出力を示しています。
{
{
"sources": [
{
"source": "Example List",
"confidenceScore": {
"normalizedConfidenceScore": "Low",
"intRawConfidenceScore": 0
},
"rawSeverity": "High",
"category": "Malware Command and Control Server"
}
],
"iocIngestTime": "2021-01-26T17:00:00Z",
"firstSeenTime": "2018-10-03T00:03:53Z",
"lastSeenTime": "2022-02-09T10:52:21.229Z",
"uri": [
"https://INSTANCE/domainResults?domain=example.net&selectedList=DomainViewDistinctAssets&whoIsTimestamp=2022-02-09T11%3A51%3A52.393783515Z"
]
}
}
次の例は、Chronicle API で IP の拡充アクションを使用した場合に受信する JSON 結果の出力について説明しています。
[
{
"Entity": "192.0.2.121",
"EntityResult": {
"sources": [
{
"category": "Indicator was published in publicly available sources",
"firstActiveTime": "1970-01-01T00:00:01Z",
"lastActiveTime": "9999-12-31T23:59:59Z",
"addresses": [
{
"ipAddress": "IP_ADDRESS"
}
],
"rawSeverity": "low",
"confidenceScore": {
"strRawConfidenceScore": "67"
}
}
],
"feeds": [
{
"metadata": {
"title": "Mandiant Open Source Intelligence",
"description": "Open Source Intel IoC",
"confidenceScoreBucket": {
"rangeEnd": 100
}
},
"iocs": [
{
"categorization": "Indicator was published in publicly available sources",
"activeTimerange": {
"start": "1970-01-01T00:00:01Z",
"end": "9999-12-31T23:59:59Z"
},
"ipAndPorts": {
"ipAddress": "IP_ADDRESS"
},
"confidenceScore": "67",
"rawSeverity": "Low"
}
]
}
]
}
}
]
出力メッセージ
IP の拡充アクションでは、次の出力メッセージが表示されます。
| 出力メッセージ | メッセージの説明 |
|---|---|
Successfully enriched the following IPs from Google Chronicle:
LIST_OF_IPS |
アクションが成功しました。 |
Error executing action "Enrich IP". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、[IP を拡充] アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
RetroHunt を実行する
Google SecOps でルール RetroHunt を実行するには、[Execute Retrohunt] アクションを使用します。
このアクションは Google SecOps エンティティに対しては実行されません。
アクション入力
[Execute Retrohunt] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Rule ID |
必須。 Retrohunt を実行するルールの ID。 ルールの最新バージョンには |
Time Frame |
省略可。 結果を取得する期間。 値は次のいずれかになります。
デフォルト値は |
Start Time |
結果の開始時間(ISO 8601 形式)。
|
End Time |
結果の終了時刻(ISO 8601 形式)。 値を設定せず、 |
アクションの出力
[Execute Retrohunt] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| エンティティのインサイト | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、Backstory API で Execute Retrohunt アクションを使用した場合に受信する JSON 結果の出力を示しています。
{
"retrohuntId": "oh_d738c8ea-8fd7-4cc1-b43d-25835b8e1785",
"ruleId": "ru_30979d84-aa89-47d6-bf4d-b4bb0eacb497",
"versionId": "ru_30979d84-aa89-47d6-bf4d-b4bb0eacb497@v_1612472807_179679000",
"eventStartTime": "2021-01-14T23:00:00Z",
"eventEndTime": "2021-01-30T23:00:00Z",
"retrohuntStartTime": "2021-02-08T02:40:59.192113Z",
"state": "RUNNING"
}
次の例は、Chronicle API で Execute Retrohunt アクションを使用した場合に受信する JSON 結果の出力について説明しています。
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/operations/OPERATION_ID",
"metadata": {
"@type": "type.googleapis.com/RetrohuntMetadata",
"retrohunt": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/rules/RULE_ID/retrohunts/RETROHUNT_ID",
"executionInterval": {
"startTime": "2025-01-22T12:16:20.963182Z",
"endTime": "2025-01-23T12:16:20.963182Z"
}
},
"retrohuntId": "RETROHUNT_ID",
"ruleId": "RULE_ID",
"versionId": "VERSION_ID",
"eventStartTime": "2025-01-22T12:16:20.963182Z",
"eventEndTime": "2025-01-23T12:16:20.963182Z"
}
出力メッセージ
[Execute Retrohunt] アクションでは、次の出力メッセージが表示されます。
| 出力メッセージ | メッセージの説明 |
|---|---|
Successfully executed a retrohunt for the provided rule in Google
Chronicle.
|
アクションが成功しました。 |
Error executing action "Execute Retrohunt". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、Execute Retrohunt アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
UDM クエリを実行する
UDM クエリの実行アクションを使用して、Google SecOps でカスタム UDM クエリを実行します。
このアクションは Google SecOps エンティティに対しては実行されません。
アクション入力
[Execute UDM Query] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Query String |
必須。 Google SecOps で実行するクエリ。 |
Time Frame |
省略可。 結果を取得する期間。 値は次のいずれかになります。
デフォルト値は |
Start Time |
省略可。 結果の開始時刻(ISO 8601 形式、例:
最長期間は 90 日です。 |
End Time |
省略可。 結果の終了時刻(ISO 8601 形式、例: 値を設定せず、 最長期間は 90 日です。 |
Max Results To Return |
省略可。 1 回のクエリで返す結果の数。 最大値は デフォルト値は |
アクションの出力
[Execute UDM Query] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、[Execute UDM Query] アクションを使用した場合に受信する JSON 結果の出力について説明しています。
{
"events":[
"event":{
"metadata":{
"eventTimestamp":"2022-01-20T09:15:15.687Z",
"eventType":"USER_LOGIN",
"vendorName":"Example Vendor",
"productName":"Example Product",
"ingestedTimestamp":"2022-01-20T09:45:07.433587Z"
},
"principal":{
"hostname":"example-user-pc",
"ip":[
"203.0.113.0"
],
"mac":[
"01:23:45:ab:cd:ef",
"01:23:45:ab:cd:ef",
"01:23:45:ab:cd:ef"
],
"location":{
"city":"San Francisco",
"state":"California",
"countryOrRegion":"US"
},
"asset":{
"hostname":"example-user-pc",
"ip":[
"203.0.113.1",
"203.0.113.1",
"203.0.113.1"
],
"mac":[
"01:23:45:ab:cd:ef",
"01:23:45:ab:cd:ef",
"01:23:45:ab:cd:ef"
]
}
},
"target":{
"user":{
"userid":"Example",
"userDisplayName":"Example User",
"windowsSid":"S-1-5-21-4712406912-7108061610-2717800068-993683",
"emailAddresses":[
"example@example.com",
"admin.example@example.com"
],
"employeeId":"2406187",
"productObjectId":"f93f1540-4935-4266-aa8e-a750a319aa1c",
"firstName":"Example",
"lastName":"User",
"phoneNumbers":[
"555-01-75"
],
"title":"Executive Assistant",
"companyName":"Example Corp",
"department":[
"Executive - Admin"
],
"managers":[
{
"userDisplayName":"Example User",
"windowsSid":"S-1-5-21-6051382818-4135626959-8120238335-834071",
"emailAddresses":[
"user@example.com"
],
"employeeId":"5478500",
"productObjectId":"8b3924d5-6157-43b3-857b-78aa6bd94705",
"firstName":"User",
"lastName":"Example",
"phoneNumbers":[
"555-01-75"
],
"title":"Chief Technology Officer",
"companyName":"Example Corp",
"department":[
"Executive - Admin"
]
}
]
},
"ip":[
"198.51.100.1"
],
"email":"email@example.com",
"application":"Example Sign In"
},
"securityResult":[
{
"summary":"Successful Login",
"action":[
"ALLOW"
]
}
],
"extensions":{
"auth":{
"type":"SSO"
}
}
},
"eventLogToken":"96f23eb9ffaa9f7e7b0e2ff5a0d2e34c,1,1642670115687000,USER,|USER_LOGIN"
]
}
出力メッセージ
UDM クエリの実行アクションでは、次の出力メッセージが表示されます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Execute UDM Query". Reason:
ERROR_REASON
|
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
Error executing action "Execute UDM Query". Reason: you've reached a
rate limit. Please wait for several minutes and try again. |
操作に失敗しました。 数分待ってから、もう一度アクションを実行してください。 |
スクリプトの結果
次の表に、UDM クエリの実行アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
データテーブルを取得する
データテーブルを取得アクションを使用して、Google SecOps で使用可能なデータテーブルを取得します。
このアクションは Google SecOps エンティティに対しては実行されません。
アクション入力
データテーブルを取得アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Filter Key |
省略可。 フィルタするキー
値は次のいずれかになります。 NameDescription |
Filter Logic |
省略可。 適用するフィルタ ロジック。 値は次のいずれかになります。 Equal(完全一致の場合)Contains(部分文字列の一致の場合) |
Filter Value |
省略可。 フィルタで使用する値。 値は次のいずれかになります。 Equal(完全一致の場合)Contains(部分文字列の一致の場合)
何も指定しない場合、フィルタは適用されません。 |
Expanded Rows |
省略可。 選択すると、レスポンスに詳細なデータテーブルの行が含まれます。 デフォルトでは有効になっていません。 |
Max Data Tables To Return |
必須。 返すデータテーブルの数。 最大値は |
Max Data Table Rows To Return |
必須。 返すデータテーブルの行数。 このパラメータは、 最大値は |
アクションの出力
[データテーブルを取得] アクションでは、次の出力が提供されます。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、データテーブルを取得アクションを使用したときに受信した JSON 結果の出力を示しています。
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table",
"displayName": "data_table",
"createTime": "2025-05-14T12:52:50.064133Z",
"updateTime": "2025-05-14T13:13:48.631442Z",
"columnInfo": [
{
"originalColumn": "columnName1",
"columnType": "STRING"
},
{
"columnIndex": 1,
"originalColumn": "columnName2",
"columnType": "STRING"
},
{
"columnIndex": 2,
"originalColumn": "columnName3",
"columnType": "STRING"
}
],
"dataTableUuid": "c3cce57bb8d940d5ac4523c37d540436",
"approximateRowCount": "2",
"rows": [
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table/dataTableRows/840d18a85944833e1b97ed6d2fb11377",
"values": {
"columnName1": "asda",
"columnName2": "asdasd",
"columnName3": "zxczxc"
},
"createTime": "2025-05-14T12:52:51.908143Z",
"updateTime": "2025-05-14T12:52:51.908143Z"
}
]
}
出力メッセージ
[Get Data Tables] アクションでは、次の出力メッセージが表示されます。
| 出力メッセージ | メッセージの説明 |
|---|---|
Successfully found data tables for the provided criteria in Google
SecOps |
アクションが成功しました。 |
Error executing action "Get Data Tables". Reason:
ERROR_REASON |
操作に失敗しました。 サーバー、入力パラメータ、または認証情報への接続を確認してください。 |
スクリプトの結果
次の表に、データテーブルを取得アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
true または false |
検出の詳細を取得する
検出の詳細を取得アクションを使用して、Google SecOps の検出に関する情報を取得します。
このアクションは Google SecOps エンティティに対しては実行されません。
アクション入力
[Get Detection Details] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Rule ID |
必須。 検出に関連するルールの ID。 ルールの最新バージョンには |
Detection ID |
必須。 詳細情報を取得する検出結果の ID。 特殊文字が指定された場合、アクションは失敗しませんが、検出のリストを返します。 |
アクションの出力
[検出の詳細を取得] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、[Get Detection Details] アクションを使用した場合に受信する JSON 結果の出力を示しています。
{
"type": "RULE_DETECTION",
"detection": [
{
"ruleName": "singleEventRule2",
"urlBackToProduct":
"https://INSTANCE/ruleDetections?
ruleId=ru_1f54ab4b-e523-48f7-ae25-271b5ea8337d&selectedList=RuleDetectionsViewTimeline&
selectedParentDetectionId=de_ce594791-09ed-9681-27fa-3b7c8fa6054c&
selectedTimestamp=2020-12-03T16: 50: 47.647245Z","ruleId": "ru_1f54ab4b-e523-48f7-ae25-271b5ea8337d",
"ruleVersion": "ru_1f54ab4b-e523-48f7-ae25-271b5ea8337d@v_1605892822_687503000",
"alertState": "NOT_ALERTING",
"ruleType": "SINGLE_EVENT"
}
],
"createdTime": "2020-12-03T19:19:21.325134Z",
"id": "de_ce594791-09ed-9681-27fa-3b7c8fa6054c",
"timeWindow": {
"startTime": "2020-12-03T16:50:47.647245Z",
"endTime": "2020-12-03T16:50:47.647245Z"
},
"collectionElements": [
{
"references": [
{
"event": {
"metadata": {
"eventTimestamp": "2020-12-03T16:50:47.647245Z",
"collectedTimestamp": "2020-12-03T16:50:47.666064010Z",
"eventType": "NETWORK_DNS",
"productName": "ProductName",
"ingestedTimestamp": "2020-12-03T16:50:49.494542Z"
},
"principal": {
"ip": [
"192.0.2.1"
]
},
"target": {
"ip": [
"203.0.113.1"
]
},
"securityResult": [
{
"action": [
"UNKNOWN_ACTION"
]
}
],
"network": {
"applicationProtocol": "DNS",
"dns": {
"questions": [
{
"name": "example.com",
"type": 1,
"class": 1
}
],
"id": 12345,
"recursionDesired": true
}
}
}
}
],
"label": "e"
}
],
"detectionTime": "2020-12-03T16:50:47.647245Z"
}
出力メッセージ
[検出の詳細を取得] アクションでは、次の出力メッセージが表示されます。
| 出力メッセージ | メッセージの説明 |
|---|---|
Successfully fetched information about the detection with ID
DETECTION_ID in Google Chronicle. |
アクションが成功しました。 |
Error executing action "Get Detection Details". Reason:
ERROR_REASON |
操作に失敗しました。 サーバー、入力パラメータ、または認証情報への接続を確認してください。 |
スクリプトの結果
次の表に、Get Detection Details アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
参照リストを取得する
参照リストを取得アクションを使用して、Google SecOps で使用可能な参照リストを取得します。
このアクションは Google SecOps エンティティに対しては実行されません。
アクション入力
参照リストを取得アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Filter Key |
フィルタするキー。 値は次のいずれかになります。
|
Filter Logic |
適用するフィルタ ロジック。 値は次のいずれかになります。 Equal(完全一致の場合)Contains(部分文字列の一致の場合)デフォルト値は |
Filter Value |
フィルタで使用する値。 値は次のいずれかになります。 Equal(完全一致の場合)Contains(部分文字列の一致の場合)
値が指定されていない場合、フィルタは適用されません。 |
Expanded Details |
選択すると、アクションで参照リストに関する詳細情報が返されます。 デフォルトでは有効になっていません。 |
Max Reference Lists To Return |
返す参照リストの数。 デフォルト値は |
アクションの出力
[参照リストを取得] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用可能 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
ケースウォール テーブル
ケースウォールで [Get Reference Lists] をクリックすると、次の表が表示されます。
名前: 使用可能な参照リスト
列:
- 名前
- 説明
- 型
JSON の結果
次の例は、Backstory API で Get Reference Lists アクションを使用した場合に受信する JSON 結果の出力を示しています。
{
"name": "list_name",
"description": "description of the list",
"lines": [
"192.0.2.0/24",
"198.51.100.0/24"
],
"create_time": "2020-11-20T17:18:20.409247Z",
"content_type": "CIDR"
}
次の例は、Chronicle API で Get Reference Lists アクションを使用した場合に受信する JSON 結果の出力を示しています。
[
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/referenceLists/REFERENCE_LIST_ID",
"displayName": "REFERENCE_LIST_ID",
"revisionCreateTime": "2025-01-09T15:53:10.851775Z",
"description": "Test reference list",
"syntaxType": "REFERENCE_LIST_SYNTAX_TYPE_PLAIN_TEXT_STRING",
"scopeInfo": {
"referenceListScope": {}
},
"createTime": "2025-01-09T15:53:10.851775Z"
}
]
出力メッセージ
参照リストを取得アクションでは、次の出力メッセージが表示されます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action
ACTION_NAME. Reason:
ERROR_REASON
|
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
Error executing action
ACTION_NAME. Reason: "Invalid
value was provided for "Max Reference Lists to Return":
PROVIIDED_VALUE. Positive number should be provided. |
操作に失敗しました。
|
スクリプト
次の表に、参照リストを取得アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
ルールの詳細を取得する
ルールの詳細を取得アクションを使用して、Google SecOps のルールに関する情報を取得します。
このアクションは Google SecOps エンティティに対しては実行されません。
アクション入力
[Get Rule Details] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Rule ID |
必須。 詳細情報を取得するルール ID。 |
アクションの出力
[Get Rule Details] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、Backstory API で Get Rule Details アクションを使用した場合に受信する JSON 結果の出力について説明しています。
{
"ruleId": "ru_e6abfcb5-1b85-41b0-b64c-695b3250436f",
"versionId": "ru_e6abfcb5-1b85-41b0-b64c-695b3250436f@v_1602631093_146879000",
"ruleName": "SampleRule",
"metadata": {
"description": "Sample Description of the Rule",
"author": "author@example.com"
},
"ruleText": "rule SampleRule {
meta:
description = \"Sample Description of the Rule\"
author = \"author@example.com\"
events:
// This will just generate lots of detections
$event.metadata.event_type = \"NETWORK_HTTP\"
condition:
$event
} ",
"liveRuleEnabled": true,
"versionCreateTime": "2020-10-13T23:18:13.146879Z",
"compilationState": "SUCCEEDED"
}
次の例は、Chronicle API で Get Rule Details アクションを使用した場合に受信する JSON 結果の出力を示しています。
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/rules/RULE_ID",
"revisionId": "v_1733917896_973567000",
"displayName": "Test_rule_SingleEvent",
"text": "rule Test_rule_SingleEvent {\n // This rule matches single events. Rules can also match multiple events within\n // some time window. For details about how to write a multi-event rule, see\n // URL\n\n meta:\n // Allows for storage of arbitrary key-value pairs of rule details - who\n // wrote it, what it detects on, version control, etc.\n // The \"author\" and \"severity\" fields are special, as they are used as\n // columns on the rules dashboard. If you want to sort based on\n // these fields on the dashboard, make sure to add them here.\n // Severity value, by convention, should be \"Low\", \"Medium\" or \"High\"\n author = \"example_user\"\n description = \"windowed single event example rule\"\n //severity = \"Medium\"\n\n events:\n $e.metadata.event_type = \"USER_LOGIN\"\n $e.principal.user.userid = $user\n\n //outcome:\n // For a multi-event rule an aggregation function is required\n // e.g., risk_score = max(0)\n // See URL\n //$risk_score = 0\n match:\n $user over 1m\n\n condition:\n #e > 0\n}\n",
"author": "example_user",
"metadata": {
"author": "example_user",
"description": "windowed single event example rule",
"severity": null
},
"createTime": "2024-12-11T11:36:18.192127Z",
"revisionCreateTime": "2024-12-11T11:51:36.973567Z",
"compilationState": "SUCCEEDED",
"type": "SINGLE_EVENT",
"allowedRunFrequencies": [
"LIVE",
"HOURLY",
"DAILY"
],
"etag": "CMj55boGEJjondAD",
"ruleId": "RULE_ID",
"versionId": "RULE_ID@v_1733917896_973567000",
"ruleName": "Test_rule_SingleEvent",
"ruleText": "rule Test_rule_SingleEvent {\n // This rule matches single events. Rules can also match multiple events within\n // some time window. For details about how to write a multi-event rule, see\n // URL\n\n meta:\n // Allows for storage of arbitrary key-value pairs of rule details - who\n // wrote it, what it detects on, version control, etc.\n // The \"author\" and \"severity\" fields are special, as they are used as\n // columns on the rules dashboard. If you want to sort based on\n // these fields on the dashboard, make sure to add them here.\n // Severity value, by convention, should be \"Low\", \"Medium\" or \"High\"\n author = \"example_user\"\n description = \"windowed single event example rule\"\n //severity = \"Medium\"\n\n events:\n $e.metadata.event_type = \"USER_LOGIN\"\n $e.principal.user.userid = $user\n\n //outcome:\n // For a multi-event rule an aggregation function is required\n // e.g., risk_score = max(0)\n // See URL\n //$risk_score = 0\n match:\n $user over 1m\n\n condition:\n #e > 0\n}\n",
"ruleType": "SINGLE_EVENT",
"versionCreateTime": "2024-12-11T11:51:36.973567Z"
}
出力メッセージ
[Get Rule Details] アクションでは、次の出力メッセージが表示されます。
| 出力メッセージ | メッセージの説明 |
|---|---|
Successfully fetched information about the rule with ID
RULE_ID in Google Chronicle.
|
アクションが成功しました。 |
Error executing action "Get Rule Details". Reason:
ERROR_REASON
|
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、ルールの詳細を取得アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
Is Value In Data Table
Is Value In Data Table を使用して、指定された値が Google SecOps のデータテーブルにあるかどうかを確認します。
このアクションは Google SecOps エンティティに対しては実行されません。
アクション入力
[Is Value In Data Table] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Data Table Name |
必須。 検索するデータテーブルの表示名。 |
Column |
省略可。 検索する列のカンマ区切りのリスト。 値が指定されていない場合、アクションはすべての列を検索します。 |
Values |
必須。 検索する値のカンマ区切りのリスト。 |
Case Insensitive Search |
省略可。 選択すると、検索で大文字と小文字が区別されなくなります。 デフォルトで有効になっています。 |
Max Data Table Rows To Return |
必須。 一致する値ごとに返すデータテーブルの行数。 最大値は |
アクションの出力
[Is Value In Data Table] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用できません |
| ケースウォールのリンク | 利用できません |
| ケースウォール テーブル | 利用できません |
| 拡充テーブル | 利用できません |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、[Is Value In Data Table] アクションを使用した場合に受信される JSON 結果の出力を示しています。
[{
"Entity": "asda",
"EntityResult": {
"is_found": true,
"matched_rows": [
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table/dataTableRows/840d18a85944833e1b97ed6d2fb11377",
"values": {
"columnName1": "asda",
"columnName2": "asdasd",
"columnName3": "zxczxc"
},
"createTime": "2025-05-14T12:52:51.908143Z",
"updateTime": "2025-05-14T12:52:51.908143Z"
}
]
}
}]
出力メッセージ
[Is Value In Data Table] アクションでは、次の出力メッセージが表示されます。
| 出力メッセージ | メッセージの説明 |
|---|---|
Successfully searched provided values in the data table {data table}
in Google SecOps.
|
アクションが成功しました。 |
| アクション「値がデータテーブルにあるか」の実行中にエラーが発生しました。理由: ERROR_REASON | 操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
Error executing action "Is Value In Data Table". Reason: the
following data tables were not found in:
DATA_TABLE_NAME:
COLUMN_NAMES. Please check the
spelling.
|
操作に失敗しました。 |
Error executing action "Is Value In Data Table". Reason:
This action is not supported for Backstory API configuration. Please update
the integration configuration.
|
操作に失敗しました。 |
スクリプトの結果
次の表に、[Is Value In Data Table] アクションを使用した場合のスクリプト結果の出力値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
true または false |
Is Value In Reference List
値が参照リストに含まれているかアクションを使用して、指定された値が Google SecOps の参照リストで見つかったかどうかを確認します。
このアクションは Google SecOps エンティティに対しては実行されません。
アクション入力
[Is Value In Reference List] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Reference List Names |
必須。 検索する参照リスト名のカンマ区切りのリスト。 |
Values |
必須。 検索する値のカンマ区切りのリスト。 |
Case Insensitive Search |
省略可。 選択すると、検索で大文字と小文字が区別されなくなります。 |
アクションの出力
[Is Value In Reference List] アクションでは、次の出力が提供されます。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、Backstory API で Is Value In Reference List アクションを使用した場合に受信する JSON 結果の出力を示しています。
{
"Entity": "example.com",
"EntityResult": {
"found_in": [
"Reference list names, where item was found"
],
"not_found_in": [
"Reference list names, where items wasn't found"
],
"overall_status": "found, if at least one reference list had the value/not found, if non of the reference lists found the value"
}
}
次の例は、Chronicle API で Is Value In Reference List アクションを使用した場合に受信する JSON 結果の出力を示しています。
{
"Entity": "example.com",
"EntityResult": {
"found_in": [
"Reference list names, where item was found"
],
"not_found_in": [
"Reference list names, where items wasn't found"
],
"overall_status": "found, if at least one reference list had the value/not found, if non of the reference lists found the value"
}
}
出力メッセージ
[Is Value In Reference List] アクションでは、次の出力メッセージが表示されます。
| 出力メッセージ | メッセージの説明 |
|---|---|
Successfully searched provided values in the reference lists in
Google Chronicle.
|
アクションが成功しました。 |
| アクション「値が参照リストにあるかどうか」の実行中にエラーが発生しました。理由: ERROR_REASON | 操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
Error executing action "Is Value In Reference List". Reason: the
following reference lists were not found in Google Chronicle:
MISSING_REFERENCE_LIST_NAME(S).
Please use the action "Get Reference Lists" to see what reference lists are
available.
|
操作に失敗しました。 参照リストを取得アクションを実行して、使用可能なリストを確認します。 |
スクリプトの結果
次の表に、Is Value In Reference List アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
アセットの一覧表示
アセットの一覧表示アクションを使用して、指定した期間内の関連エンティティに基づいて Google SecOps SIEM のアセットを一覧表示します。
このアクションは、MD5、SHA-1、SHA-256 ハッシュのみをサポートします。
このアクションは、次の Google SecOps エンティティに対して実行されます。
URLIP AddressHash
アクション入力
アセットを一覧表示アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Max Hours Backwards |
アセットを取得する現在までの時間数。 デフォルト値は |
Create Insight |
選択すると、アクションによってエンティティに関する情報を含む分析情報が作成されます。 デフォルトで有効になっています。 |
Max Assets To Return |
返すアセットの数。 デフォルト値は |
Time Frame |
省略可。 結果を取得する期間。 値は次のいずれかになります。
デフォルト値は |
Start Time |
ISO 8601 形式の開始時刻。
|
End Time |
ISO 8601 形式の終了時刻。 値を設定せず、 |
アクションの出力
[アセットを一覧表示] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用可能 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
ケースウォール テーブル
名前: ENTITY_IDENTIFIER
列:
- ホスト名
- IP アドレス
- 初回検出アーティファクト
- 最後に検知されたアーティファクト
JSON の結果
次の例は、Backstory API で List Assets アクションを使用した場合に受信する JSON 結果の出力を示しています。
{
"assets": [
{
"asset": {
"hostname": "example"
},
"firstSeenArtifactInfo": {
"artifactIndicator": {
"domainName": "www.example.com"
},
"seenTime": "2020-02-28T09:18:15.675Z"
},
"lastSeenArtifactInfo": {
"artifactIndicator": {
"domainName": "www.example.com"
},
"seenTime": "2020-09-24T06:43:59Z"
}
}
],
"uri": [
"https://INSTANCE/domainResults?domain=www.example.com&selectedList=DomainViewDistinctAssets&whoIsTimestamp=2020-09-27T12%3A07%3A34.166830443Z"
]
}
次の例は、Chronicle API で List Assets アクションを使用した場合に受信する JSON 結果の出力を示しています。
[
{
"Entity": "192.0.2.229",
"EntityResult": {
"assets": [
{
"artifactIndicator": {
"domain": "example.com"
},
"sources": [
"Mandiant Open Source Intelligence"
],
"categories": [
"Indicator was published in publicly available sources"
],
"assetIndicators": [
{
"assetIpAddress": "192.0.2.229"
}
],
"iocIngestTimestamp": "2024-09-20T14:14:07.843Z",
"firstSeenTimestamp": "2025-01-15T11:20:00Z",
"lastSeenTimestamp": "2025-01-15T11:20:00Z",
"filterProperties": {
"stringProperties": {
"TLD": {
"values": [
{
"rawValue": ".com"
}
]
},
"IOC FEED": {
"values": [
{
"rawValue": "Mandiant Open Source Intelligence"
}
]
},
"IOC CATEGORIES": {
"values": [
{
"rawValue": "Indicator was published in publicly available sources"
}
]
},
"IOC CONFIDENCE SCORE": {
"values": [
{
"rawValue": "High"
}
]
},
"IOC/ALERT SEVERITY": {
"values": [
{
"rawValue": "Medium"
}
]
}
}
},
"confidenceBucket": "High",
"rawSeverity": "Medium",
"logType": "OPEN_SOURCE_INTEL_IOC",
"confidenceScore": 100,
"globalCustomerId": "ID",
"confidenceScoreBucket": {
"rangeEnd": 100
},
"categorization": "Indicator was published in publicly available sources",
"domainAndPorts": {
"domain": "example.com"
},
"activeTimerange": {
"startTime": "1970-01-01T00:00:01Z",
"endTime": "9999-12-31T23:59:59Z"
},
"feedName": "MANDIANT",
"id": "ID",
"fieldAndValue": {
"value": "ex ",
"valueType": "DOMAIN_NAME"
}
},
{
"artifactIndicator": {
"domain": "example.com"
},
"sources": [
"Mandiant Active Breach Intelligence"
],
"categories": [
"Indicator was published in publicly available sources"
],
"assetIndicators": [
{
"assetIpAddress": "192.0.2.229"
}
],
"iocIngestTimestamp": "2023-07-05T02:42:52.935Z",
"firstSeenTimestamp": "2025-01-15T11:20:00Z",
"lastSeenTimestamp": "2025-01-15T11:20:00Z",
"filterProperties": {
"stringProperties": {
"IOC/ALERT SEVERITY": {
"values": [
{
"rawValue": "Medium"
}
]
},
"IOC CONFIDENCE SCORE": {
"values": [
{
"rawValue": "High"
}
]
},
"IOC FEED": {
"values": [
{
"rawValue": "Mandiant Active Breach Intelligence"
}
]
},
"IOC CATEGORIES": {
"values": [
{
"rawValue": "Indicator was published in publicly available sources"
}
]
},
"TLD": {
"values": [
{
"rawValue": ".com"
}
]
}
}
},
"confidenceBucket": "High",
"rawSeverity": "Medium",
"logType": "MANDIANT_ACTIVE_BREACH_IOC",
"confidenceScore": 100,
"globalCustomerId": "ID",
"confidenceScoreBucket": {
"rangeEnd": 100
},
"categorization": "Indicator was published in publicly available sources",
"domainAndPorts": {
"domain": "example.com"
},
"activeTimerange": {
"startTime": "1970-01-01T00:00:01Z",
"endTime": "9999-12-31T23:59:59Z"
},
"feedName": "MANDIANT",
"id": "ID",
"fieldAndValue": {
"value": "example.com",
"valueType": "DOMAIN_NAME"
}
}
],
"uri": "https://INSTANCE.backstory.chronicle.security/destinationIpResults?ADDRESS=192.0.2.229&selectedList=IpViewDistinctAssets&referenceTime=2025-01-23T11%3A16%3A24.517449Z"
}
}
]
出力メッセージ
[アセットを一覧表示] アクションでは、次の出力メッセージが表示されます。
| 出力メッセージ | メッセージの説明 |
|---|---|
Successfully listed related assets for the following entities
from Google Chronicle:
ENTITY_IDENTIFIER |
アクションが成功しました。 |
Error executing action "List Assets". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、アセットを一覧表示アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
イベントのリストを取得する
イベントを一覧表示アクションを使用すると、指定した期間内の特定のアセットに関するイベントを一覧表示できます。
このアクションでは 10,000 件のイベントのみを取得できます。
このアクションは、次の Google SecOps エンティティに対して実行されます。
IP addressMAC addressHostname
アクション入力
[イベントを一覧表示] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Event Types |
イベントタイプのカンマ区切りのリスト。 値が指定されていない場合は、すべてのイベントタイプが取得されます。 使用できるすべての値のリストについては、イベントタイプに設定可能な値をご覧ください。 |
Time Frame |
指定した期間。より良い結果を得るには、できるだけ小さくすることをおすすめします。
値は次のいずれかになります。
デフォルト値は |
Start Time |
ISO 8601 形式の開始時刻。
|
End Time |
ISO 8601 形式の終了時刻。 値が指定されず、 このパラメータは |
Reference Time |
イベント検索の基準時刻。 値が指定されていない場合、アクションは終了時刻を参照として使用します。 |
Output |
必須。 出力形式。 値は次のいずれかになります。
|
Max Events To Return |
エンティティ タイプごとに処理するイベントの数。 デフォルト値は |
イベントタイプに設定可能な値
Event Type パラメータで使用できる値は次のとおりです。
EVENTTYPE_UNSPECIFIEDPROCESS_UNCATEGORIZEDPROCESS_LAUNCHPROCESS_INJECTIONPROCESS_PRIVILEGE_ESCALATIONPROCESS_TERMINATIONPROCESS_OPENPROCESS_MODULE_LOADREGISTRY_UNCATEGORIZEDREGISTRY_CREATIONREGISTRY_MODIFICATIONREGISTRY_DELETIONSETTING_UNCATEGORIZEDSETTING_CREATIONSETTING_MODIFICATIONSETTING_DELETIONMUTEX_UNCATEGORIZEDMUTEX_CREATIONFILE_UNCATEGORIZEDFILE_CREATIONFILE_DELETIONFILE_MODIFICATIONFILE_READFILE_COPYFILE_OPENFILE_MOVEFILE_SYNCUSER_UNCATEGORIZEDUSER_LOGINUSER_LOGOUTUSER_CREATIONUSER_CHANGE_PASSWORDUSER_CHANGE_PERMISSIONSUSER_STATSUSER_BADGE_INUSER_DELETIONUSER_RESOURCE_CREATIONUSER_RESOURCE_UPDATE_CONTENTUSER_RESOURCE_UPDATE_PERMISSIONSUSER_COMMUNICATIONUSER_RESOURCE_ACCESSUSER_RESOURCE_DELETIONGROUP_UNCATEGORIZEDGROUP_CREATIONGROUP_DELETIONGROUP_MODIFICATIONEMAIL_UNCATEGORIZEDEMAIL_TRANSACTIONEMAIL_URL_CLICKNETWORK_UNCATEGORIZEDNETWORK_FLOWNETWORK_CONNECTIONNETWORK_FTPNETWORK_DHCPNETWORK_DNSNETWORK_HTTPNETWORK_SMTPSTATUS_UNCATEGORIZEDSTATUS_HEARTBEATSTATUS_STARTUPSTATUS_SHUTDOWNSTATUS_UPDATESCAN_UNCATEGORIZEDSCAN_FILESCAN_PROCESS_BEHAVIORSSCAN_PROCESSSCAN_HOSTSCAN_VULN_HOSTSCAN_VULN_NETWORKSCAN_NETWORKSCHEDULED_TASK_UNCATEGORIZEDSCHEDULED_TASK_CREATIONSCHEDULED_TASK_DELETIONSCHEDULED_TASK_ENABLESCHEDULED_TASK_DISABLESCHEDULED_TASK_MODIFICATIONSYSTEM_AUDIT_LOG_UNCATEGORIZEDSYSTEM_AUDIT_LOG_WIPESERVICE_UNSPECIFIEDSERVICE_CREATIONSERVICE_DELETIONSERVICE_STARTSERVICE_STOPSERVICE_MODIFICATIONGENERIC_EVENTRESOURCE_CREATIONRESOURCE_DELETIONRESOURCE_PERMISSIONS_CHANGERESOURCE_READRESOURCE_WRITTENANALYST_UPDATE_VERDICTANALYST_UPDATE_REPUTATIONANALYST_UPDATE_SEVERITY_SCOREANALYST_UPDATE_STATUSANALYST_ADD_COMMENT
アクションの出力
[イベントを一覧表示] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、イベントを一覧表示アクションを使用した場合に受信する JSON 結果の出力を示しています。
{
"statistics": {
"NETWORK_CONNECTION": 10
}
{
"events": [
{
"metadata": {
"eventTimestamp": "2020-09-28T14:20:00Z",
"eventType": "NETWORK_CONNECTION",
"productName": "EXAMPLE Name",
"productEventType": "NETWORK_DNS",
"ingestedTimestamp": "2020-09-28T16:28:11.615578Z"
},
"principal": {
"hostname": "user-example-pc",
"assetId": "EXAMPLE:user-example-pc",
"process": {
"pid": "1101",
"productSpecificProcessId": "EXAMPLE:32323"
}
},
"target": {
"hostname": "example.com",
"user": {
"userid": "user"
},
"process": {
"pid": "8172",
"file": {
"md5": "a219fc7fcc93890a842183388f80369e",
"fullPath": "C:\\Program Files(x86)\\adobe\\acrobat reader dc\\reader\\acrord32.exe"
},
"commandLine": "\"C:\\Program Files(x86)\\adobe\\acrobat reader dc\\reader\\acrord32.exe\" ...",
"productSpecificProcessId": "EXAMPLE:82315"
}
}
},
{
"metadata": {
"eventTimestamp": "2020-09-28T17:20:00Z",
"eventType": "NETWORK_CONNECTION",
"productName": "EXAMPLE Name",
"productEventType": "NETWORK_DNS",
"ingestedTimestamp": "2020-09-28T16:28:11.615578Z"
},
"principal": {
"hostname": "user-example-pc",
"assetId": "EXAMPLE:user-example-pc",
"process": {
"pid": "1101",
"productSpecificProcessId": "EXAMPLE:32323"
}
},
"target": {
"hostname": "example.com",
"user": {
"userid": "user"
},
"process": {
"pid": "8172",
"file": {
"md5": "a219fc7fcc93890a842183388f80369e",
"fullPath": "C:\\Program Files(x86)\\adobe\\acrobat reader dc\\reader\\acrord32.exe"
},
"commandLine": "\"C:\\Program Files(x86)\\adobe\\acrobat reader dc\\reader\\acrord32.exe\" ...",
"productSpecificProcessId": "EXAMPLE:82315"
}
}
}
],
"uri": [
"https://INSTANCE/assetResults?assetIdentifier=user-example-pc&referenceTime=2020-09-28T17%3A00%3A00Z&selectedList=AssetViewTimeline&startTime=2020-09-28T14%3A20%3A00Z&endTime=2020-09-28T20%3A20%3A00Z"
]
}
}
出力メッセージ
イベントを一覧表示アクションでは、次の出力メッセージが表示されます。
| 出力メッセージ | メッセージの説明 |
|---|---|
Successfully listed related events for the following entities
from Google Chronicle:
ENTITY_IDENTIFIER |
アクションが成功しました。 |
Error executing action "List Events". Reason:
ERROR_REASON
|
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
Error executing action "List Events". Reason: invalid event type
is provided. Please check the spelling. Supported event types:
SUPPORTED_EVENT_TYPES
|
操作に失敗しました。 スペルを確認してください。 |
スクリプトの結果
次の表に、イベントを一覧表示アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
IOC のリストを取得する
[IOC を一覧表示] アクションを使用して、指定した期間内に企業内で検出されたすべての IoC を一覧表示します。
このアクションは Google SecOps エンティティに対しては実行されません。
アクション入力
[IOC を一覧表示] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Start Time |
結果の開始時間(ISO 8601 形式)。 |
Max IoCs to Fetch |
返される IoC の最大数。 範囲は デフォルト値は |
アクションの出力
[IOC を一覧表示] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用可能 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
ケースウォール テーブル
列:
- ドメイン
- カテゴリ
- ソース
- 信頼度
- 重大度
- IoC の取り込み時間
- IoC の初回検知時刻
- IoC Last Seen Time
- URI
JSON の結果
次の例は、IOC の一覧表示アクションを使用した場合に受信する JSON 結果の出力について説明しています。
{
"matches":[
{
"artifact":{
"domainName":"www.example.com"
},
"firstSeenTime":"2018-05-25T20:47:11.048998Z",
"iocIngestTime":"2019-08-14T21:00:00Z",
"lastSeenTime":"2019-10-24T16:19:46.880830Z",
"sources":[
{
"category":"Spyware Reporting Server",
"confidenceScore":{
"intRawConfidenceScore":0,
"normalizedConfidenceScore":"Low"
},
"rawSeverity":"Medium",
"source":"Example List"
}
],
"uri":["URI"]
}
],
"moreDataAvailable":true
}
出力メッセージ
[IOC を一覧表示] アクションでは、次の出力メッセージが表示されます。
| 出力メッセージ | メッセージの説明 |
|---|---|
Successfully listed IOCs from the provided timeframe in Google
Chronicle. |
アクションが成功しました。 |
Error executing action "List IOCs". Reason:
ERROR_REASON.
|
操作に失敗しました。 サーバー、入力パラメータ、または認証情報への接続を確認してください。 |
スクリプトの結果
次の表に、IOC の一覧表示アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
類似のアラートを検索する
[Lookup Similar Alerts] アクションを使用して、Google SecOps で類似のアラートを検索します。
このアクションは、Chronicle Alerts Connector から受信した Google SecOps アラートでのみ機能します。
アクション入力
[Lookup Similar Alerts] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Time Frame |
結果について指定された期間。最適な結果を得るには、期間をできるだけ絞り込みます。 値は次のいずれかになります。
|
IOCs / Assets |
必須。 アラートで検索する IoC またはアセットのカンマ区切りのリスト。このアクションは、指定された各アイテムに対して個別の検索を実行します。 |
Similarity By |
類似するアラートの検索に使用する属性。 値は次のいずれかになります。
デフォルト値は |
[類似度] パラメータの仕組み
Similarity By パラメータは、ルールアラートと外部アラートで異なる方法で適用されます。
Alert Name, Alert Type and ProductまたはAlert Name, Alert Typeが選択されている場合:外部アラートの場合、アクションは同じ名前の他の外部アラートを検索します。
ルールアラートの場合、アクションは同じルールから発信されたアラートを処理します。
Productが選択されている場合:- アクションは、ルールアラートか外部アラートかに関係なく、同じプロダクトから発信されたアラートを処理します。
たとえば、Crowdstrike で発信されたアラートは、Crowdstrike からの他のアラートにのみ一致します。
Only IOCs/Assetsが選択されている場合:このアクションは、
IOCs/Assetsパラメータで指定された IOC に基づいてアラートを照合します。これらの指標は、ルール アラートと外部アラートの両方で検索されます。IOC アラートは、このオプションが選択されている場合にのみこのアクションを実行できます。他のオプションが指定されている場合は、アクションのデフォルトは
Only IOCs/Assetsになります。
類似アラートの検索アクションは、アラートの分析に役立つ多機能ツールです。これにより、アナリストは同じ期間のアラートを関連付け、関連する IOC を抽出して、インシデントが真陽性かどうかを判断できます。
アクションの出力
[Lookup Similar Alerts] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用可能 |
| ケースウォール テーブル | 利用可能 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、[類似アラートを検索] アクションを使用した場合に受信される JSON 結果の出力について説明しています。
{
"count": 123,
"distinct": [
{
"first_seen": "time of the first alert that matched our conditions",
"last_seen": "time of the last alert that matched our conditions",
"product_name": "product name",
"used_ioc_asset": "what user provided in the parameter IOCs and Assets",
"name": "Alert Name/Rule Name",
"hostnames": "csv list of unique hostnames that were found in alerts",
"urls": "csv list of unique urls that were found in alerts",
"ips": "csv list of unique ips that were found in alerts",
"subjects": "csv list of unique subjects that were found in alerts",
"users": "csv list of unique users that were found in alerts",
"email_addresses": "csv list of unique email_addresses that were found in alerts",
"hashes": "csv list of unique hashes that were found in alerts",
"processes": "csv list of unique processes that were found in alerts"
"rule_urls": ["Chronicle URL from API response for Rule"]
"count": 123
}
],
"processed_alerts": 10000,
"run_time": "how long it took to run the action or at least API request",
"EXTERNAL_url": "Chronicle URL from API response for EXTERNAL"
}
出力メッセージ
[Lookup Similar Alerts] アクションでは、次の出力メッセージが表示されます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Lookup Similar Alerts". Reason:
ERROR_REASON
|
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
Error executing action "Lookup Similar Alerts". Reason: all of the
retries are exhausted. Please wait for a minute and try again.
|
操作に失敗しました。 1 分ほど待ってからアクションを再度実行してください。 |
スクリプトの結果
次の表に、類似アラートを検索アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
ケースウォール テーブル
テーブル名: IOC/ASSET_IDENTIFIER
テーブルの列:
- プロダクト
- ホスト名
- IP
- ユーザー
- メールアドレス
- Subjects
- URL
- ハッシュ
- プロセス
- 初回検出
- 最終確認日
- アラート名
- 全般
ケースウォールのリンク
[Lookup Similar Alerts] アクションは、次のリンクを返すことができます。
- CBN: GENERATED_LINK_BASED_ON_IU_ROOT_URL
- ルール: GENERATED_LINK_BASED_ON_IU_ROOT_URL
Ping
Ping アクションを使用して、Google SecOps への接続をテストします。
このアクションは Google SecOps エンティティに対しては実行されません。
アクション入力
なし
アクションの出力
[Ping] アクションでは、次の出力が提供されます。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用不可 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
出力メッセージ
Ping アクションでは、次の出力メッセージが表示されます。
| 出力メッセージ | メッセージの説明 |
|---|---|
Successfully connected to the Google Chronicle backstory with the
provided connection parameters! |
アクションが成功しました。 |
Failed to connect to the Google Chronicle backstory. Error is
ERROR_REASON
|
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、Ping アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
Remove Rows From Data Table
Google SecOps のデータテーブルから行を削除するには、[Remove Rows From Data Table] アクションを使用します。
このアクションは Google SecOps エンティティに対しては実行されません。
アクション入力
[Remove Rows From Data Table] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Data Table Name |
必須。 更新するデータテーブルの表示名。 |
Rows |
必須。 行の検索と削除に使用される JSON オブジェクトのリスト。 有効な列のみを含める必要があります。 デフォルト値は次のとおりです。 |
アクションの出力
[Remove Rows From Data Table] アクションでは、次の出力が提供されます。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、[データテーブルから行を削除] アクションを使用した場合に受け取る JSON 結果の出力を示しています。
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table/dataTableRows/840d18a85944833e1b97ed6d2fb11377",
"values": {
"columnName1": "asda",
"columnName2": "asdasd",
"columnName3": "zxczxc"
},
"createTime": "2025-05-14T12:52:51.908143Z",
"updateTime": "2025-05-14T12:52:51.908143Z"
}
出力メッセージ
[Remove Rows From Data Table] アクションは、次の出力メッセージを提供します。
| 出力メッセージ | メッセージの説明 |
|---|---|
Successfully removed rows from the data table
DATA_TABLE_NAME in
Google SecOps.
|
アクションが成功しました。 |
Error executing action "Remove Rows From Data Table". Reason:
ERROR_REASON
|
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、データテーブルから行を削除アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
参照リストから値を削除する
Google SecOps の参照リストから値を削除するには、[参照リストから値を削除する] アクションを使用します。
このアクションは Google SecOps エンティティに対しては実行されません。
アクション入力
[参照リストから値を削除する] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Reference List Name |
必須。 更新する参照リストの名前。 |
Values |
必須。 参照リストから削除する値のカンマ区切りのリスト。 |
アクションの出力
[参照リストから値を削除する] アクションでは、次の出力が提供されます。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、Backstory API で Remove Values From Reference List アクションを使用した場合に受信する JSON 結果の出力を示しています。
{
"name": "list_name",
"description": "description of the list",
"lines": [
"192.0.2.0/24",
"198.51.100.0/24"
],
"create_time": "2020-11-20T17:18:20.409247Z",
"content_type": "CIDR"
}
次の例は、Chronicle API で Remove Values From Reference List アクションを使用した場合に受信する JSON 結果の出力を示しています。
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/referenceLists/<var class="readonly">REFERENCE_LIST_NAME</var>' }}",
"displayName": "REFERENCE_LIST_NAME",
"revisionCreateTime": "2025-01-16T09:15:21.795743Z",
"description": "Test reference list",
"entries": [
{
"value": "example.com"
},
{
"value": "exampledomain.com"
}
],
"syntaxType": "REFERENCE_LIST_SYNTAX_TYPE_PLAIN_TEXT_STRING",
"scopeInfo": {
"referenceListScope": {}
},
"createTime": "2025-01-16T09:15:21.795743Z",
"lines": [
"example.com",
"exampledomain.com"
]
}
出力メッセージ
[参照リストから値を削除する] アクションでは、次の出力メッセージが提供されます。
| 出力メッセージ | メッセージの説明 |
|---|---|
Successfully removed values from the reference list.
|
アクションが成功しました。 |
Error executing action "Remove Values From Reference List". Reason:
ERROR_REASON
|
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、[参照リストから値を削除] アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
コネクタ
Google SecOps でコネクタを構成する方法について詳しくは、データを取り込む(コネクタ)をご覧ください。
Google Chronicle - Chronicle アラート コネクタ
Google Chronicle - Chronicle Alerts Connector を使用して、Google SecOps SIEM からルールベースのアラートに関する情報を pull します。
このコネクタは、動的リストを使用してフィルタできます。
概要
Google Chronicle - Chronicle アラート コネクタは、Google SecOps SIEM から複数のアラートタイプを取り込みます。
主な機能と運用上の詳細は次のとおりです。
1 週間以内のデータをクエリします。
アラートの遅延による見逃しを防ぐために、パディング期間とコネクタのタイムアウトの延長を構成できますが、パディングが長すぎるとパフォーマンスに悪影響を及ぼす可能性があります。
コネクタは、柔軟な構成のために動的リストを利用します。
重大度の値がないアラートに
Fallback Severityを提供します。IoC を取り込むには、IoC に基づいてアラートを生成する対応する検出ルールを Google SecOps SIEM で作成する必要があります。
動的リストのフィルタ
動的リストは、コネクタ構成ページからアラートを直接フィルタするために使用されます。
演算子のロジック
動的リストでは、AND と OR のロジックを組み合わせてフィルタ ルールを処理します。
OR 論理演算: 同じ行にカンマで区切って指定された値は、OR 論理演算で処理されます(たとえば、
Rule.severity = low,mediumはlowまたはmediumの重大度を意味します)。AND ロジック: 動的リストの各行は AND ロジックで処理されます(
Rule.severityの行とRule.ruleNameの行はseverityANDruleNameを意味します)。サポートされる演算子(
=、!=、>、<、>=、<=)は、フィルタキーによって異なります。
演算子ルールの使用例を次に示します。
- Rule.severity = medium: コネクタは、重大度が中のルールのアラートのみを取り込みます。
- Rule.severity = low,medium: コネクタは重大度が中または低のルールのアラートのみを取り込みます。
- Rule.ruleName = default_rule: コネクタは、
default_ruleという名前のルールのアラートのみを取り込みます。
サポートされているフィルタ
Chronicle Alerts Connector は、次のキーでのフィルタリングをサポートしています。
| フィルタキー | レスポンス キー | 演算子 | 可能値 |
|---|---|---|---|
Rule.severity |
detection、ruleLabels、または severity |
=、!=、>、<、>=、<= |
値では大文字と小文字が区別されません。 |
Rule.ruleName |
detection または ruleName |
=、!= |
ユーザー定義。 |
Rule.ruleID |
detection または ruleId |
=、!= |
ユーザー定義。 |
Rule.ruleLabels.{key} |
detection または ruleLabels |
=、!= |
ユーザー定義。 |
ruleLabels の処理
ルール内の特定のラベルでフィルタリングするには、Rule.ruleLabels.{key} 形式を使用します。
たとえば、キーが type で値が suspicious_behaviour のラベルでフィルタリングする場合、動的リストの入力は次のようになります。
Rule.ruleLabels.type=suspicious_behaviour
コネクタの入力
Chronicle アラート コネクタには、次のパラメータが必要です。
デフォルト値は Medium です。
| パラメータ | 説明 |
|---|---|
Product Field Name |
必須。 商品名が保存されるフィールドの名前。 商品名は主にマッピングに影響します。コネクタのマッピング プロセスを合理化して改善するため、デフォルト値はコードから参照されるフォールバック値に解決されます。このパラメータの無効な入力は、デフォルトでフォールバック値に解決されます。 デフォルト値は |
Event Field Name |
必須。 イベント名(サブタイプ)を特定するフィールドの名前。 |
Environment Field Name |
省略可。 環境名が保存されるフィールドの名前。 環境フィールドがない場合、コネクタはデフォルト値を使用します。 デフォルト値は |
Environment Regex Pattern |
省略可。
デフォルト値 正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果はデフォルト環境になります。 |
Script Timeout (Seconds) |
必須。 現在のスクリプトを実行する Python プロセスのタイムアウト上限(秒単位)。 デフォルト値は |
API Root |
必須。 Google SecOps SIEM インスタンスの API ルート。 Google SecOps は、各 API にリージョン エンドポイント( 使用するエンドポイントを確認するには、Cloud カスタマーケアにお問い合わせください。 デフォルト値は |
User's Service Account |
必須。 認証に使用されるサービス アカウントの完全な JSON コンテンツ。 |
Fallback Severity |
必須。 Google SecOps SIEM からのアラートに重大度の値が含まれていない場合に使用するデフォルトの重大度。 指定できる値は次のとおりです。
|
Max Hours Backwards |
省略可。 最初のコネクタ実行の前にインシデントを取得する時間数。 このパラメータは 1 回のみ適用されます。 最大値は デフォルト値は |
Max Alerts To Fetch |
省略可。 コネクタの反復処理ごとに処理するアラートの数。 デフォルト値は |
Disable Event Splitting |
省略可。 このオプションを選択すると、コネクタは元のイベントを複数の部分に分割しないため、ソースと Google SecOps SOAR の間でイベント数が一致します。 デフォルトでは有効になっていません。 |
Verify SSL |
必須。 選択すると、Google SecOps SIEM サーバーに接続するときに SSL 証明書が検証されます。 デフォルトで有効になっています。 |
Proxy Server Address |
省略可。 使用するプロキシ サーバーのアドレス。 |
Proxy Username |
省略可。 認証に使用するプロキシのユーザー名。 |
Proxy Password |
省略可。 認証に使用するプロキシ パスワード。 |
Disable Overflow |
省略可。 選択すると、コネクタは Google SecOps のオーバーフロー メカニズムを無視します。 デフォルトでは有効になっていません。 |
コネクタルール
Google Chronicle - Chronicle アラート コネクタはプロキシをサポートしています。
コネクタ イベント
Google Chronicle - Chronicle Alerts Connector は、Google SecOps SIEM から 3 種類以上のイベントを処理します。
ルールベースのアラート
このイベントタイプは、Google SecOps SIEM の検出ルールによって生成されます。
{
"alert_type": "RULE",
"event_type": "NETWORK_DHCP",
"type": "RULE_DETECTION",
"detection": [
{
"ruleName": "d3_test",
"urlBackToProduct": "https://INSTANCE/ruleDetections?ruleId=ru_74dd17e2-5aad-4053-acd7-958bead014f2&selectedList=RuleDetectionsViewTimeline&selectedParentDetectionId=de_b5dadaf4-b398-325f-9f09-833b71b3ffbb&selectedTimestamp=2022-02-08T05:02:36Z&versionTimestamp=2020-11-19T18:19:11.951951Z",
"ruleId": "ru_74dd17e2-5aad-4053-acd7-958bead014f2",
"ruleVersion": "ru_74dd17e2-5aad-4053-acd7-958bead014f2@v_1605809951_951951000",
"alertState": "NOT_ALERTING",
"ruleType": "SINGLE_EVENT",
"ruleLabels": [
{
"key": "author",
"value": "analyst123"
},
{
"key": "description",
"value": "8:00 AM local time"
},
{
"key": "severity",
"value": "Medium"
}
]
}
],
"createdTime": "2022-02-08T06:07:33.944951Z",
"id": "de_b5dadaf4-b398-325f-9f09-833b71b3ffbb",
"timeWindow": {
"startTime": "2022-02-08T05:02:36Z",
"endTime": "2022-02-08T05:02:36Z"
},
"collectionElements": [
{
"references": [
{
"event": {
"metadata": {
"eventTimestamp": "2022-02-08T05:02:36Z",
"eventType": "NETWORK_DHCP",
"productName": "Infoblox DHCP",
"ingestedTimestamp": "2022-02-08T05:03:03.892234Z"
},
"principal": {
"ip": [
"198.51.100.255",
"198.51.100.1"
],
"mac": [
"01:23:45:ab:cd:ef"
],
"email_address": [
"example@example.com"
]
},
"target": {
"hostname": "dhcp_server",
"ip": [
"198.51.100.0",
"198.51.100.1"
]
},
"network": {
"applicationProtocol": "DHCP",
"dhcp": {
"opcode": "BOOTREQUEST",
"ciaddr": "198.51.100.255",
"giaddr": "198.51.100.0",
"chaddr": "01:23:45:ab:cd:ef",
"type": "REQUEST",
"clientHostname": "example-user-pc",
"clientIdentifier": "AFm/LDfjAw=="
}
}
}
}
],
"label": "e"
}
],
"detectionTime": "2022-02-08T05:02:36Z"
}
外部アラート
このイベントタイプは、Google SecOps SIEM に取り込まれた外部アラートに基づいています。
{
"alert_type": "External",
"event_type": "GENERIC_EVENT",
"name": "Authentication failure [32038]",
"sourceProduct": "Internal Alert",
"severity": "Medium",
"timestamp": "2020-09-30T18:03:34.898194Z",
"rawLog": "U2VwIDMwIDE4OjAzOjM0Ljg5ODE5NCAxMC4wLjI5LjEwOSBBdXRoZW50aWNhdGlvbiBmYWlsdXJlIFszMjAzOF0=",
"uri": [
"https://INSTANCE/assetResults?assetIdentifier=198.51.100.109&namespace=[untagged]&referenceTime=2020-09-30T18%3A03%3A34.898194Z&selectedList=AssetViewTimeline&startTime=2020-09-30T17%3A58%3A34.898194Z&endTime=2020-09-30T18%3A08%3A34.898194Z&selectedAlert=-610875602&selectedEventTimestamp=2020-09-30T18%3A03%3A34.898194Z"
],
"event": {
"metadata": {
"eventTimestamp": "2020-09-30T18:03:34.898194Z",
"eventType": "GENERIC_EVENT",
"productName": "Chronicle Internal",
"ingestedTimestamp": "2020-09-30T18:03:34.991592Z"
},
"target": [
{
"ip": [
"198.51.100.255",
"198.51.100.1"
]
}
],
"securityResult": [
{
"summary": "Authentication failure [32038]",
"severityDetails": "Medium"
}
]
}
}
IoC アラート
このイベントタイプは、事前定義された IoC のリストとの照合です。
{
"alert_type": "IOC",
"event_type": "IOC Alert",
"artifact": {
"domainName": "example.com"
},
"sources": [
{
"source": "Example List",
"confidenceScore": {
"normalizedConfidenceScore": "Low",
"intRawConfidenceScore": 0
},
"rawSeverity": "High",
"category": "Malware Command and Control Server"
}
],
"iocIngestTime": "2020-09-07T11:00:00Z",
"firstSeenTime": "2018-10-03T00:01:59Z",
"lastSeenTime": "2022-02-04T20:02:29.191Z",
"uri": [
"https://INSTANCE/domainResults?domain=example.com&selectedList=DomainViewDistinctAssets&whoIsTimestamp=2022-02-08T15%3A08%3A52.434022777Z"
]
}
アラートの構造
次の表は、Google Chronicle - Chronicle Alerts Connector が Google SecOps のアラートの属性を設定する方法を示しています。アラート属性は、わかりやすくするために、発生元とアラートタイプでグループ化されています。
内部で生成された属性
これらの属性はフレームワークによって生成され、すべてのアラートタイプで一貫しています。
| アラートの属性名 | ソース |
|---|---|
SourceSystemName |
フレームワークによって内部的に生成されます。 |
TicketId |
値は ids.json ファイルから取得されます。 |
DisplayId |
自動生成。 |
すべてのアラート タイプの属性
これらの属性はソースアラートから派生しますが、ソースキーはアラートの種類によって異なります。
| アラートの属性名 | ソース |
|---|---|
Priority |
API レスポンスまたは Fallback Severity パラメータから取得されます。 |
DeviceVendor |
ハードコードされた値は Google Chronicle です。 |
DeviceProduct |
アラートの種類に応じてハードコードされた値。ルール検出アラートの場合は RULE、IOC 一致の場合は IOC、外部アラートの場合は EXTERNAL。 |
Description |
ルールベースのアラートの場合、これは detection/ruleLabels/description(存在する場合)から取得されます。他のアラートタイプでは使用できません。 |
Reason |
利用できません。 |
SourceGroupingIdentifier |
利用できません。 |
Chronicle Alert - Attachments |
利用できません。 |
特定のアラートの種類
これらの属性はアラートの発生元に固有のものであるため、それぞれがどのように入力されるかを簡単に把握できます。
| アラートの属性名 | ルールベースのアラート | IOC ベースのアラート | 外部アラート |
|---|---|---|---|
Name |
detection/ruleName |
IOC Alert(ハードコード) |
alertInfos/name |
RuleGenerator |
detection/ruleName |
IOC Alert(ハードコード) |
alertInfos/name |
StartTime と EndTime |
timeWindow または startTime |
lastSeenTime |
timestamp |
Chronicle Alert - Extensions |
rule_id(ruleId)、product_name(イベントまたはメタデータの CSV、または productName 値) |
該当なし | alert_name(name)、product_name(UDM イベントまたはメタデータの CSV、または productName 値) |
非推奨: Google Chronicle - アラート コネクタ
このコネクタは、Google SecOps SIEM からアセット アラートを pull し、Google SecOps SIEM アラートに変換します。
google.oauth2.service_account と AuthorizedSession を使用して Google ライブラリで認証できます。
このコネクタには、Google SecOps の SIEM Search API が必要です。
コネクタの入力
| パラメータ | 説明 |
|---|---|
Product Field Name |
必須。
商品名が保存されるフィールドの名前。 商品名は主にマッピングに影響します。コネクタのマッピング プロセスを合理化して改善するため、デフォルト値はコードから参照されるフォールバック値に解決されます。このパラメータの無効な入力は、デフォルトでフォールバック値に解決されます。 デフォルト値は |
Environment Field Name |
省略可。 環境名が保存されるフィールドの名前。 環境フィールドがない場合、コネクタはデフォルト値を使用します。 デフォルト値は |
Environment Regex Pattern |
省略可。
デフォルト値 正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果はデフォルト環境になります。 |
Script Timeout (Seconds) |
必須。 現在のスクリプトを実行する Python プロセスのタイムアウト上限(秒単位)。 デフォルト値は |
Service Account Credentials |
必須。 サービス アカウントの JSON ファイルの内容。 |
Fetch Max Hours Backwards |
省略可。 最初のコネクタ実行の前にインシデントを取得する時間数。 このパラメータは 1 回のみ適用されます。 最大値は デフォルト値は |
非推奨: Google Chronicle - IoCs コネクタ
代わりに Chronicle アラート コネクタを使用してください。
このコネクタは、Google SecOps SIEM から IOC ドメイン一致を pull し、Google SecOps SIEM アラートに変換します。
google.oauth2.service_account と AuthorizedSession を使用して Google ライブラリで認証できます。
このコネクタは Google SecOps SIEM Search API を使用します。
コネクタの入力
Google Chronicle - IoCs コネクタには次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Product Field Name |
必須。
商品名が保存されるフィールドの名前。 商品名は主にマッピングに影響します。コネクタのマッピング プロセスを合理化して改善するため、デフォルト値はコードから参照されるフォールバック値に解決されます。このパラメータの無効な入力は、デフォルトでフォールバック値に解決されます。 デフォルト値は |
Environment Field Name |
省略可。 環境名が保存されるフィールドの名前。 環境フィールドがない場合、コネクタはデフォルト値を使用します。 デフォルト値は |
Environment Regex Pattern |
省略可。
デフォルト値 正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果はデフォルト環境になります。 |
Script Timeout (Seconds) |
必須。 現在のスクリプトを実行する Python プロセスのタイムアウト上限(秒単位)。 デフォルト値は |
Service Account Credentials |
必須。 サービス アカウントの JSON ファイルの内容。 |
Fetch Max Hours Backwards |
省略可。 最初コネクタの実行前にアラートを取得する時間数。 このパラメータは 1 回のみ適用されます。 最大値は デフォルト値は |
Max Alerts To Fetch |
省略可。 コネクタの反復処理ごとに処理するアラートの最大数。 デフォルト値は |
| トラッキング フィールド | 同期対象フィールド |
|---|---|
Priority |
Priority |
Status |
Status |
Title |
Title |
| 該当なし | Stage |
| 該当なし | Google SecOps Case ID |
| 該当なし | Google SecOps Case ID |
Google SecOps ケース ID は、Google SecOps SOAR と Google SecOps SIEM の一意のケース識別子です。
Google Chronicle Sync Data ジョブは、アラートの次のフィールドを追跡して同期します。
| トラッキング フィールド | 同期対象フィールド |
|---|---|
Priority |
Priority |
Status |
Status |
Case ID |
該当なし |
| 該当なし | Google SecOps Alert ID |
| 該当なし | Google SecOps Case ID |
| 該当なし | Verdict |
| 該当なし | Closure Comment |
| 該当なし | Closure Reason |
| 該当なし | Closure Root Cause |
| 該当なし | Usefulness |
Google SecOps アラート ID は、Google SecOps SOAR の一意のアラート ID です。
1 回のイテレーションで、ジョブは最大 1,000 件のケースと 1,000 件のアラートを同期します。同期は、ジョブ構成で指定された Google SecOps SOAR 環境内で行われます。同期メカニズムにより、指定された環境のケースが別の環境と同期されることはありません。
Google Chronicle Sync Data ジョブを構成する
このジョブは、Google SecOps SIEM から取り込まれた Google SecOps SOAR のケースのみを同期します。
ジョブを構成する前に、前提条件の手順を完了していることを確認してください。
Google Chronicle Sync Data ジョブを構成する手順は次のとおりです。
[パラメータ] セクションで、次のパラメータを構成します。
パラメータ 説明 Environment必須。
ケースとアラートを同期する Google SecOps SOAR で作成された環境の名前。
API Root必須。
Google SecOps SIEM インスタンスの API ルート。
Google SecOps は、API ごとにリージョン エンドポイントを提供します。
たとえば、
https://europe-backstory.googleapis.comや、https://asia-southeast1-backstory.googleapis.comです。使用するエンドポイントがわからない場合は、[Cloud カスタマーケアにお問い合わせください](/chronicle/docs/getting-support)。
デフォルト値は
https://backstory.googleapis.comです。User's Service Account必須。
Google SecOps SIEM インスタンスのサービス アカウント JSON ファイルの内容。
Max Hours Backwards省略可。
アラートを取得する時間数。正の数値のみを使用してください。0 または負の数値を入力すると、エラーが報告されます。このパラメータが空の場合、ジョブはデフォルト値を使用します。
デフォルト値は
24です。Verify SSL必須。
選択すると、Google SecOps は Google SecOps SIEM サーバーへの接続用の SSL 証明書が有効であることを確認します。このオプションを選択することをおすすめします。
デフォルトで選択されています。
Google Chronicle Sync Data ジョブはデフォルトで有効になっています。正しく構成されたジョブを保存すると、データと Google SecOps SIEM の同期が直ちに開始されます。ジョブを無効にするには、ジョブ名の横にある切り替えボタンを切り替えます。
構成を完了するには、[保存] をクリックします。
[保存] ボタンが有効になっていない場合は、必須パラメータがすべて設定されていることを確認してください。
省略可: 保存後すぐにジョブを実行するには、[今すぐ実行] をクリックします。
[今すぐ実行] オプションを使用すると、現在の Google SecOps SOAR アラートとケースデータを Google SecOps SIEM と同期する単一のジョブ実行をトリガーできます。
ログ メッセージ
次の表に、Google Chronicle Data Sync ジョブに関して表示される可能性のあるログメッセージを示します。
| ログエントリ | 種類 | 説明 |
|---|---|---|
Unable to parse credentials as JSON. Please validate creds.
|
エラー | User's Service Account パラメータで指定されたサービス アカウントが破損しています。 |
"Max Hours Backwards" parameter must be a positive number. |
エラー | Max Hours backwards パラメータが 0 または負の数に設定されています。 |
Current platform version does not support SDK methods designed for
Google SecOps. Please use version 6.1.33 or higher. |
エラー | 現在の Google SecOps プラットフォーム インスタンスのバージョンは、Chronicle Sync Data ジョブ スクリプトの実行をサポートしていません。これは、インスタンスのビルド バージョンが 6.1.33 より古いことを表しています。 |
Unable to connect to Google SecOps, please validate
your credentials: CREDENTIALS |
エラー | サービス アカウントまたは API ルート値が Google SecOps SIEM インスタンスに対して検証できませんでした。このエラーは、接続テストが失敗した場合に報告されます。 |
--- Start Processing Updated Cases --- |
情報 | ケース処理ループの実行が開始されました。 |
Last success time. Date time:DATE_AND_TIME.
Unix:UNIX_EPOCH_TIME
|
情報 | ケースまたはアラートのスクリプトの実行が最後に成功したときのタイムスタンプ:
|
Key: "DATABASE_KEY" does not exist in the
database. Returning default
value instead: DEFAULT_VALUE |
情報 | 保留中のケースまたはアラートのデータベース キーがデータベースに存在しません。このログエントリは、スクリプトの最初の実行時に常に表示されます。 |
Failed to parse data as JSON. Returning default value instead:
"DEFAULT_VALUE. ERROR:
ERROR |
エラー | データベースから取得した値が有効な JSON 形式ではありません。 |
Exception was raised from the database. ERROR:
ERROR. |
エラー | データベースとの接続に問題があります。 |
|
情報 | 保留中のケースまたはアラートの ID がバックログから正常に取得されました。 CASE_IDS は、取得したケース ID の数です。 |
|
エラー | データベースから取得された保留中のケースまたはアラートの ID の数が上限(1,000)を超えています。上限を超える ID は無視されます。 このエラーは、データベースの破損を示している可能性があります。 |
|
情報 | 新しく更新されたケースまたはアラートの ID がプラットフォームから正常に取得されました。 |
|
情報 | Google SecOps SIEM インスタンスでのケースとアラートの更新が開始されました。 |
|
エラー | 指定されたケースまたはアラートを Google SecOps SIEM と同期できません。 |
|
情報 | 指定された保留中のケースまたはアラートが同期の再試行上限(5)に達したため、バックログには挿入されません。 |
|
情報 | Google SecOps SIEM と同期できないケース ID またはアラート ID のリスト。 |
Updated External Case IDs for the following cases:
CASE_IDS |
情報 | ジョブが Google SecOps SOAR プラットフォームで一致する Google SecOps SIEM 外部ケース ID を更新したケースのリスト。 |
Failed to update external ids. |
エラー | SDK メソッドまたは接続に問題があり、プラットフォーム内の外部ケース ID を更新できなかったことを示すログエントリ。 |
|
エラー | 特定の終了エラーが発生し、ケースまたはアラートの処理ループが自然に終了できなかったことを示すログエントリ。このログの後に、特定のエラーを含むスタック トレースが出力されます。 |
|
情報 | ケースとアラートの処理ループが、自然にまたはエラーで終了しました。 |
|
エラー | 再試行回数が 5 以下であり、バックログに書き戻される失敗したケース ID またはアラート ID のリスト。 |
|
情報 | ケースとアラートの処理ステージが完了しました。 |
Saving timestamps. |
情報 | 最後に成功したケースとアラートの更新タイムスタンプをデータベースに保存します。 |
Saving pending ids. |
情報 | 保留中のケースとアラートの ID をデータベースに保存します。 |
Got exception on main handler. Error:
ERROR_REASON |
エラー | 一般的な終了エラーが発生しました。スタック トレースは、このログの後に特定のエラーとともに印刷されます。 |
Google Chronicle Alerts Creator ジョブ
Google Chronicle Alerts Creator ジョブには、Google SecOps プラットフォーム バージョン 6.2.30 以降が必要です。
このジョブは、Google SecOps SOAR から Google SecOps SIEM に、オーバーフロー アラートを含むすべてのアラートを作成します。Google Chronicle Alerts Creator ジョブは、Google SecOps から発生したアラートを複製しません。
Google Chronicle Alerts Creator ジョブは、同期されていないアラートについて Python SDK を使用して SOAR プラットフォームに対してクエリを実行します。ジョブは、同期されていないアラートを SIEM に個別に送信します。SIEM は、対応する SIEM アラートの識別子を更新して返します。SOAR は、Python SDK を介して SOAR プラットフォーム API を使用して識別子を保存します。
Google Chronicle ジョブ間の関係
完全な Google SecOps システムは、次の 3 つのコンポーネントを同時に実行します。
- Chronicle アラート コネクタ
- Google Chronicle Sync Data ジョブ
- Google Chronicle Alerts Creator ジョブ
Google Chronicle Sync データジョブは、ケースを作成して同期します。また、優先度の変更など、ケースとアラートの変更を同期します。
Google Chronicle Alerts Creator ジョブは、SIEM アラートを除くすべてのアラートを生成します。Google Chronicle Sync データジョブは、Google Chronicle Alerts Creator ジョブがアラートを作成した後に、同期されていないアラートの更新を送信します。
ケースとアラートのデータの同期
ケースは、Google Chronicle Sync Data ジョブと同じ方法で同期されます。
Google SecOps SIEM では、各アラートは SIEM アラート ID で識別されます。SOAR アラートは、次の 2 つのシナリオで SIEM ID を採用できます。
アラートが SIEM で生成されます。
このアラートは Google SecOps SIEM にすでに存在するため、重複して作成する必要はありません。コネクタは
siem_alert_idフィールドに値を入力します。アラートはサードパーティ コネクタで生成されます。
このアラートは Google SecOps SIEM に存在せず、Google Chronicle Alerts Creator ジョブが担う明示的な同期オペレーションを実行する必要があります。同期オペレーションが完了すると、アラートは新しい SIEM 識別子を取得します。
Google Chronicle Alerts Creator ジョブを構成する
ジョブを構成する前に、前提条件の手順を完了していることを確認してください。
Google Chronicle Alerts Creator ジョブを構成する手順は次のとおりです。
次の表のジョブ パラメータを構成します。
パラメータ 説明 Environment必須。
ケースとアラートを同期する Google SecOps SOAR で作成された環境の名前。
API Root必須。
Google SecOps SIEM インスタンスの API ルート。
Google SecOps は、API ごとにリージョン エンドポイントを提供します。
たとえば、
https://europe-backstory.googleapis.comや、https://asia-southeast1-backstory.googleapis.comです。使用するエンドポイントがわからない場合は、[Cloud カスタマーケアにお問い合わせください](/chronicle/docs/getting-support)。
デフォルト値は
https://backstory.googleapis.comです。User's Service Account必須。
Google SecOps SIEM インスタンスのサービス アカウント JSON ファイルの内容。
Verify SSL必須。
選択すると、Google SecOps は Google SecOps SIEM サーバーへの接続用の SSL 証明書が有効であることを確認します。このオプションを選択することをおすすめします。
デフォルトで選択されています。
構成を完了するには、[保存] をクリックします。
[保存] ボタンが有効になっていない場合は、必須パラメータがすべて設定されていることを確認してください。
省略可: 保存後すぐにジョブを実行するには、[今すぐ実行] をクリックします。
[今すぐ実行] オプションを使用すると、現在の Google SecOps SOAR アラートとケースデータを Google SecOps SIEM と同期する単一のジョブ実行をトリガーできます。
ログ メッセージとエラー処理
| ログ | レベル | 説明 |
|---|---|---|
|
エラー | [User's Service Account] パラメータで指定されたサービス アカウントが破損しています。 |
|
エラー | 現在の Google SecOps プラットフォーム インスタンスのバージョンは、Google Chronicle Alerts Creator Job スクリプトの実行をサポートしていません。このエラーは、インスタンスのビルド バージョンが 6.2.30 より古いことを意味します。 |
|
エラー | サービス アカウントまたは API ルート値は、Google SecOps SIEM インスタンスに対して検証できません。このエラーは、接続テストが失敗した場合に報告されます。 |
|
情報 | ジョブが開始されたことを示すログメッセージ。 |
|
INFO | メイン関数が開始されたことを示すログメッセージ。 |
|
情報 | 現在の連続試行の反復回数を示すログメッセージ。 |
|
情報 | コードが SOAR から BATCH_SIZE 個を超える新しいアラートを取得しないことを示すログメッセージ。 |
|
情報 | NUMBER_OF_NEW_ALERTS 件の SOAR アラートが取得されたことを示すログメッセージ。 |
|
情報 | 新しい SOAR アラートが見つからず、ジョブが停止していることを示すログ メッセージ。 |
|
情報 | ジョブが ID リスト内の次の識別子を使用して SOAR アラートを取得したことを示すログ メッセージ。この情報を使用して、ジョブの進行状況を追跡し、コードの問題をトラブルシューティングできます。 |
|
情報 | ジョブが SOAR アラートを SIEM にディスパッチしていることを示すログメッセージ。 |
|
エラー | エラーのため、SIEM でアラートが正常に作成されなかったことを示すログ メッセージ。 |
|
情報 | ジョブが SIEM レスポンスで SOAR を更新していることを示すログメッセージ。 |
|
警告 | SOAR がアラートの同期ステータスを更新できなかったことを示します。 |
|
情報 | 現在の実行で合計 total_synced 件のアラートが同期されたことを示すログメッセージ。 |
|
情報 | ジョブが終了したことを示すログ メッセージ。 |
|
エラー | main 関数で例外が発生したことを示すログメッセージ。例外メッセージはログメッセージに含まれます。 |
ユースケース
Google Chronicle の統合により、次のユースケースを実行できます。
- Chronicle の Windows に関する脅威の調査と対応
- Security Command Center と Chronicle Cloud DIR
ユースケースをインストールする
Google SecOps Marketplace で、[ユースケース] タブに移動します。
検索フィールドにユースケース名を入力します。
ユースケースをクリックします。
インストール ウィザードの構成手順と指示に従います。
完了すると、必要なコンポーネントがすべて Google SecOps マシンにインストールされます。インストールを完了するには、ユースケースに対応するプレイブックの [初期化] ブロックを構成します。
Chronicle の Windows に関する脅威の調査と対応
Google SecOps の機能を使用して、環境内の Windows 脅威にリアルタイムで対応します。Threat Intelligence for Google SecOps を使用すると、セキュリティ チームは Google SecOps とともに忠実度の高い脅威インテリジェンス サービスを活用できます。環境内の実際の脅威を、短期かつ効果的な期間で自動的に優先順位付けして修正できるようになりました。
Google SecOps で、[レスポンス] > [ハンドブック] に移動します。
[Google Chronicle - Windows Threats Investigation & Response] ハンドブックを選択します。Playbook が Playbook デザイナー ビューで開きます。
[Set Initialization Block_1] をダブルクリックします。ブロック構成ダイアログが開きます。
プレイブックを構成するには、次のパラメータを使用します。
入力パラメータ 可能値 説明 edr_product- CrowdStrike
- カーボン ブラック
- なし
Playbook で使用する EDR 製品。 itsm_product- Service Now
- Jira
- ZenDesk
- なし
ハンドブックで使用する ITSM プロダクト。Jira では、[Open Ticket] ブロックに追加の構成が必要です。 crowdstrike_use_spotlightTrueまたはFalseTrueの場合、プレイブックは Spotlight ライセンス(脆弱性情報)を必要とする Crowdstrike アクションを実行します。use_mandiantTrueまたはFalseTrueの場合、ハンドブックは Mandiant ブロックを実行します。slack_userユーザー名またはメールアドレス Slack ユーザーのユーザー名またはメールアドレス。指定されていない場合、ハンドブックは Slack ブロックをスキップします。 [保存] をクリックします。ブロック構成ダイアログが閉じます。
ハンドブック デザイナー ペインで [保存] をクリックします。
ユースケースでプレイブックをテストするには、パッケージに含まれているテストケースを取り込みます。テストに使用されるデータが環境で使用できないため、一部のテストケースの機能が失敗することがあります。
Security Command Center と Chronicle Cloud DIR
Security Command Center を Google SecOps SIEM と統合して、アナリストが Security Command Center で検出されたインシデントと脅威を調査できるようにします。
ユースケースを構成する
このユースケースでは、次の統合を構成する必要があります。
- Siemplify
- ツール
- Mitre ATT&CK
- Google Cloud IAM
- Google Chronicle
- 関数
- Google Cloud コンピューティング
- Email V2
- VirusTotal v3
Google Security Command Center と Mandiant の統合は省略可能です。
構成する前に、ユースケースをインストールしていることを確認してください。
- Google SecOps で、[ハンドブック] タブに移動します。
- [SCC & Chronicle Cloud DIR] ハンドブックを選択します。
- 初期化ブロックをダブルクリックして構成します。
- 次のパラメータを使用してハンドブックを構成します。
| パラメータ名 | 可能値 | 説明 |
|---|---|---|
Mandiant_Enrichment |
True または False |
この設定には、Mandiant の統合を構成する必要があります。意味のある情報がほとんど取得されない場合は、拡充を削除できます。拡充ブロックを削除すると、ハンドブックの実行速度が向上します。 |
SCC_Enrichment |
True または False |
この設定では、Security Command Center の統合を構成する必要があります。意味のある情報がほとんど取得されない場合は、拡充を削除できます。拡充ブロックを削除すると、ハンドブックの実行速度が向上します。 |
IAM_Enrichment |
True または False |
True の場合、ハンドブックは IAM 機能を使用して追加の拡充を行います。意味のある情報がほとんど取得されない場合は、拡充を削除できます。拡充ブロックを削除すると、ハンドブックの実行速度が向上します。 |
Compute_Enrichment |
True または False |
True の場合、プレイブックは Compute Engine の機能を使用して追加の拡充を行います。意味のある情報がほとんど取得されない場合は、拡充を削除できます。拡充ブロックを削除すると、ハンドブックの実行速度が向上します。 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。