將 Web Risk 與 Google SecOps 整合

本文說明如何將 Web Risk 與 Google Security Operations (Google SecOps) 整合。

整合版本:1.0

整合參數

整合 Web Risk 時需要下列參數:

參數 說明
Workload Identity Email

選填。

服務帳戶的用戶端電子郵件地址。

您可以設定這個參數或 Service Account JSON File Content 參數。

如果設定這個參數,請設定 Quota Project ID 參數。

如要使用 Workload Identity Federation 模擬服務帳戶,請將 Service Account Token Creator 角色授予服務帳戶。如要進一步瞭解工作負載身分和使用方式,請參閱「工作負載的身分」。
Service Account JSON File Content

選填。

服務帳戶金鑰 JSON 檔案的內容。

您可以設定這個參數或 Workload Identity Email 參數。

如要設定這個參數,請輸入您建立服務帳戶時下載的服務帳戶金鑰 JSON 檔案完整內容。
Quota Project ID

選填。

您用於 Google Cloud API 和帳單的專案 ID。 Google Cloud 如要使用這個參數,您必須將 Service Usage Consumer 角色授予服務帳戶。

如未設定這個參數的值,整合服務會從 Google Cloud 服務帳戶擷取專案 ID。
Project ID

選填。

要在整合中使用的專案 ID。

如未設定這個參數的值,整合服務會從 Google Cloud 服務帳戶擷取專案 ID。
Verify SSL

必填。

如果選取這個選項,整合功能會在連線至 Web Risk 伺服器時驗證 SSL 憑證。

(此為預設選項)。

如需在 Google SecOps 中設定整合功能的操作說明,請參閱「設定整合功能」。

如有需要,您可以在稍後階段進行變更。設定整合執行個體後,您就可以在劇本中使用該執行個體。如要進一步瞭解如何設定及支援多個執行個體,請參閱「支援多個執行個體」。

動作

如要進一步瞭解動作,請參閱「 從工作台回覆待處理動作」和「執行手動動作」。

充實實體

使用「Enrich Entities」(擴充實體) 動作,從 Web Risk 傳回 Google SecOps 實體的相關資訊。

這項動作會在 Google SecOps URL 實體上執行。

動作輸入內容

動作輸出內容

「Enrich Entities」(擴充實體) 動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
實體擴充資料表 可用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用
實體擴充資料表

「Enrich Entities」動作可擴充 URL 實體,並提供下列擴充結果:

補充資料欄位名稱 來源 (JSON 金鑰) 適用性
threatTypes 威脅類型 CSV 檔案。 JSON 結果中提供時。
JSON 結果

以下範例顯示使用「Enrich Entities」動作時收到的 JSON 結果輸出內容:

{
   "Entity": "Entity",
   "EntityResult": [
       {
           "expireTime": "2024-12-20T13:47:20.786242980Z",
           "threatTypes": [
               "SOCIAL_ENGINEERING_EXTENDED_COVERAGE"
           ]
       }
   ]
}
輸出訊息

「Enrich Entities」動作可傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully enriched the following entities in Web Risk: ENTITY_ID.

The action wasn't able to enrich the following entities in Web Risk: ENTITY_ID.

No information was found for the provided entities.

 動作成功。
Error executing action "Enrich Entities". Reason: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「Enrich Entities」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

乒乓

使用「Ping」動作測試與 Web Risk 的連線。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

動作輸出內容

「Ping」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 無法使用
輸出訊息 可用
指令碼結果 可用
輸出訊息

「Ping」動作可能會傳回下列輸出訊息:

輸出訊息 訊息說明
Successfully connected to the Web Risk server with the provided connection parameters! 動作成功。
Failed to connect to the Web Risk server! Error is ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「Ping」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

提交實體

使用「提交實體」動作,將實體提交給 Web Risk 進行分析。

這項動作是非同步作業。視需要調整 Google SecOps 整合式開發環境 (IDE) 中動作的指令碼逾時值。

這項動作會在 Google SecOps URL 實體上執行。

動作輸入內容

「提交實體」動作需要下列參數:

參數 說明
Abuse Type

選填。

與提交內容相關聯的濫用類型。

如要進一步瞭解濫用類型,請參閱「AbuseType」。

可能的值如下:

  • Select One
  • Malware
  • Social Engineering
  • Unwanted Software

預設值為 Select One
Confidence Level

選填。

提交內容的信賴水準。

如要進一步瞭解信賴水準,請參閱「信賴度」和「ConfidenceLevel」。

可能的值如下:

  • Select One
  • Low
  • Medium
  • High

預設值為 Select One
Justification

選填。

提交內容的理由。

如要進一步瞭解理由選項,請參閱 JustificationLabel

可能的值如下:

  • Manual Verification
  • User Report
  • Automated Report

預設值為 User Report
Comment

選填。

說明提交原因的註解。
Region Code

選填。

以半形逗號分隔的清單,列出與提交內容相關聯的國家/地區通用地區設定資料儲存庫 (CLDR) 代碼。如要進一步瞭解提交內容,請參閱「提交」一文。
Platform

選填。

偵測到提交內容的平台類型。

可能的值如下:

  • Select One
  • Android
  • iOS
  • MacOS
  • Windows

預設值為 Select One
Skip Waiting

選填。

如果選取這個選項,動作會初始化提交作業,但不會等待作業完成。

預設值為 True

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。