Ne14k/google-secops-soc-utilities-integration

# SOC 工具 一个自定义的 Google SecOps (Chronicle) SOAR 集成，它打包了一些小型、重复性的辅助操作，这些是 playbook 最终会需要的功能：统计告警、格式化时间戳和案例详情、提取风险评分，以及汇总每个告警的判定结果。每个操作只负责一项工作，因此您可以将其直接放入工作流中，而无需反复编写相同的粘合逻辑。 这些是实用/后台操作。无需进行任何身份验证，也不需要访问外部服务，因此该集成没有设置参数。 ## 安装说明 1. 下载此仓库。 2. 将 `SOC Utilities` 文件夹压缩（是文件夹本身，而不是其父目录）。 3. 在 Google SecOps 中，转到 **Response > IDE** 并点击 **Import**（上传图标）。 4. 选择 `.zip` 文件。导入完成后，该集成将出现在您的 IDE 列表中。 没有实例配置参数，因此您无需在 Integration Setup 下进行任何设置。打开 Playbook Designer，搜索 "SOC Utilities"，然后将您需要的操作拖放到您的工作流中。 ## 操作 ### 获取 Alert Count 统计附加到当前案例的告警数量，并以字符串形式返回该数字。特意以字符串形式返回，是为了确保 Condition block 能够可靠地读取它。 ### 获取 Risk Score 遍历案例中的每个告警并提取其风险评分（检查 `additional_properties` 和直接属性，涵盖几种常见的拼写变体）。返回一个以 `rule name (alert id)` 为键的 JSON 字典。如果至少找到一个分数则返回 `true`，否则返回 `false`。 ### 格式化 Case Creation Time - ISO 8601 读取案例创建时间，并将其转换为带有时区偏移量的严格 ISO 8601 字符串。支持处理 Unix 秒、13 位毫秒时间戳以及 `UTC±` 格式的字符串。格式化后的时间戳将作为操作的结果值返回。 ### 格式化 Case Information 生成一段可直接发布的案例评论：包含总告警数以及所有告警的项目符号列表，每个告警都带有指向其视图的链接。输出为包含 `alert_count` 和 `alert_bullets` 的 JSON。 * **SecOps Base URL** *(可选)* — 您的 SecOps 实例 URL。提供此项时，列表中的每个告警都将变为深度链接；若未提供，告警将以纯文本形式列出。 ### 检查 PB1 完成 用于具有多个告警的案例的同步门控。运行此操作的每个告警都会为自身标记并评论为已完成，然后该操作会实时重新读取案例评论（以避免竞争条件），并根据总告警数统计唯一的完成次数。只有当最后一个告警完成时，它才会返回 `true`，这使得案例级别的步骤只触发一次，而不是每个告警都触发一次。 ### 保存 Gemini Verdict 获取上游生成的原始 AI 判定结果，解析出 verdict、summary 和 confidence，并将一个干净的 JSON blob 保存到 alert context 下的 `AI_Verdict` 中。它会在 `extracted_info` 对象下查找这些字段，如果需要，会回退到扁平结构。 * **Vertex Result** — 要解析的原始结果字符串。 ### 收集 Case Verdicts 与上述操作配对的另一半。它读取案例中每个告警保存的 `AI_Verdict` 上下文，并将它们汇总为一个单一的 JSON 数组（`Alert_ID`、`Rule`、`Verdict`、`Confidence`、`Summary`），为您提供单一对象来驱动整体的案例决策。没有保存判定结果的告警将被报告为 pending，而不是被跳过。

标签：Google SecOps, Homebrew安装, PB级数据处理, SOAR, 告警处理, 安全运维, 安全运营, 扫描框架, 自动化剧本, 逆向工具