SiemplifyUtilities
Integrationsversion: 19.0
SiemplifyUtilities-Integration in Google Security Operations konfigurieren
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Integrationsparameter
Aktionen
Entitäten im Geltungsbereich zählen
Beschreibung
Anzahl der Einheiten aus einem bestimmten Bereich zählen.
Parameter
| Parameter | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| Entitätstyp | 13 | – | Der Typ der Zielentitäten. |
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| list_count | – | – |
JSON-Ergebnis
N/A
Zählliste
Beschreibung
Zählt die Anzahl der Elemente in einer Liste, die durch ein konfigurierbares Trennzeichen getrennt sind.
Parameter
| Parameter | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| Eingabestring | String | – | Durch Kommas getrennte Liste von Strings. Beispiel: wert1,wert2,wert3. |
| Trennzeichen | String | – | Definieren Sie ein Symbol, das zum Trennen von Werten aus der Eingabeliste verwendet wird. |
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| list_count | – | – |
JSON-Ergebnis
N/A
Datei löschen
Beschreibung
Löschen Sie eine ausgewählte Datei aus dem Dateisystem.
Parameter
| Name | Typ | Verbindlich | Beschreibung |
|---|---|---|---|
| Dateipfad | String | Ja | Gibt den absoluten Dateipfad für die Datei an, die gelöscht werden muss. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wert |
|---|---|
| is_success | Wahr/falsch |
JSON-Ergebnis
{
"filepath": ""
"status": "deleted/not found"
}
Fall-Repository
Die Aktion gibt die folgenden Ausgabenachrichten aus:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
| Datei wurde gelöscht. | Die Aktion war erfolgreich. |
| Die Datei wurde unter dem angegebenen Pfad nicht gefunden. | Die Datei ist nicht vorhanden. |
| Für die angegebenen Dienstkonten wurden in Google Cloud Policy Intelligence keine Aktivitäten gefunden. | Bei der Aktion wurden keine Daten für die aufgeführten Dienstkonten gefunden. |
| Fehler beim Ausführen der Aktion „Datei löschen“. | Die Aktion hat einen Fehler zurückgegeben. Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
„Top“ aus JSON extrahieren
Beschreibung
Die Aktion erhält ein JSON als Eingabe, sortiert es nach einem bestimmten Schlüssel und gibt die obersten „x“ der relevanten Zweige zurück.
Parameter
| Parameter | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| JSON-Daten | String | – | Zu verarbeitende JSON-Daten. |
| Schlüssel zum Sortieren | String | – | Verschachtelter Schlüssel, durch Punkte getrennt. Verwenden Sie „*“ als Platzhalter. Beispiel: Host.*.wassap_list.Severity. |
| Feldtyp | String | – | Der Typ des Felds, nach dem sortiert werden soll. Gültige Werte: „int“ (numerisches Feld), „string“ (Textfeld) oder „date“. |
| Umkehren (ABSTEIGEND –> AUFSTEIGEND) | Kästchen | Aktiviert | Ergebnisse in absteigender oder aufsteigender Reihenfolge sortieren (Z –> A). |
| Oberste Zeilen | String | – | Ruft die Anzahl der zu verarbeitenden Zeilen aus JSON ab. |
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| Ergebnis | – | – |
JSON-Ergebnis
[
{
"HOST": {
"DETECTION":{
"QID": "82003",
"SEVERITY": "1",
"RESULTS": "Timestamp of host (network byte ordering): 03:40:14 GMT"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T10:24:35Z",
"OS": "Windows 10"
},
"DATETIME": "2018-08-29T14:01:12Z"
}, {
"HOST":{
"DETECTION": {
"PORT": "443",
"QID": "11827",
"PROTOCOL": "tcp",
"RESULTS": "X-Frame-Options or Content-Security-Policy: frame-ancestors HTTP Headers missing on port 443.",
"SEVERITY": "2"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T08:31:58Z",
"OS": "Linux 3.13"
},
"DATETIME": "2018-08-29T14:01:12Z"
}, {
"HOST": {
"DETECTION": {
"PORT": "53",
"QID": "15033",
"PROTOCOL": "udp",
"RESULTS": "--- IPv4 --- ",
"SEVERITY": "4"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T08:31:58Z",
"OS": "Linux 3.13"
},
"DATETIME": "2018-08-29T14:01:12Z"
}
]
JSON filtern
Beschreibung
JSON-Dict filtern
Parameter
| Parameter | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| JSON-Daten | String | – | Die JSON-Wörterbuchdaten, die gefiltert werden sollen. |
| Root-Schlüsselpfad | String | – | Der Pfad zum Stammschlüssel. Hinweis: Das System verwendet die Punktnotation für die JSON-Suche. Beispiel: json.message.status. |
| Bedingungspfad | String | – | Der Pfad zum Feld, nach dem gefiltert werden soll, durch Punkte getrennt. |
| Bedingungsoperator | String | – | Der Bedingungsoperator. Mögliche Werte: = / != / > / < / >= / <= / in / not in. |
| Bedingungswert | String | – | Der Wert der Bedingung, nach der gefiltert werden soll. |
| Ausgabepfad | String | – | Der Pfad zu den gewünschten Ergebnissen im gefilterten Dictionary, durch Punkte getrennt. |
| Trennzeichen | String | – | Das Trennzeichen zum Verknüpfen der Werte im Ausgabepfad. Standardwert: Komma. |
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| Ergebnisse | Wahr/falsch | results:False |
JSON-Ergebnis
{
"a": {
"HOST": [
{
"DETECTION": {
"QID": "82003",
"SEVERITY": "1",
"RESULTS": "Timestamp of host (network byte ordering): 03:40:14 GMT"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T10:24:35Z",
"OS": "Windows 10"
}
],
"DATETIME": "2018-08-29T14:01:12Z"
}
}
Bereitstellungs-URL abrufen
Bereitstellungs-URL für Google Security Operations abrufen
Entitäten
Die Aktion wird nicht für Elemente ausgeführt.
Aktionseingaben
–
Aktionsausgaben
| Ausgabetyp der Aktion | |
|---|---|
| Anhang im Fall-Repository | – |
| Link zum Fall‑Repository | – |
| Tabelle „Fall-Repository“ | – |
| Anreicherungstabelle | – |
| Entitätsstatistiken | – |
| Insight | – |
| JSON-Ergebnis | Verfügbar |
| Vorkonfiguriertes Widget | – |
| Scriptergebnis | Verfügbar |
Scriptergebnis
| Name des Scriptergebnisses | Wert |
|---|---|
| is_success | Wahr/falsch |
JSON-Ergebnis
{
"url": ""
}
Fall-Repository
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
| Die Bereitstellungs-URL wurde abgerufen. | Die Aktion war erfolgreich. |
Fehler beim Ausführen der Aktion „Bereitstellungs-URL abrufen“. Grund:
ERROR_REASON |
Die Aktion hat einen Fehler zurückgegeben. Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Vorgänge auflisten
Beschreibung
Vorgänge für Listen bereitstellen.
Parameter
| Parameter | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| Erste Liste | String | – | Durch Kommas getrennte Liste von Strings. Beispiel: wert1,wert2,wert3. |
| Zweite Liste | String | – | Durch Kommas getrennte Liste von Strings. Beispiel: wert1,wert2,wert3. |
| Trennzeichen | String | – | Definieren Sie ein Symbol, das zum Trennen von Werten in beiden Listen verwendet wird. |
| Operator | String | – | Muss einer der folgenden Werte sein: „intersection“, „union“, „subtract“ oder „xor“. |
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| result_list | – | – |
JSON-Ergebnis
{
"results": {
"count": 6,
"data": [
"item",
"item1",
"item2"
]
}
}
EML in JSON parsen
Beschreibung
EML in JSON parsen.
Parameter
| Parameter | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| EML-Inhalte | String | – | Der base64-codierte Inhalt der EML-Datei. |
| Header auf der Sperrliste | durch Kommas getrennter String | Nein | Header, die aus der Antwort ausgeschlossen werden sollen. |
| Sperrliste als Zulassungsliste verwenden | Kästchen | Deaktiviert | Nur die aufgeführten Überschriften einbeziehen. |
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| parsed_eml | – | – |
JSON-Ergebnis
{
"HTML Body": "<div><br></div>",
"Attachments": {},
"Recipients": "john_doe@example.com",
"CC": "",
"Links": {
"urls_1": "https://lh4.googleusercontent.com/rE6-WYjfFuiHbHUV33G31NCtUeBl9YGnw4bvlorqMeNaC60qWagqtohFwCpq2eJxlMYMJPPDAqqXRZW6Oja8GqOjt3jB3aB6tzJP-jdtbCBoj-m3vu49tttHmWpXGJUSI6UuTUYS",
"urls_2": "https://lh4.googleusercontent.com/Uih5TalWnJjBbG_QaRICp8emX5wIakbCmstEDP3YHT7l45qdjIllcxg_Ddapvrh5DqGKszK3KKM5M0kEoC1YX6TgbWKJKPX0OxD5BeWr3uu6SRAHs7lwP20khjHSlxsIM46egQ-M"
},
"BCC": "",
"To": "john_doe@example.com",
"Date": "Mon, 13 Aug 2018 13:20:34 +0300",
"From": "john_doe@example.com",
"Subject": "TEST6:::Test:::ADVANCE NOTICE: 07.08.2018-Disable Accounts-user\\\r\\\\n Office Il Office"
}
Bei dieser Aktion gelten die funktionalen Änderungen für die Integrationsversion 10 und höher: Im JSON-Ergebnis wird das Feld with in die Felder id und with aufgeteilt. Weitere Informationen finden Sie im folgenden Beispiel:
Integrationsversion 9 und früher:
"with": "smtp id ID"Integrationsversion 10 und höher:
"id": "ID" "with": "SMTP"
Ping
Beschreibung
Verbindung testen
Parameter
–
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| Erfolgreich | Wahr/falsch | success:False |
JSON-Ergebnis
N/A
Query Joiner
Beschreibung
Erstellt einen Abfragestring aus den angegebenen Parametern.
Parameter
| Parameter | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| Werte | String | – | Durch Kommas getrennte Liste von Strings. Beispiel: wert1,wert2,wert3. |
| Feld „Suchanfrage“ | String | – | Beispiel für Zielfeld für Abfrage SrcIP, DestHost usw. |
| Abfrageoperator | String | – | Abfrageoperator(OR, AND usw.). |
| Zitate hinzufügen | Kästchen | – | Wenn diese Option aktiviert ist, werden Anführungszeichen um jedes Element in der Liste „Werte“ gesetzt. |
| Anführungszeichen hinzufügen | Kästchen | – | Wenn diese Option aktiviert ist, werden jedem Element in der Liste „Werte“ doppelte Anführungszeichen hinzugefügt. |
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| Abfrage | – | – |
JSON-Ergebnis
N/A
Entitäten als OpenIOC-Datei exportieren
Beschreibung
Entitäten als OpenIOC-Datei exportieren. Unterstützte Einheiten: Datei-Hash, IP-Adresse, URL, Hostname, Nutzer.
Parameter
| Name | Typ | Verbindlich | Beschreibung |
|---|---|---|---|
| Exportordnerpfad | String | Ja | Geben Sie den Ordner an, in dem die OpenIOC-Dateien gespeichert werden sollen. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- Filehash
- IP-Adresse
- URL
- Hostname
- Nutzer
Aktionsergebnisse
JSON-Ergebnis
{
"absolute_file_path": OpenIOC_{random_guid}.txt
}
Fall-Repository
| Fall | Erfolg | Nicht bestanden | Nachricht |
|---|---|---|---|
| Bei Erfolg | Ja | Nein | Es wurde eine OpenIOC-Datei basierend auf den bereitgestellten Entitäten erstellt. |
| Keine Entitäten im Umfang | Nein | Nein | Mit der Aktion konnte keine OpenIOC-Datei erstellt werden, da im Ausführungsbereich der Aktion keine Entitäten vorhanden sind. |
| Schwerwiegender Fehler, ungültige Anmeldedaten, API-Stammverzeichnis | Nein | Ja | Fehler beim Ausführen der Aktion „Export Entities as OpenIOC File“ (Entitäten als OpenIOC-Datei exportieren). Grund: {error traceback} |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten