SiemplifyUtilities
Versione integrazione: 19.0
Configura l'integrazione di SiemplifyUtilities in Google Security Operations
Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.
Parametri di integrazione
Azioni
Conteggio delle entità nell'ambito
Descrizione
Conta il numero di entità di un ambito specifico.
Parametri
| Parametro | Tipo | Valore predefinito | Descrizione |
|---|---|---|---|
| Tipo di entità | 13 | N/D | Il tipo di entità target. |
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| list_count | N/D | N/D |
Risultato JSON
N/A
Elenco conteggio
Descrizione
Conta il numero di elementi in un elenco, separati da un delimitatore configurabile.
Parametri
| Parametro | Tipo | Valore predefinito | Descrizione |
|---|---|---|---|
| Stringa di input | Stringa | N/D | Elenco di stringhe separate da virgole. Ad esempio: value1,value2,value3. |
| Delimitatore | Stringa | N/D | Definisci un simbolo, che viene utilizzato per separare i valori dall'elenco di input. |
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| list_count | N/D | N/D |
Risultato JSON
N/A
Elimina file
Descrizione
Elimina un file selezionato dal file system.
Parametri
| Nome | Tipo | Obbligatorio | Descrizione |
|---|---|---|---|
| Percorso file | Stringa | Sì | Specifica il percorso assoluto del file da eliminare. |
Run On
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Valore |
|---|---|
| is_success | Vero/Falso |
Risultato JSON
{
"filepath": ""
"status": "deleted/not found"
}
Bacheca casi
L'azione fornisce i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
| File eliminato correttamente. | L'azione è andata a buon fine. |
| Il file non è stato trovato per il percorso fornito. | Il file non esiste. |
| Non è stata trovata alcuna attività per gli account di servizio forniti in Google Cloud Policy Intelligence | L'azione non ha trovato dati per nessuno dei service account elencati. |
| Errore durante l'esecuzione dell'azione "Elimina file". | L'azione ha restituito un errore. Controlla la connessione al server, i parametri di input o le credenziali. |
Estrai primi da JSON
Descrizione
L'azione riceve un JSON come input, lo ordina in base a una chiave specifica e restituisce i primi "x" rami pertinenti.
Parametri
| Parametro | Tipo | Valore predefinito | Descrizione |
|---|---|---|---|
| Dati JSON | Stringa | N/D | Dati JSON da elaborare. |
| Chiave di ordinamento | Stringa | N/D | Chiave nidificata separata da punti. Utilizza * come carattere jolly. Esempio: Host.*.wassap_list.Severity. |
| Tipo di campo | Stringa | N/D | Il tipo di campo in base al quale ordinare. Valori validi: int (campo numerico), stringa (campo di testo) o data. |
| Inverti (da DESC ad ASC) | Casella di controllo | Selezionata | Ordina i risultati per DESC o ASC (da Z ad A). |
| Prime righe | Stringa | N/D | Recupera il numero di righe da elaborare dal file JSON. |
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| result | N/D | N/D |
Risultato JSON
[
{
"HOST": {
"DETECTION":{
"QID": "82003",
"SEVERITY": "1",
"RESULTS": "Timestamp of host (network byte ordering): 03:40:14 GMT"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T10:24:35Z",
"OS": "Windows 10"
},
"DATETIME": "2018-08-29T14:01:12Z"
}, {
"HOST":{
"DETECTION": {
"PORT": "443",
"QID": "11827",
"PROTOCOL": "tcp",
"RESULTS": "X-Frame-Options or Content-Security-Policy: frame-ancestors HTTP Headers missing on port 443.",
"SEVERITY": "2"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T08:31:58Z",
"OS": "Linux 3.13"
},
"DATETIME": "2018-08-29T14:01:12Z"
}, {
"HOST": {
"DETECTION": {
"PORT": "53",
"QID": "15033",
"PROTOCOL": "udp",
"RESULTS": "--- IPv4 --- ",
"SEVERITY": "4"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T08:31:58Z",
"OS": "Linux 3.13"
},
"DATETIME": "2018-08-29T14:01:12Z"
}
]
Filtra JSON
Descrizione
Filtra dizionario JSON.
Parametri
| Parametro | Tipo | Valore predefinito | Descrizione |
|---|---|---|---|
| Dati JSON | Stringa | N/D | I dati del dizionario JSON da filtrare. |
| Percorso chiave principale | Stringa | N/D | Il percorso della chiave principale. Nota: il sistema utilizza la notazione con punti per la ricerca JSON. Ad esempio: json.message.status. |
| Percorso condizione | Stringa | N/D | Il percorso del campo in base al quale filtrare, separato da punti. |
| Operatore di condizione | Stringa | N/D | L'operatore di condizione. Può corrispondere a uno dei seguenti: = / != / > / < / >= / <= / in / not in. |
| Valore condizione | Stringa | N/D | Il valore della condizione in base al quale filtrare. |
| Percorso di output | Stringa | N/D | Il percorso dei risultati desiderati nel dizionario filtrato, separato da punti. |
| Delimitatore | Stringa | N/D | Il delimitatore per unire i valori nel percorso di output. Il valore predefinito è la virgola. |
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| risultati | Vero/Falso | risultati:False |
Risultato JSON
{
"a": {
"HOST": [
{
"DETECTION": {
"QID": "82003",
"SEVERITY": "1",
"RESULTS": "Timestamp of host (network byte ordering): 03:40:14 GMT"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T10:24:35Z",
"OS": "Windows 10"
}
],
"DATETIME": "2018-08-29T14:01:12Z"
}
}
Ottieni l'URL del deployment
Ottieni l'URL di deployment per Google Security Operations.
Entità
L'azione non viene eseguita sulle entità.
Input azione
N/D
Output dell'azione
| Tipo di output dell'azione | |
|---|---|
| Allegato della bacheca casi | N/D |
| Link alla bacheca richieste | N/D |
| Tabella della bacheca casi | N/D |
| Tabella di arricchimento | N/D |
| Approfondimento sull'entità | N/D |
| Insight | N/D |
| Risultato JSON | Disponibile |
| Widget predefinito | N/D |
| Risultato dello script | Disponibile |
Risultato dello script
| Nome del risultato dello script | Valore |
|---|---|
| is_success | Vero/Falso |
Risultato JSON
{
"url": ""
}
Bacheca casi
| Messaggio di output | Descrizione del messaggio |
|---|---|
| URL di deployment recuperato correttamente. | L'azione è stata eseguita correttamente. |
Errore durante l'esecuzione dell'azione "Ottieni URL di deployment". Motivo:
ERROR_REASON |
L'azione ha restituito un errore. Controlla la connessione al server, i parametri di input o le credenziali. |
Elenco operazioni
Descrizione
Fornisci operazioni sugli elenchi.
Parametri
| Parametro | Tipo | Valore predefinito | Descrizione |
|---|---|---|---|
| Prima lista | Stringa | N/D | Elenco di stringhe separate da virgole. Ad esempio: value1,value2,value3. |
| Seconda lista | Stringa | N/D | Elenco di stringhe separate da virgole. Ad esempio: value1,value2,value3. |
| Delimitatore | Stringa | N/D | Definisci un simbolo, che viene utilizzato per separare i valori in entrambi gli elenchi. |
| Operatore | Stringa | N/D | Deve essere uno dei seguenti: intersection, union, subtract o xor. |
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| result_list | N/D | N/D |
Risultato JSON
{
"results": {
"count": 6,
"data": [
"item",
"item1",
"item2"
]
}
}
Analizza EML in JSON
Descrizione
Analizza EML in JSON.
Parametri
| Parametro | Tipo | Valore predefinito | Descrizione |
|---|---|---|---|
| Contenuti EML | Stringa | N/D | I contenuti con codifica base64 del file EML. |
| Intestazioni nella lista bloccata | stringa separata da virgole | No | Intestazioni da escludere dalla risposta. |
| Utilizza la blacklist come lista consentita | Casella di controllo | Deselezionata | Per includere solo le intestazioni elencate. |
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| parsed_eml | N/D | N/D |
Risultato JSON
{
"HTML Body": "<div><br></div>",
"Attachments": {},
"Recipients": "john_doe@example.com",
"CC": "",
"Links": {
"urls_1": "https://lh4.googleusercontent.com/rE6-WYjfFuiHbHUV33G31NCtUeBl9YGnw4bvlorqMeNaC60qWagqtohFwCpq2eJxlMYMJPPDAqqXRZW6Oja8GqOjt3jB3aB6tzJP-jdtbCBoj-m3vu49tttHmWpXGJUSI6UuTUYS",
"urls_2": "https://lh4.googleusercontent.com/Uih5TalWnJjBbG_QaRICp8emX5wIakbCmstEDP3YHT7l45qdjIllcxg_Ddapvrh5DqGKszK3KKM5M0kEoC1YX6TgbWKJKPX0OxD5BeWr3uu6SRAHs7lwP20khjHSlxsIM46egQ-M"
},
"BCC": "",
"To": "john_doe@example.com",
"Date": "Mon, 13 Aug 2018 13:20:34 +0300",
"From": "john_doe@example.com",
"Subject": "TEST6:::Test:::ADVANCE NOTICE: 07.08.2018-Disable Accounts-user\\\r\\\\n Office Il Office"
}
Per questa azione, le modifiche funzionali si applicano alla versione 10 e successive dell'integrazione: nel risultato JSON, il campo with è suddiviso nei campi id e with. Per maggiori dettagli, vedi l'esempio seguente:
Integrazione versione 9 e precedenti:
"with": "smtp id ID"Versione integrazione 10 e successive:
"id": "ID" "with": "SMTP"
Dindin
Descrizione
Testa la connettività.
Parametri
N/D
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| operazione riuscita | Vero/Falso | success:False |
Risultato JSON
N/A
Query Joiner
Descrizione
Forma una stringa di query dai parametri forniti.
Parametri
| Parametro | Tipo | Valore predefinito | Descrizione |
|---|---|---|---|
| Valori | Stringa | N/D | Elenco di stringhe separate da virgole. Ad esempio: value1,value2,value3. |
| Campo Query | Stringa | N/D | Esempio di campo di destinazione della query SrcIP, DestHost ecc. |
| Operatore di query | Stringa | N/D | Operatore di query(OR, AND e così via). |
| Aggiungere citazioni | Casella di controllo | N/D | Se attivata, l'azione aggiungerà le virgolette a ogni elemento dell'elenco "Valori". |
| Aggiungi le virgolette doppie | Casella di controllo | N/D | Se attivata, l'azione aggiungerà le virgolette doppie a ogni elemento dell'elenco "Valori". |
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| query | N/D | N/D |
Risultato JSON
N/A
Esportare le entità come file OpenIOC
Descrizione
Esporta le entità come file OpenIOC. Entità supportate: hash del file, indirizzo IP, URL, nome host, utente.
Parametri
| Nome | Tipo | Obbligatorio | Descrizione |
|---|---|---|---|
| Percorso cartella di esportazione | Stringa | Sì | Specifica la cartella in cui devono essere archiviati i file OpenIOC. |
Run On
Questa azione viene eseguita sulle seguenti entità:
- Filehash
- Indirizzo IP
- URL
- Nome host
- Utente
Risultati dell'azione
Risultato JSON
{
"absolute_file_path": OpenIOC_{random_guid}.txt
}
Bacheca casi
| Richiesta | Operazione riuscita | Fail | Messaggio |
|---|---|---|---|
| Se l'operazione ha esito positivo | Sì | No | È stato creato un file OpenIOC in base alle entità fornite. |
| Nessuna entità nell'ambito | No | No | L'azione non è riuscita a creare un file OpenIOC perché non sono presenti entità nell'ambito di esecuzione dell'azione. |
| Errore irreversibile, credenziali non valide, radice API | No | Sì | Errore durante l'esecuzione dell'azione "Esporta entità come file OpenIOC". Motivo: {error traceback} |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.