SiemplifyUtilities
統合バージョン: 19.0
Google Security Operations で SiemplifyUtilities 統合を構成する
Google SecOps で統合を構成する方法について詳しくは、統合を構成するをご覧ください。
統合のパラメータ
アクション
スコープ内のエンティティの数をカウントする
説明
特定のスコープのエンティティの数をカウントします。
パラメータ
| パラメータ | 種類 | デフォルト値 | 説明 |
|---|---|---|---|
| エンティティ タイプ | 13 | なし | ターゲット エンティティのタイプ。 |
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| list_count | なし | なし |
JSON の結果
N/A
カウントリスト
説明
構成可能な区切り文字で区切られたリスト内のアイテムの数をカウントします。
パラメータ
| パラメータ | 種類 | デフォルト値 | 説明 |
|---|---|---|---|
| 入力文字列 | 文字列 | なし | カンマ区切りの文字列リスト。例: value1、value2、value3。 |
| 区切り文字 | 文字列 | なし | 入力リストから値を区切るために使用される記号を定義します。 |
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| list_count | なし | なし |
JSON の結果
N/A
ファイルを削除
説明
選択したファイルをファイル システムから削除します。
パラメータ
| Name | 種類 | 必須 | 説明 |
|---|---|---|---|
| ファイルパス | 文字列 | ○ | 削除する必要があるファイルの絶対ファイルパスを指定します。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値 |
|---|---|
| is_success | True/False |
JSON の結果
{
"filepath": ""
"status": "deleted/not found"
}
ケースウォール
このアクションでは、次の出力メッセージが表示されます。
| 出力メッセージ | メッセージの説明 |
|---|---|
| ファイルを削除しました。 | アクションが成功しました。 |
| 指定されたパスにファイルが見つかりませんでした。 | そのファイルは存在しません。 |
| 指定されたサービス アカウントのアクティビティが Google Cloud Policy Intelligence で見つかりませんでした | アクションは、一覧表示されているサービス アカウントのデータを見つけられませんでした。 |
| アクション「ファイルを削除」の実行中にエラーが発生しました。 | アクションがエラーを返しました。 サーバー、入力パラメータ、または認証情報への接続を確認してください。 |
JSON から上位を抽出
説明
このアクションは、JSON を入力として取得し、特定のキーで並べ替えて、関連するブランチの上位「x」を返します。
パラメータ
| パラメータ | 種類 | デフォルト値 | 説明 |
|---|---|---|---|
| JSON データ | 文字列 | なし | 処理する JSON データ。 |
| 並べ替えのキー | 文字列 | なし | ドットで区切られたネストされたキー。ワイルドカードとして * を使用します。例: Host.*.wassap_list.Severity。 |
| フィールド タイプ | 文字列 | なし | 並べ替えの基準となるフィールドの型。有効な値: int(数値フィールド)、string(テキスト フィールド)、date。 |
| 反転(DESC -> ASC) | チェックボックス | オン | 結果を降順(Z -> A)または昇順で並べ替えます。 |
| 上位の行数 | 文字列 | なし | 処理する JSON から行数を取得します。 |
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| 件の結果 | なし | なし |
JSON の結果
[
{
"HOST": {
"DETECTION":{
"QID": "82003",
"SEVERITY": "1",
"RESULTS": "Timestamp of host (network byte ordering): 03:40:14 GMT"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T10:24:35Z",
"OS": "Windows 10"
},
"DATETIME": "2018-08-29T14:01:12Z"
}, {
"HOST":{
"DETECTION": {
"PORT": "443",
"QID": "11827",
"PROTOCOL": "tcp",
"RESULTS": "X-Frame-Options or Content-Security-Policy: frame-ancestors HTTP Headers missing on port 443.",
"SEVERITY": "2"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T08:31:58Z",
"OS": "Linux 3.13"
},
"DATETIME": "2018-08-29T14:01:12Z"
}, {
"HOST": {
"DETECTION": {
"PORT": "53",
"QID": "15033",
"PROTOCOL": "udp",
"RESULTS": "--- IPv4 --- ",
"SEVERITY": "4"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T08:31:58Z",
"OS": "Linux 3.13"
},
"DATETIME": "2018-08-29T14:01:12Z"
}
]
JSON をフィルタする
説明
JSON 辞書をフィルタします。
パラメータ
| パラメータ | 種類 | デフォルト値 | 説明 |
|---|---|---|---|
| JSON データ | 文字列 | なし | フィルタする JSON 辞書データ。 |
| ルートキーパス | 文字列 | なし | ルートキーのパス。注: システムでは、JSON 検索にドット表記を使用します。例: json.message.status。 |
| 条件パス | 文字列 | なし | フィルタするフィールドへのパス(ドット区切り)。 |
| 条件演算子 | 文字列 | なし | 条件演算子。次のいずれかになります: = / != / > / < / >= / <= / in / not in。 |
| 条件値 | 文字列 | なし | フィルタする条件の値。 |
| 出力パス | 文字列 | なし | フィルタされた辞書内の目的の結果へのパス(ドット区切り)。 |
| 区切り文字 | 文字列 | なし | 出力パスの値を結合する区切り文字。デフォルトはカンマです。 |
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| 結果 | True/False | results:False |
JSON の結果
{
"a": {
"HOST": [
{
"DETECTION": {
"QID": "82003",
"SEVERITY": "1",
"RESULTS": "Timestamp of host (network byte ordering): 03:40:14 GMT"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T10:24:35Z",
"OS": "Windows 10"
}
],
"DATETIME": "2018-08-29T14:01:12Z"
}
}
デプロイ URL を取得する
Google Security Operations のデプロイ URL を取得します。
エンティティ
このアクションはエンティティに対しては実行されません。
アクション入力
なし
アクションの出力
| アクションの出力タイプ | |
|---|---|
| ケースウォールのアタッチメント | なし |
| ケースのウォールのリンク | なし |
| ケースウォール テーブル | なし |
| 拡充テーブル | なし |
| エンティティのインサイト | なし |
| インサイト | なし |
| JSON の結果 | 利用可能 |
| OOTB ウィジェット | なし |
| スクリプトの結果 | 利用可能 |
スクリプトの結果
| スクリプトの結果名 | 値 |
|---|---|
| is_success | True/False |
JSON の結果
{
"url": ""
}
ケースウォール
| 出力メッセージ | メッセージの説明 |
|---|---|
| デプロイ URL を取得しました。 | アクションが成功しました。 |
「デプロイ URL を取得」アクションの実行中にエラーが発生しました。理由: ERROR_REASON |
アクションがエラーを返しました。 サーバー、入力パラメータ、または認証情報への接続を確認してください。 |
オペレーションの一覧表示
説明
リストに対するオペレーションを提供します。
パラメータ
| パラメータ | 種類 | デフォルト値 | 説明 |
|---|---|---|---|
| First List | 文字列 | なし | カンマ区切りの文字列リスト。例: value1、value2、value3。 |
| 2 番目のリスト | 文字列 | なし | カンマ区切りの文字列リスト。例: value1、value2、value3。 |
| 区切り文字 | 文字列 | なし | 両方のリストの値の区切りに使用される記号を定義します。 |
| 演算子 | 文字列 | なし | intersection、union、subtract、xor のいずれかである必要があります。 |
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| result_list | なし | なし |
JSON の結果
{
"results": {
"count": 6,
"data": [
"item",
"item1",
"item2"
]
}
}
EML を JSON に解析する
説明
EML を JSON に解析します。
パラメータ
| パラメータ | 種類 | デフォルト値 | 説明 |
|---|---|---|---|
| EML コンテンツ | 文字列 | なし | EML ファイルの base64 エンコードされたコンテンツ。 |
| ブラックリストに登録されたヘッダー | カンマ区切りの文字列 | いいえ | レスポンスから除外するヘッダー。 |
| 拒否リストを許可リストとして使用 | チェックボックス | オフ | リストに記載されているヘッダーのみを含める。 |
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| parsed_eml | なし | なし |
JSON の結果
{
"HTML Body": "<div><br></div>",
"Attachments": {},
"Recipients": "john_doe@example.com",
"CC": "",
"Links": {
"urls_1": "https://lh4.googleusercontent.com/rE6-WYjfFuiHbHUV33G31NCtUeBl9YGnw4bvlorqMeNaC60qWagqtohFwCpq2eJxlMYMJPPDAqqXRZW6Oja8GqOjt3jB3aB6tzJP-jdtbCBoj-m3vu49tttHmWpXGJUSI6UuTUYS",
"urls_2": "https://lh4.googleusercontent.com/Uih5TalWnJjBbG_QaRICp8emX5wIakbCmstEDP3YHT7l45qdjIllcxg_Ddapvrh5DqGKszK3KKM5M0kEoC1YX6TgbWKJKPX0OxD5BeWr3uu6SRAHs7lwP20khjHSlxsIM46egQ-M"
},
"BCC": "",
"To": "john_doe@example.com",
"Date": "Mon, 13 Aug 2018 13:20:34 +0300",
"From": "john_doe@example.com",
"Subject": "TEST6:::Test:::ADVANCE NOTICE: 07.08.2018-Disable Accounts-user\\\r\\\\n Office Il Office"
}
このアクションの場合、機能の変更は統合バージョン 10 以降に適用されます。JSON 結果では、with フィールドが id フィールドと with フィールドに分割されます。詳しくは、次の例をご覧ください。
統合バージョン 9 以前:
"with": "smtp id ID"統合バージョン 10 以降:
"id": "ID" "with": "SMTP"
Ping
説明
接続をテストします。
パラメータ
なし
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| success | True/False | success:False |
JSON の結果
N/A
クエリ結合子
説明
指定されたパラメータからクエリ文字列を作成します。
パラメータ
| パラメータ | 種類 | デフォルト値 | 説明 |
|---|---|---|---|
| 値 | 文字列 | なし | カンマ区切りの文字列リスト。例: value1、value2、value3。 |
| クエリ フィールド | 文字列 | なし | クエリ ターゲット フィールド などSrcIP、DestHost など。 |
| クエリ演算子 | 文字列 | なし | クエリ演算子(OR、AND など)。 |
| 見積もりを追加する | チェックボックス | なし | 有効にすると、アクションによって [値] リストのすべての項目に引用符が追加されます。 |
| 二重引用符を追加します | チェックボックス | なし | 有効にすると、アクションは [値] リストのすべての項目に二重引用符を追加します。 |
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| クエリ | なし | なし |
JSON の結果
N/A
エンティティを OpenIOC ファイルとしてエクスポートする
説明
エンティティを OpenIOC ファイルとしてエクスポートします。サポートされるエンティティ: ファイル ハッシュ、IP アドレス、URL、ホスト名、ユーザー。
パラメータ
| Name | 種類 | 必須 | 説明 |
|---|---|---|---|
| フォルダのパスのエクスポート | 文字列 | ○ | OpenIOC ファイルを保存するフォルダを指定します。 |
実行
このアクションは次のエンティティに対して実行されます。
- Filehash
- IP アドレス
- URL
- ホスト名
- ユーザー
アクションの結果
JSON の結果
{
"absolute_file_path": OpenIOC_{random_guid}.txt
}
ケースウォール
| ケース | 完了 | 不合格 | メッセージ |
|---|---|---|---|
| 成功した場合 | ○ | いいえ | 指定されたエンティティに基づいて OpenIOC ファイルが正常に作成されました。 |
| スコープ内にエンティティがありません | いいえ | いいえ | アクションの実行範囲にエンティティがないため、アクションで OpenIOC ファイルを作成できませんでした。 |
| 致命的なエラー、無効な認証情報、API ルート | いいえ | ○ | 「エンティティを OpenIOC ファイルとしてエクスポート」アクションの実行中にエラーが発生しました。理由: {エラー トレースバック} |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。