SiemplifyUtilities
통합 버전: 19.0
Google Security Operations에서 SiemplifyUtilities 통합 구성
Google SecOps에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.
통합 매개변수
작업
범위 내 항목 수
설명
특정 범위의 항목 수를 계산합니다.
매개변수
| 매개변수 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| 항목 유형 | 13 | 해당 사항 없음 | 타겟 항목의 유형입니다. |
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
항목 보강
해당 사항 없음
통계
해당 사항 없음
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| list_count | 해당 사항 없음 | 해당 사항 없음 |
JSON 결과
N/A
개수 목록
설명
구성 가능한 구분 기호로 구분된 목록의 항목 수를 계산합니다.
매개변수
| 매개변수 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| 입력 문자열 | 문자열 | 해당 사항 없음 | 쉼표로 구분된 문자열 목록입니다. 예: value1,value2,value3 |
| 구분자 | 문자열 | 해당 사항 없음 | 입력 목록에서 값을 구분하는 데 사용되는 기호를 정의합니다. |
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
항목 보강
해당 사항 없음
통계
해당 사항 없음
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| list_count | 해당 사항 없음 | 해당 사항 없음 |
JSON 결과
N/A
파일 삭제
설명
파일 시스템에서 선택한 파일을 삭제합니다.
매개변수
| 이름 | 유형 | 필수 | 설명 |
|---|---|---|---|
| 파일 경로 | 문자열 | 예 | 삭제해야 하는 파일의 절대 파일 경로를 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 |
|---|---|
| is_success | True/False |
JSON 결과
{
"filepath": ""
"status": "deleted/not found"
}
케이스 월
이 작업은 다음 출력 메시지를 제공합니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
| 파일이 삭제되었습니다. | 작업이 완료되었습니다. |
| 제공된 경로에서 파일을 찾을 수 없습니다. | 파일이 없습니다. |
| 제공된 서비스 계정의 활동이 Google Cloud 정책 인텔리전스에서 발견되지 않음 | 작업에서 나열된 서비스 계정의 데이터를 찾을 수 없습니다. |
| '파일 삭제' 작업을 실행하는 동안 오류가 발생했습니다. | 작업에서 오류가 반환되었습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
JSON에서 상위 항목 추출
설명
이 작업은 JSON을 입력으로 가져와 특정 키로 정렬하고 관련 브랜치의 상위 'x'를 반환합니다.
매개변수
| 매개변수 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| JSON 데이터 | 문자열 | 해당 사항 없음 | 처리할 JSON 데이터입니다. |
| 정렬 기준 키 | 문자열 | 해당 사항 없음 | 점이 있는 중첩 키입니다. *를 와일드카드로 사용합니다. 예: Host.*.wassap_list.Severity |
| 필드 유형 | 문자열 | 해당 사항 없음 | 정렬할 필드의 유형입니다. 유효한 값: int (숫자 필드), string (텍스트 필드) 또는 date. |
| 역순 (DESC -> ASC) | 체크박스 | 선택됨 | DESC 또는 ASC (Z -> A)로 결과를 정렬합니다. |
| 상위 행 | 문자열 | 해당 사항 없음 | 처리할 JSON에서 행 수를 가져옵니다. |
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
항목 보강
해당 사항 없음
통계
해당 사항 없음
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| 결과 | 해당 사항 없음 | 해당 사항 없음 |
JSON 결과
[
{
"HOST": {
"DETECTION":{
"QID": "82003",
"SEVERITY": "1",
"RESULTS": "Timestamp of host (network byte ordering): 03:40:14 GMT"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T10:24:35Z",
"OS": "Windows 10"
},
"DATETIME": "2018-08-29T14:01:12Z"
}, {
"HOST":{
"DETECTION": {
"PORT": "443",
"QID": "11827",
"PROTOCOL": "tcp",
"RESULTS": "X-Frame-Options or Content-Security-Policy: frame-ancestors HTTP Headers missing on port 443.",
"SEVERITY": "2"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T08:31:58Z",
"OS": "Linux 3.13"
},
"DATETIME": "2018-08-29T14:01:12Z"
}, {
"HOST": {
"DETECTION": {
"PORT": "53",
"QID": "15033",
"PROTOCOL": "udp",
"RESULTS": "--- IPv4 --- ",
"SEVERITY": "4"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T08:31:58Z",
"OS": "Linux 3.13"
},
"DATETIME": "2018-08-29T14:01:12Z"
}
]
JSON 필터링
설명
JSON 사전 필터링
매개변수
| 매개변수 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| JSON 데이터 | 문자열 | 해당 사항 없음 | 필터링할 JSON 딕셔너리 데이터입니다. |
| 루트 키 경로 | 문자열 | 해당 사항 없음 | 루트 키의 경로입니다. 참고: 시스템은 JSON 검색에 점 표기법을 사용합니다. 예: json.message.status |
| 조건 경로 | 문자열 | 해당 사항 없음 | 필터링할 필드의 경로입니다(점으로 구분됨). |
| 조건 연산자 | 문자열 | 해당 사항 없음 | 조건 연산자입니다. = / != / > / < / >= / <= / in / not in 중 하나일 수 있습니다. |
| 조건 값 | 문자열 | 해당 사항 없음 | 필터링할 조건의 값입니다. |
| 출력 경로 | 문자열 | 해당 사항 없음 | 필터링된 사전에서 원하는 결과의 경로입니다(점으로 구분됨). |
| 구분자 | 문자열 | 해당 사항 없음 | 출력 경로의 값을 결합하는 구분자입니다. 기본값은 쉼표입니다. |
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
항목 보강
해당 사항 없음
통계
해당 사항 없음
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| 결과 | True/False | results:False |
JSON 결과
{
"a": {
"HOST": [
{
"DETECTION": {
"QID": "82003",
"SEVERITY": "1",
"RESULTS": "Timestamp of host (network byte ordering): 03:40:14 GMT"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T10:24:35Z",
"OS": "Windows 10"
}
],
"DATETIME": "2018-08-29T14:01:12Z"
}
}
배포 URL 가져오기
Google Security Operations의 배포 URL을 가져옵니다.
항목
이 작업은 항목에서 실행되지 않습니다.
작업 입력
해당 사항 없음
작업 출력
| 작업 출력 유형 | |
|---|---|
| 케이스 월 연결 | 해당 사항 없음 |
| 케이스 월 링크 | 해당 사항 없음 |
| 케이스 월 테이블 | 해당 사항 없음 |
| 보강 테이블 | 해당 사항 없음 |
| 항목 통계 | 해당 사항 없음 |
| 인사이트 | 해당 사항 없음 |
| JSON 결과 | 사용 가능 |
| OOTB 위젯 | 해당 사항 없음 |
| 스크립트 결과 | 사용 가능 |
스크립트 결과
| 스크립트 결과 이름 | 값 |
|---|---|
| is_success | True/False |
JSON 결과
{
"url": ""
}
케이스 월
| 출력 메시지 | 메시지 설명 |
|---|---|
| 배포 URL을 가져왔습니다. | 작업이 완료되었습니다. |
'배포 URL 가져오기' 작업을 실행하는 동안 오류가 발생했습니다. 이유:
ERROR_REASON |
작업에서 오류가 반환되었습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
작업 나열
설명
목록에 대한 작업을 제공합니다.
매개변수
| 매개변수 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| 첫 번째 목록 | 문자열 | 해당 사항 없음 | 쉼표로 구분된 문자열 목록입니다. 예: value1,value2,value3 |
| 두 번째 목록 | 문자열 | 해당 사항 없음 | 쉼표로 구분된 문자열 목록입니다. 예: value1,value2,value3 |
| 구분자 | 문자열 | 해당 사항 없음 | 두 목록에서 값을 구분하는 데 사용되는 기호를 정의합니다. |
| 연산자 | 문자열 | 해당 사항 없음 | intersection, union, subtract 또는 xor 중 하나여야 합니다. |
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
항목 보강
해당 사항 없음
통계
해당 사항 없음
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| result_list | 해당 사항 없음 | 해당 사항 없음 |
JSON 결과
{
"results": {
"count": 6,
"data": [
"item",
"item1",
"item2"
]
}
}
EML을 JSON으로 파싱
설명
EML을 JSON으로 파싱합니다.
매개변수
| 매개변수 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| EML 콘텐츠 | 문자열 | 해당 사항 없음 | EML 파일의 base64 인코딩 콘텐츠입니다. |
| 블랙리스트에 추가된 헤더 | 쉼표로 구분된 문자열 | 아니요 | 응답에서 제외할 헤더입니다. |
| 차단 목록을 허용 목록으로 사용 | 체크박스 | 선택 해제 | 나열된 헤더만 포함합니다. |
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
항목 보강
해당 사항 없음
통계
해당 사항 없음
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| parsed_eml | 해당 사항 없음 | 해당 사항 없음 |
JSON 결과
{
"HTML Body": "<div><br></div>",
"Attachments": {},
"Recipients": "john_doe@example.com",
"CC": "",
"Links": {
"urls_1": "https://lh4.googleusercontent.com/rE6-WYjfFuiHbHUV33G31NCtUeBl9YGnw4bvlorqMeNaC60qWagqtohFwCpq2eJxlMYMJPPDAqqXRZW6Oja8GqOjt3jB3aB6tzJP-jdtbCBoj-m3vu49tttHmWpXGJUSI6UuTUYS",
"urls_2": "https://lh4.googleusercontent.com/Uih5TalWnJjBbG_QaRICp8emX5wIakbCmstEDP3YHT7l45qdjIllcxg_Ddapvrh5DqGKszK3KKM5M0kEoC1YX6TgbWKJKPX0OxD5BeWr3uu6SRAHs7lwP20khjHSlxsIM46egQ-M"
},
"BCC": "",
"To": "john_doe@example.com",
"Date": "Mon, 13 Aug 2018 13:20:34 +0300",
"From": "john_doe@example.com",
"Subject": "TEST6:::Test:::ADVANCE NOTICE: 07.08.2018-Disable Accounts-user\\\r\\\\n Office Il Office"
}
이 작업의 경우 기능 변경사항은 통합 버전 10 이상에 적용됩니다. JSON 결과에서 with 필드가 id 및 with 필드로 분할됩니다. 자세한 내용은 다음 예시를 참조하세요.
통합 버전 9 이하:
"with": "smtp id ID"통합 버전 10 이상:
"id": "ID" "with": "SMTP"
핑
설명
연결을 테스트합니다.
매개변수
해당 사항 없음
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
항목 보강
해당 사항 없음
통계
해당 사항 없음
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| 성공 | True/False | success:False |
JSON 결과
N/A
쿼리 조이너
설명
지정된 매개변수에서 쿼리 문자열을 구성합니다.
매개변수
| 매개변수 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| 값 | 문자열 | 해당 사항 없음 | 쉼표로 구분된 문자열 목록입니다. 예: value1,value2,value3 |
| 쿼리 필드 | 문자열 | 해당 사항 없음 | 쿼리 대상 필드 예 SrcIP, DestHost 등 |
| 쿼리 연산자 | 문자열 | 해당 사항 없음 | 쿼리 연산자(OR, AND 등)입니다. |
| 따옴표 추가 | 체크박스 | 해당 사항 없음 | 사용 설정된 경우 작업은 '값' 목록의 모든 항목에 따옴표를 추가합니다. |
| 큰따옴표 추가 | 체크박스 | 해당 사항 없음 | 사용 설정하면 작업에서 '값' 목록의 모든 항목에 큰따옴표를 추가합니다. |
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| query | 해당 사항 없음 | 해당 사항 없음 |
JSON 결과
N/A
항목을 OpenIOC 파일로 내보내기
설명
항목을 OpenIOC 파일로 내보냅니다. 지원되는 항목: 파일 해시, IP 주소, URL, 호스트 이름, 사용자
매개변수
| 이름 | 유형 | 필수 | 설명 |
|---|---|---|---|
| 내보내기 폴더 경로 | 문자열 | 예 | OpenIOC 파일을 저장할 폴더를 지정합니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- Filehash
- IP 주소
- URL
- 호스트 이름
- 사용자
작업 결과
JSON 결과
{
"absolute_file_path": OpenIOC_{random_guid}.txt
}
케이스 월
| 케이스 | 성공 | 실패 | 메시지 |
|---|---|---|---|
| 성공한 경우 | 예 | 아니요 | 제공된 엔티티를 기반으로 OpenIOC 파일을 만들었습니다. |
| 범위에 항목이 없음 | 아니요 | 아니요 | 작업 실행 범위에 엔티티가 없으므로 작업에서 OpenIOC 파일을 만들 수 없습니다. |
| 치명적인 오류, 잘못된 사용자 인증 정보, API 루트 | 아니요 | 예 | '엔티티를 OpenIOC 파일로 내보내기' 작업을 실행하는 동안 오류가 발생했습니다. 이유: {오류 트레이스백} |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.