SiemplifyUtilities
Versão da integração: 19.0
Configure a integração do SiemplifyUtilities no Google Security Operations
Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.
Parâmetros de integração
Ações
Contagem de entidades no âmbito
Descrição
Contar o número de entidades de um âmbito específico.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | Descrição |
|---|---|---|---|
| Tipo de entidade | 13 | N/A | O tipo das entidades de destino. |
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| list_count | N/A | N/A |
Resultado JSON
N/A
Lista de contagem
Descrição
Contar o número de itens numa lista, separados por um delimitador configurável.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | Descrição |
|---|---|---|---|
| String de entrada | String | N/A | Lista de strings separadas por vírgulas. Por exemplo: value1,value2,value3. |
| Delimitador | String | N/A | Defina um símbolo, que é usado para a separação de valores da lista de entrada. |
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| list_count | N/A | N/A |
Resultado JSON
N/A
Eliminar ficheiro
Descrição
Eliminar um ficheiro selecionado do sistema de ficheiros.
Parâmetros
| Nome | Tipo | Obrigatório | Descrição |
|---|---|---|---|
| Caminho do ficheiro | String | Sim | Especifica o caminho absoluto do ficheiro que tem de ser eliminado. |
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Valor |
|---|---|
| is_success | Verdadeiro/Falso |
Resultado JSON
{
"filepath": ""
"status": "deleted/not found"
}
Case Wall
A ação fornece as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
| O ficheiro foi eliminado com êxito. | A ação foi concluída com êxito. |
| Não foi possível encontrar o ficheiro no caminho indicado. | O ficheiro não existe. |
| Não foi encontrada atividade para as contas de serviço fornecidas na Google Cloud inteligência de políticas | A ação não conseguiu encontrar dados para nenhuma das contas de serviço indicadas. |
| Erro ao executar a ação "Eliminar ficheiro". | A ação devolveu um erro. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Extraia os principais resultados de JSON
Descrição
A ação recebe um JSON como entrada, ordena-o por uma chave específica e devolve os "x" principais ramos relevantes.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | Descrição |
|---|---|---|---|
| Dados JSON | String | N/A | Dados JSON a processar. |
| Chave para ordenar por | String | N/A | Chave aninhada separada por pontos. Use * como um caráter universal. Exemplo: Host.*.wassap_list.Severity. |
| Tipo de campo | String | N/A | O tipo do campo pelo qual ordenar. Valores válidos: int (campo numérico), string (campo de texto) ou data. |
| Inverter (DESC -> ASC) | Caixa de verificação | Marcado | Ordene os resultados por DESC ou ASC (Z -> A). |
| Principais linhas | String | N/A | Recupere o número de linhas do JSON a processar. |
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| result | N/A | N/A |
Resultado JSON
[
{
"HOST": {
"DETECTION":{
"QID": "82003",
"SEVERITY": "1",
"RESULTS": "Timestamp of host (network byte ordering): 03:40:14 GMT"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T10:24:35Z",
"OS": "Windows 10"
},
"DATETIME": "2018-08-29T14:01:12Z"
}, {
"HOST":{
"DETECTION": {
"PORT": "443",
"QID": "11827",
"PROTOCOL": "tcp",
"RESULTS": "X-Frame-Options or Content-Security-Policy: frame-ancestors HTTP Headers missing on port 443.",
"SEVERITY": "2"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T08:31:58Z",
"OS": "Linux 3.13"
},
"DATETIME": "2018-08-29T14:01:12Z"
}, {
"HOST": {
"DETECTION": {
"PORT": "53",
"QID": "15033",
"PROTOCOL": "udp",
"RESULTS": "--- IPv4 --- ",
"SEVERITY": "4"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T08:31:58Z",
"OS": "Linux 3.13"
},
"DATETIME": "2018-08-29T14:01:12Z"
}
]
Filtrar JSON
Descrição
Filtrar dicionário JSON.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | Descrição |
|---|---|---|---|
| Dados JSON | String | N/A | Os dados do dicionário JSON a filtrar. |
| Caminho da chave raiz | String | N/A | O caminho para a chave principal. Nota: o sistema usa a notação de pontos para a pesquisa JSON. Por exemplo: json.message.status. |
| Caminho da condição | String | N/A | O caminho para o campo pelo qual filtrar, separado por pontos. |
| Operador de condição | String | N/A | O operador de condição. Pode ser um dos seguintes: = / != / > / < / >= / <= / in / not in. |
| Valor da condição | String | N/A | O valor da condição pelo qual filtrar. |
| Caminho de saída | String | N/A | O caminho para os resultados desejados no dicionário filtrado, separado por pontos. |
| Delimitador | String | N/A | O delimitador para juntar os valores no caminho de saída. Predefinição: vírgula. |
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| resultados | Verdadeiro/Falso | results:False |
Resultado JSON
{
"a": {
"HOST": [
{
"DETECTION": {
"QID": "82003",
"SEVERITY": "1",
"RESULTS": "Timestamp of host (network byte ordering): 03:40:14 GMT"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T10:24:35Z",
"OS": "Windows 10"
}
],
"DATETIME": "2018-08-29T14:01:12Z"
}
}
Obtenha o URL de implementação
Obtenha o URL de implementação do Google Security Operations.
Entidades
A ação não é executada em entidades.
Dados de ações
N/A
Resultados da ação
| Tipo de saída da ação | |
|---|---|
| Fixação à parede da caixa | N/A |
| Link da parede da caixa | N/A |
| Mesa de parede para caixas | N/A |
| Tabela de enriquecimento | N/A |
| Estatísticas da entidade | N/A |
| Insight | N/A |
| Resultado JSON | Disponível |
| Widget OOTB | N/A |
| Resultado do script | Disponível |
Resultado do script
| Nome do resultado do script | Valor |
|---|---|
| is_success | Verdadeiro/Falso |
Resultado JSON
{
"url": ""
}
Parede da caixa
| Mensagem de saída | Descrição da mensagem |
|---|---|
| O URL de implementação foi obtido com êxito. | A ação foi bem-sucedida. |
Erro ao executar a ação "Get Deployment URL" (Obter URL de implementação). Motivo:
ERROR_REASON |
A ação devolveu um erro. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Apresentar operações
Descrição
Fornecer operações em listas.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | Descrição |
|---|---|---|---|
| Primeira lista | String | N/A | Lista de strings separadas por vírgulas. Por exemplo: value1,value2,value3. |
| Segunda lista | String | N/A | Lista de strings separadas por vírgulas. Por exemplo: value1,value2,value3. |
| Delimitador | String | N/A | Defina um símbolo, que é usado para a separação de valores em ambas as listas. |
| Operador | String | N/A | Tem de ser um dos seguintes: intersection, union, subtract ou xor. |
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| result_list | N/A | N/A |
Resultado JSON
{
"results": {
"count": 6,
"data": [
"item",
"item1",
"item2"
]
}
}
Analise EML para JSON
Descrição
Analise EML para JSON.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | Descrição |
|---|---|---|---|
| Conteúdo EML | String | N/A | O conteúdo codificado em base64 do ficheiro EML. |
| Cabeçalhos na lista negra | string separada por vírgulas | Não | Cabeçalhos a excluir da resposta. |
| Use a lista negra como lista de autorizações | Caixa de verificação | Desmarcado | Para incluir apenas os cabeçalhos listados. |
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| parsed_eml | N/A | N/A |
Resultado JSON
{
"HTML Body": "<div><br></div>",
"Attachments": {},
"Recipients": "john_doe@example.com",
"CC": "",
"Links": {
"urls_1": "https://lh4.googleusercontent.com/rE6-WYjfFuiHbHUV33G31NCtUeBl9YGnw4bvlorqMeNaC60qWagqtohFwCpq2eJxlMYMJPPDAqqXRZW6Oja8GqOjt3jB3aB6tzJP-jdtbCBoj-m3vu49tttHmWpXGJUSI6UuTUYS",
"urls_2": "https://lh4.googleusercontent.com/Uih5TalWnJjBbG_QaRICp8emX5wIakbCmstEDP3YHT7l45qdjIllcxg_Ddapvrh5DqGKszK3KKM5M0kEoC1YX6TgbWKJKPX0OxD5BeWr3uu6SRAHs7lwP20khjHSlxsIM46egQ-M"
},
"BCC": "",
"To": "john_doe@example.com",
"Date": "Mon, 13 Aug 2018 13:20:34 +0300",
"From": "john_doe@example.com",
"Subject": "TEST6:::Test:::ADVANCE NOTICE: 07.08.2018-Disable Accounts-user\\\r\\\\n Office Il Office"
}
Para esta ação, as alterações funcionais aplicam-se à versão 10 da integração e posteriores: no resultado JSON, o campo with é dividido nos campos id e with. Para mais detalhes, consulte o seguinte exemplo:
Versão 9 e anteriores da integração:
"with": "smtp id ID"Versão de integração 10 e posterior:
"id": "ID" "with": "SMTP"
Tchim-tchim
Descrição
Testar conetividade.
Parâmetros
N/A
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| êxito | Verdadeiro/Falso | success:False |
Resultado JSON
N/A
Aglutinador de consultas
Descrição
Formar uma string de consulta a partir dos parâmetros fornecidos.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | Descrição |
|---|---|---|---|
| Valores | String | N/A | Lista de strings separadas por vírgulas. Por exemplo: value1,value2,value3. |
| Campo de consulta | String | N/A | Campo de destino da consulta, por exemplo SrcIP, DestHost, etc. |
| Operador de consulta | String | N/A | Operador de consulta(OR, AND, etc.). |
| Adicione aspas | Caixa de verificação | N/A | Se estiver ativada, a ação adiciona aspas a todos os itens na lista "Valores". |
| Adicione aspas | Caixa de verificação | N/A | Se estiver ativada, a ação adiciona aspas duplas a todos os itens na lista "Valores". |
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| consulta | N/A | N/A |
Resultado JSON
N/A
Exporte entidades como ficheiro OpenIOC
Descrição
Exporte entidades como ficheiro OpenIOC. Entidades suportadas: hash de ficheiro, endereço IP, URL, nome de anfitrião e utilizador.
Parâmetros
| Nome | Tipo | Obrigatório | Descrição |
|---|---|---|---|
| Caminho da pasta de exportação | String | Sim | Especifique a pasta que deve armazenar os ficheiros OpenIOC. |
Executar em
Esta ação é executada nas seguintes entidades:
- Filehash
- Endereço IP
- URL
- Nome do anfitrião
- Utilizador
Resultados da ação
Resultado JSON
{
"absolute_file_path": OpenIOC_{random_guid}.txt
}
Case Wall
| Caixa | Concluído | Falha | Mensagem |
|---|---|---|---|
| Se for bem-sucedido | Sim | Não | Foi criado com êxito um ficheiro OpenIOC com base nas entidades fornecidas. |
| Nenhuma entidade no âmbito | Não | Não | Não foi possível criar um ficheiro OpenIOC porque não existem entidades no âmbito de execução da ação. |
| Erro fatal, credenciais inválidas, raiz da API | Não | Sim | Erro ao executar a ação "Exportar entidades como ficheiro OpenIOC". Motivo: {error traceback} |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.