SiemplifyUtilities
Versão da integração: 19.0
Configurar a integração do SiemplifyUtilities no Google Security Operations
Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Parâmetros de integração
Ações
Contar entidades no escopo
Descrição
Contar o número de entidades de um escopo específico.
Parâmetros
| Parâmetro | Tipo | Valor padrão | Descrição |
|---|---|---|---|
| Tipo da entidade | 13 | N/A | O tipo das entidades de destino. |
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| list_count | N/A | N/A |
Resultado do JSON
N/A
Lista de contagem
Descrição
Conta o número de itens em uma lista, separados por um delimitador configurável.
Parâmetros
| Parâmetro | Tipo | Valor padrão | Descrição |
|---|---|---|---|
| String de entrada | String | N/A | Lista de strings separadas por vírgulas. Por exemplo: value1,value2,value3. |
| Delimitador | String | N/A | Defina um símbolo, que é usado para separar valores da lista de entrada. |
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| list_count | N/A | N/A |
Resultado do JSON
N/A
Excluir arquivo
Descrição
Exclui um arquivo selecionado do sistema de arquivos.
Parâmetros
| Nome | Tipo | Obrigatório | Descrição |
|---|---|---|---|
| Caminho do arquivo | String | Sim | Especifica o caminho absoluto do arquivo que precisa ser excluído. |
Executar em
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Valor |
|---|---|
| is_success | Verdadeiro/Falso |
Resultado do JSON
{
"filepath": ""
"status": "deleted/not found"
}
Painel de casos
A ação fornece as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
| O arquivo foi excluído. | A ação foi concluída. |
| O arquivo não foi encontrado no caminho fornecido. | O arquivo não existe. |
| Nenhuma atividade foi encontrada para as contas de serviço fornecidas no Google Cloud Policy Intelligence | A ação não encontrou dados para nenhuma das contas de serviço listadas. |
| Erro ao executar a ação "Excluir arquivo". | A ação retornou um erro. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Extrair os principais do JSON
Descrição
A ação recebe um JSON como entrada, classifica por uma chave específica e retorna o TOP "x" das ramificações relevantes.
Parâmetros
| Parâmetro | Tipo | Valor padrão | Descrição |
|---|---|---|---|
| Dados JSON | String | N/A | Dados JSON a serem processados. |
| Chave para ordenar por | String | N/A | Chave aninhada separada por pontos. Use * como um caractere curinga. Exemplo: Host.*.wassap_list.Severity. |
| Tipo de campo | String | N/A | O tipo do campo de classificação. Valores válidos: int (campo numérico), string (campo de texto) ou data. |
| Inverter (DESC -> ASC) | Caixa de seleção | Selecionado | Classifique os resultados por DESC ou ASC (Z -> A). |
| Primeiras linhas | String | N/A | Recupera o número de linhas do JSON para processar. |
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| result | N/A | N/A |
Resultado do JSON
[
{
"HOST": {
"DETECTION":{
"QID": "82003",
"SEVERITY": "1",
"RESULTS": "Timestamp of host (network byte ordering): 03:40:14 GMT"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T10:24:35Z",
"OS": "Windows 10"
},
"DATETIME": "2018-08-29T14:01:12Z"
}, {
"HOST":{
"DETECTION": {
"PORT": "443",
"QID": "11827",
"PROTOCOL": "tcp",
"RESULTS": "X-Frame-Options or Content-Security-Policy: frame-ancestors HTTP Headers missing on port 443.",
"SEVERITY": "2"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T08:31:58Z",
"OS": "Linux 3.13"
},
"DATETIME": "2018-08-29T14:01:12Z"
}, {
"HOST": {
"DETECTION": {
"PORT": "53",
"QID": "15033",
"PROTOCOL": "udp",
"RESULTS": "--- IPv4 --- ",
"SEVERITY": "4"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T08:31:58Z",
"OS": "Linux 3.13"
},
"DATETIME": "2018-08-29T14:01:12Z"
}
]
Filtrar JSON
Descrição
Filtra o dicionário JSON.
Parâmetros
| Parâmetro | Tipo | Valor padrão | Descrição |
|---|---|---|---|
| Dados JSON | String | N/A | Os dados do dicionário JSON a serem filtrados. |
| Caminho da chave raiz | String | N/A | O caminho para a chave raiz. Observação: o sistema usa a notação de ponto para a pesquisa JSON. Por exemplo: json.message.status. |
| Caminho da condição | String | N/A | O caminho para o campo a ser filtrado, separado por pontos. |
| Operador de condição | String | N/A | O operador de condição. Pode ser um dos seguintes: = / != / > / < / >= / <= / in / not in. |
| Valor da condição | String | N/A | O valor da condição para filtrar. |
| Caminho de saída | String | N/A | O caminho para os resultados desejados no dicionário filtrado, separado por pontos. |
| Delimitador | String | N/A | O delimitador para unir os valores no caminho de saída. O padrão é vírgula. |
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| resultados | Verdadeiro/Falso | results:False |
Resultado do JSON
{
"a": {
"HOST": [
{
"DETECTION": {
"QID": "82003",
"SEVERITY": "1",
"RESULTS": "Timestamp of host (network byte ordering): 03:40:14 GMT"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T10:24:35Z",
"OS": "Windows 10"
}
],
"DATETIME": "2018-08-29T14:01:12Z"
}
}
Acessar o URL de implantação
Receba o URL de implantação do Google Security Operations.
Entidades
A ação não é executada em entidades.
Entradas de ação
N/A
Saídas de ação
| Tipo de saída da ação | |
|---|---|
| Anexo do Painel de Casos | N/A |
| Link do Painel de Casos | N/A |
| Tabela do painel de casos | N/A |
| Tabela de enriquecimento | N/A |
| Insight de entidade | N/A |
| Insight | N/A |
| Resultado JSON | Disponível |
| Widget OOTB | N/A |
| Resultado do script | Disponível |
Resultado do script
| Nome do resultado do script | Valor |
|---|---|
| is_success | Verdadeiro/Falso |
Resultado JSON
{
"url": ""
}
Painel de casos
| Mensagem de resposta | Descrição da mensagem |
|---|---|
| O URL de implantação foi recuperado. | A ação foi concluída. |
Erro ao executar a ação "Get Deployment URL". Motivo:
ERROR_REASON |
A ação retornou um erro. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Listar operações
Descrição
Fornece operações em listas.
Parâmetros
| Parâmetro | Tipo | Valor padrão | Descrição |
|---|---|---|---|
| Primeira lista | String | N/A | Lista de strings separadas por vírgulas. Por exemplo: value1,value2,value3. |
| Segunda lista | String | N/A | Lista de strings separadas por vírgulas. Por exemplo: value1,value2,value3. |
| Delimitador | String | N/A | Defina um símbolo, que é usado para separar os valores nas duas listas. |
| Operador | String | N/A | Precisa ser um dos seguintes: intersection, union, subtract ou xor. |
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| result_list | N/A | N/A |
Resultado do JSON
{
"results": {
"count": 6,
"data": [
"item",
"item1",
"item2"
]
}
}
Analisar EML para JSON
Descrição
Analisa EML para JSON.
Parâmetros
| Parâmetro | Tipo | Valor padrão | Descrição |
|---|---|---|---|
| Conteúdo EML | String | N/A | O conteúdo codificado em base64 do arquivo EML. |
| Cabeçalhos na lista de proibições | string separada por vírgulas | Não | Cabeçalhos a serem excluídos da resposta. |
| Usar lista de proibições como lista de permissões | Caixa de seleção | Desmarcado | Para incluir apenas os cabeçalhos listados. |
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| parsed_eml | N/A | N/A |
Resultado do JSON
{
"HTML Body": "<div><br></div>",
"Attachments": {},
"Recipients": "john_doe@example.com",
"CC": "",
"Links": {
"urls_1": "https://lh4.googleusercontent.com/rE6-WYjfFuiHbHUV33G31NCtUeBl9YGnw4bvlorqMeNaC60qWagqtohFwCpq2eJxlMYMJPPDAqqXRZW6Oja8GqOjt3jB3aB6tzJP-jdtbCBoj-m3vu49tttHmWpXGJUSI6UuTUYS",
"urls_2": "https://lh4.googleusercontent.com/Uih5TalWnJjBbG_QaRICp8emX5wIakbCmstEDP3YHT7l45qdjIllcxg_Ddapvrh5DqGKszK3KKM5M0kEoC1YX6TgbWKJKPX0OxD5BeWr3uu6SRAHs7lwP20khjHSlxsIM46egQ-M"
},
"BCC": "",
"To": "john_doe@example.com",
"Date": "Mon, 13 Aug 2018 13:20:34 +0300",
"From": "john_doe@example.com",
"Subject": "TEST6:::Test:::ADVANCE NOTICE: 07.08.2018-Disable Accounts-user\\\r\\\\n Office Il Office"
}
Para essa ação, as mudanças funcionais se aplicam à versão 10
e posteriores da integração: no resultado JSON, o campo with é dividido em id e with
campos. Para mais detalhes, veja este exemplo:
Versão 9 e anteriores da integração:
"with": "smtp id ID"Versão 10 da integração e mais recentes:
"id": "ID" "with": "SMTP"
Ping
Descrição
Teste a conectividade.
Parâmetros
N/A
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| sucesso | Verdadeiro/Falso | success:False |
Resultado do JSON
N/A
Unificador de consultas
Descrição
Forma uma string de consulta com base nos parâmetros fornecidos.
Parâmetros
| Parâmetro | Tipo | Valor padrão | Descrição |
|---|---|---|---|
| Valores | String | N/A | Lista de strings separadas por vírgulas. Por exemplo: value1,value2,value3. |
| Campo de consulta | String | N/A | Exemplo de campo de destino da consulta. SrcIP, DestHost etc. |
| Operador de consulta | String | N/A | Operador de consulta(OR, AND etc.). |
| Adicionar cotações | Caixa de seleção | N/A | Se ativada, a ação vai adicionar aspas a todos os itens da lista "Valores". |
| Adicionar aspas duplas | Caixa de seleção | N/A | Se ativada, a ação vai adicionar aspas duplas a cada item na lista "Valores". |
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| consulta | N/A | N/A |
Resultado do JSON
N/A
Exportar entidades como arquivo OpenIOC
Descrição
Exportar entidades como arquivo OpenIOC. Entidades compatíveis: Filehash, endereço IP, URL, nome do host e usuário.
Parâmetros
| Nome | Tipo | Obrigatório | Descrição |
|---|---|---|---|
| Caminho da pasta de exportação | String | Sim | Especifique a pasta que vai armazenar os arquivos OpenIOC. |
Executar em
Essa ação é executada nas seguintes entidades:
- Filehash
- Endereço IP
- URL
- Nome do host
- Usuário
Resultados da ação
Resultado do JSON
{
"absolute_file_path": OpenIOC_{random_guid}.txt
}
Painel de casos
| Caso | Sucesso | Reprovado | Mensagem |
|---|---|---|---|
| Se for bem-sucedido | Sim | Não | Um arquivo OpenIOC foi criado com base nas entidades fornecidas. |
| Nenhuma entidade no escopo | Não | Não | Não foi possível criar um arquivo OpenIOC porque não há entidades no escopo de execução da ação. |
| Erro fatal, credenciais inválidas, raiz da API | Não | Sim | Erro ao executar a ação "Exportar entidades como arquivo OpenIOC". Motivo: {error traceback} |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.