SiemplifyUtilities
集成版本:19.0
在 Google Security Operations 中配置 SiemplifyUtilities 集成
有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成。
集成参数
操作
统计范围内的实体
说明
统计特定范围内的实体数量。
参数
| 参数 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| 实体类型 | 13 | 不适用 | 目标实体的类型。 |
运行于
此操作会在所有实体上运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| list_count | 不适用 | 不适用 |
JSON 结果
N/A
统计列表
说明
统计列表中的项目数(以可配置的分隔符分隔)。
参数
| 参数 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| 输入字符串 | 字符串 | 不适用 | 以英文逗号分隔的字符串列表。例如:value1,value2,value3。 |
| 分隔符 | 字符串 | 不适用 | 定义一个符号,用于分隔输入列表中的值。 |
运行于
此操作会在所有实体上运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| list_count | 不适用 | 不适用 |
JSON 结果
N/A
删除文件
说明
从文件系统中删除所选文件。
参数
| 名称 | 类型 | 必填 | 说明 |
|---|---|---|---|
| 文件路径 | 字符串 | 是 | 指定需要删除的文件的绝对文件路径。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值 |
|---|---|
| is_success | True/False |
JSON 结果
{
"filepath": ""
"status": "deleted/not found"
}
案例墙
该操作会提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
| 已成功删除文件。 | 操作成功。 |
| 未找到所提供路径对应的文件。 | 文件不存在。 |
| 在 Google Cloud Policy Intelligence 中,未找到所提供服务账号的任何活动 | 该操作无法找到任何所列服务账号的数据。 |
| 执行“删除文件”操作时出错。 | 相应操作返回了错误。 检查与服务器的连接、输入参数或凭据。 |
从 JSON 中提取顶部
说明
该操作会获取一个 JSON 作为输入,并按特定键对其进行排序,然后返回相关分支的前“x”个。
参数
| 参数 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| JSON 数据 | 字符串 | 不适用 | 要处理的 JSON 数据。 |
| 排序依据键 | 字符串 | 不适用 | 以英文句点分隔的嵌套键。使用 * 作为通配符。示例:Host.*.wassap_list.Severity。 |
| 字段类型 | 字符串 | 不适用 | 要排序的字段的类型。有效值:int(数字字段)、string(文本字段)或 date。 |
| 反向(降序 -> 升序) | 复选框 | 勾选 | 按 DESC 或 ASC(Z -> A)对结果进行排序。 |
| 前几行 | 字符串 | 不适用 | 从 JSON 中检索要处理的行数。 |
运行于
此操作会在所有实体上运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| 结果 | 不适用 | 不适用 |
JSON 结果
[
{
"HOST": {
"DETECTION":{
"QID": "82003",
"SEVERITY": "1",
"RESULTS": "Timestamp of host (network byte ordering): 03:40:14 GMT"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T10:24:35Z",
"OS": "Windows 10"
},
"DATETIME": "2018-08-29T14:01:12Z"
}, {
"HOST":{
"DETECTION": {
"PORT": "443",
"QID": "11827",
"PROTOCOL": "tcp",
"RESULTS": "X-Frame-Options or Content-Security-Policy: frame-ancestors HTTP Headers missing on port 443.",
"SEVERITY": "2"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T08:31:58Z",
"OS": "Linux 3.13"
},
"DATETIME": "2018-08-29T14:01:12Z"
}, {
"HOST": {
"DETECTION": {
"PORT": "53",
"QID": "15033",
"PROTOCOL": "udp",
"RESULTS": "--- IPv4 --- ",
"SEVERITY": "4"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T08:31:58Z",
"OS": "Linux 3.13"
},
"DATETIME": "2018-08-29T14:01:12Z"
}
]
过滤 JSON
说明
过滤 JSON 字典。
参数
| 参数 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| JSON 数据 | 字符串 | 不适用 | 要过滤的 JSON 字典数据。 |
| 根密钥路径 | 字符串 | 不适用 | 根密钥的路径。注意:系统使用点表示法进行 JSON 搜索。例如:json.message.status。 |
| 条件路径 | 字符串 | 不适用 | 要过滤的字段的路径,以英文句点分隔。 |
| 条件运算符 | 字符串 | 不适用 | 条件运算符。可以是以下值之一:= / != / > / < / >= / <= / in / not in。 |
| 条件值 | 字符串 | 不适用 | 要作为过滤条件的条件的值。 |
| 输出路径 | 字符串 | 不适用 | 过滤后的字典中所需结果的路径,以英文句点分隔。 |
| 分隔符 | 字符串 | 不适用 | 用于联接输出路径中值的分隔符,默认值为英文逗号。 |
运行于
此操作会在所有实体上运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| 结果 | True/False | 结果:False |
JSON 结果
{
"a": {
"HOST": [
{
"DETECTION": {
"QID": "82003",
"SEVERITY": "1",
"RESULTS": "Timestamp of host (network byte ordering): 03:40:14 GMT"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T10:24:35Z",
"OS": "Windows 10"
}
],
"DATETIME": "2018-08-29T14:01:12Z"
}
}
获取部署网址
获取 Google Security Operations 的部署网址。
实体
该操作不会在实体上运行。
操作输入
不适用
操作输出
| 操作输出类型 | |
|---|---|
| 案例墙附件 | 不适用 |
| 案例墙链接 | 不适用 |
| “支持请求墙”表格 | 不适用 |
| 丰富化表 | 不适用 |
| 实体数据分析 | 不适用 |
| 数据分析 | 不适用 |
| JSON 结果 | 可用 |
| OOTB widget | 不适用 |
| 脚本结果 | 可用 |
脚本结果
| 脚本结果名称 | 值 |
|---|---|
| is_success | True/False |
JSON 结果
{
"url": ""
}
案例墙
| 输出消息 | 消息说明 |
|---|---|
| 已成功检索部署网址。 | 操作成功。 |
执行操作“获取部署网址”时出错。原因:
ERROR_REASON |
相应操作返回了错误。 检查与服务器的连接、输入参数或凭据。 |
列出操作
说明
提供列表操作。
参数
| 参数 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| 第一份清单 | 字符串 | 不适用 | 以英文逗号分隔的字符串列表。例如:value1,value2,value3。 |
| 第二个列表 | 字符串 | 不适用 | 以英文逗号分隔的字符串列表。例如:value1,value2,value3。 |
| 分隔符 | 字符串 | 不适用 | 定义一个符号,用于分隔两个列表中的值。 |
| 运算符 | 字符串 | 不适用 | 必须是以下值之一:交集、并集、差集或异或。 |
运行于
此操作会在所有实体上运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| result_list | 不适用 | 不适用 |
JSON 结果
{
"results": {
"count": 6,
"data": [
"item",
"item1",
"item2"
]
}
}
将 EML 解析为 JSON
说明
将 EML 解析为 JSON。
参数
| 参数 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| EML 内容 | 字符串 | 不适用 | EML 文件的 base64 编码内容。 |
| 已列入黑名单的标头 | 以英文逗号分隔的字符串 | 否 | 要从响应中排除的标头。 |
| 将黑名单用作白名单 | 复选框 | 尚未核查 | 仅包含列出的标头。 |
运行于
此操作会在所有实体上运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| parsed_eml | 不适用 | 不适用 |
JSON 结果
{
"HTML Body": "<div><br></div>",
"Attachments": {},
"Recipients": "john_doe@example.com",
"CC": "",
"Links": {
"urls_1": "https://lh4.googleusercontent.com/rE6-WYjfFuiHbHUV33G31NCtUeBl9YGnw4bvlorqMeNaC60qWagqtohFwCpq2eJxlMYMJPPDAqqXRZW6Oja8GqOjt3jB3aB6tzJP-jdtbCBoj-m3vu49tttHmWpXGJUSI6UuTUYS",
"urls_2": "https://lh4.googleusercontent.com/Uih5TalWnJjBbG_QaRICp8emX5wIakbCmstEDP3YHT7l45qdjIllcxg_Ddapvrh5DqGKszK3KKM5M0kEoC1YX6TgbWKJKPX0OxD5BeWr3uu6SRAHs7lwP20khjHSlxsIM46egQ-M"
},
"BCC": "",
"To": "john_doe@example.com",
"Date": "Mon, 13 Aug 2018 13:20:34 +0300",
"From": "john_doe@example.com",
"Subject": "TEST6:::Test:::ADVANCE NOTICE: 07.08.2018-Disable Accounts-user\\\r\\\\n Office Il Office"
}
对于此操作,功能性变更适用于集成版本 10 及更高版本:在 JSON 结果中,with 字段拆分为 id 和 with 字段。如需了解详情,请参阅以下示例:
集成版本 9 及更低版本:
"with": "smtp id ID"集成版本 10 及更高版本:
"id": "ID" "with": "SMTP"
Ping
说明
测试连接。
参数
不适用
运行于
此操作会在所有实体上运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| 成功 | True/False | success:False |
JSON 结果
N/A
查询连接器
说明
根据给定参数生成查询字符串。
参数
| 参数 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| 值 | 字符串 | 不适用 | 以英文逗号分隔的字符串列表。例如:value1,value2,value3。 |
| 查询字段 | 字符串 | 不适用 | 查询目标字段示例。SrcIP、DestHost 等。 |
| 查询运算符 | 字符串 | 不适用 | 查询运算符(OR、AND 等)。 |
| 添加报价 | 复选框 | 不适用 | 如果启用,操作将为“值”列表中的每个项添加引号。 |
| 添加双引号 | 复选框 | 不适用 | 如果启用,操作将为“值”列表中的每个项添加英文双引号。 |
运行于
此操作会在所有实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| 查询 | 不适用 | 不适用 |
JSON 结果
N/A
将实体导出为 OpenIOC 文件
说明
将实体导出为 OpenIOC 文件。支持的实体:文件哈希值、IP 地址、网址、主机名、用户。
参数
| 名称 | 类型 | 必填 | 说明 |
|---|---|---|---|
| 导出文件夹路径 | 字符串 | 是 | 指定应存储 OpenIOC 文件的文件夹。 |
运行于
此操作适用于以下实体:
- Filehash
- IP 地址
- 网址
- 主机名
- 用户
操作执行结果
JSON 结果
{
"absolute_file_path": OpenIOC_{random_guid}.txt
}
案例墙
| 场景 | 成功 | 失败 | 消息 |
|---|---|---|---|
| 如果成功 | 是 | 否 | 已成功根据提供的实体创建 OpenIOC 文件。 |
| 范围内没有实体 | 否 | 否 | 操作无法创建 OpenIOC 文件,因为操作执行范围内没有任何实体。 |
| 严重错误、凭据无效、API 根 | 否 | 是 | 执行操作“将实体导出为 OpenIOC 文件”时出错。原因:{error traceback} |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。