SiemplifyUtilities
整合版本:19.0
在 Google Security Operations 中設定 SiemplifyUtilities 整合
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
整合參數
動作
計算範圍內的實體
說明
計算特定範圍內的實體數量。
參數
| 參數 | 類型 | 預設值 | 說明 |
|---|---|---|---|
| 實體類型 | 13 | 不適用 | 目標實體的類型。 |
執行時間
這項操作會對所有實體執行。
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| list_count | 不適用 | 不適用 |
JSON 結果
N/A
計數清單
說明
計算清單中的項目數量,並以可設定的分隔符號分隔。
參數
| 參數 | 類型 | 預設值 | 說明 |
|---|---|---|---|
| 輸入字串 | 字串 | 不適用 | 以半形逗號分隔的字串清單,例如:value1,value2,value3。 |
| 分隔符號 | 字串 | 不適用 | 定義符號,用於分隔輸入清單中的值。 |
執行時間
這項操作會對所有實體執行。
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| list_count | 不適用 | 不適用 |
JSON 結果
N/A
刪除檔案
說明
從檔案系統中刪除所選檔案。
參數
| 名稱 | 類型 | 必填 | 說明 |
|---|---|---|---|
| 檔案路徑 | 字串 | 是 | 指定要刪除檔案的絕對路徑。 |
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值 |
|---|---|
| is_success | True/False |
JSON 結果
{
"filepath": ""
"status": "deleted/not found"
}
案件總覽
這個動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
| 已成功刪除檔案。 | 動作成功。 |
| 找不到指定路徑的檔案。 | 檔案不存在。 |
| 在 Google Cloud 政策智慧中,找不到所提供服務帳戶的活動 | 這項動作找不到任何列出服務帳戶的資料。 |
| 執行「刪除檔案」動作時發生錯誤。 | 動作傳回錯誤。 請檢查伺服器連線、輸入參數或憑證。 |
從 JSON 擷取頂端
說明
這項動作會取得 JSON 做為輸入內容,並依特定鍵排序,然後傳回相關分支的 TOP「x」。
參數
| 參數 | 類型 | 預設值 | 說明 |
|---|---|---|---|
| JSON 資料 | 字串 | 不適用 | 要處理的 JSON 資料。 |
| 排序依據鍵 | 字串 | 不適用 | 以半形句號分隔的巢狀鍵。使用 * 做為萬用字元。範例:Host.*.wassap_list.Severity. |
| 欄位類型 | 字串 | 不適用 | 要排序的欄位類型。有效值:int (數字欄位)、string (文字欄位) 或日期。 |
| 反向 (遞減 -> 遞增) | 核取方塊 | 已勾選 | 依 DESC 或 ASC (Z -> A) 排序結果。 |
| 從頭算起多少列 | 字串 | 不適用 | 從 JSON 擷取要處理的資料列數。 |
執行時間
這項操作會對所有實體執行。
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| result | 不適用 | 不適用 |
JSON 結果
[
{
"HOST": {
"DETECTION":{
"QID": "82003",
"SEVERITY": "1",
"RESULTS": "Timestamp of host (network byte ordering): 03:40:14 GMT"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T10:24:35Z",
"OS": "Windows 10"
},
"DATETIME": "2018-08-29T14:01:12Z"
}, {
"HOST":{
"DETECTION": {
"PORT": "443",
"QID": "11827",
"PROTOCOL": "tcp",
"RESULTS": "X-Frame-Options or Content-Security-Policy: frame-ancestors HTTP Headers missing on port 443.",
"SEVERITY": "2"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T08:31:58Z",
"OS": "Linux 3.13"
},
"DATETIME": "2018-08-29T14:01:12Z"
}, {
"HOST": {
"DETECTION": {
"PORT": "53",
"QID": "15033",
"PROTOCOL": "udp",
"RESULTS": "--- IPv4 --- ",
"SEVERITY": "4"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T08:31:58Z",
"OS": "Linux 3.13"
},
"DATETIME": "2018-08-29T14:01:12Z"
}
]
篩選 JSON
說明
篩選 JSON 字典。
參數
| 參數 | 類型 | 預設值 | 說明 |
|---|---|---|---|
| JSON 資料 | 字串 | 不適用 | 要篩選的 JSON 字典資料。 |
| 根金鑰路徑 | 字串 | 不適用 | 根金鑰的路徑。注意:系統會使用點標記法進行 JSON 搜尋。例如:json.message.status。 |
| 條件路徑 | 字串 | 不適用 | 要用來篩選的欄位路徑,以半形句號分隔。 |
| 條件運算子 | 字串 | 不適用 | 條件運算子。可以是下列任一值:= / != / > / < / >= / <= / in / not in。 |
| 條件值 | 字串 | 不適用 | 做為篩選依據的條件值。 |
| 輸出路徑 | 字串 | 不適用 | 篩選後的字典中所需結果的路徑,以半形句號分隔。 |
| 分隔符號 | 字串 | 不適用 | 用於在輸出路徑中連結值的定界符,預設為半形逗號。 |
執行時間
這項操作會對所有實體執行。
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| 結果 | True/False | results:False |
JSON 結果
{
"a": {
"HOST": [
{
"DETECTION": {
"QID": "82003",
"SEVERITY": "1",
"RESULTS": "Timestamp of host (network byte ordering): 03:40:14 GMT"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T10:24:35Z",
"OS": "Windows 10"
}
],
"DATETIME": "2018-08-29T14:01:12Z"
}
}
取得部署網址
取得 Google Security Operations 的部署網址。
實體
系統不會對實體執行這項操作。
動作輸入內容
不適用
動作輸出內容
| 動作輸出類型 | |
|---|---|
| 案件總覽附件 | 不適用 |
| 案件總覽連結 | 不適用 |
| 案件訊息牆表格 | 不適用 |
| 補充資訊表格 | 不適用 |
| 實體洞察 | 不適用 |
| 深入分析 | 不適用 |
| JSON 結果 | 可用 |
| 立即可用的小工具 | 不適用 |
| 指令碼結果 | 可用 |
指令碼結果
| 指令碼結果名稱 | 值 |
|---|---|
| is_success | True/False |
JSON 結果
{
"url": ""
}
案件總覽
| 輸出訊息 | 訊息說明 |
|---|---|
| 已成功擷取部署網址。 | 動作成功。 |
執行「取得部署作業網址」動作時發生錯誤。原因:
ERROR_REASON |
動作傳回錯誤。 請檢查伺服器連線、輸入參數或憑證。 |
可列出作業
說明
提供清單作業。
參數
| 參數 | 類型 | 預設值 | 說明 |
|---|---|---|---|
| 第一份清單 | 字串 | 不適用 | 以半形逗號分隔的字串清單。例如:value1,value2,value3。 |
| 第二個清單 | 字串 | 不適用 | 以半形逗號分隔的字串清單。例如:value1,value2,value3。 |
| 分隔符號 | 字串 | 不適用 | 定義符號,用於分隔兩個清單中的值。 |
| 運算子 | 字串 | 不適用 | 必須是下列其中一個項目:交集、聯集、差集或互斥或。 |
執行時間
這項操作會對所有實體執行。
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| result_list | 不適用 | 不適用 |
JSON 結果
{
"results": {
"count": 6,
"data": [
"item",
"item1",
"item2"
]
}
}
將 EML 剖析為 JSON
說明
將 EML 剖析為 JSON。
參數
| 參數 | 類型 | 預設值 | 說明 |
|---|---|---|---|
| EML 內容 | 字串 | 不適用 | EML 檔案的 Base64 編碼內容。 |
| 列入黑名單的標頭 | 以半形逗號分隔的字串 | 否 | 要從回應中排除的標頭。 |
| 將黑名單當做許可清單使用 | 核取方塊 | 已取消勾選 | 只包含列出的標頭。 |
執行時間
這項操作會對所有實體執行。
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| parsed_eml | 不適用 | 不適用 |
JSON 結果
{
"HTML Body": "<div><br></div>",
"Attachments": {},
"Recipients": "john_doe@example.com",
"CC": "",
"Links": {
"urls_1": "https://lh4.googleusercontent.com/rE6-WYjfFuiHbHUV33G31NCtUeBl9YGnw4bvlorqMeNaC60qWagqtohFwCpq2eJxlMYMJPPDAqqXRZW6Oja8GqOjt3jB3aB6tzJP-jdtbCBoj-m3vu49tttHmWpXGJUSI6UuTUYS",
"urls_2": "https://lh4.googleusercontent.com/Uih5TalWnJjBbG_QaRICp8emX5wIakbCmstEDP3YHT7l45qdjIllcxg_Ddapvrh5DqGKszK3KKM5M0kEoC1YX6TgbWKJKPX0OxD5BeWr3uu6SRAHs7lwP20khjHSlxsIM46egQ-M"
},
"BCC": "",
"To": "john_doe@example.com",
"Date": "Mon, 13 Aug 2018 13:20:34 +0300",
"From": "john_doe@example.com",
"Subject": "TEST6:::Test:::ADVANCE NOTICE: 07.08.2018-Disable Accounts-user\\\r\\\\n Office Il Office"
}
這項動作的功能變更適用於整合版本 10 以上:在 JSON 結果中,with 欄位會分割為 id 和 with 欄位。詳情請參閱以下示例:
整合版本 9 以前:
"with": "smtp id ID"整合版本 10 以上:
"id": "ID" "with": "SMTP"
乒乓
說明
測試連線。
參數
不適用
執行時間
這項操作會對所有實體執行。
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| 成功 | True/False | success:False |
JSON 結果
N/A
查詢合併工具
說明
根據指定參數建立查詢字串。
參數
| 參數 | 類型 | 預設值 | 說明 |
|---|---|---|---|
| 值 | 字串 | 不適用 | 以半形逗號分隔的字串清單,例如:value1,value2,value3。 |
| 查詢欄位 | 字串 | 不適用 | 查詢目標欄位,例如 SrcIP、DestHost 等。 |
| 查詢運算子 | 字串 | 不適用 | 查詢運算子(OR、AND 等)。 |
| 新增引文 | 核取方塊 | 不適用 | 啟用後,這項動作會為「值」清單中的每個項目加上引號。 |
| 加上雙引號 | 核取方塊 | 不適用 | 啟用後,這項動作會為「值」清單中的每個項目加上雙引號。 |
執行時間
這項操作會對所有實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| 查詢 | 不適用 | 不適用 |
JSON 結果
N/A
將實體匯出為 OpenIOC 檔案
說明
將實體匯出為 OpenIOC 檔案。支援的實體:檔案雜湊、IP 位址、網址、主機名稱、使用者。
參數
| 名稱 | 類型 | 必填 | 說明 |
|---|---|---|---|
| 匯出資料夾路徑 | 字串 | 是 | 指定應儲存 OpenIOC 檔案的資料夾。 |
執行時間
這項動作會對下列實體執行:
- Filehash
- IP 位址
- 網址
- 主機名稱
- 使用者
動作執行結果
JSON 結果
{
"absolute_file_path": OpenIOC_{random_guid}.txt
}
案件總覽
| 案件 | 成功 | 失敗 | 訊息 |
|---|---|---|---|
| 如果成功 | 是 | 否 | 已根據提供的實體成功建立 OpenIOC 檔案。 |
| 範圍內沒有任何實體 | 否 | 否 | 由於動作執行範圍中沒有任何實體,因此動作無法建立 OpenIOC 檔案。 |
| 嚴重錯誤、憑證無效、API 根目錄 | 否 | 是 | 執行「將實體匯出為 OpenIOC 檔案」動作時發生錯誤。原因:{error traceback} |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。