过滤模块
TIPCommon.filters.filter_list_by_type
TIPCommon.filters.filter_list_by_type(array, inner_type)
过滤掉列表中不属于所请求类型的任何项。
| 参数 | |
|---|---|
array |
list[Any]要检查的列表。 |
inner_type |
type列表中所请求的商品类型。 |
示例
>>> arr = [1, 2, '3', 4]
>>> arr1 = purify_typed_list(arr, int)
>>> arr2 = purify_typed_list(arr, str)
>>> arr1
[1, 2, 4]
>>> arr2
['3']
返回值
一个仅包含 inner_type 类型项的新数组。
返回类型
list[type[inner_type]]
TIPCommon.filters.filter_none_kwargs
TIPCommon.filters.filter_none_kwargs(**kwargs)
过滤掉具有 None 值的实参。
| 参数 | |
|---|---|
**kwargs |
关键字参数。 |
返回值
实参值不为 None 的关键字实参。
返回类型
dict
TIPCommon.filters.filter_old_alerts
TIPCommon.filters.filter_old_alerts(siemplify, alerts, existing_ids, id_key='alert_id')
过滤已处理的提醒。
| 参数 | |
|---|---|
siemplify |
objSDK |
alerts |
listAlert 对象的列表。 |
existing_ids |
list要过滤的 ID 列表。 |
id_key |
str可在提醒中找到 ID 的标识符的键。 |
返回值
过滤后的 Alert 对象列表。
TIPCommon.filters.filter_old_ids
TIPCommon.filters.filter_old_ids(alert_ids, existing_ids)
过滤掉已处理的 ID。
| 参数 | |
|---|---|
alert_ids |
list要过滤的提醒中的新 ID 列表。 |
existing_ids |
list用于比较的 ID 列表。 |
返回值
过滤后的 ID 列表。
TIPCommon.filters.filter_old_ids_by_timestamp
TIPCommon.filters.filter_old_ids_by_timestamp(ids, offset_in_hours, convert_to_milliseconds, offset_is_in_days)
过滤掉出现在 IDS_HOURS_LIMIT 小时之前的 ID。
| 参数 | |
|---|---|
ids |
dict要过滤的 ID。 |
offset_in_hours |
intID 的时间限制(偏移值),以小时为单位。 |
offset_is_in_days |
bool如果提供给此方法的偏移量以天为单位,请将其设置为 |
convert_to_milliseconds |
bool将每个 ID 的时间戳 (UNIX) 从秒转换为毫秒。 |
返回值
(dict) 过滤后的 ID。
TIPCommon.filters.pass_whitelist_filter
TIPCommon.filters.pass_whitelist_filter(siemplify, whitelist_as_a_blacklist, model, model_key, whitelist=None)
确定模型中某个键的值是否通过了许可名单过滤条件。
| 参数 | |
|---|---|
siemplify |
objSDK |
whitelist_as_a_blacklist |
bool连接器输入复选框的值,用于将许可名单用作屏蔽名单。 |
model |
obj要从中提取特定类型或 ID 的某种类型的提醒对象,该类型或 ID 将与许可名单进行匹配。 |
model_key |
str其值是特定类型或 ID 的键(属性),将与许可名单进行匹配。 |
whitelist |
iterable用于确定值是否通过过滤条件的列表。如果未提供值,则默认值为 Google Security Operations 界面中显示的全连接器许可名单。 |
返回值
如果模型成功通过过滤条件,则为 True。否则,False。
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。