篩選器模組
TIPCommon.filters.filter_list_by_type
TIPCommon.filters.filter_list_by_type(array, inner_type)
篩除清單中不屬於要求類型的項目。
| 參數 | |
|---|---|
array |
list[Any]要檢查的清單。 |
inner_type |
type清單中要求的項目類型。 |
範例
>>> arr = [1, 2, '3', 4]
>>> arr1 = purify_typed_list(arr, int)
>>> arr2 = purify_typed_list(arr, str)
>>> arr1
[1, 2, 4]
>>> arr2
['3']
傳回
新陣列,只包含 inner_type 類型的項目。
傳回類型
list[type[inner_type]]
TIPCommon.filters.filter_none_kwargs
TIPCommon.filters.filter_none_kwargs(**kwargs)
篩除具有 None 值的引數。
| 參數 | |
|---|---|
**kwargs |
關鍵字引數。 |
傳回
引數值不是 None 的關鍵字引數。
傳回類型
dict
TIPCommon.filters.filter_old_alerts
TIPCommon.filters.filter_old_alerts(siemplify, alerts, existing_ids, id_key='alert_id')
篩除已處理的快訊。
| 參數 | |
|---|---|
siemplify |
objSDK |
alerts |
listAlert 物件清單。 |
existing_ids |
list要篩選的 ID 清單。 |
id_key |
str警報中可找到 ID 的識別碼鍵。 |
傳回
篩選後的 Alert 物件清單。
TIPCommon.filters.filter_old_ids
TIPCommon.filters.filter_old_ids(alert_ids, existing_ids)
篩除已處理的 ID。
| 參數 | |
|---|---|
alert_ids |
list要從快訊中篩選的新 ID 清單。 |
existing_ids |
list用於比較的 ID 清單。 |
傳回
篩選後的 ID 清單。
TIPCommon.filters.filter_old_ids_by_timestamp
TIPCommon.filters.filter_old_ids_by_timestamp(ids, offset_in_hours, convert_to_milliseconds, offset_is_in_days)
篩選出 IDS_HOURS_LIMIT 小時前出現的 ID。
| 參數 | |
|---|---|
ids |
dict要篩選的 ID。 |
offset_in_hours |
intID 的時間限制 (偏移值),以小時為單位。 |
offset_is_in_days |
bool如果傳遞至這個方法的偏移量是以天為單位,請將其設為 |
convert_to_milliseconds |
bool將每個 ID 的時間戳記 (UNIX) 從秒轉換為毫秒。 |
傳回
(dict) 經過篩選的 ID。
TIPCommon.filters.pass_whitelist_filter
TIPCommon.filters.pass_whitelist_filter(siemplify, whitelist_as_a_blacklist, model, model_key, whitelist=None)
決定模型中鍵的值是否通過許可清單篩選器。
| 參數 | |
|---|---|
siemplify |
objSDK |
whitelist_as_a_blacklist |
bool連接器輸入核取方塊的值,可將允許清單做為封鎖清單使用。 |
model |
obj要從中擷取特定類型或 ID 的某類型快訊物件,這些類型或 ID 會與允許清單比對。 |
model_key |
str這個鍵 (屬性) 的值是特定類型或 ID,會與允許清單比對。 |
whitelist |
iterable用來判斷值是否通過篩選器的清單。如果未提供任何值,預設值為 Google Security Operations UI 中顯示的完整連接器允許清單。 |
傳回
True 模型是否已成功通過篩選器。否則請False。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。