Pengayaan
Ringkasan
Pengayaan adalah serangkaian tindakan yang dibuat untuk meningkatkan kemampuan playbook.
Konfigurasi
Di layar konfigurasi, tambahkan Chronicle SOAR API untuk memperkaya entitas dari Explorer. Untuk mengambil kunci API, buka Setelan -> Lanjutan -> Kunci API.
| Parameter | Jenis | Nilai Default | Wajib Diisi | Deskripsi |
| Kunci API | String | T/A | Tidak | Tentukan kunci API Chronicle SOAR, yang diperlukan untuk memperkaya entitas dari Explorer. |
Tindakan
Memperkaya Entitas dari Atribut Penjelajah
Deskripsi
Memperkaya entitas dengan data pengayaan historis menggunakan penjelajah entitas.
Parameter
| Parameter | Jenis | Nilai Default | Wajib Diisi | Deskripsi |
| Nama Kolom | String | T/A | Tidak | Tentukan kolom dari penjelajah entitas yang akan digunakan untuk memperkaya entitas target. Mendukung string yang dipisahkan koma. |
| Menggunakan Nama kolom sebagai Daftar yang diizinkan | Kotak centang | Dicentang | Tidak | Jika dicentang, entity akan dilengkapi dengan kolom dari parameter “Nama Kolom”. Jika tidak dicentang, daftar akan digunakan sebagai daftar yang tidak diizinkan dan kolom lainnya akan ditambahkan. |
Contoh
Dalam skenario ini, kita memperkaya semua entitas dengan data dari penjelajah entitas. Semua kolom yang tersedia tercantum di “Detail Entitas” dalam Penjelajah Entitas. Menampilkan hasil JSON dari key-value pair dalam detail entitas.
Konfigurasi Tindakan
| Parameter | Nilai |
| Entity | Semua entity |
| Nama Kolom | Kosong |
| Nama Kolom Pengguna sebagai Daftar yang Diizinkan | Tidak dicentang |
Hasil Tindakan
- Hasil Skrip
| Nama Hasil Skrip | Opsi nilai | Contoh |
| ScriptResult | Hasil JSON | Hasil Ditampilkan di bawah |
-
Hasil JSON
{ "193.0.0.44": {}, "ATTACHMENT.TXT": {"Source": "Added by", "size": "64", "extension": "txt", "hash_md5": "6529d73ba8183760ad174644e75684fe", "hash_sha1": "dd88508cda7bcfc71ffdbc0e26afe97d3fb9a0b6", "hash_sha256": "1f209f1560df8cb6e983dff99d7a7d2db8dc3e439226abd38ef34facdffd82ec", "hash_sha512": "310d2df6f770dafdf4f84d9851e3fad011d4eb0c5a8af9a5f6d237fb733bca41d41ad6b00efdc2b5c218207 f1a1ac99339923d3c389368f0c1d2ba58e8e1893a", "mime_type": "ASCII text, with no line terminators", "mime_type_short": "text/plain", "ole_data_1_id": "ftype", "ole_data_1_value": "Unknown file type", "ole_data_1_name": "File format", "ole_data_1_description": "", "ole_data_1_risk": "info", "ole_data_1_hide_if_false": "true", "ole_data_2_id": "container", "ole_data_2_value": "Unknown Container", "ole_data_2_name": "Container format", "ole_data_2_description": "Container type", "ole_data_2_risk": "info", "ole_data_2_hide_if_false": "true", "ole_data_3_id": "encrypted", "ole_data_3_value": "", "ole_data_3_name": "Encrypted", "ole_data_3_description": "The file is not encrypted", "ole_data_3_risk": "none", "ole_data_3_hide_if_false": "", "ole_data_4_id": "vba", "ole_data_4_value": "Yes", "ole_data_4_name": "VBA Macros", "ole_data_4_description": "This file contains VBA macros. No suspicious keyword was found. Use olevba and mraptor for more info.", "ole_data_4_risk": "Medium", "ole_data_4_hide_if_false": "", "ole_data_5_id": "xlm", "ole_data_5_value": "No", "ole_data_5_name": "XLM Macros", "ole_data_5_description": "This file does not contain Excel 4/XLM macros.", "ole_data_5_risk": "none", "ole_data_5_hide_if_false": "", "ole_data_6_id": "ext_rels", "ole_data_6_value": "", "ole_data_6_name": "External Relationships", "ole_data_6_description": "External relationships such as remote templates, remote OLE objects, etc", "ole_data_6_risk": "none", "ole_data_6_hide_if_false": "", "ole_data_7_id": "ObjectPool", "ole_data_7_value": "", "ole_data_7_name": "ObjectPool", "ole_data_7_description": "Contains an ObjectPool stream, very likely to contain embedded OLE objects or files. Use oleobj to check it.", "ole_data_7_risk": "none", "ole_data_7_hide_if_false": "true", "ole_data_8_id": "flash", "ole_data_8_value": "", "ole_data_8_name": "Flash objects", "ole_data_8_description": "Number of embedded Flash objects (SWF files) detected in OLE streams. Not 100% accurate, there may be false positives.", "ole_data_8_risk": "none", "ole_data_8_hide_if_false": "true", "content_header_content-type_1": "text/plain; name=\"attachment.txt\"", "content_header_content-transfer-encoding_1": "base64", "content_header_content-disposition_1": "attachment; filename=\"attachment.txt\"", "level": "", "attachment_id": "18"} }
Whois
Deskripsi
Membuat kueri server WHOIS untuk mendapatkan informasi pendaftaran domain. Mendukung Alamat IP, URL, Email, Domain. Mendukung pembuatan entity Domain yang ditautkan ke entity target dan nilai minimum usia domain untuk menetapkan entity ke status mencurigakan.
Parameter
| Parameter | Jenis | Nilai Default | Wajib Diisi | Deskripsi |
| Membuat Entity | Kotak centang | Dicentang | Tidak | Tentukan apakah Anda ingin membuat dan menautkan entitas domain ke URL Nama Pengguna/Email. |
| Ambang Batas Usia Domain | Bilangan bulat | Dicentang | Tidak | Jika usia domain kurang dari jumlah hari yang diberikan, domain tersebut akan ditandai sebagai mencurigakan. |
Contoh
Dalam skenario ini, semua entity nama host eksternal yang dilampirkan ke kasus dengan usia domain kurang dari 365 hari akan ditandai sebagai mencurigakan.
Konfigurasi Tindakan
| Parameter | Nilai |
| Entity | Nama host eksternal |
| Membuat Entity | Dicentang |
| Ambang Batas Usia Domain | 365 |
Hasil Tindakan
- Hasil Skrip
| Nama Hasil Skrip | Opsi nilai | Contoh |
| ScriptResult | Benar/Salah | true |
-
Hasil JSON
{ "Entity": "badsite.com", "EntityResult": {"id": ["32621649_DOMAIN_COM-VRSN"], "status": ["clientDeleteProhibited https://icann.org/epp#clientDeleteProhibited", "clientRenewProhibited https://icann.org/epp#clientRenewProhibited", "clientTransferProhibited https://icann.org/epp#clientTransferProhibited", "clientUpdateProhibited https://icann.org/epp#clientUpdateProhibited"], "creation_date": ["2000-08-09T11:17:46"], "expiration_date": ["2023-08-09T11:17:46"], "updated_date": ["2022-09-18T23:31:54"], "registrar": ["GoDaddy.com, LLC"], "whois_server": ["whois.godaddy.com"], "nameservers": ["NS49.DOMAINCONTROL.COM", "NS50.DOMAINCONTROL.COM"], "emails": ["abuse@godaddy.com"], "contacts": {"registrant": null, "tech": null, "admin": null, "billing": null}, "age_in_days": 8092} }
Perkaya Entitas dari Daftar dengan Kolom
Deskripsi
Memperkaya daftar entitas yang disediakan dengan kolom dan nilai. Tindakan ini sering digunakan dengan tindakan “Pemilihan Entity” untuk mencantumkan entity.
Parameter
| Parameter | Jenis | Nilai Default | Wajib Diisi | Deskripsi |
| Daftar Entitas | String | T/A | Ya | Tentukan daftar entitas dengan jenis yang sama. |
| Jenis Entitas | String | T/A | Ya | Tentukan jenis entitas. |
| Pembatas Entitas | String | , | Ya | Tentukan pembatas entitas daftar. |
| Kolom Pengayaan | String | T/A | Ya | Tentukan nama kolom yang akan ditambahkan ke entity. |
| Nilai Pengayaan | String | T/A | Ya | Tentukan nilai kolom yang akan diperkaya ke entity. |
Contoh
Dalam skenario ini, kita memilih entity Alamat IP menggunakan tindakan EntitySelection dan meneruskan hasilnya ke kolom “List of Entities” untuk pengayaan.
Konfigurasi Tindakan (EntitySelection)
| Parameter | Kondisi | Nilai |
| Entity.Type | = | ALAMAT |
Konfigurasi Tindakan (Memperkaya Entitas dari Daftar dengan Kolom)
| Parameter | Nilai |
| Entity | Semua entity |
| Daftar Entitas | [Entity Selection_1.SelectedEntities] |
| Jenis Entitas | ALAMAT |
| Pembatas Entitas | , |
| Kolom Pengayaan | is_risky |
| Nilai Pengayaan | ya |
Hasil Tindakan
- Hasil Skrip
| Nama Hasil Skrip | Opsi nilai | Contoh |
| ScriptResult | Jumlah hak yang berhasil dipertkaya | 3 |
Memperkaya Entitas dari Kolom Peristiwa
Deskripsi
Mengekstrak kolom dari peristiwa dan menambahkannya ke kolom entitas.
Parameter
| Parameter | Jenis | Nilai Default | Wajib Diisi | Deskripsi |
| Kolom yang akan diperkaya | String | T/A | Ya | Tentukan nama kolom dalam peristiwa yang akan digunakan untuk memperkaya entity. Mendukung daftar yang dipisahkan koma. |
Contoh
Dalam skenario ini, payload_id dan event_description diekstrak dari peristiwa kasus dan ditambahkan ke kolom entitas untuk semua entitas nama file.
Konfigurasi Tindakan
| Parameter | Nilai |
| Entity | Semua entity nama file |
| Kolom yang akan diperkaya | payload_id, event_description |
Hasil Tindakan
- Hasil Skrip
| Nama Hasil Skrip | Opsi nilai | Contoh |
| ScriptResult | Jumlah hak yang berhasil dipertkaya | 1 |
Perkaya Entitas Dengan Kolom
Deskripsi
Menambahkan kolom pengayaan ke entitas berdasarkan daftar nilai kunci.
Parameter
| Parameter | Jenis | Nilai Default | Wajib Diisi | Deskripsi | Contoh |
| Kolom yang akan diperkaya | JSON | T/A | Ya | Tentukan daftar pasangan nilai kunci yang akan digunakan untuk memperkaya entitas. Harus dalam format JSON. | [ { "entity_field_name": "Title", "entity_field_value": "SalseManager" }, { "entity_field_name": "City", "entity_field_value": "NewYork" } ] |
Contoh
Dalam contoh ini, kita memperkaya entitas pengguna dengan dua kolom: Title dan City.
Konfigurasi Tindakan
| Parameter | Nilai |
| Entity | Semua entity nama file |
| Kolom yang akan diperkaya | [ { "entity_field _name": "Title", "entity_field_value":
"Manager"}, { "entity_field _name": "City", "entity_field_value": "Newyork"}] |
Hasil Tindakan
- Hasil Skrip
| Nama Hasil Skrip | Opsi nilai | Contoh |
| ScriptResult | Jumlah entitas yang berhasil dipertkaya | 13 |
Tandai Entitas sebagai Mencurigakan
Deskripsi
Menandai entity dalam cakupan sebagai mencurigakan.
Parameter
Tentukan cakupan entitas yang ingin Anda tandai sebagai mencurigakan.
Contoh
Dalam skenario ini, kita menandai semua entity IP eksternal sebagai mencurigakan. Kolom entity “is_suspicious” di penjelajah entity diperbarui menjadi “true”.
Konfigurasi Tindakan
| Parameter | Nilai |
| Entity | Alamat IP eksternal |
Hasil Tindakan
- Hasil Skrip
| Nama Hasil Skrip | Opsi nilai | Contoh |
| ScriptResult | Jumlah hak yang ditandai sebagai mencurigakan | 3 |
Enrich FileName Entity With Path
Deskripsi
Mengurai jalur, nama file, dan ekstensi dari suatu entitas, lalu memperkayanya dengan file_path, file_name, dan file_extensions.
Parameter
Tentukan cakupan entitas file yang ingin Anda analisis kolomnya.
Contoh
Dalam skenario ini, kita melakukan perulangan pada semua entity nama file dan mengurai jalur, nama file, dan ekstensi dari ID entity.
Konfigurasi Tindakan
| Parameter | Nilai |
| Entity | Semua entity nama file |
Hasil Tindakan
- Hasil Skrip
| Nama Hasil Skrip | Opsi nilai | Contoh |
| ScriptResult | Daftar entitas yang ditingkatkan. | WORD/THEME/THEME1.XML,WORD/DOCUMENT.XML |
Memperkaya Sumber dan Tujuan
Deskripsi
Menambahkan link sumber dan tujuan ke IP dan Nama Host dalam pemberitahuan.
Parameter
Tentukan cakupan entitas yang ingin Anda analisis kolomnya.
Contoh
Dalam skenario ini, kita melakukan perulangan pada semua entity IP dan nama host serta memperkayanya dengan link sumber dan tujuan. Meskipun cakupan entitas ditetapkan ke "Semua entitas", entitas IP dan nama host akan otomatis dipilih.
Konfigurasi Tindakan
| Parameter | Nilai |
| Entity | Semua entity |
Hasil Tindakan
- Hasil Skrip
| Nama Hasil Skrip | Opsi nilai | Contoh |
| T/A | T/A | T/A |
Memperkaya Entitas dari JSON
Deskripsi
Menambahkan link sumber dan tujuan ke IP dan Nama Host dalam pemberitahuan.
Parameter
| Parameter | Jenis | Nilai Default | Wajib Diisi | Deskripsi |
| JSON Pengayaan | JSON | T/A | Ya | Tentukan JSON untuk memperkaya entitas. |
| Identifier KeyPath | String | T/A | Ya | Tentukan keypath ke ID entitas dalam JSON |
| Pemisah | String | . | Ya | Tentukan pemisah/pembatas jalur kunci. |
| PrefixForErichment | String | T/A | Tidak | Tentukan awalan yang akan digunakan untuk pengayaan. |
| Jalur JSON Pengayaan | String | T/A | Tidak | Tentukan JSON |
Contoh
Dalam skenario ini, kita menggunakan ID entitas nilai hash dengan kolom “sha1” untuk memperkayanya dengan data di kolom JSON Pengayaan. Perhatikan bahwa entity harus ada dalam pemberitahuan sebelum menjalankan tindakan ini.
Konfigurasi Tindakan
| Parameter | Nilai |
| Entity | Semua entity |
| JSON Pengayaan | [ { "EntityResult": {"permalink": "https://www.virustotal.com/file/275a021bbfb6489e54d4718 99f7db9d1663fc695ec2fe2a2c4538aabf651fd0f/analysis/15 49381312", "sha1": "3395856ce81f267382dee72602f798b642f14140", "resource":"275A021BBFB6489E54D471899F7DB9D1663 FC695EC2FE2A24538AABF651FDOF","response_code":1, "scan_date":"2019-02-05 15:41:52", "scan_id":"275a021bbfb6489e54d471899f7db9d1663fc695 ec2fe2a2c453Saab651fd0f-1549381312","verbose_msg" : "Scan finished,information embedded","total": 60,"positives": 54, "sha256":"75a021bbfb6489e54d471899f7db9d1663fc695e c2fe2a2c4538aabf651fd0f", "Mas":"44d88612fea8a8f36de82e1278abb02f", "Bkav": {"detected": true,"result": "DOS. Eirac A.Trojan","MicroWorld-eScan": {"version": "14.0.297.0","update": "20190205""scans": {"version":"1.1.1.1","update": "20190201" "detected": true,"result*: "EICAR-Test-File","Entity": "275A021BBFB6489E54D471899F7DB9D1663FC695EC2 FE2A24538AABF651FD0F" }] |
| Identifier KeyPath | EntityResult.sha1 |
| Pemisah | . |
| PrefixForEnrichment | Kosong |
| Jalur JSON Pengayaan | Kosong |
Hasil Tindakan
- Hasil Skrip
| Nama Hasil Skrip | Opsi nilai | Contoh |
| Hasil Skrip | # entitas yang dipertkaya | 1 |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.