Diese Seite wurde von der Cloud Translation API übersetzt.

Anreichern

Unterstützt in:

Google SecOps SOAR

Übersicht

Die Anreicherung besteht aus einer Reihe von Aktionen, mit denen die Playbook-Funktionen erweitert werden.

Configuration

Fügen Sie auf dem Konfigurationsbildschirm die Chronicle SOAR API hinzu, um Entitäten aus Explorer anzureichern. Um einen API-Schlüssel abzurufen, gehen Sie zu „Einstellungen“ > „Erweitert“ > „API-Schlüssel“.

Parameter	Typ	Standardwert	Pflichtfeld	Beschreibung
API-Schlüssel	String	–	Nein	Geben Sie den Chronicle SOAR API-Schlüssel an, der zum Anreichern von Entitäten aus Explorer erforderlich ist.

Aktionen

Entität mit Explorer-Attributen anreichern

Beschreibung

Reichert Entitäten mit bisherigen Anreicherungsdaten mithilfe des Entitäten-Explorers an.

Parameter

Parameter	Typ	Standardwert	Pflichtfeld	Beschreibung
Feldname	String	–	Nein	Geben Sie die Felder aus dem Entitätsexplorer an, die zum Anreichern der Zielentität verwendet werden sollen. Unterstützt durch Kommas getrennte Strings.
Feld „Name“ als Zulassungsliste verwenden	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, werden Entitäten mit Feldern aus dem Parameter „Feldname“ angereichert. Wenn das Häkchen entfernt wird, wird die Liste als Blockierliste verwendet und es werden weitere Felder hinzugefügt.

Beispiel

In diesem Szenario werden alle Einheiten mit Daten aus dem Einheiten-Explorer angereichert. Alle verfügbaren Felder sind im Entity Explorer unter „Entity Details“ (Entitätsdetails) aufgeführt. Gib das JSON-Ergebnis der Schlüssel/Wert-Paare in den Entitätsdetails zurück.

Aktionskonfigurationen

Parameter	Wert
Entitäten	Alle Entitäten
Feldname	Leer
Name des Nutzerfelds als Zulassungsliste	Deaktiviert

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
ScriptResult	JSON-Ergebnis	Ergebnis siehe unten

JSON-Ergebnis

{
"193.0.0.44": {}, "ATTACHMENT.TXT": {"Source": "Added by ", "size": "64", "extension": "txt", "hash_md5": "6529d73ba8183760ad174644e75684fe", "hash_sha1": "dd88508cda7bcfc71ffdbc0e26afe97d3fb9a0b6", "hash_sha256": "1f209f1560df8cb6e983dff99d7a7d2db8dc3e439226abd38ef34facdffd82ec", "hash_sha512": "310d2df6f770dafdf4f84d9851e3fad011d4eb0c5a8af9a5f6d237fb733bca41d41ad6b00efdc2b5c218207
f1a1ac99339923d3c389368f0c1d2ba58e8e1893a", "mime_type": "ASCII text, with no line terminators", "mime_type_short": "text/plain", "ole_data_1_id": "ftype", "ole_data_1_value": "Unknown file type", "ole_data_1_name": "File format", "ole_data_1_description": "", "ole_data_1_risk": "info", "ole_data_1_hide_if_false": "true", "ole_data_2_id": "container", "ole_data_2_value": "Unknown Container", "ole_data_2_name": "Container format", "ole_data_2_description": "Container type", "ole_data_2_risk": "info", "ole_data_2_hide_if_false": "true", "ole_data_3_id": "encrypted", "ole_data_3_value": "", "ole_data_3_name": "Encrypted", "ole_data_3_description": "The file is not encrypted", "ole_data_3_risk": "none", "ole_data_3_hide_if_false": "", "ole_data_4_id": "vba", "ole_data_4_value": "Yes", "ole_data_4_name": "VBA Macros", "ole_data_4_description": "This file contains VBA macros. No suspicious keyword was found. Use olevba and mraptor for more info.", "ole_data_4_risk": "Medium", "ole_data_4_hide_if_false": "", "ole_data_5_id": "xlm", "ole_data_5_value": "No", "ole_data_5_name": "XLM Macros", "ole_data_5_description": "This file does not contain Excel 4/XLM macros.", "ole_data_5_risk": "none", "ole_data_5_hide_if_false": "", "ole_data_6_id": "ext_rels", "ole_data_6_value": "", "ole_data_6_name": "External Relationships", "ole_data_6_description": "External relationships such as remote templates, remote OLE objects, etc", "ole_data_6_risk": "none", "ole_data_6_hide_if_false": "", "ole_data_7_id": "ObjectPool", "ole_data_7_value": "", "ole_data_7_name": "ObjectPool", "ole_data_7_description": "Contains an ObjectPool stream, very likely to contain embedded OLE objects or files. Use oleobj to check it.", "ole_data_7_risk": "none", "ole_data_7_hide_if_false": "true", "ole_data_8_id": "flash", "ole_data_8_value": "", "ole_data_8_name": "Flash objects", "ole_data_8_description": "Number of embedded Flash objects (SWF files) detected in OLE streams. Not 100% accurate, there may be false positives.", "ole_data_8_risk": "none", "ole_data_8_hide_if_false": "true", "content_header_content-type_1": "text/plain; name=\"attachment.txt\"", "content_header_content-transfer-encoding_1": "base64", "content_header_content-disposition_1": "attachment; filename=\"attachment.txt\"", "level": "", "attachment_id": "18"}
}

WHOIS

Beschreibung

Fragt WHOIS-Server nach Informationen zur Domainregistrierung ab. Unterstützt IP-Adressen, URLs, E-Mail-Adressen und Domains. Unterstützt das Erstellen von Domain-Entitäten, die mit der Zielentität verknüpft sind, und einen Schwellenwert für das Alter der Domain, um die Entität als verdächtig einzustufen.

Parameter

Parameter	Typ	Standardwert	Pflichtfeld	Beschreibung
Entitäten erstellen	Kästchen	Aktiviert	Nein	Geben Sie an, ob Sie Domain-Entitäten erstellen und mit E-Mail-Adressen/Nutzernamen verknüpfen möchten.
Grenzwert für Domainalter	Ganzzahl	Aktiviert	Nein	Wenn das Alter der Domain geringer ist als die angegebene Anzahl von Tagen, wird sie als verdächtig markiert.

Beispiel

In diesem Szenario werden alle externen Hostname-Entitäten, die an einen Fall mit einem Domainalter von weniger als 365 Tagen angehängt sind, als verdächtig markiert.

Aktionskonfigurationen

Parameter	Wert
Entitäten	Externe Hostnamen
Entitäten erstellen	Aktiviert
Grenzwert für Domainalter	365

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
ScriptResult	Wahr/falsch	wahr

JSON-Ergebnis

{
"Entity": "badsite.com", 
"EntityResult": 
{"id": ["32621649_DOMAIN_COM-VRSN"], 
"status": ["clientDeleteProhibited https://icann.org/epp#clientDeleteProhibited", "clientRenewProhibited https://icann.org/epp#clientRenewProhibited", "clientTransferProhibited https://icann.org/epp#clientTransferProhibited", "clientUpdateProhibited https://icann.org/epp#clientUpdateProhibited"], "creation_date": ["2000-08-09T11:17:46"], 
"expiration_date": ["2023-08-09T11:17:46"], 
"updated_date": ["2022-09-18T23:31:54"], 
"registrar": ["GoDaddy.com, LLC"], 
"whois_server": ["whois.godaddy.com"], 
"nameservers": ["NS49.DOMAINCONTROL.COM", "NS50.DOMAINCONTROL.COM"], 
"emails": ["abuse@godaddy.com"], 
"contacts": {"registrant": null, "tech": null, "admin": null, "billing": null}, "age_in_days": 8092}
}

Entität aus Liste mit Feld anreichern

Beschreibung

Reichert die Liste der bereitgestellten Entitäten mit einem Feld und einem Wert an. Diese Aktion wird häufig mit der Aktion „Entität auswählen“ verwendet, um die Entitäten aufzulisten.

Parameter

Parameter	Typ	Standardwert	Pflichtfeld	Beschreibung
Liste der Entitäten	String	–	Ja	Geben Sie eine Liste von Entitäten desselben Typs an.
Entitätstyp	String	–	Ja	Geben Sie den Typ der Entität an.
Entitätstrennzeichen	String	,	Ja	Geben Sie das Trennzeichen für Listenelemente an.
Anreicherungsfeld	String	–	Ja	Geben Sie den Feldnamen an, der der Entität hinzugefügt werden soll.
Anreicherungswert	String	–	Ja	Geben Sie den Wert des Felds an, das mit der Entität angereichert wird.

Beispiel

In diesem Szenario wählen wir IP-Adressentitäten mit der Aktion „EntitySelection“ aus und übergeben die Ergebnisse zur Anreicherung an das Feld „List of Entities“ (Liste der Entitäten).

Aktionskonfigurationen (EntitySelection)

Parameter	Bedingung	Wert
Entity.Type	=	ADDRESS

Aktionskonfigurationen (Entitäten aus Liste mit Feld anreichern)

Parameter	Wert
Entitäten	Alle Entitäten
Liste der Entitäten	[Entity Selection_1.SelectedEntities]
Entitätstyp	ADDRESS
Entitätstrennzeichen	,
Anreicherungsfeld	is_risky
Anreicherungswert	Ja

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
ScriptResult	Anzahl der berechtigten Titel, die erfolgreich angereichert wurden	3

Entität anhand von Ereignisfeld anreichern

Beschreibung

Extrahiert Felder aus einem Ereignis und fügt sie den Attributen der Einheit hinzu.

Parameter

Parameter	Typ	Standardwert	Pflichtfeld	Beschreibung
Felder zum Anreichern	String	–	Ja	Geben Sie den Namen des Felds oder der Felder im Ereignis an, die zum Anreichern der Entität verwendet werden. Unterstützt durch Kommas getrennte Listen.

Beispiel

In diesem Szenario werden die Felder „payload_id“ und „event_description“ aus einem Fallereignis extrahiert und den Entitätsfeldern für alle Dateinamenentitäten hinzugefügt.

Aktionskonfigurationen

Parameter	Wert
Entitäten	Alle Entitäten für Dateinamen
Felder zum Anreichern	payload_id, event_description

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
ScriptResult	Anzahl der berechtigten Titel, die erfolgreich angereichert wurden	1

Entität mit Feld anreichern

Beschreibung

Fügt der Entität Anreicherungsfelder basierend auf einer Liste von Schlüsselwerten hinzu.

Parameter

Parameter	Typ	Standardwert	Pflichtfeld	Beschreibung	Beispiel
Felder zum Anreichern	JSON	–	Ja	Geben Sie eine Liste von Schlüssel/Wert-Paaren an, die zum Anreichern der Entität verwendet werden. Sie muss im JSON-Format vorliegen.	[ { "entity_field_name": "Title", "entity_field_value": "SalseManager" }, { "entity_field_name": "City", "entity_field_value": "NewYork" } ]

Beispiel

In diesem Beispiel reichern wir Nutzerentitäten mit zwei Feldern an: „Titel“ und „Stadt“.

Aktionskonfigurationen

Parameter	Wert
Entitäten	Alle Entitäten für Dateinamen
Felder zum Anreichern	[ { "entity_field _name": "Title", "entity_field_value": "Manager"}, { "entity_field _name": "City", "entity_field_value": "Newyork"}]

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
ScriptResult	Anzahl der erfolgreich angereicherten Entitäten	13

Entität als verdächtig markieren

Beschreibung

Markiert Entitäten im Geltungsbereich als verdächtig.

Parameter

Geben Sie den Entitätsbereich an, den Sie als verdächtig markieren möchten.

Beispiel

In diesem Szenario markieren wir alle externen IP-Entitäten als verdächtig. Das Entitätsfeld „is_suspicious“ im Entitäts-Explorer wird auf „true“ aktualisiert.

Aktionskonfigurationen

Parameter	Wert
Entitäten	Externe IP-Adressen

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
ScriptResult	Anzahl der als verdächtig markierten Berechtigungen	3

Dateinamen-Entität mit Pfad anreichern

Beschreibung

Parst Pfad, Dateiname und Erweiterung aus einer Entität und ergänzt sie mit „file_path“, „file_name“ und „file_extensions“.

Parameter

Geben Sie den Bereich der Dateientität an, aus dem die Felder geparst werden sollen.

Beispiel

In diesem Szenario durchlaufen wir alle Dateinamen-Entitäten und parsen alle Pfade, Dateinamen und Erweiterungen aus der Entitäts-ID.

Aktionskonfigurationen

Parameter	Wert
Entitäten	Alle Dateinamen-Entitäten

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
ScriptResult	Liste der angereicherten Entitäten.	WORD/THEME/THEME1.XML,WORD/DOCUMENT.XML

Quellen und Ziele anreichern

Beschreibung

Fügt die Quell- und Ziellinks zu IPs und Hostnamen in einer Benachrichtigung hinzu.

Parameter

Geben Sie den Entitätsbereich an, aus dem die Felder geparst werden sollen.

Beispiel

In diesem Szenario durchlaufen wir alle IP- und Hostname-Entitäten und reichern sie mit Quell- und Ziellinks an. Auch wenn der Entitätsbereich auf „Alle Entitäten“ festgelegt ist, werden automatisch IP- und Hostnamenentitäten ausgewählt.

Aktionskonfigurationen

Parameter	Wert
Entitäten	Alle Entitäten

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
–	–	–

Entität aus JSON anreichern

Beschreibung

Fügt die Quell- und Ziellinks zu IPs und Hostnamen in einer Benachrichtigung hinzu.

Parameter

Parameter	Typ	Standardwert	Pflichtfeld	Beschreibung
JSON-Datei für die Anreicherung	JSON	–	Ja	Geben Sie das JSON an, mit dem eine Entität angereichert werden soll.
Identifier KeyPath	String	–	Ja	Geben Sie den Schlüsselpfad zum Entitäts-Identifier im JSON-Code an.
Trennzeichen	String	.	Ja	Geben Sie das Trennzeichen für den Schlüsselpfad an.
PrefixForErichment	String	–	Nein	Geben Sie ein Präfix für die Anreicherung an.
JSON-Pfad für die Erweiterung	String	–	Nein	JSON angeben

Beispiel

In diesem Szenario verwenden wir eine Hash-Wert-Entitäts-ID mit dem Feld „sha1“, um sie mit Daten im JSON-Feld „Enrichment“ anzureichern. Die Entität muss in der Benachrichtigung vorhanden sein, bevor diese Aktion ausgeführt werden kann.

Aktionskonfigurationen

Parameter	Wert
Entitäten	Alle Entitäten
JSON-Datei für die Anreicherung	[ { "EntityResult": {"permalink": "https://www.virustotal.com/file/275a021bbfb6489e54d4718 99f7db9d1663fc695ec2fe2a2c4538aabf651fd0f/analysis/15 49381312", "sha1": "3395856ce81f267382dee72602f798b642f14140", "resource":"275A021BBFB6489E54D471899F7DB9D1663 FC695EC2FE2A24538AABF651FDOF","response_code":1, "scan_date":"2019-02-05 15:41:52", "scan_id":"275a021bbfb6489e54d471899f7db9d1663fc695 ec2fe2a2c453Saab651fd0f-1549381312","verbose_msg" : "Scan finished,information embedded","total": 60,"positives": 54, "sha256":"75a021bbfb6489e54d471899f7db9d1663fc695e c2fe2a2c4538aabf651fd0f", "Mas":"44d88612fea8a8f36de82e1278abb02f", "Bkav": {"detected": true,"result": "DOS. Eirac A.Trojan","MicroWorld-eScan": {"version": "14.0.297.0","update": "20190205""scans": {"version":"1.1.1.1","update": "20190201" "detected": true,"result*: "EICAR-Test-File","Entity": "275A021BBFB6489E54D471899F7DB9D1663FC695EC2 FE2A24538AABF651FD0F" }]
Identifier KeyPath	EntityResult.sha1
Trennzeichen	.
PrefixForEnrichment	Leer
JSON-Pfad für die Erweiterung	Leer

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
Scriptergebnis	Anzahl der angereicherten Entitäten	1

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten