Arricchimento
Panoramica
L'arricchimento è un insieme di azioni create per potenziare le funzionalità del playbook.
Configurazione
Nella schermata di configurazione, aggiungi l'API Chronicle SOAR per arricchire le entità di Explorer. Per recuperare una chiave API, vai a Impostazioni -> Avanzate -> Chiavi API.
| Parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
| Chiave API | Stringa | N/D | No | Specifica la chiave API di Chronicle SOAR, necessaria per arricchire le entità da Explorer. |
Azioni
Arricchire l'entità dagli attributi dell'esploratore
Descrizione
Arricchisce le entità con dati storici utilizzando l'esploratore di entità.
Parametri
| Parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
| Nome campo | Stringa | N/D | No | Specifica i campi dell'Esplora entità che verranno utilizzati per arricchire l'entità di destinazione. Supporta stringhe delimitate da virgole. |
| Utilizza il campo Nome come lista consentita | Casella di controllo | Selezionata | No | Se selezionata, le entità verranno arricchite con i campi del parametro "Nome campo". Se non è selezionata, l'elenco verrà utilizzato come lista bloccata e verranno aggiunti altri campi. |
Esempio
In questo scenario, stiamo arricchendo tutte le entità con i dati dell'explorer delle entità. Tutti i campi disponibili sono elencati in "Dettagli entità" in Esplora entità. Restituisce il risultato JSON delle coppie chiave/valore nei dettagli dell'entità.
Configurazioni delle azioni
| Parametro | Valore |
| Entità | Tutte le entità |
| Nome campo | Vuota |
| Nome campo utente come lista consentita | Deselezionata |
Risultati dell'azione
- Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
| ScriptResult | Risultato JSON | Risultato mostrato di seguito |
-
Risultato JSON
{ "193.0.0.44": {}, "ATTACHMENT.TXT": {"Source": "Added by", "size": "64", "extension": "txt", "hash_md5": "6529d73ba8183760ad174644e75684fe", "hash_sha1": "dd88508cda7bcfc71ffdbc0e26afe97d3fb9a0b6", "hash_sha256": "1f209f1560df8cb6e983dff99d7a7d2db8dc3e439226abd38ef34facdffd82ec", "hash_sha512": "310d2df6f770dafdf4f84d9851e3fad011d4eb0c5a8af9a5f6d237fb733bca41d41ad6b00efdc2b5c218207 f1a1ac99339923d3c389368f0c1d2ba58e8e1893a", "mime_type": "ASCII text, with no line terminators", "mime_type_short": "text/plain", "ole_data_1_id": "ftype", "ole_data_1_value": "Unknown file type", "ole_data_1_name": "File format", "ole_data_1_description": "", "ole_data_1_risk": "info", "ole_data_1_hide_if_false": "true", "ole_data_2_id": "container", "ole_data_2_value": "Unknown Container", "ole_data_2_name": "Container format", "ole_data_2_description": "Container type", "ole_data_2_risk": "info", "ole_data_2_hide_if_false": "true", "ole_data_3_id": "encrypted", "ole_data_3_value": "", "ole_data_3_name": "Encrypted", "ole_data_3_description": "The file is not encrypted", "ole_data_3_risk": "none", "ole_data_3_hide_if_false": "", "ole_data_4_id": "vba", "ole_data_4_value": "Yes", "ole_data_4_name": "VBA Macros", "ole_data_4_description": "This file contains VBA macros. No suspicious keyword was found. Use olevba and mraptor for more info.", "ole_data_4_risk": "Medium", "ole_data_4_hide_if_false": "", "ole_data_5_id": "xlm", "ole_data_5_value": "No", "ole_data_5_name": "XLM Macros", "ole_data_5_description": "This file does not contain Excel 4/XLM macros.", "ole_data_5_risk": "none", "ole_data_5_hide_if_false": "", "ole_data_6_id": "ext_rels", "ole_data_6_value": "", "ole_data_6_name": "External Relationships", "ole_data_6_description": "External relationships such as remote templates, remote OLE objects, etc", "ole_data_6_risk": "none", "ole_data_6_hide_if_false": "", "ole_data_7_id": "ObjectPool", "ole_data_7_value": "", "ole_data_7_name": "ObjectPool", "ole_data_7_description": "Contains an ObjectPool stream, very likely to contain embedded OLE objects or files. Use oleobj to check it.", "ole_data_7_risk": "none", "ole_data_7_hide_if_false": "true", "ole_data_8_id": "flash", "ole_data_8_value": "", "ole_data_8_name": "Flash objects", "ole_data_8_description": "Number of embedded Flash objects (SWF files) detected in OLE streams. Not 100% accurate, there may be false positives.", "ole_data_8_risk": "none", "ole_data_8_hide_if_false": "true", "content_header_content-type_1": "text/plain; name=\"attachment.txt\"", "content_header_content-transfer-encoding_1": "base64", "content_header_content-disposition_1": "attachment; filename=\"attachment.txt\"", "level": "", "attachment_id": "18"} }
Whois
Descrizione
Esegue query sui server WHOIS per informazioni sulla registrazione del dominio. Supporta indirizzi IP, URL, email e domini. Supporta la creazione di entità di dominio collegate all'entità di destinazione e una soglia di età del dominio per impostare l'entità come sospetta.
Parametri
| Parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
| Crea entità | Casella di controllo | Selezionata | No | Specifica se vuoi creare e collegare entità di dominio a URL Nomi utente/email. |
| Soglia di età del dominio | Numero intero | Selezionata | No | Se l'età del dominio è inferiore al numero di giorni fornito, il dominio verrà contrassegnato come sospetto. |
Esempio
In questo scenario, tutte le entità nome host esterni associate a una richiesta con un'età del dominio inferiore a 365 giorni verranno contrassegnate come sospette.
Configurazioni delle azioni
| Parametro | Valore |
| Entità | Nomi host esterni |
| Crea entità | Selezionata |
| Soglia di età del dominio | 365 |
Risultati dell'azione
- Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
| ScriptResult | Vero/Falso | true |
-
Risultato JSON
{ "Entity": "badsite.com", "EntityResult": {"id": ["32621649_DOMAIN_COM-VRSN"], "status": ["clientDeleteProhibited https://icann.org/epp#clientDeleteProhibited", "clientRenewProhibited https://icann.org/epp#clientRenewProhibited", "clientTransferProhibited https://icann.org/epp#clientTransferProhibited", "clientUpdateProhibited https://icann.org/epp#clientUpdateProhibited"], "creation_date": ["2000-08-09T11:17:46"], "expiration_date": ["2023-08-09T11:17:46"], "updated_date": ["2022-09-18T23:31:54"], "registrar": ["GoDaddy.com, LLC"], "whois_server": ["whois.godaddy.com"], "nameservers": ["NS49.DOMAINCONTROL.COM", "NS50.DOMAINCONTROL.COM"], "emails": ["abuse@godaddy.com"], "contacts": {"registrant": null, "tech": null, "admin": null, "billing": null}, "age_in_days": 8092} }
Arricchisci l'entità dall'elenco con il campo
Descrizione
Arricchisce l'elenco delle entità fornite con un campo e un valore. Questa azione viene spesso utilizzata con l'azione "Selezione entità" per elencare le entità.
Parametri
| Parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
| Elenco di entità | Stringa | N/D | Sì | Specifica un elenco di entità dello stesso tipo. |
| Tipo di entità | Stringa | N/D | Sì | Specifica il tipo di entità. |
| Delimitatore entità | Stringa | , | Sì | Specifica il delimitatore delle entità elenco. |
| Campo di arricchimento | Stringa | N/D | Sì | Specifica il nome del campo da aggiungere all'entità. |
| Valore di arricchimento | Stringa | N/D | Sì | Specifica il valore del campo che verrà arricchito con l'entità. |
Esempio
In questo scenario, selezioniamo le entità Indirizzo IP utilizzando l'azione EntitySelection e passiamo i risultati al campo "Elenco di entità" per l'arricchimento.
Action Configurations (EntitySelection)
| Parametro | Condizione | Valore |
| Entity.Type | = | INDIRIZZO |
Configurazioni azioni (Arricchisci entità da elenco con campo)
| Parametro | Valore |
| Entità | Tutte le entità |
| Elenco di entità | [Entity Selection_1.SelectedEntities] |
| Tipo di entità | INDIRIZZO |
| Delimitatore entità | , |
| Campo di arricchimento | is_risky |
| Valore di arricchimento | sì |
Risultati dell'azione
- Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
| ScriptResult | Numero di diritti arricchiti correttamente | 3 |
Arricchisci l'entità dal campo evento
Descrizione
Estrae i campi da un evento e li aggiunge ai campi dell'entità.
Parametri
| Parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
| Campi da arricchire | Stringa | N/D | Sì | Specifica il nome dei campi nell'evento che verranno utilizzati per arricchire l'entità. Supporta un elenco separato da virgole. |
Esempio
In questo scenario, i campi payload_id ed event_description vengono estratti da un evento di caso e aggiunti ai campi dell'entità per tutte le entità nome file.
Configurazioni delle azioni
| Parametro | Valore |
| Entità | Tutte le entità dei nomi dei file |
| Campi da arricchire | payload_id, event_description |
Risultati dell'azione
- Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
| ScriptResult | Numero di diritti arricchiti correttamente | 1 |
Arricchisci entità con campo
Descrizione
Aggiunge campi di arricchimento all'entità in base a un elenco di valori chiave.
Parametri
| Parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione | Esempio |
| Campi da arricchire | JSON | N/D | Sì | Specifica un elenco di coppie chiave-valore che verranno utilizzate per arricchire l'entità. Deve essere in formato JSON. | [ { "entity_field_name": "Title", "entity_field_value": "SalseManager" }, { "entity_field_name": "City", "entity_field_value": "NewYork" } ] |
Esempio
In questo esempio, arricchiamo le entità utente con due campi: Titolo e Città.
Configurazioni delle azioni
| Parametro | Valore |
| Entità | Tutte le entità dei nomi dei file |
| Campi da arricchire | [ { "entity_field _name": "Title", "entity_field_value":
"Manager"}, { "entity_field _name": "City", "entity_field_value": "Newyork"}] |
Risultati dell'azione
- Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
| ScriptResult | Numero di entità arricchite correttamente | 13 |
Contrassegna entità come sospetta
Descrizione
Contrassegna le entità nell'ambito come sospette.
Parametri
Specifica l'ambito dell'entità che vuoi contrassegnare come sospetta.
Esempio
In questo scenario, contrassegniamo tutte le entità IP esterni come sospette. Il campo entità "is_suspicious" in Esplora entità viene aggiornato a "true".
Configurazioni delle azioni
| Parametro | Valore |
| Entità | Indirizzi IP esterni |
Risultati dell'azione
- Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
| ScriptResult | Numero di diritti contrassegnati come sospetti | 3 |
Arricchisci l'entità FileName con il percorso
Descrizione
Analizza il percorso, il nome file e l'estensione di un'entità e lo arricchisce con file_path, file_name e file_extensions.
Parametri
Specifica l'ambito dell'entità file da cui vuoi analizzare i campi.
Esempio
In questo scenario, eseguiamo un ciclo su tutte le entità dei nomi file e analizziamo tutti i percorsi, i nomi file e le estensioni dall'identificatore dell'entità.
Configurazioni delle azioni
| Parametro | Valore |
| Entità | Tutte le entità dei nomi dei file |
Risultati dell'azione
- Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
| ScriptResult | Elenco delle entità arricchite. | WORD/THEME/THEME1.XML,WORD/DOCUMENT.XML |
Arricchisci origini e destinazioni
Descrizione
Aggiunge i link di origine e di destinazione a IP e nomi host in un avviso.
Parametri
Specifica l'ambito dell'entità da cui vuoi analizzare i campi.
Esempio
In questo scenario, esaminiamo tutte le entità IP e nome host e le arricchiamo con link di origine e destinazione. Anche se l'ambito dell'entità è impostato su "Tutte le entità", verranno selezionate automaticamente le entità IP e nome host.
Configurazioni delle azioni
| Parametro | Valore |
| Entità | Tutte le entità |
Risultati dell'azione
- Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
| N/D | N/D | N/D |
Arricchisci entità da JSON
Descrizione
Aggiunge i link di origine e di destinazione a IP e nomi host in un avviso.
Parametri
| Parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
| JSON di arricchimento | JSON | N/D | Sì | Specifica il JSON per arricchire un'entità. |
| Identifier KeyPath | Stringa | N/D | Sì | Specifica il percorso della chiave dell'identificatore dell'entità nel codice JSON |
| Separatore | Stringa | . | Sì | Specifica il separatore/delimitatore del percorso della chiave. |
| PrefixForErichment | Stringa | N/D | No | Specifica un prefisso da utilizzare per l'arricchimento. |
| Percorso JSON di arricchimento | Stringa | N/D | No | Specifica il JSON |
Esempio
In questo scenario, utilizziamo un identificatore di entità di un valore hash con il campo "sha1" per arricchirlo con i dati nel campo JSON di arricchimento. Tieni presente che l'entità deve esistere nell'avviso prima di eseguire questa azione.
Configurazioni delle azioni
| Parametro | Valore |
| Entità | Tutte le entità |
| JSON di arricchimento | [ { "EntityResult": {"permalink": "https://www.virustotal.com/file/275a021bbfb6489e54d4718 99f7db9d1663fc695ec2fe2a2c4538aabf651fd0f/analysis/15 49381312", "sha1": "3395856ce81f267382dee72602f798b642f14140", "resource":"275A021BBFB6489E54D471899F7DB9D1663 FC695EC2FE2A24538AABF651FDOF","response_code":1, "scan_date":"2019-02-05 15:41:52", "scan_id":"275a021bbfb6489e54d471899f7db9d1663fc695 ec2fe2a2c453Saab651fd0f-1549381312","verbose_msg" : "Scan finished,information embedded","total": 60,"positives": 54, "sha256":"75a021bbfb6489e54d471899f7db9d1663fc695e c2fe2a2c4538aabf651fd0f", "Mas":"44d88612fea8a8f36de82e1278abb02f", "Bkav": {"detected": true,"result": "DOS. Eirac A.Trojan","MicroWorld-eScan": {"version": "14.0.297.0","update": "20190205""scans": {"version":"1.1.1.1","update": "20190201" "detected": true,"result*: "EICAR-Test-File","Entity": "275A021BBFB6489E54D471899F7DB9D1663FC695EC2 FE2A24538AABF651FD0F" }] |
| Identifier KeyPath | EntityResult.sha1 |
| Separatore | . |
| PrefixForEnrichment | Vuota |
| Percorso JSON di arricchimento | Vuota |
Risultati dell'azione
- Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
| Risultato script | Numero di entità arricchite | 1 |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.