拡充
概要
エンリッチメントは、ハンドブックの機能を強化するために作成された一連のアクションです。
構成
構成画面で、Chronicle SOAR API を追加して、Explorer のエンティティを拡充します。API キーを取得するには、[Settings] -> [Advanced] -> [API Keys] に移動します。
| パラメータ | タイプ | デフォルト値 | 必須 | 説明 |
| API キー | 文字列 | なし | いいえ | Explorer からエンティティを拡充するために必要な Chronicle SOAR API キーを指定します。 |
アクション
エクスプローラ属性からエンティティを拡充する
説明
エンティティ エクスプローラを使用して、過去の拡充データでエンティティを拡充します。
パラメータ
| パラメータ | タイプ | デフォルト値 | 必須 | 説明 |
| フィールド名 | 文字列 | なし | いいえ | ターゲット エンティティの拡充に使用するエンティティ エクスプローラからフィールドを指定します。カンマ区切りの文字列をサポートします。 |
| フィールド名を許可リストとして使用する | チェックボックス | オン | いいえ | オンにすると、エンティティは [フィールド名] パラメータのフィールドで拡充されます。チェックを外すと、リストはブロックリストとして使用され、他のフィールドが追加されます。 |
例
このシナリオでは、エンティティ エクスプローラから取得したデータを使用してすべてのエンティティを拡充します。使用可能なすべてのフィールドは、エンティティ エクスプローラの [エンティティの詳細] に表示されます。エンティティの詳細にある Key-Value ペアの JSON 結果を返します。
アクション構成
| パラメータ | 値 |
| エンティティ | すべてのエンティティ |
| フィールド名 | 空白 |
| 許可リストとしてのユーザー フィールド名 | オフ |
アクションの結果
- スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
| ScriptResult | JSON の結果 | 結果は以下のとおりです |
-
JSON の結果
{ "193.0.0.44": {}, "ATTACHMENT.TXT": {"Source": "Added by", "size": "64", "extension": "txt", "hash_md5": "6529d73ba8183760ad174644e75684fe", "hash_sha1": "dd88508cda7bcfc71ffdbc0e26afe97d3fb9a0b6", "hash_sha256": "1f209f1560df8cb6e983dff99d7a7d2db8dc3e439226abd38ef34facdffd82ec", "hash_sha512": "310d2df6f770dafdf4f84d9851e3fad011d4eb0c5a8af9a5f6d237fb733bca41d41ad6b00efdc2b5c218207 f1a1ac99339923d3c389368f0c1d2ba58e8e1893a", "mime_type": "ASCII text, with no line terminators", "mime_type_short": "text/plain", "ole_data_1_id": "ftype", "ole_data_1_value": "Unknown file type", "ole_data_1_name": "File format", "ole_data_1_description": "", "ole_data_1_risk": "info", "ole_data_1_hide_if_false": "true", "ole_data_2_id": "container", "ole_data_2_value": "Unknown Container", "ole_data_2_name": "Container format", "ole_data_2_description": "Container type", "ole_data_2_risk": "info", "ole_data_2_hide_if_false": "true", "ole_data_3_id": "encrypted", "ole_data_3_value": "", "ole_data_3_name": "Encrypted", "ole_data_3_description": "The file is not encrypted", "ole_data_3_risk": "none", "ole_data_3_hide_if_false": "", "ole_data_4_id": "vba", "ole_data_4_value": "Yes", "ole_data_4_name": "VBA Macros", "ole_data_4_description": "This file contains VBA macros. No suspicious keyword was found. Use olevba and mraptor for more info.", "ole_data_4_risk": "Medium", "ole_data_4_hide_if_false": "", "ole_data_5_id": "xlm", "ole_data_5_value": "No", "ole_data_5_name": "XLM Macros", "ole_data_5_description": "This file does not contain Excel 4/XLM macros.", "ole_data_5_risk": "none", "ole_data_5_hide_if_false": "", "ole_data_6_id": "ext_rels", "ole_data_6_value": "", "ole_data_6_name": "External Relationships", "ole_data_6_description": "External relationships such as remote templates, remote OLE objects, etc", "ole_data_6_risk": "none", "ole_data_6_hide_if_false": "", "ole_data_7_id": "ObjectPool", "ole_data_7_value": "", "ole_data_7_name": "ObjectPool", "ole_data_7_description": "Contains an ObjectPool stream, very likely to contain embedded OLE objects or files. Use oleobj to check it.", "ole_data_7_risk": "none", "ole_data_7_hide_if_false": "true", "ole_data_8_id": "flash", "ole_data_8_value": "", "ole_data_8_name": "Flash objects", "ole_data_8_description": "Number of embedded Flash objects (SWF files) detected in OLE streams. Not 100% accurate, there may be false positives.", "ole_data_8_risk": "none", "ole_data_8_hide_if_false": "true", "content_header_content-type_1": "text/plain; name=\"attachment.txt\"", "content_header_content-transfer-encoding_1": "base64", "content_header_content-disposition_1": "attachment; filename=\"attachment.txt\"", "level": "", "attachment_id": "18"} }
Whois
説明
ドメイン登録情報について WHOIS サーバーにクエリを実行します。IP アドレス、URL、メール、ドメインをサポートします。ターゲット エンティティにリンクされたドメイン エンティティと、エンティティを不審に設定するドメイン年齢しきい値の作成をサポートします。
パラメータ
| パラメータ | タイプ | デフォルト値 | 必須 | 説明 |
| Create Entities | チェックボックス | オン | いいえ | ドメイン エンティティを作成して URL / メールアドレス / ユーザー名にリンクするかどうかを指定します。 |
| ドメインの年齢のしきい値 | Integer | オン | いいえ | ドメインの有効期間が指定された日数よりも短い場合、そのドメインは不審なドメインとしてマークされます。 |
例
このシナリオでは、ドメインの経過日数が 365 日未満のケースに添付された外部ホスト名エンティティは、不審なエンティティとしてマークされます。
アクション構成
| パラメータ | 値 |
| エンティティ | 外部ホスト名 |
| Create Entities | オン |
| ドメインの経過年数のしきい値 | 365 |
アクションの結果
- スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
| ScriptResult | True/False | true |
-
JSON の結果
{ "Entity": "badsite.com", "EntityResult": {"id": ["32621649_DOMAIN_COM-VRSN"], "status": ["clientDeleteProhibited https://icann.org/epp#clientDeleteProhibited", "clientRenewProhibited https://icann.org/epp#clientRenewProhibited", "clientTransferProhibited https://icann.org/epp#clientTransferProhibited", "clientUpdateProhibited https://icann.org/epp#clientUpdateProhibited"], "creation_date": ["2000-08-09T11:17:46"], "expiration_date": ["2023-08-09T11:17:46"], "updated_date": ["2022-09-18T23:31:54"], "registrar": ["GoDaddy.com, LLC"], "whois_server": ["whois.godaddy.com"], "nameservers": ["NS49.DOMAINCONTROL.COM", "NS50.DOMAINCONTROL.COM"], "emails": ["abuse@godaddy.com"], "contacts": {"registrant": null, "tech": null, "admin": null, "billing": null}, "age_in_days": 8092} }
リストからフィールドを使用してエンティティを拡充
説明
指定されたエンティティのリストにフィールドと値を追加します。このアクションは、エンティティを一覧表示するために「エンティティ選択」アクションと組み合わせて使用されることがよくあります。
パラメータ
| パラメータ | タイプ | デフォルト値 | 必須 | 説明 |
| エンティティのリスト | 文字列 | なし | はい | 同じタイプのエンティティのリストを指定します。 |
| エンティティ タイプ | 文字列 | なし | はい | エンティティのタイプを指定します。 |
| エンティティの区切り文字 | 文字列 | , | はい | リスト エンティティの区切り文字を指定します。 |
| 拡充フィールド | 文字列 | なし | はい | エンティティに追加するフィールド名を指定します。 |
| 拡充値 | 文字列 | なし | はい | エンティティに拡充されるフィールドの値を指定します。 |
例
このシナリオでは、EntitySelection アクションを使用して IP アドレス エンティティを選択し、結果をエンリッチメントの [エンティティのリスト] フィールドに渡します。
アクション構成(EntitySelection)
| パラメータ | 条件 | 値 |
| Entity.Type | = | ADDRESS |
アクション構成(リストのエンティティをフィールドで拡充)
| パラメータ | 値 |
| エンティティ | すべてのエンティティ |
| エンティティのリスト | [Entity Selection_1.SelectedEntities] |
| エンティティ タイプ | ADDRESS |
| エンティティの区切り文字 | , |
| 拡充フィールド | is_risky |
| 拡充値 | ○ |
アクションの結果
- スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
| ScriptResult | 正常に拡充された利用資格の数 | 3 |
イベント フィールドからエンティティを拡充
説明
イベントからフィールドを抽出し、エンティティ フィールドに追加します。
パラメータ
| パラメータ | タイプ | デフォルト値 | 必須 | 説明 |
| 拡充するフィールド | 文字列 | なし | はい | エンティティの拡充に使用されるイベントのフィールド名を指定します。カンマ区切りのリストをサポートします。 |
例
このシナリオでは、ケースイベントから payload_id フィールドと event_description フィールドが抽出され、すべてのファイル名エンティティのエンティティ フィールドに追加されます。
アクション構成
| パラメータ | 値 |
| エンティティ | すべてのファイル名エンティティ |
| 拡充するフィールド | payload_id、event_description |
アクションの結果
- スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
| ScriptResult | 正常に拡充された利用資格の数 | 1 |
フィールドでエンティティを拡充
説明
キー値のリストに基づいて、エンティティにエンリッチメント フィールドを追加します。
パラメータ
| パラメータ | タイプ | デフォルト値 | 必須 | 説明 | 例 |
| 拡充するフィールド | JSON | なし | はい | エンティティの拡充に使用される Key-Value ペアのリストを指定します。JSON 形式にする必要があります。 | [ { "entity_field_name": "Title", "entity_field_value": "SalseManager" }, { "entity_field_name": "City", "entity_field_value": "NewYork" } ] |
例
この例では、ユーザー エンティティに Title と City の 2 つのフィールドを追加しています。
アクション構成
| パラメータ | 値 |
| エンティティ | すべてのファイル名エンティティ |
| 拡充するフィールド | [ { "entity_field _name": "Title", "entity_field_value":
"Manager"}, { "entity_field _name": "City", "entity_field_value": "Newyork"}] |
アクションの結果
- スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
| ScriptResult | エンリッチメントが正常に完了したエンティティの数 | 13 |
エンティティを不審としてマークする
説明
スコープ内のエンティティを不審としてマークします。
パラメータ
不審としてマークするエンティティ スコープを指定します。
例
このシナリオでは、すべての外部 IP エンティティを不審としてマークしています。エンティティ エクスプローラのエンティティ フィールド「is_suspicious」が「true」に更新されます。
アクション構成
| パラメータ | 値 |
| エンティティ | 外部 IP アドレス |
アクションの結果
- スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
| ScriptResult | 不審とみなされた利用資格の数 | 3 |
パスで FileName エンティティを拡充
説明
エンティティからパス、ファイル名、拡張子を解析し、file_path、file_name、file_extensions で補完します。
パラメータ
フィールドの解析元となるファイル エンティティ スコープを指定します。
例
このシナリオでは、すべてのファイル名エンティティをループ処理し、エンティティ ID からパス、ファイル名、拡張子を解析しています。
アクション構成
| パラメータ | 値 |
| エンティティ | すべてのファイル名エンティティ |
アクションの結果
- スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
| ScriptResult | 拡充されたエンティティのリスト。 | WORD/THEME/THEME1.XML,WORD/DOCUMENT.XML |
ソースと宛先を拡充する
説明
アラートの IP とホスト名に送信元と宛先のリンクを追加します。
パラメータ
フィールドの解析元となるエンティティ スコープを指定します。
例
このシナリオでは、すべての IP エンティティとホスト名エンティティをループ処理し、送信元リンクと宛先リンクでエンティティを拡充しています。エンティティ スコープが [すべてのエンティティ] に設定されている場合でも、IP エンティティとホスト名エンティティが自動的に選択されます。
アクション構成
| パラメータ | 値 |
| エンティティ | すべてのエンティティ |
アクションの結果
- スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
| なし | なし | なし |
JSON からエンティティを拡充する
説明
アラートの IP とホスト名に送信元と宛先のリンクを追加します。
パラメータ
| パラメータ | タイプ | デフォルト値 | 必須 | 説明 |
| エンリッチメント JSON | JSON | なし | はい | エンティティを拡充する JSON を指定します。 |
| Identifier KeyPath | 文字列 | なし | はい | JSON 内のエンティティ識別子のキーパスを指定する |
| セパレータ | 文字列 | . | はい | キーパスの区切り文字を指定します。 |
| PrefixForErichment | 文字列 | なし | いいえ | 拡充に使用する接頭辞を指定します。 |
| エンリッチメント JSON パス | 文字列 | なし | いいえ | JSON を指定する |
例
このシナリオでは、フィールド「sha1」を含むハッシュ値のエンティティ識別子を使用して、エンリッチメント JSON フィールドのデータでエンリッチしています。このアクションを実行する前に、エンティティがアラートに存在している必要があります。
アクション構成
| パラメータ | 値 |
| エンティティ | すべてのエンティティ |
| エンリッチメント JSON | [ { "EntityResult": {"permalink": "https://www.virustotal.com/file/275a021bbfb6489e54d4718 99f7db9d1663fc695ec2fe2a2c4538aabf651fd0f/analysis/15 49381312", "sha1": "3395856ce81f267382dee72602f798b642f14140", "resource":"275A021BBFB6489E54D471899F7DB9D1663 FC695EC2FE2A24538AABF651FDOF","response_code":1, "scan_date":"2019-02-05 15:41:52", "scan_id":"275a021bbfb6489e54d471899f7db9d1663fc695 ec2fe2a2c453Saab651fd0f-1549381312","verbose_msg" : "Scan finished,information embedded","total": 60,"positives": 54, "sha256":"75a021bbfb6489e54d471899f7db9d1663fc695e c2fe2a2c4538aabf651fd0f", "Mas":"44d88612fea8a8f36de82e1278abb02f", "Bkav": {"detected": true,"result": "DOS. Eirac A.Trojan","MicroWorld-eScan": {"version": "14.0.297.0","update": "20190205""scans": {"version":"1.1.1.1","update": "20190201" "detected": true,"result*: "EICAR-Test-File","Entity": "275A021BBFB6489E54D471899F7DB9D1663FC695EC2 FE2A24538AABF651FD0F" }] |
| Identifier KeyPath | EntityResult.sha1 |
| 区切り文字 | |
| PrefixForEnrichment | 空白 |
| エンリッチメント JSON パス | 空白 |
アクションの結果
- スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
| スクリプトの結果 | エンリッチされたエンティティの数 | 1 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。