보강
개요
강화는 플레이북 기능을 강화하기 위해 생성된 작업의 집합입니다.
구성
구성 화면에서 Chronicle SOAR API를 추가하여 탐색기의 엔티티를 보강합니다. API 키를 검색하려면 설정 -> 고급 -> API 키로 이동합니다.
| 매개변수 | 유형 | 기본값 | 필수 항목 | 설명 |
| API 키 | 문자열 | 해당 사항 없음 | 아니요 | 탐색기에서 엔티티를 보강하는 데 필요한 Chronicle SOAR API 키를 지정합니다. |
작업
탐색기 속성에서 항목 보강
설명
항목 탐색기를 사용하여 이전 보강 데이터로 항목을 보강합니다.
매개변수
| 매개변수 | 유형 | 기본값 | 필수 항목 | 설명 |
| 필드 이름 | 문자열 | 해당 사항 없음 | 아니요 | 대상 항목을 보강하는 데 사용할 항목 탐색기의 필드를 지정합니다. 쉼표로 구분된 문자열을 지원합니다. |
| 필드 이름을 허용 목록으로 사용 | 체크박스 | 선택 | 아니요 | 선택하면 '필드 이름' 매개변수의 필드로 엔티티가 보강됩니다. 선택 해제하면 목록이 차단 목록으로 사용되고 다른 필드가 추가됩니다. |
예시
이 시나리오에서는 엔티티 탐색기의 데이터로 모든 엔티티를 보강합니다. 사용 가능한 모든 필드는 엔티티 탐색기의 '엔티티 세부정보'에 표시됩니다. 엔티티 세부정보의 키/값 쌍의 JSON 결과를 반환합니다.
작업 구성
| 매개변수 | 값 |
| 항목 | 모든 항목 |
| 필드 이름 | 비어 있음 |
| 사용자 필드 이름을 허용 목록으로 사용 | 선택 해제 |
작업 결과
- 스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
| ScriptResult | JSON 결과 | 결과는 아래에 표시됩니다. |
-
JSON 결과
{ "193.0.0.44": {}, "ATTACHMENT.TXT": {"Source": "Added by", "size": "64", "extension": "txt", "hash_md5": "6529d73ba8183760ad174644e75684fe", "hash_sha1": "dd88508cda7bcfc71ffdbc0e26afe97d3fb9a0b6", "hash_sha256": "1f209f1560df8cb6e983dff99d7a7d2db8dc3e439226abd38ef34facdffd82ec", "hash_sha512": "310d2df6f770dafdf4f84d9851e3fad011d4eb0c5a8af9a5f6d237fb733bca41d41ad6b00efdc2b5c218207 f1a1ac99339923d3c389368f0c1d2ba58e8e1893a", "mime_type": "ASCII text, with no line terminators", "mime_type_short": "text/plain", "ole_data_1_id": "ftype", "ole_data_1_value": "Unknown file type", "ole_data_1_name": "File format", "ole_data_1_description": "", "ole_data_1_risk": "info", "ole_data_1_hide_if_false": "true", "ole_data_2_id": "container", "ole_data_2_value": "Unknown Container", "ole_data_2_name": "Container format", "ole_data_2_description": "Container type", "ole_data_2_risk": "info", "ole_data_2_hide_if_false": "true", "ole_data_3_id": "encrypted", "ole_data_3_value": "", "ole_data_3_name": "Encrypted", "ole_data_3_description": "The file is not encrypted", "ole_data_3_risk": "none", "ole_data_3_hide_if_false": "", "ole_data_4_id": "vba", "ole_data_4_value": "Yes", "ole_data_4_name": "VBA Macros", "ole_data_4_description": "This file contains VBA macros. No suspicious keyword was found. Use olevba and mraptor for more info.", "ole_data_4_risk": "Medium", "ole_data_4_hide_if_false": "", "ole_data_5_id": "xlm", "ole_data_5_value": "No", "ole_data_5_name": "XLM Macros", "ole_data_5_description": "This file does not contain Excel 4/XLM macros.", "ole_data_5_risk": "none", "ole_data_5_hide_if_false": "", "ole_data_6_id": "ext_rels", "ole_data_6_value": "", "ole_data_6_name": "External Relationships", "ole_data_6_description": "External relationships such as remote templates, remote OLE objects, etc", "ole_data_6_risk": "none", "ole_data_6_hide_if_false": "", "ole_data_7_id": "ObjectPool", "ole_data_7_value": "", "ole_data_7_name": "ObjectPool", "ole_data_7_description": "Contains an ObjectPool stream, very likely to contain embedded OLE objects or files. Use oleobj to check it.", "ole_data_7_risk": "none", "ole_data_7_hide_if_false": "true", "ole_data_8_id": "flash", "ole_data_8_value": "", "ole_data_8_name": "Flash objects", "ole_data_8_description": "Number of embedded Flash objects (SWF files) detected in OLE streams. Not 100% accurate, there may be false positives.", "ole_data_8_risk": "none", "ole_data_8_hide_if_false": "true", "content_header_content-type_1": "text/plain; name=\"attachment.txt\"", "content_header_content-transfer-encoding_1": "base64", "content_header_content-disposition_1": "attachment; filename=\"attachment.txt\"", "level": "", "attachment_id": "18"} }
Whois
설명
도메인 등록 정보를 WHOIS 서버에 쿼리합니다. IP 주소, URL, 이메일, 도메인을 지원합니다. 타겟 항목에 연결된 도메인 항목과 항목을 의심스러운 것으로 설정하는 도메인 연령 기준을 생성하는 것을 지원합니다.
매개변수
| 매개변수 | 유형 | 기본값 | 필수 항목 | 설명 |
| 항목 만들기 | 체크박스 | 선택 | 아니요 | 도메인 항목을 URL 이메일/사용자 이름에 연결할지 여부를 지정합니다. |
| 도메인 운영 기간 기준 | 정수 | 선택됨 | 아니요 | 도메인의 연령이 제공된 일수보다 적으면 의심스러운 것으로 표시됩니다. |
예시
이 시나리오에서는 도메인 기간이 365일 미만인 케이스에 연결된 외부 호스트 이름 항목이 의심스러운 것으로 표시됩니다.
작업 구성
| 매개변수 | 값 |
| 항목 | 외부 호스트 이름 |
| 항목 만들기 | 선택됨 |
| 도메인 운영 기간 기준 | 365 |
작업 결과
- 스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
| ScriptResult | True/False | true |
-
JSON 결과
{ "Entity": "badsite.com", "EntityResult": {"id": ["32621649_DOMAIN_COM-VRSN"], "status": ["clientDeleteProhibited https://icann.org/epp#clientDeleteProhibited", "clientRenewProhibited https://icann.org/epp#clientRenewProhibited", "clientTransferProhibited https://icann.org/epp#clientTransferProhibited", "clientUpdateProhibited https://icann.org/epp#clientUpdateProhibited"], "creation_date": ["2000-08-09T11:17:46"], "expiration_date": ["2023-08-09T11:17:46"], "updated_date": ["2022-09-18T23:31:54"], "registrar": ["GoDaddy.com, LLC"], "whois_server": ["whois.godaddy.com"], "nameservers": ["NS49.DOMAINCONTROL.COM", "NS50.DOMAINCONTROL.COM"], "emails": ["abuse@godaddy.com"], "contacts": {"registrant": null, "tech": null, "admin": null, "billing": null}, "age_in_days": 8092} }
필드가 있는 목록에서 항목 보강
설명
제공된 항목 목록을 필드와 값으로 보강합니다. 이 작업은 항목을 나열하기 위해 '항목 선택' 작업과 함께 자주 사용됩니다.
매개변수
| 매개변수 | 유형 | 기본값 | 필수 항목 | 설명 |
| 항목 목록 | 문자열 | 해당 사항 없음 | 예 | 동일한 유형의 항목 목록을 지정합니다. |
| 항목 유형 | 문자열 | 해당 사항 없음 | 예 | 항목 유형을 지정합니다. |
| 엔티티 구분 기호 | 문자열 | , | 예 | 목록 항목의 구분자를 지정합니다. |
| 보강 필드 | 문자열 | 해당 사항 없음 | 예 | 엔티티에 추가할 필드 이름을 지정합니다. |
| 보강 값 | 문자열 | 해당 사항 없음 | 예 | 엔티티로 보강될 필드의 값을 지정합니다. |
예시
이 시나리오에서는 EntitySelection 작업을 사용하여 IP 주소 항목을 선택하고 결과를 '항목 목록' 필드에 전달하여 보강합니다.
작업 구성 (EntitySelection)
| 매개변수 | 조건 | 값 |
| Entity.Type | = | ADDRESS |
작업 구성 (필드가 있는 목록에서 항목 보강)
| 매개변수 | 값 |
| 항목 | 모든 항목 |
| 항목 목록 | [Entity Selection_1.SelectedEntities] |
| 항목 유형 | ADDRESS |
| 엔티티 구분 기호 | , |
| 보강 필드 | is_risky |
| 보강 값 | 예 |
작업 결과
- 스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
| ScriptResult | 권한이 부여된 항목 중 성공적으로 풍부해진 항목의 수 | 3 |
이벤트 필드에서 항목 보강
설명
이벤트에서 필드를 추출하여 항목 필드에 추가합니다.
매개변수
| 매개변수 | 유형 | 기본값 | 필수 항목 | 설명 |
| 강화할 필드 | 문자열 | 해당 사항 없음 | 예 | 엔티티를 보강하는 데 사용될 이벤트의 필드 이름을 지정합니다. 쉼표로 구분된 목록을 지원합니다. |
예시
이 시나리오에서는 payload_id 및 event_description 필드가 케이스 이벤트에서 추출되어 모든 파일 이름 항목의 항목 필드에 추가됩니다.
작업 구성
| 매개변수 | 값 |
| 항목 | 모든 파일 이름 항목 |
| 강화할 필드 | payload_id, event_description |
작업 결과
- 스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
| ScriptResult | 권한이 부여된 항목 중 성공적으로 풍부해진 항목의 수 | 1 |
필드로 항목 보강
설명
키 값 목록을 기반으로 엔티티에 보강 필드를 추가합니다.
매개변수
| 매개변수 | 유형 | 기본값 | 필수 항목 | 설명 | 예시 |
| 강화할 필드 | JSON | 해당 사항 없음 | 예 | 항목을 보강하는 데 사용될 키-값 쌍 목록을 지정합니다. JSON 형식이어야 합니다. | [ { "entity_field_name": "Title", "entity_field_value": "SalseManager" }, { "entity_field_name": "City", "entity_field_value": "NewYork" } ] |
예시
이 예에서는 제목과 도시라는 두 필드로 사용자 엔티티를 보강합니다.
작업 구성
| 매개변수 | 값 |
| 항목 | 모든 파일 이름 항목 |
| 강화할 필드 | [ { "entity_field _name": "Title", "entity_field_value":
"Manager"}, { "entity_field _name": "City", "entity_field_value": "Newyork"}] |
작업 결과
- 스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
| ScriptResult | 성공적으로 보강된 항목 수 | 13 |
엔티티를 의심스러운 항목으로 표시
설명
범위 내 항목을 의심스러운 것으로 표시합니다.
매개변수
의심스러운 것으로 표시할 항목 범위를 지정합니다.
예시
이 시나리오에서는 모든 외부 IP 항목을 의심스러운 것으로 표시합니다. 항목 탐색기의 항목 필드 'is_suspicious'가 'true'로 업데이트됩니다.
작업 구성
| 매개변수 | 값 |
| 항목 | 외부 IP 주소 |
작업 결과
- 스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
| ScriptResult | 의심스러운 것으로 표시된 권한 수 | 3 |
경로로 파일 이름 항목 보강
설명
엔티티에서 경로, 파일 이름, 확장자를 파싱하고 file_path, file_name, file_extensions로 보강합니다.
매개변수
필드를 파싱할 파일 항목 범위를 지정합니다.
예시
이 시나리오에서는 모든 파일 이름 항목을 순환하고 항목 식별자에서 경로, 파일 이름, 확장자를 파싱합니다.
작업 구성
| 매개변수 | 값 |
| 항목 | 모든 파일 이름 항목 |
작업 결과
- 스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
| ScriptResult | 보강된 항목 목록입니다. | WORD/THEME/THEME1.XML,WORD/DOCUMENT.XML |
소스 및 대상 보강
설명
알림에 IP 및 호스트 이름의 소스 및 대상 링크를 추가합니다.
매개변수
필드를 파싱할 항목 범위를 지정합니다.
예시
이 시나리오에서는 모든 IP 및 호스트 이름 항목을 반복하고 소스 및 대상 링크로 보강합니다. 엔티티 범위가 '모든 엔티티'로 설정되어 있어도 IP 및 호스트 이름 엔티티가 자동으로 선택됩니다.
작업 구성
| 매개변수 | 값 |
| 항목 | 모든 항목 |
작업 결과
- 스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
| 해당 사항 없음 | 해당 사항 없음 | 해당 사항 없음 |
JSON에서 항목 보강
설명
알림에 IP 및 호스트 이름의 소스 및 대상 링크를 추가합니다.
매개변수
| 매개변수 | 유형 | 기본값 | 필수 항목 | 설명 |
| 강화 JSON | JSON | 해당 사항 없음 | 예 | 항목을 보강할 JSON을 지정합니다. |
| 식별자 KeyPath | 문자열 | 해당 사항 없음 | 예 | JSON에서 항목 식별자의 키 경로를 지정합니다. |
| 구분자 | 문자열 | . | 예 | 키 경로 구분자/구분 기호를 지정합니다. |
| PrefixForErichment | 문자열 | 해당 사항 없음 | 아니요 | 강화에 사용할 접두사를 지정합니다. |
| 강화 JSON 경로 | 문자열 | 해당 사항 없음 | 아니요 | JSON 지정 |
예시
이 시나리오에서는 'sha1' 필드가 있는 해시 값의 엔티티 식별자를 사용하여 Enrichment JSON 필드의 데이터로 보강합니다. 이 작업을 실행하기 전에 알림에 항목이 있어야 합니다.
작업 구성
| 매개변수 | 값 |
| 항목 | 모든 항목 |
| 강화 JSON | [ { "EntityResult": {"permalink": "https://www.virustotal.com/file/275a021bbfb6489e54d4718 99f7db9d1663fc695ec2fe2a2c4538aabf651fd0f/analysis/15 49381312", "sha1": "3395856ce81f267382dee72602f798b642f14140", "resource":"275A021BBFB6489E54D471899F7DB9D1663 FC695EC2FE2A24538AABF651FDOF","response_code":1, "scan_date":"2019-02-05 15:41:52", "scan_id":"275a021bbfb6489e54d471899f7db9d1663fc695 ec2fe2a2c453Saab651fd0f-1549381312","verbose_msg" : "Scan finished,information embedded","total": 60,"positives": 54, "sha256":"75a021bbfb6489e54d471899f7db9d1663fc695e c2fe2a2c4538aabf651fd0f", "Mas":"44d88612fea8a8f36de82e1278abb02f", "Bkav": {"detected": true,"result": "DOS. Eirac A.Trojan',"MicroWorld-eScan': {'version': '14.0.297.0',"update': '20190205',"scans': {'version':'1.1.1.1',"update': '20190201', 'detected': true,"result': 'EICAR-Test-File',"Entity': '275A021BBFB6489E54D471899F7DB9D1663FC695EC2 FE2A24538AABF651FD0F' }] |
| 식별자 KeyPath | EntityResult.sha1 |
| 구분자 | . |
| PrefixForEnrichment | 비어 있음 |
| 강화 JSON 경로 | 비어 있음 |
작업 결과
- 스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
| 스크립트 결과 | 보강된 항목 수 | 1 |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.