此页面由 Cloud Translation API 翻译。

丰富

支持的平台：

Google SecOps SOAR

概览

丰富化是一组旨在增强 playbook 功能的操作。

配置

在配置界面中，添加 Chronicle SOAR API 以丰富 Explorer 中的实体。如需检索 API 密钥，请依次前往“设置”>“高级”>“API 密钥”。

参数	类型	默认值	是必填字段	说明
API 密钥	字符串	不适用	否	指定 Chronicle SOAR API 密钥，这是从 Explorer 中丰富实体所必需的。

操作

从 Explorer 属性中丰富实体

说明

使用实体探索器利用历史丰富数据来丰富实体。

参数

参数	类型	默认值	是必填字段	说明
字段名称	字符串	不适用	否	指定实体资源管理器中将用于丰富目标实体的字段。支持以英文逗号分隔的字符串。
使用字段“Name”作为许可名单	复选框	勾选	否	如果选中此复选框，系统将使用“字段名称”参数中的字段来扩充实体。如果未选中，该列表将用作屏蔽列表，并添加其他字段。

示例

在此场景中，我们将使用实体资源管理器中的数据来丰富所有实体。所有可用字段都列在实体浏览器的“实体详情”中。返回实体详细信息中键值对的 JSON 结果。

操作配置

参数	值
实体	所有实体
字段名称	空白
用户字段名称（许可名单）	未勾选

操作结果

脚本结果

脚本结果名称	值选项	示例
ScriptResult	JSON 结果	结果如下所示

JSON 结果

{
"193.0.0.44": {}, "ATTACHMENT.TXT": {"Source": "Added by ", "size": "64", "extension": "txt", "hash_md5": "6529d73ba8183760ad174644e75684fe", "hash_sha1": "dd88508cda7bcfc71ffdbc0e26afe97d3fb9a0b6", "hash_sha256": "1f209f1560df8cb6e983dff99d7a7d2db8dc3e439226abd38ef34facdffd82ec", "hash_sha512": "310d2df6f770dafdf4f84d9851e3fad011d4eb0c5a8af9a5f6d237fb733bca41d41ad6b00efdc2b5c218207
f1a1ac99339923d3c389368f0c1d2ba58e8e1893a", "mime_type": "ASCII text, with no line terminators", "mime_type_short": "text/plain", "ole_data_1_id": "ftype", "ole_data_1_value": "Unknown file type", "ole_data_1_name": "File format", "ole_data_1_description": "", "ole_data_1_risk": "info", "ole_data_1_hide_if_false": "true", "ole_data_2_id": "container", "ole_data_2_value": "Unknown Container", "ole_data_2_name": "Container format", "ole_data_2_description": "Container type", "ole_data_2_risk": "info", "ole_data_2_hide_if_false": "true", "ole_data_3_id": "encrypted", "ole_data_3_value": "", "ole_data_3_name": "Encrypted", "ole_data_3_description": "The file is not encrypted", "ole_data_3_risk": "none", "ole_data_3_hide_if_false": "", "ole_data_4_id": "vba", "ole_data_4_value": "Yes", "ole_data_4_name": "VBA Macros", "ole_data_4_description": "This file contains VBA macros. No suspicious keyword was found. Use olevba and mraptor for more info.", "ole_data_4_risk": "Medium", "ole_data_4_hide_if_false": "", "ole_data_5_id": "xlm", "ole_data_5_value": "No", "ole_data_5_name": "XLM Macros", "ole_data_5_description": "This file does not contain Excel 4/XLM macros.", "ole_data_5_risk": "none", "ole_data_5_hide_if_false": "", "ole_data_6_id": "ext_rels", "ole_data_6_value": "", "ole_data_6_name": "External Relationships", "ole_data_6_description": "External relationships such as remote templates, remote OLE objects, etc", "ole_data_6_risk": "none", "ole_data_6_hide_if_false": "", "ole_data_7_id": "ObjectPool", "ole_data_7_value": "", "ole_data_7_name": "ObjectPool", "ole_data_7_description": "Contains an ObjectPool stream, very likely to contain embedded OLE objects or files. Use oleobj to check it.", "ole_data_7_risk": "none", "ole_data_7_hide_if_false": "true", "ole_data_8_id": "flash", "ole_data_8_value": "", "ole_data_8_name": "Flash objects", "ole_data_8_description": "Number of embedded Flash objects (SWF files) detected in OLE streams. Not 100% accurate, there may be false positives.", "ole_data_8_risk": "none", "ole_data_8_hide_if_false": "true", "content_header_content-type_1": "text/plain; name=\"attachment.txt\"", "content_header_content-transfer-encoding_1": "base64", "content_header_content-disposition_1": "attachment; filename=\"attachment.txt\"", "level": "", "attachment_id": "18"}
}

WHOIS

说明

向 WHOIS 服务器查询域名注册信息。支持 IP 地址、网址、电子邮件地址、网域。支持创建与目标实体相关联的网域实体，以及设置网域年龄阈值以将实体标记为可疑。

参数

参数	类型	默认值	是必填字段	说明
创建实体	复选框	勾选	否	指定是否要创建网域实体并将其与网址电子邮件地址/用户名相关联。
网域年龄阈值	整数	勾选	否	如果网域的年龄小于提供的天数，则会被标记为可疑。

示例

在此场景中，附加到网域年龄不足 365 天的任何支持请求的外部主机名实体都将被标记为可疑。

操作配置

参数	值
实体	外部主机名
创建实体	已检查
网域年龄阈值	365

操作结果

脚本结果

脚本结果名称	值选项	示例
ScriptResult	True/False	true

JSON 结果

{
"Entity": "badsite.com", 
"EntityResult": 
{"id": ["32621649_DOMAIN_COM-VRSN"], 
"status": ["clientDeleteProhibited https://icann.org/epp#clientDeleteProhibited", "clientRenewProhibited https://icann.org/epp#clientRenewProhibited", "clientTransferProhibited https://icann.org/epp#clientTransferProhibited", "clientUpdateProhibited https://icann.org/epp#clientUpdateProhibited"], "creation_date": ["2000-08-09T11:17:46"], 
"expiration_date": ["2023-08-09T11:17:46"], 
"updated_date": ["2022-09-18T23:31:54"], 
"registrar": ["GoDaddy.com, LLC"], 
"whois_server": ["whois.godaddy.com"], 
"nameservers": ["NS49.DOMAINCONTROL.COM", "NS50.DOMAINCONTROL.COM"], 
"emails": ["abuse@godaddy.com"], 
"contacts": {"registrant": null, "tech": null, "admin": null, "billing": null}, "age_in_days": 8092}
}

使用字段丰富列表中的实体

说明

使用字段和值丰富所提供实体的列表。此操作通常与“实体选择”操作搭配使用，以列出实体。

参数

参数	类型	默认值	是必填字段	说明
实体列表	字符串	不适用	是	指定相同类型的实体列表。
实体类型	字符串	不适用	是	指定实体类型。
实体分隔符	字符串	、	是	指定列表实体的分隔符。
扩充项字段	字符串	不适用	是	指定将添加到实体的字段名称。
丰富化价值	字符串	不适用	是	指定将丰富到实体中的字段的值。

示例

在此场景中，我们将使用 EntitySelection 操作选择 IP 地址实体，并将结果传递给“实体列表”字段以进行丰富。

操作配置 (EntitySelection)

参数	条件	值
Entity.Type	=	地址

操作配置（使用字段丰富列表中的实体）

参数	值
实体	所有实体
实体列表	[Entity Selection_1.SelectedEntities]
实体类型	地址
实体分隔符	、
扩充项字段	is_risky
丰富化值	是

操作结果

脚本结果

脚本结果名称	值选项	示例
ScriptResult	成功丰富了有权访问的内容的数量	3

根据事件字段丰富实体

说明

从事件中提取字段并将其添加到实体字段。

参数

参数	类型	默认值	是必填字段	说明
要丰富化的字段	字符串	不适用	是	指定事件中将用于丰富实体的字段的名称。支持以英文逗号分隔的列表。

示例

在此场景中，系统会从案例事件中提取字段 payload_id 和 event_description，并将其添加到所有文件名实体的实体字段中。

操作配置

参数	值
实体	所有文件名实体
要丰富数据的字段	payload_id、event_description

操作结果

脚本结果

脚本结果名称	值选项	示例
ScriptResult	成功丰富了有权访问的内容的数量	1

使用字段丰富实体

说明

根据键值列表向实体添加丰富字段。

参数

参数	类型	默认值	是必填字段	说明	示例
要丰富化的字段	JSON	不适用	是	指定将用于丰富实体的键值对列表。它需要采用 JSON 格式。	[ { "entity_field_name": "Title", "entity_field_value": "SalseManager" }, { "entity_field_name": "City", "entity_field_value": "NewYork" } ]

示例

在此示例中，我们将使用两个字段（Title 和 City）来丰富用户实体。

操作配置

参数	值
实体	所有文件名实体
要丰富数据的字段	[ { "entity_field _name": "Title", "entity_field_value": "Manager"}, { "entity_field _name": "City", "entity_field_value": "Newyork"}]

操作结果

脚本结果

脚本结果名称	值选项	示例
ScriptResult	成功扩充的实体的数量	13

将实体标记为可疑

说明

将范围内的实体标记为可疑。

参数

指定要标记为可疑的实体范围。

示例

在此场景中，我们将所有外部 IP 实体标记为可疑。实体浏览器中的实体字段“is_suspicious”已更新为“true”。

操作配置

参数	值
实体	外部 IP 地址

操作结果

脚本结果

脚本结果名称	值选项	示例
ScriptResult	标记为可疑的授权数量	3

使用路径丰富文件名实体

说明

从实体解析路径、文件名和扩展名，并使用 file_path、file_name 和 file_extensions 对其进行丰富。

参数

指定要从中解析字段的文件实体范围。

示例

在此场景中，我们遍历所有文件名实体，并从实体标识符中解析任何路径、文件名和扩展名。

操作配置

参数	值
实体	所有文件名实体

操作结果

脚本结果

脚本结果名称	值选项	示例
ScriptResult	已扩充的实体列表。	WORD/THEME/THEME1.XML,WORD/DOCUMENT.XML

丰富来源和目标

说明

在提醒中添加了指向 IP 地址和主机名的来源链接和目标链接。

参数

指定要从中解析字段的实体范围。

示例

在此场景中，我们将遍历所有 IP 和主机名实体，并使用来源和目标链接来扩充它们。即使实体范围设置为“所有实体”，系统也会自动选择 IP 和主机名实体。

操作配置

参数	值
实体	所有实体

操作结果

脚本结果

脚本结果名称	值选项	示例
不适用	不适用	不适用

从 JSON 中丰富实体

说明

在提醒中添加了指向 IP 地址和主机名的来源链接和目标链接。

参数

参数	类型	默认值	是必填字段	说明
丰富化 JSON	JSON	不适用	是	指定用于丰富实体的 JSON。
标识符 KeyPath	字符串	不适用	是	指定 JSON 中实体标识符的键路径
分词符	字符串	。	是	指定键路径分隔符。
PrefixForErichment	字符串	不适用	否	指定用于丰富数据的某个前缀。
丰富 JSON 路径	字符串	不适用	否	指定 JSON

示例

在此场景中，我们使用哈希值（具有“sha1”字段）的实体标识符，通过“Enrichment JSON”字段中的数据来丰富该标识符。请注意，在运行此操作之前，实体需要在提醒中存在。

操作配置

参数	值
实体	所有实体
丰富化 JSON	[{ "EntityResult": {"permalink": "https://www.virustotal.com/file/275a021bbfb6489e54d4718 99f7db9d1663fc695ec2fe2a2c4538aabf651fd0f/analysis/15 49381312", "sha1": "3395856ce81f267382dee72602f798b642f14140", "resource":"275A021BBFB6489E54D471899F7DB9D1663 FC695EC2FE2A24538AABF651FDOF","response_code":1, "scan_date":"2019-02-05 15:41:52", "scan_id":"275a021bbfb6489e54d471899f7db9d1663fc695 ec2fe2a2c453Saab651fd0f-1549381312","verbose_msg" : "扫描已完成，信息已嵌入","total": 60,"positives": 54, "sha256":"75a021bbfb6489e54d471899f7db9d1663fc695e c2fe2a2c4538aabf651fd0f", "Mas":"44d88612fea8a8f36de82e1278abb02f", "Bkav": {"detected": true,"result": "DOS. Eirac A.Trojan","MicroWorld-eScan": {"version": "14.0.297.0","update": "20190205""scans": {"version":"1.1.1.1","update": "20190201" "detected": true,"result*: "EICAR-Test-File","Entity": "275A021BBFB6489E54D471899F7DB9D1663FC695EC2 FE2A24538AABF651FD0F" }]
标识符 KeyPath	EntityResult.sha1
分隔符	。
PrefixForEnrichment	空白
丰富 JSON 路径	空白

操作结果

脚本结果

脚本结果名称	值选项	示例
脚本结果	丰富实体的数量	1