擴充

支援的國家/地區:

總覽

強化功能是一組動作,可強化應對手冊功能。

設定

在設定畫面中,新增 Chronicle SOAR API,從 Explorer 擴充實體。如要擷取 API 金鑰,請依序前往「設定」->「進階」->「API 金鑰」。

參數 類型 預設值 是否為必要項目 說明
API 金鑰 字串 不適用 指定 Chronicle SOAR API 金鑰,這是從 Explorer 擴充實體時的必要條件。

動作

從 Explorer 屬性擴充實體

說明

使用實體探索工具,以歷來擴充資料擴充實體。

參數

參數 類型 預設值 是否為必要項目 說明
欄位名稱 字串 不適用 指定實體探索器中的欄位,用於擴充目標實體。支援以半形逗號分隔的字串。
使用「名稱」欄位做為允許清單 核取方塊 已勾選 如果勾選這個核取方塊,系統會使用「欄位名稱」參數中的欄位擴充實體。如果取消勾選,系統會將清單做為封鎖清單使用,並新增其他欄位。

示例

在這個情境中,我們將使用實體探索工具中的資料,擴充所有實體。所有可用欄位都會列在實體探索工具的「實體詳細資料」中。傳回實體詳細資料中鍵/值組合的 JSON 結果。

動作設定

參數
實體 所有實體
欄位名稱 空白
使用者欄位名稱 (許可清單) 未勾選

動作執行結果

  • 指令碼執行結果
指令碼結果名稱 價值選項 示例
ScriptResult JSON 結果 結果如下
  • JSON 結果 
    {
"193.0.0.44": {}, "ATTACHMENT.TXT": {"Source": "Added by ", "size": "64", "extension": "txt", "hash_md5": "6529d73ba8183760ad174644e75684fe", "hash_sha1": "dd88508cda7bcfc71ffdbc0e26afe97d3fb9a0b6", "hash_sha256": "1f209f1560df8cb6e983dff99d7a7d2db8dc3e439226abd38ef34facdffd82ec", "hash_sha512": "310d2df6f770dafdf4f84d9851e3fad011d4eb0c5a8af9a5f6d237fb733bca41d41ad6b00efdc2b5c218207
f1a1ac99339923d3c389368f0c1d2ba58e8e1893a", "mime_type": "ASCII text, with no line terminators", "mime_type_short": "text/plain", "ole_data_1_id": "ftype", "ole_data_1_value": "Unknown file type", "ole_data_1_name": "File format", "ole_data_1_description": "", "ole_data_1_risk": "info", "ole_data_1_hide_if_false": "true", "ole_data_2_id": "container", "ole_data_2_value": "Unknown Container", "ole_data_2_name": "Container format", "ole_data_2_description": "Container type", "ole_data_2_risk": "info", "ole_data_2_hide_if_false": "true", "ole_data_3_id": "encrypted", "ole_data_3_value": "", "ole_data_3_name": "Encrypted", "ole_data_3_description": "The file is not encrypted", "ole_data_3_risk": "none", "ole_data_3_hide_if_false": "", "ole_data_4_id": "vba", "ole_data_4_value": "Yes", "ole_data_4_name": "VBA Macros", "ole_data_4_description": "This file contains VBA macros. No suspicious keyword was found. Use olevba and mraptor for more info.", "ole_data_4_risk": "Medium", "ole_data_4_hide_if_false": "", "ole_data_5_id": "xlm", "ole_data_5_value": "No", "ole_data_5_name": "XLM Macros", "ole_data_5_description": "This file does not contain Excel 4/XLM macros.", "ole_data_5_risk": "none", "ole_data_5_hide_if_false": "", "ole_data_6_id": "ext_rels", "ole_data_6_value": "", "ole_data_6_name": "External Relationships", "ole_data_6_description": "External relationships such as remote templates, remote OLE objects, etc", "ole_data_6_risk": "none", "ole_data_6_hide_if_false": "", "ole_data_7_id": "ObjectPool", "ole_data_7_value": "", "ole_data_7_name": "ObjectPool", "ole_data_7_description": "Contains an ObjectPool stream, very likely to contain embedded OLE objects or files. Use oleobj to check it.", "ole_data_7_risk": "none", "ole_data_7_hide_if_false": "true", "ole_data_8_id": "flash", "ole_data_8_value": "", "ole_data_8_name": "Flash objects", "ole_data_8_description": "Number of embedded Flash objects (SWF files) detected in OLE streams. Not 100% accurate, there may be false positives.", "ole_data_8_risk": "none", "ole_data_8_hide_if_false": "true", "content_header_content-type_1": "text/plain; name=\"attachment.txt\"", "content_header_content-transfer-encoding_1": "base64", "content_header_content-disposition_1": "attachment; filename=\"attachment.txt\"", "level": "", "attachment_id": "18"}
}

Whois

說明

查詢 WHOIS 伺服器,取得網域註冊資訊。支援 IP 位址、網址、電子郵件、網域。支援建立與目標實體連結的網域實體,以及設定網域年齡門檻,將實體設為可疑。

參數

參數 類型 預設值 是否為必要項目 說明
建立實體 核取方塊 已勾選 指定是否要建立網域實體並連結至網址/電子郵件/使用者名稱。
網域存在時間門檻 整數 已勾選 如果網域的存續時間少於提供的天數,系統會將其標示為可疑。

示例

在這種情況下,如果案件附加的外部主機名稱實體網域年齡未滿 365 天,就會標示為可疑。

動作設定

參數
實體 外部主機名稱
建立實體 已勾選
網域年齡門檻 365

動作執行結果

  • 指令碼執行結果
指令碼結果名稱 價值選項 示例
ScriptResult True/False
  • JSON 結果 
    {
"Entity": "badsite.com", 
"EntityResult": 
{"id": ["32621649_DOMAIN_COM-VRSN"], 
"status": ["clientDeleteProhibited https://icann.org/epp#clientDeleteProhibited", "clientRenewProhibited https://icann.org/epp#clientRenewProhibited", "clientTransferProhibited https://icann.org/epp#clientTransferProhibited", "clientUpdateProhibited https://icann.org/epp#clientUpdateProhibited"], "creation_date": ["2000-08-09T11:17:46"], 
"expiration_date": ["2023-08-09T11:17:46"], 
"updated_date": ["2022-09-18T23:31:54"], 
"registrar": ["GoDaddy.com, LLC"], 
"whois_server": ["whois.godaddy.com"], 
"nameservers": ["NS49.DOMAINCONTROL.COM", "NS50.DOMAINCONTROL.COM"], 
"emails": ["abuse@godaddy.com"], 
"contacts": {"registrant": null, "tech": null, "admin": null, "billing": null}, "age_in_days": 8092}
}

使用欄位擴充清單中的實體

說明

使用欄位和值擴充所提供實體的清單。這項動作通常會與「實體選取」動作搭配使用,列出實體。

參數

參數 類型 預設值 是否為必要項目 說明
實體清單 字串 不適用 指定相同類型的實體清單。
實體類型 字串 不適用 指定實體類型。
實體分隔符號 字串 指定清單實體的分隔符號。
補充資料欄位 字串 不適用 指定要新增至實體的欄位名稱。
Enrichment Value 字串 不適用 指定要擴充至實體的值。

示例

在本情境中,我們使用 EntitySelection 動作選取 IP 位址實體,並將結果傳遞至「實體清單」欄位以進行擴充。

動作設定 (EntitySelection)

參數 條件
Entity.Type = 地址

動作設定 (使用欄位從清單擴充實體)

參數
實體 所有實體
實體清單 [Entity Selection_1.SelectedEntities]
實體類型 地址
實體分隔符號 ,
補充資料欄位 is_risky
充實值

動作結果

  • 指令碼執行結果
指令碼結果名稱 價值選項 示例
ScriptResult 成功完成強化作業的授權內容數量 3

從事件欄位擴充實體

說明

從事件中擷取欄位,並新增至實體欄位。

參數

參數 類型 預設值 是否為必要項目 說明
要擴充的欄位 字串 不適用 指定事件中用於擴充實體的欄位名稱。支援以半形逗號分隔的清單。

示例

在此情境中,系統會從案件事件擷取 payload_id 和 event_description 欄位,並新增至所有檔案名稱實體的實體欄位。

動作設定

參數
實體 所有檔案名稱實體
要擴充的欄位 payload_id、event_description

動作執行結果

  • 指令碼執行結果
指令碼結果名稱 價值選項 示例
ScriptResult 成功完成強化作業的授權內容數量 1

使用欄位擴充實體

說明

根據鍵值清單,將擴充欄位新增至實體。

參數

參數 類型 預設值 是否為必要項目 說明 示例
要擴充的欄位 JSON 不適用 指定要用來擴充實體的鍵/值組合清單。必須採用 JSON 格式。 [ { "entity_field_name": "Title", "entity_field_value": "SalseManager" }, { "entity_field_name": "City", "entity_field_value": "NewYork" } ]

示例

在本範例中,我們會使用兩個欄位 (職稱和城市) 擴充使用者實體。

動作設定

參數
實體 所有檔案名稱實體
要擴充的欄位 [ { "entity_field _name": "Title", "entity_field_value":

"Manager"}, { "entity_field _name": "City", "entity_field_value": "Newyork"}]

動作執行結果

  • 指令碼執行結果
指令碼結果名稱 價值選項 示例
ScriptResult 成功完成擴充的實體數量 13

將實體標示為可疑

說明

將範圍內的實體標示為可疑。

參數

指定要標示為可疑的實體範圍。

示例

在本情境中,我們會將所有外部 IP 實體標示為可疑。 實體瀏覽器中的實體欄位「is_suspicious」已更新為「true」。

動作設定

參數
實體 外部 IP 位址

動作執行結果

  • 指令碼執行結果
指令碼結果名稱 價值選項 示例
ScriptResult 標示為可疑的權利數 3

Enrich FileName Entity With Path

說明

從實體剖析路徑、檔案名稱和副檔名,並以 file_path、file_name 和 file_extensions 擴充。

參數

指定要從中剖析欄位的檔案實體範圍。

示例

在這個情境中,我們會逐一檢查所有檔案名稱實體,並從實體 ID 剖析任何路徑、檔案名稱和副檔名。

動作設定

參數
實體 所有檔案名稱實體

動作執行結果

  • 指令碼執行結果
指令碼結果名稱 價值選項 示例
ScriptResult 已擴充的實體清單。 WORD/THEME/THEME1.XML,WORD/DOCUMENT.XML

豐富來源和目的地

說明

在快訊中將來源和目的地連結新增至 IP 和主機名稱。

參數

指定要從中剖析欄位的實體範圍。

示例

在這個情境中,我們會逐一檢查所有 IP 和主機名稱實體,並使用來源和目的地連結擴充這些實體。即使實體範圍設為「所有實體」,系統也會自動選取 IP 和主機名稱實體。

動作設定

參數
實體 所有實體

動作執行結果

  • 指令碼執行結果
指令碼結果名稱 價值選項 示例
不適用 不適用 不適用

從 JSON 擴充實體

說明

在快訊中將來源和目的地連結新增至 IP 和主機名稱。

參數

參數 類型 預設值 是否為必要項目 說明
擴充功能 JSON JSON 不適用 指定要用來擴充實體的 JSON。
識別碼 KeyPath 字串 不適用 在 JSON 中指定實體 ID 的 keypath
分隔符 字串 指定金鑰路徑分隔符號/分隔字元。
PrefixForErichment 字串 不適用 指定要用於擴充功能的前置字串。
補充資訊 JSON 路徑 字串 不適用 指定 JSON

示例

在這個情境中,我們使用含有「sha1」欄位的雜湊值實體 ID,透過「Enrichment JSON」欄位中的資料進行擴充。請注意,實體必須存在於快訊中,才能執行這項操作。

動作設定

參數
實體 所有實體
擴充功能 JSON [ { "EntityResult": {"permalink": "https://www.virustotal.com/file/275a021bbfb6489e54d4718 99f7db9d1663fc695ec2fe2a2c4538aabf651fd0f/analysis/15 49381312", "sha1": "3395856ce81f267382dee72602f798b642f14140", "resource":"275A021BBFB6489E54D471899F7DB9D1663 FC695EC2FE2A24538AABF651FDOF","response_code":1, "scan_date":"2019-02-05 15:41:52", "scan_id":"275a021bbfb6489e54d471899f7db9d1663fc695 ec2fe2a2c453Saab651fd0f-1549381312","verbose_msg" : "Scan finished,information embedded","total": 60,"positives": 54, "sha256":"75a021bbfb6489e54d471899f7db9d1663fc695e c2fe2a2c4538aabf651fd0f", "Mas":"44d88612fea8a8f36de82e1278abb02f", "Bkav": {"detected": true,"result": "DOS. Eirac A.Trojan","MicroWorld-eScan": {"version": "14.0.297.0","update": "20190205""scans": {"version":"1.1.1.1","update": "20190201" "detected": true,"result*: "EICAR-Test-File","Entity": "275A021BBFB6489E54D471899F7DB9D1663FC695EC2 FE2A24538AABF651FD0F" }]
識別項 KeyPath EntityResult.sha1
分隔符
PrefixForEnrichment 空白
補充資訊 JSON 路徑 空白

動作執行結果

  • 指令碼執行結果
指令碼結果名稱 價值選項 示例
指令碼執行結果 已擴充的實體數量 1

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。