Dateidienstprogramme

Unterstützt in:

Übersicht

File Utilities ist eine Reihe von Dateiaktionen, mit denen Playbook-Funktionen optimiert werden.

Aktionen

Anhang hinzufügen

Beschreibung

Fügt dem Fall‑Repository einen Anhang hinzu.

Parameter

Parameter Typ Standardwert Pflichtfeld Beschreibung
Name String Ja Geben Sie den Namen des Anhangs an, der in der Fallwand sichtbar sein soll.
IsFavorite Kästchen Deaktiviert Nein Geben Sie an, ob die Anlage in der Fallübersicht als Favorit markiert werden soll.
Base64-Blob String Ja Geben Sie den Base64-Blob der Anlage an. Verwenden Sie die Aktion „Dateien als Base64 abrufen“, um den Base64-Blob zu erhalten.

Diese Aktion akzeptiert einen einzelnen Base64-Blob. Wenn Sie mehrere Dateien haben, müssen Sie diese Aktion für jede Datei einzeln aufrufen.
Typ String Ja Geben Sie die Dateiendung an.
Beschreibung String Ja Geben Sie eine Beschreibung der Datei an.


Beispiel

In diesem Szenario wird ein Base64-Blob aus einer vorherigen Aktion abgeleitet und dann an die Fallwand angehängt. Sobald sie der Wand hinzugefügt wurden, können sie für weitere Analysen verwendet werden. Diese Aktion wird zusammen mit der Aktion „Datei als Base64 abrufen“ verwendet, die den Base64-String einer Datei generiert.

Aktionskonfigurationen

Parameter Wert
Entitäten Alle Entitäten
Name Malicious_EML
IsFavorite Aktiviert
Base64-Blob [FileUtilities_Get Files as Base64_1.JsonResult | "data.base64"]
Typ [FileUtilities_Get Files as Base64_1.JsonResult | "data.extension"
Beschreibung Schädliche EML-Datei von einem Endnutzer.

Aktionsergebnisse

  • Scriptergebnis
    Name des Scriptergebnisses Wertoptionen Beispiel
    is_success Wahr/falsch is_success:True
  • JSON-Ergebnis 
     {
"evidenceName" : "Malicious_EML", 
"description " : "Malicious EML file from end user.", 
"evidenceThumbnailBase64" : "", 
"evidenceId" : 322, 
"fileType" : ".eml", 
"creatorUserId" : "Siemplify automation", 
"id " : 322, 
"type"  : 4, 
"caseId" : 51187, 
"isFavorite" : true, 
"modificationTimeUnixTimeInMs" : 1664206699128, 
"creationTimeUnixTimeInMs" : 1664206699128, 
"alertIdentifier" : null
}

Entität zur Datei hinzufügen

Beschreibung

Fügt einer lokalen Datei eine Kennung einer Zielentität hinzu. Es wird nur ein Vorkommen der Entität in die Datei eingefügt. Wenn die Entität bereits vorhanden ist, wird „False“ zurückgegeben.

Wichtig:Wenn Sie diese Aktion in einer SaaS-Umgebung ausführen, werden Dateien im temporären lokalen Speicher des Python-Ausführungs-Pods gespeichert. Dieser Speicher ist nicht persistent und Dateien können im Laufe der Zeit unzugänglich werden oder gelöscht werden, insbesondere bei großen Bereitstellungen. Für eine zuverlässige und dauerhafte Dateispeicherung empfehlen wir dringend, die Integrationsinstanz auf einem Remote Agent auszuführen.

Parameter

Parameter Typ Standardwert Pflichtfeld Beschreibung
Dateiname String Ja Geben Sie den Namen der Datei an, in die die Entitäten geschrieben werden sollen. Die Datei wird im Verzeichnis /tmp/ gespeichert.

Beispiel

In diesem Szenario werden verdächtige Hostnamen-Entitätskennungen einer Datei namens „iocs_list.txt“ im Verzeichnis „/mnt/fileshare/“ hinzugefügt.

Aktionskonfigurationen

Parameter Wert
Entitäten Verdächtige Hostnamen
Dateiname /mnt/fileshare/ocs_list.txt

Aktionsergebnisse

  • Scriptergebnis
    Name des Scriptergebnisses Wertoptionen Beispiel
    AddedAllEntities Wahr/falsch Wahr

Dateien zählen

Beschreibung

Zählt die Anzahl der Dateien in einem bestimmten Ordnerpfad anhand einer bestimmten Dateiendung.

Wichtig:Wenn Sie diese Aktion in einer SaaS-Umgebung ausführen, werden Dateien im temporären lokalen Speicher des Python-Ausführungs-Pods gespeichert. Dieser Speicher ist nicht persistent und Dateien können im Laufe der Zeit unzugänglich werden oder gelöscht werden, insbesondere bei großen Bereitstellungen. Für eine zuverlässige und dauerhafte Dateispeicherung empfehlen wir dringend, die Integrationsinstanz auf einem Remote Agent auszuführen.

Parameter

Parameter Typ Standardwert Pflichtfeld Beschreibung
Dateiendung String *.txt Nein Geben Sie die Dateiendung an, nach der gezählt werden soll.
Ordner String Ja Geben Sie den Ordnerpfad an, für den Sie die Dateien zählen möchten.
Ist rekursiv Kästchen Deaktiviert Nein Wenn diese Option aktiviert ist, werden alle Dateien im Verzeichnis rekursiv gezählt.

Beispiel

In diesem Szenario werden alle Dateien mit der Endung „.txt“ im Verzeichnis „/mnt/fileshare“ gezählt.

Aktionskonfigurationen

Parameter Wert
Entitäten Alle Entitäten
Dateiendung *.txt
Ordner /mnt/fileshare/
Ist rekursiv Aktiviert

Aktionsergebnisse

  • Scriptergebnis
    Name des Scriptergebnisses Wertoptionen Beispiel
    ScriptResult Zählwert 10

Archiv erstellen

Beschreibung

Erstellt eine Archivdatei aus einer Liste der bereitgestellten Dateien oder Verzeichnisse. Gibt den Speicherort der Archivdatei zurück.

Wichtig:Wenn Sie diese Aktion in einer SaaS-Umgebung ausführen, werden Dateien im temporären lokalen Speicher des Python-Ausführungs-Pods gespeichert. Dieser Speicher ist nicht persistent und Dateien können im Laufe der Zeit unzugänglich werden oder gelöscht werden, insbesondere bei großen Bereitstellungen. Für eine zuverlässige und dauerhafte Dateispeicherung empfehlen wir dringend, die Integrationsinstanz auf einem Remote Agent auszuführen.

Parameter

Parameter Typ Standardwert Pflichtfeld Beschreibung
Typ archivieren String Ja Geben Sie den zu erstellenden Archivtyp an. Unterstützte Formate: zip, tar, gztar, bztar, xtar.
Archivbasisname String Ja Geben Sie den Namen der Archivdatei an, die ohne Erweiterung erstellt wird.
Archivierte Eingabe String Deaktiviert Ja Wenn diese Option aktiviert ist, werden alle Dateien im Verzeichnis rekursiv gezählt.

Beispiel

In diesem Szenario wird eine ZIP-Archivdatei namens archived_ioc_files erstellt, die mehrere Dateien im Verzeichnis „/mnt/fileshares“ enthält.

Aktionskonfigurationen

Parameter Wert
Entitäten Alle Entitäten
Archivtyp zip
Archivbasisname archived_ioc_files
Eingabe archivieren /mnt/fileshares/ioc_list1,/mnt/fileshares/ioc_list2, /mnt/fileshares/ioc_list3

Aktionsergebnisse

  • Scriptergebnis
    Name des Scriptergebnisses Wertoptionen Beispiel
    ScriptResult Wahr/falsch wahr
  • JSON-Ergebnis 
     {
"archive" : 
"/opt/siemplify/siemplify_server/Scripting/FileUtilities/Archives/archived_ioc_files.zip",
"success" : true
}

Base64 decodieren

Beschreibung

Decodes a Base64 input string and returns a JSON object with the content.

Parameter

Parameter Typ Standardwert Pflichtfeld Beschreibung
Base64-Eingabe String Ja Geben Sie den Base64-Eingabestring an, den Sie decodieren möchten.
Codierung Drop-down-Menü UTF-8 Ja Geben Sie das Codierungsformat an. UTF-8 oder ASCII.

Beispiel

In diesem Szenario wird ein Base64-Blob einer Datei mit UTF-8 in den ursprünglichen Inhalt konvertiert.

Aktionskonfigurationen

Parameter Wert
Entitäten Alle Entitäten
Base64-Eingabe (2FtcGxIIGZpbGUgY29udGFpbmluZyBzYW1qbGUgZGFOYQ==
Codierung UTF-8

Aktionsergebnisse

  • Scriptergebnis
    Name des Scriptergebnisses Wertoptionen Beispiel
    ScriptResult Wahr/falsch wahr
  • JSON-Ergebnis 
     {
"decoded_content" : "<file content>"
}

Archiv extrahieren

Beschreibung

Extrahiert eine Archivdatei in ein Verzeichnis.

Wichtig:Wenn Sie diese Aktion in einer SaaS-Umgebung ausführen, werden Dateien im temporären lokalen Speicher des Python-Ausführungs-Pods gespeichert. Dieser Speicher ist nicht persistent und Dateien können im Laufe der Zeit unzugänglich werden oder gelöscht werden, insbesondere bei großen Bereitstellungen. Für eine zuverlässige und dauerhafte Dateispeicherung empfehlen wir dringend, die Integrationsinstanz auf einem Remote Agent auszuführen.

Parameter

Parameter Typ Standardwert Pflichtfeld Beschreibung
Archivieren String Ja Geben Sie den Pfad des zu extrahierenden Archivs an. Unterstützte Formate: zip, tar, gztar, bztar, xtar. Der Zielpfad lautet: /opt/siemplify/siemplify_server/Scripting/FileUtilities/Extract

Beispiel

In diesem Szenario werden Dateien in ioc_lists.zip extrahiert und im Verzeichnis /opt/siemplify/siemplify_server/Scripting/FileUtilities/Extract gespeichert.

Aktionskonfigurationen

Parameter Wert
Entitäten Alle Entitäten
Archivieren /opt/siemplify/siemplify_server/Scripting/FileUtilities/Extract/ioc_lists

Aktionsergebnisse

  • Scriptergebnis
    Name des Scriptergebnisses Wertoptionen Beispiel
    ScriptResult Wahr/falsch wahr
  • JSON-Ergebnis 
     {"archives" :
    {0 :
        "success" : true,
        "archive" : "ioc_lists.tar",
        "folder" : "/opt/siemplify/siemplify_server/Scripting/FileUtilities/Extract/ioc_lists",
        "files_with_path" :{
                0 : "/opt/siemplify/siemplify_server/Scripting/FileUtilities/Extract/testarchive/Archives/ioc_lists.tar",
                1 : "/opt/siemplify/siemplify_server/Scripting/FileUtilities/Extract/ioc_lists/Archives/file1"
                           },
        
        "files_list" : {
                0 : "ioc_lists.tar",
                1 : "file1",
                2 : "file2"
                        },
        "files" :{
            "name" : "ioc_lists",
            "type" : "directory",
            "children" : {
                0 :{
                    "name" : "ioc_lists.tar",
                    "type" : "file"
                   },
                1 : {
                    "name" : "file1",
                    "type" : "file"
                    },
                2 : {
                    "name" : "file2",
                    "type" : "file"
                    }
                         }

    }
}

ZIP-Dateien extrahieren

Beschreibung

Dateien aus einem ZIP-Archiv extrahieren Es kann passwortgeschützte Dateien entweder mit einem angegebenen Passwort oder durch Brute Force-Angriffe extrahieren. Dazu wird das Attribut „attachment_id“ einer Datei-Entität verwendet, um die Datei aus der Fallwand abzurufen und zu extrahieren.

Parameter

Parameter Typ Standardwert Pflichtfeld Beschreibung
Daten in JSON-Ergebnis einschließen Kästchen Deaktiviert Nein Geben Sie an, ob die extrahierten Daten als Base64-Werte im JSON-Ergebnis enthalten sein sollen.
Entitäten erstellen Kästchen Aktiviert Nein Geben Sie an, ob Sie Entitäten aus den extrahierten Dateien erstellen möchten.
Passwort für ZIP-Datei String Nein Geben Sie das Passwort der ZIP-Datei an, wenn sie passwortgeschützt ist.
Brute-Force-Passwort Kästchen Deaktiviert Nein Geben Sie an, ob Sie die passwortgeschützte ZIP-Datei per Brute-Force-Methode knacken möchten.
Zum Fall-Repository hinzufügen Kästchen Aktiviert Nein Geben Sie an, ob Sie die extrahierten Dateien der Fallwand hinzufügen möchten.
Trennzeichen für die Liste mit ZIP-Passwörtern String , Ja Geben Sie das Trennzeichen an, das verwendet werden soll, wenn im Parameter „Zip File Password“ (Passwort für ZIP-Datei) mehrere Passwörter angegeben werden.

Beispiel

In diesem Szenario wird eine passwortgeschützte ZIP-Datei-Entität extrahiert und die resultierenden Dateien werden zusammen mit der Erstellung der Datei-Entität dem Fall-Repository hinzugefügt.

Aktionskonfigurationen

Parameter Wert
Daten in JSON-Ergebnis einschließen Aktiviert
Entitäten erstellen Aktiviert
Passwort für ZIP-Datei Password1
Brute-Force-Passwort Deaktiviert
Zum Fall-Repository hinzufügen Aktiviert
Trennzeichen für die Liste der ZIP-Passwörter ,

Aktionsergebnisse

  • Scriptergebnis
    Name des Scriptergebnisses Wertoptionen Beispiel
    zip_files_extracted Wahr/falsch wahr

Get Attachment (Anhang abrufen)

Beschreibung

Ruft eine Anlage aus der Fallwand ab und gibt ihren Base64-Wert zurück.

Parameter

Parameter Typ Standardwert Pflichtfeld Beschreibung
Umfang des Anhangs Drop-down-Menü Benachrichtigung Ja Geben Sie den Typ der abzurufenden Anlage an. Optionen: „Case“ (Anfrage) oder „Alert“ (Benachrichtigung)

Beispiel

In diesem Szenario wird ein Anhang aus dem Kundenserviceticket abgerufen und in einen Base64-Blob konvertiert.

Aktionskonfigurationen

Parameter Wert
Entitäten Alle Entitäten
Umfang des Anhangs Benachrichtigung

Aktionsergebnisse

  • Scriptergebnis
    Name des Scriptergebnisses Wertoptionen Beispiel
    ScriptResult Anzahl der Anhänge 1
  • JSON-Ergebnis 
     {
"evidenceName": "myfile.txt", 
"description": "sample descriptions", 
"evidenceThumbnailBase64": "", 
"evidenceId": 475, 
"fileType": ".txt", 
"creatorUserId": "Siemplify automation", 
"id": 475, 
"type": 4, 
"caseId": 51209, 
"isFavorite": false, 
"modificationTimeUnixTimeInMs": 1664222678523, 
"creationTimeUnixTimeInMs": 1664222678523, 
"alertIdentifier": "COFENSE TRIAGE: INBOX REPORTCBEdfghB-B9E2-4A04fghAB-136A6fdghF0C6", 
"base64_blob": "dGhpcyBpcyB0ZXN0aW5nIHNhhdfhfpbmRlIHdpbmRvd3Mgc2hhcmdfghdfgUgddfghXNpbmcgc2llbXBsdfghaWZ5IGFndfghdfghdfghZW50"
}

Dateien als Base64 abrufen

Beschreibung

Konvertiert Dateien in einem Verzeichnis in Base64-Werte.

Wichtig:Wenn Sie diese Aktion in einer SaaS-Umgebung ausführen, werden Dateien im temporären lokalen Speicher des Python-Ausführungs-Pods gespeichert. Dieser Speicher ist nicht persistent und Dateien können im Laufe der Zeit unzugänglich werden oder gelöscht werden, insbesondere bei großen Bereitstellungen. Für eine zuverlässige und dauerhafte Dateispeicherung empfehlen wir dringend, die Integrationsinstanz auf einem Remote Agent auszuführen.

Parameter

Parameter Typ Standardwert Pflichtfeld Beschreibung
Dateipfade String Ja Geben Sie den/die Dateipfad(e) an, in dem/denen die Dateien gespeichert sind. Verwenden Sie ein Komma als Trennzeichen, wenn mehrere Pfade angegeben werden.

Beispiel

In diesem Szenario wird eine Datei namens „iocs_list.txt“ im Verzeichnis „/mnt/sharefiles“ in einen Base64-Blob konvertiert. Diese Aktion wird häufig zusammen mit der Aktion „Anhang hinzufügen“ verwendet, die den Base64-Blob als Eingabe verwendet und die Datei der Fallwand hinzufügt.

Aktionskonfigurationen

Parameter Wert
Entitäten Alle Entitäten
Dateipfade /mnt/sharefiles/iocs_list.txt

Aktionsergebnisse

  • Scriptergebnis
    Name des Scriptergebnisses Wertoptionen Beispiel
    ScriptResult Anzahl der Anhänge 1
  • JSON-Ergebnis 
     {
"Filenames" : {
     0 :  "/opt/siemplify/siemplify_server/Scripting/Phishing_.eml",
     1 :  "/opt/siemplify/siemplify_server/Scripting/Logo.png"
     },
"data" : {
     0 : {
          "path" : "/opt/siemplify/siemplify_server/Scripting",
          "filename" : "Phishing_.eml",
          "extension" : ".eml",
          "base64" : "asdfagdfgergert34523523452345dfg"  
     }
   }
}

Entität aus Datei entfernen

Beschreibung

Entfernt die Kennung einer Zielentität aus einer lokalen Datei. „False“ wird zurückgegeben, wenn nicht alle Entitäten entfernt werden können oder eine Entität nicht vorhanden ist.

Wichtig:Wenn Sie diese Aktion in einer SaaS-Umgebung ausführen, werden Dateien im temporären lokalen Speicher des Python-Ausführungs-Pods gespeichert. Dieser Speicher ist nicht persistent und Dateien können im Laufe der Zeit unzugänglich werden oder gelöscht werden, insbesondere bei großen Bereitstellungen. Für eine zuverlässige und dauerhafte Dateispeicherung empfehlen wir dringend, die Integrationsinstanz auf einem Remote Agent auszuführen.

Parameter

Parameter Typ Standardwert Pflichtfeld Beschreibung
Dateiname String Ja Geben Sie den Namen der Datei an, aus der Sie Entitäten entfernen möchten.

Beispiel

In diesem Szenario werden interne Hostname-Entitätskennungen aus ioc_list.txt entfernt, die sich im Verzeichnis /tmp befindet.

Aktionskonfigurationen

Parameter Wert
Entitäten Interne Hostnamen
Dateiname ioc_list

Aktionsergebnisse

  • Scriptergebnis
    Name des Scriptergebnisses Wertoptionen Beispiel
    RemovedAllEntities Wahr/falsch Wahr

Base64 in Datei speichern

Beschreibung

Konvertiert einen Base64-String in eine Datei. Es werden durch Kommas getrennte Listen für „Dateiname“ und „Base64-Eingabe“ unterstützt.

Standardpfad: /opt/siemplify/siemplify_server/Scripting/downloads/FILE_NAME

Standardpfad mit einem Agenten: /opt/SiemplifyAgent/downloads/FILE_NAME

Wichtig:Wenn Sie diese Aktion in einer SaaS-Umgebung ausführen, werden Dateien im temporären lokalen Speicher des Python-Ausführungs-Pods gespeichert. Dieser Speicher ist nicht persistent und Dateien können im Laufe der Zeit unzugänglich werden oder gelöscht werden, insbesondere bei großen Bereitstellungen. Für eine zuverlässige und dauerhafte Dateispeicherung empfehlen wir dringend, die Integrationsinstanz auf einem Remote Agent auszuführen.

Parameter

Parameter Typ Standardwert Pflichtfeld Beschreibung
Dateiendung String Nein Geben Sie die Dateiendung an, die dem Dateinamen hinzugefügt werden soll.
Base64-Eingabe String Ja Geben Sie den Base64-String an, der in eine Datei konvertiert werden soll. Unterstützt Kommatrennung.
Dateiname String Ja Geben Sie den Namen der Datei an, die auf Grundlage des Base64-Strings erstellt wird.

Beispiel

Wenn die Aktion in diesem Szenario auf einem Remote-Agent ausgeführt wird, wird ein Base64-Eingabestring in einer Textdatei ioc_list im Verzeichnis /opt/SiemplifyAgent/downloads gespeichert.

Aktionskonfigurationen

Parameter Wert
Entitäten Interne Hostnamen
Dateiendung txt
Base64-Eingabe c2FtcGxIIGZpbGUgY29udGFpbsdfgsdfgmluZyBzYW1wbGUgZGF

OYQ==
Dateiname ioc_list

Aktionsergebnisse

  • Scriptergebnis
    Name des Scriptergebnisses Wertoptionen Beispiel
    ScriptResult Wahr/falsch wahr
  • JSON-Ergebnis 
     {
"files": [
{"file_name": "ioc_list", 
"file_path": "/opt/SiemplifyAgent/downloads/ioc_list.txt", 
"extension": ".txt"}]
}

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten