Utilidades de archivos
Descripción general
Utilidades de archivos es un conjunto de acciones de archivos que se usan para mejorar las funciones de los cuadernos de estrategias.
Acciones
Añadir archivo adjunto
Descripción
Añade un archivo adjunto al panel de casos.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre | Cadena | N/A | Sí | Especifica el nombre del archivo adjunto que se mostrará en el muro del caso. |
| IsFavorite | Casilla | Desmarcada | No | Especifica si quieres que el archivo adjunto se marque como favorito en el panel de casos. |
| Blob Base64 | Cadena | N/A | Sí |
Especifica el blob Base64 del archivo adjunto. Usa la acción "Obtener archivos como
Base64" para obtener el blob Base64.
Esta acción acepta un único blob Base64. Si tiene varios archivos, debe llamar a esta acción para cada uno de ellos por separado. |
| Tipo | Cadena | N/A | Sí | Especifica la extensión del archivo |
| Descripción | Cadena | N/A | Sí | Especifica la descripción del archivo. |
Ejemplo
En este caso, se deriva un blob Base64 de una acción anterior y, a continuación, se adjunta al muro del caso. Una vez que se ha añadido al gráfico, se puede usar para hacer más análisis. Esta acción se usa junto con la acción "Obtener archivo como Base64", que genera la cadena Base64 de un archivo.
Configuraciones de acciones
| Parámetro | Valor |
| Entidades | Todas las entidades |
| Nombre | Malicious_EML |
| IsFavorite | Marcada |
| Blob Base64 | [FileUtilities_Get Files as Base64_1.JsonResult | "data.base64"] |
| Tipo | [FileUtilities_Get Files as Base64_1.JsonResult | "data.extension" |
| Descripción | Archivo EML malicioso de un usuario final. |
Resultados de la acción
-
Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo is_success Verdadero/Falso is_success:True -
Resultado de JSON
{ "evidenceName" : "Malicious_EML", "description " : "Malicious EML file from end user.", "evidenceThumbnailBase64" : "", "evidenceId" : 322, "fileType" : ".eml", "creatorUserId" : "Siemplify automation", "id " : 322, "type" : 4, "caseId" : 51187, "isFavorite" : true, "modificationTimeUnixTimeInMs" : 1664206699128, "creationTimeUnixTimeInMs" : 1664206699128, "alertIdentifier" : null }
Añadir entidad a archivo
Descripción
Añade un identificador de una entidad de destino a un archivo local. Solo añadirá una aparición de la entidad al archivo y devolverá False si la entidad ya existe.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
| Nombre del archivo | Cadena | N/A | Sí | Especifica el nombre del archivo en el que se escribirán las entidades. El archivo se almacenará en el directorio /tmp/. |
Ejemplo
En este caso, los identificadores de entidades de nombres de host sospechosos se añaden a un archivo llamado iocs_list.txt en el directorio /mnt/fileshare/.
Configuraciones de acciones
| Parámetro | Valor |
| Entidades | Nombres de host sospechosos |
| Nombre del archivo | /mnt/fileshare/ocs_list.txt |
Resultados de la acción
-
Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo AddedAllEntities Verdadero/Falso Verdadero
Recuento de archivos
Descripción
Cuenta el número de archivos de una ruta de carpeta determinada según una extensión de archivo específica.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
| Extensión de archivo | Cadena | *.txt | No | Especifica la extensión de archivo por la que quieres contar. |
| Carpeta | Cadena | N/A | Sí | Especifica la ruta de la carpeta de la que quieras contar los archivos. |
| Is Recursive | Casilla | Desmarcada | No | Si está habilitada, se contarán de forma recursiva todos los archivos del directorio. |
Ejemplo
En este caso, se contabilizarán todos los archivos con la extensión .txt del directorio /mnt/fileshare.
Configuraciones de acciones
| Parámetro | Valor |
| Entidades | Todas las entidades |
| Extensión de archivo | *.txt |
| Carpeta | /mnt/fileshare/ |
| Is Recursive | Marcada |
Resultados de la acción
-
Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo ScriptResult Valor de recuento 10
Crear archivo
Descripción
Crea un archivo a partir de una lista de archivos o directorios proporcionados. Devuelve la ubicación del archivo.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
| Tipo de archivo | Cadena | N/A | Sí | Especifica el tipo de archivo que quieres crear. Formatos admitidos: zip, tar, gztar, bztar y xtar. |
| Nombre de archivo base | Cadena | N/A | Sí | Especifica el nombre del archivo de archivado que se creará sin extensión. |
| Archivar entrada | Cadena | Desmarcada | Sí | Si está habilitada, se contarán de forma recursiva todos los archivos del directorio. |
Ejemplo
En este caso, se crea un archivo zip llamado archived_ioc_files que contiene varios archivos en el directorio /mnt/fileshares.
Configuraciones de acciones
| Parámetro | Valor |
| Entidades | Todas las entidades |
| Tipo de archivo | código postal |
| Nombre de archivo base | archived_ioc_files |
| Archivar entrada | /mnt/fileshares/ioc_list1,/mnt/fileshares/ioc_list2, /mnt/fileshares/ioc_list3 |
Resultados de la acción
-
Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo ScriptResult Verdadero/Falso true -
Resultado de JSON
{ "archive" : "/opt/siemplify/siemplify_server/Scripting/FileUtilities/Archives/archived_ioc_files.zip", "success" : true }
Decodificar Base64
Descripción
Decodifica la cadena de entrada Base64 y devuelve un objeto JSON con el contenido.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
| Entrada Base64 | Cadena | N/A | Sí | Especifica la cadena de entrada Base64 que quieras decodificar. |
| Codificación | Menú desplegable | UTF-8 | Sí | Especifica el formato de codificación. UTF-8 o ASCII. |
Ejemplo
En este caso, un blob Base64 de un archivo se convierte mediante UTF-8 a su contenido original.
Configuraciones de acciones
| Parámetro | Valor |
| Entidades | Todas las entidades |
| Entrada Base64 | (2FtcGxIIGZpbGUgY29udGFpbmluZyBzYW1qbGUgZGFOYQ== |
| Codificación | UTF-8 |
Resultados de la acción
-
Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo ScriptResult Verdadero/Falso true -
Resultado de JSON
{ "decoded_content" : "<file content>" }
Extraer archivo
Descripción
Extrae un archivo en un directorio.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
| Archivar | Cadena | N/A | Sí | Especifica la ruta del archivo que se va a extraer. Formatos admitidos: zip, tar, gztar, bztar y xtar. La ruta de destino es: /opt/siemplify/siemplify_server/Scripting/FileUtilities/Extract |
Ejemplo
En este caso, los archivos de ioc_lists.zip se extraen y se guardan en el directorio /opt/siemplify/siemplify_server/Scripting/FileUtilities/Extract.
Configuraciones de acciones
| Parámetro | Valor |
| Entidades | Todas las entidades |
| Archivar | /opt/siemplify/siemplify_server/Scripting/FileUtilities/Extract/ioc_lists |
Resultados de la acción
-
Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo ScriptResult Verdadero/Falso true -
Resultado de JSON
{"archives" : {0 : "success" : true, "archive" : "ioc_lists.tar", "folder" : "/opt/siemplify/siemplify_server/Scripting/FileUtilities/Extract/ioc_lists", "files_with_path" :{ 0 : "/opt/siemplify/siemplify_server/Scripting/FileUtilities/Extract/testarchive/Archives/ioc_lists.tar", 1 : "/opt/siemplify/siemplify_server/Scripting/FileUtilities/Extract/ioc_lists/Archives/file1" }, "files_list" : { 0 : "ioc_lists.tar", 1 : "file1", 2 : "file2" }, "files" :{ "name" : "ioc_lists", "type" : "directory", "children" : { 0 :{ "name" : "ioc_lists.tar", "type" : "file" }, 1 : { "name" : "file1", "type" : "file" }, 2 : { "name" : "file2", "type" : "file" } } } }
Extraer archivos ZIP
Descripción
Extraer archivos de un archivo ZIP. Puede extraer archivos protegidos con contraseña mediante una contraseña proporcionada o por fuerza bruta. Usa el atributo attachment_id de una entidad de archivo para extraer el archivo del muro del caso.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
| Incluir datos en el resultado de JSON | Casilla | Desmarcada | No | Especifica si quieres incluir los datos extraídos como valores Base64 en el resultado JSON. |
| Crear entidades | Casilla | Marcada | No | Especifica si quieres crear entidades a partir de los archivos extraídos. |
| Contraseña del archivo ZIP | Cadena | N/A | No | Especifica la contraseña del archivo ZIP si está protegido con contraseña. |
| Contraseña de fuerza bruta | Casilla | Desmarcada | No | Especifica si quieres descifrar por fuerza bruta el archivo ZIP protegido con contraseña. |
| Añadir al panel de casos | Casilla | Marcada | No | Especifica si quieres añadir los archivos extraídos al muro del caso. |
| Delimitador de lista de contraseñas de ZIP | Cadena | , | Sí | Especifica el delimitador que se va a usar si se proporcionan varias contraseñas en el parámetro "Contraseña del archivo ZIP". |
Ejemplo
En este caso, se extrae una entidad de archivo ZIP protegida con contraseña y los archivos resultantes se añaden al panel de casos junto con la creación de la entidad de archivo.
Configuraciones de acciones
| Parámetro | Valor |
| Incluir datos en el resultado de JSON | Marcada |
| Crear entidades | Marcada |
| Contraseña del archivo ZIP | Password1 |
| Contraseña de fuerza bruta | Desmarcada |
| Añadir al panel de casos | Marcada |
| Delimitador de lista de contraseñas de ZIP | , |
Resultados de la acción
-
Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo zip_files_extracted Verdadero/Falso true
Get Attachment
Descripción
Obtiene un archivo adjunto del muro del caso y devuelve su valor Base64.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
| Ámbito de los archivos adjuntos | Menú desplegable | Alerta | Sí | Especifica el tipo de archivo adjunto que se debe recuperar. Las opciones son las siguientes: Caso o Alerta. |
Ejemplo
En este caso, se extrae un archivo adjunto del muro del caso y se convierte en un blob Base64.
Configuraciones de acciones
| Parámetro | Valor |
| Entidades | Todas las entidades |
| Ámbito de los archivos adjuntos | Alerta |
Resultados de la acción
-
Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo ScriptResult Número de archivos adjuntos 1 -
Resultado de JSON
{ "evidenceName": "myfile.txt", "description": "sample descriptions", "evidenceThumbnailBase64": "", "evidenceId": 475, "fileType": ".txt", "creatorUserId": "Siemplify automation", "id": 475, "type": 4, "caseId": 51209, "isFavorite": false, "modificationTimeUnixTimeInMs": 1664222678523, "creationTimeUnixTimeInMs": 1664222678523, "alertIdentifier": "COFENSE TRIAGE: INBOX REPORTCBEdfghB-B9E2-4A04fghAB-136A6fdghF0C6", "base64_blob": "dGhpcyBpcyB0ZXN0aW5nIHNhhdfhfpbmRlIHdpbmRvd3Mgc2hhcmdfghdfgUgddfghXNpbmcgc2llbXBsdfghaWZ5IGFndfghdfghdfghZW50" }
Get Files as Base64
Descripción
Convierte los archivos de un directorio en valores Base64.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
| Rutas de archivo | Cadena | N/A | Sí | Especifica la ruta o las rutas de los archivos donde se almacenan los archivos. Usa el delimitador de comas si se especifican varias rutas. |
Ejemplo
En este caso, un archivo llamado iocs_list.txt en el directorio /mnt/sharefiles se convierte en un blob Base64. Esta acción se suele usar junto con la acción "Añadir archivo adjunto", que toma el blob Base64 como entrada y añade el archivo al muro del caso.
Configuraciones de acciones
| Parámetro | Valor |
| Entidades | Todas las entidades |
| Rutas de archivo | /mnt/sharefiles/iocs_list.txt |
Resultados de la acción
-
Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo ScriptResult Número de archivos adjuntos 1 -
Resultado de JSON
{ "Filenames" : { 0 : "/opt/siemplify/siemplify_server/Scripting/Phishing_.eml", 1 : "/opt/siemplify/siemplify_server/Scripting/Logo.png" }, "data" : { 0 : { "path" : "/opt/siemplify/siemplify_server/Scripting", "filename" : "Phishing_.eml", "extension" : ".eml", "base64" : "asdfagdfgergert34523523452345dfg" } } }
Eliminar entidad de archivo
Descripción
Elimina el identificador de una entidad de destino de un archivo local. Devuelve False si no se pueden quitar todas las entidades o si una entidad no existe.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
| Nombre del archivo | Cadena | N/A | Sí | Especifica el nombre del archivo del que quieres eliminar entidades. |
Ejemplo
En este caso, los identificadores de entidades de nombres de host internos se eliminan del archivo ioc_list.txt, que se encuentra en el directorio /tmp.
Configuraciones de acciones
| Parámetro | Valor |
| Entidades | Nombres de host internos |
| Nombre del archivo | ioc_list |
Resultados de la acción
-
Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo RemovedAllEntities Verdadero/Falso Verdadero
Guardar Base64 en archivo
Descripción
Convierte una cadena Base64 en un archivo. Admite listas separadas por comas para Nombre de archivo y Entrada Base64.
Ruta de archivo predeterminada: /opt/siemplify/siemplify_server/Scripting/downloads/FILE_NAME
Ruta de archivo predeterminada con un agente: /opt/SiemplifyAgent/downloads/FILE_NAME
Parámetros
| Parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
| Extensión de archivo | Cadena | N/A | No | Especifica la extensión de archivo que quieres añadir al nombre del archivo. |
| Entrada Base64 | Cadena | N/A | Sí | Especifica la cadena Base64 que se convertirá en un archivo. Admite la separación por comas. |
| Nombre del archivo | Cadena | N/A | Sí | Especifica el nombre del archivo que se creará a partir de la cadena Base64. |
Ejemplo
En este caso, si la acción se ejecuta en un agente remoto, se guarda una cadena de entrada en Base64 en un archivo de texto ioc_list ubicado en el directorio /opt/SiemplifyAgent/downloads.
Configuraciones de acciones
| Parámetro | Valor |
| Entidades | Nombres de host internos |
| Extensión de archivo | txt |
| Entrada Base64 | c2FtcGxIIGZpbGUgY29udGFpbsdfgsdfgmluZyBzYW1wbGUgZGF
OYQ== |
| Nombre del archivo | ioc_list |
Resultados de la acción
-
Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo ScriptResult Verdadero/Falso true -
Resultado de JSON
{ "files": [ {"file_name": "ioc_list", "file_path": "/opt/SiemplifyAgent/downloads/ioc_list.txt", "extension": ".txt"}] }
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.