Utilidades de archivos
Descripción general
File Utilities es un conjunto de acciones de archivos que se usan para potenciar las capacidades de los playbooks.
Actions
Agregar archivo adjunto
Descripción
Agrega un archivo adjunto al muro del caso.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
|---|---|---|---|---|
| Nombre | String | N/A | Sí | Especifica el nombre del adjunto que se mostrará en el muro del caso. |
| IsFavorite | Casilla de verificación | Desmarcado | No | Especifica si quieres que el adjunto se marque como favorito en el muro del caso. |
| Blob en Base64 | String | N/A | Sí |
Especifica el BLOB en Base64 del adjunto. Usa la acción “Get Files as Base64” para obtener el BLOB de Base64.
Esta acción acepta un solo BLOB en Base64. Si tienes varios archivos, debes llamar a esta acción para cada uno de ellos de forma individual. |
| Tipo | String | N/A | Sí | Especifica la extensión del archivo |
| Descripción | String | N/A | Sí | Especifica la descripción del archivo. |
Ejemplo
En este caso, se deriva un BLOB en Base64 de una acción anterior y, luego, se adjunta al muro del caso. Una vez que se agrega a la pared, se puede usar para un análisis posterior. Esta acción se usa junto con la acción “Obtener archivo como Base64”, que genera la cadena Base64 de un archivo.
Configuraciones de acciones
| Parámetro | Valor |
| Entidades | Todas las entidades |
| Nombre | Malicious_EML |
| IsFavorite | Marcado |
| Blob en Base64 | [FileUtilities_Get Files as Base64_1.JsonResult | "data.base64"] |
| Tipo | [FileUtilities_Get Files as Base64_1.JsonResult | "data.extension" |
| Descripción | Archivo .eml malicioso de un usuario final. |
Resultados de la acción
-
Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo is_success Verdadero/Falso is_success:True -
Resultado de JSON
{ "evidenceName" : "Malicious_EML", "description " : "Malicious EML file from end user.", "evidenceThumbnailBase64" : "", "evidenceId" : 322, "fileType" : ".eml", "creatorUserId" : "Siemplify automation", "id " : 322, "type" : 4, "caseId" : 51187, "isFavorite" : true, "modificationTimeUnixTimeInMs" : 1664206699128, "creationTimeUnixTimeInMs" : 1664206699128, "alertIdentifier" : null }
Add Entity to File
Descripción
Agrega un identificador de una entidad objetivo a un archivo local. Solo agregará una ocurrencia de la entidad al archivo y devolverá False si la entidad ya existe.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
| Nombre del archivo | String | N/A | Sí | Especifica el nombre del archivo en el que se escribirán las entidades. El archivo se almacenará en el directorio /tmp/. |
Ejemplo
En este caso, los identificadores de entidades de nombres de host sospechosos se agregan a un archivo llamado iocs_list.txt en el directorio /mnt/fileshare/.
Configuraciones de acciones
| Parámetro | Valor |
| Entidades | Nombres de host sospechosos |
| Nombre del archivo | /mnt/fileshare/ocs_list.txt |
Resultados de la acción
-
Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo AddedAllEntities Verdadero/Falso Verdadero
Count Files
Descripción
Cuenta la cantidad de archivos en una ruta de acceso de carpeta determinada según una extensión de archivo específica.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
| Extensión de archivo | String | *.txt | No | Especifica la extensión de archivo según la que se realizará el recuento. |
| Carpeta | String | N/A | Sí | Especifica la ruta de acceso de la carpeta en la que deseas contar los archivos. |
| Is Recursive | Casilla de verificación | Desmarcado | No | Si está habilitada, esta opción contará de forma recursiva todos los archivos del directorio. |
Ejemplo
En este caso, se cuentan todos los archivos con la extensión .txt en el directorio /mnt/fileshare.
Configuraciones de acciones
| Parámetro | Valor |
| Entidades | Todas las entidades |
| Extensión de archivo | *.txt |
| Carpeta | /mnt/fileshare/ |
| Is Recursive | Marcado |
Resultados de la acción
-
Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo ScriptResult Valor de recuento 10
Crear archivo
Descripción
Crea un archivo de almacenamiento a partir de una lista de archivos o directorios proporcionados. Devuelve la ubicación del archivo.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
| Tipo de archivo | String | N/A | Sí | Especifica el tipo de archivo que se creará. Formatos admitidos: zip, tar, gztar, bztar y xtar. |
| Nombre base del archivo | String | N/A | Sí | Especifica el nombre del archivo que se creará sin extensión. |
| Entrada de archivo | String | Desmarcado | Sí | Si está habilitada, esta opción contará de forma recursiva todos los archivos del directorio. |
Ejemplo
En este caso, se crea un archivo zip llamado archived_ioc_files que contiene varios archivos en el directorio /mnt/fileshares.
Configuraciones de acciones
| Parámetro | Valor |
| Entidades | Todas las entidades |
| Tipo de archivo | zip |
| Nombre base del archivo | archived_ioc_files |
| Entrada de archivo | /mnt/fileshares/ioc_list1,/mnt/fileshares/ioc_list2, /mnt/fileshares/ioc_list3 |
Resultados de la acción
-
Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo ScriptResult Verdadero/Falso verdadero -
Resultado de JSON
{ "archive" : "/opt/siemplify/siemplify_server/Scripting/FileUtilities/Archives/archived_ioc_files.zip", "success" : true }
Decodificar Base64
Descripción
Decodifica la cadena de entrada Base64 y devuelve un objeto JSON con el contenido.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
| Entrada Base64 | String | N/A | Sí | Especifica la cadena de entrada en Base64 que deseas decodificar. |
| Codificación | Lista desplegable | UTF-8 | Sí | Especifica el formato de codificación. UTF-8 o ASCII |
Ejemplo
En este caso, un BLOB Base64 de un archivo se convierte a su contenido original con UTF-8.
Configuraciones de acciones
| Parámetro | Valor |
| Entidades | Todas las entidades |
| Entrada Base64 | (2FtcGxIIGZpbGUgY29udGFpbmluZyBzYW1qbGUgZGFOYQ== |
| Codificación | UTF-8 |
Resultados de la acción
-
Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo ScriptResult Verdadero/Falso verdadero -
Resultado de JSON
{ "decoded_content" : "<file content>" }
Extraer archivo
Descripción
Extrae un archivo de almacenamiento en un directorio.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
| Archivar | String | N/A | Sí | Especifica la ruta de acceso del archivo que se extraerá. Formatos admitidos: zip, tar, gztar, bztar y xtar. La ruta de destino es: /opt/siemplify/siemplify_server/Scripting/FileUtilities/Extract |
Ejemplo
En este caso, los archivos de ioc_lists.zip se extraen y guardan en el directorio /opt/siemplify/siemplify_server/Scripting/FileUtilities/Extract.
Configuraciones de acciones
| Parámetro | Valor |
| Entidades | Todas las entidades |
| Archivar | /opt/siemplify/siemplify_server/Scripting/FileUtilities/Extract/ioc_lists |
Resultados de la acción
-
Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo ScriptResult Verdadero/Falso verdadero -
Resultado de JSON
{"archives" : {0 : "success" : true, "archive" : "ioc_lists.tar", "folder" : "/opt/siemplify/siemplify_server/Scripting/FileUtilities/Extract/ioc_lists", "files_with_path" :{ 0 : "/opt/siemplify/siemplify_server/Scripting/FileUtilities/Extract/testarchive/Archives/ioc_lists.tar", 1 : "/opt/siemplify/siemplify_server/Scripting/FileUtilities/Extract/ioc_lists/Archives/file1" }, "files_list" : { 0 : "ioc_lists.tar", 1 : "file1", 2 : "file2" }, "files" :{ "name" : "ioc_lists", "type" : "directory", "children" : { 0 :{ "name" : "ioc_lists.tar", "type" : "file" }, 1 : { "name" : "file1", "type" : "file" }, 2 : { "name" : "file2", "type" : "file" } } } }
Cómo extraer archivos ZIP
Descripción
Extrae archivos de un archivo ZIP. Puede extraer archivos protegidos con contraseña a través de una contraseña proporcionada o por fuerza bruta. Utiliza el atributo attachment_id de una entidad de archivo para extraer el archivo del muro del caso.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
| Incluir datos en el resultado de JSON | Casilla de verificación | Desmarcado | No | Especifica si deseas incluir los datos extraídos como valores Base64 en el resultado JSON. |
| Crea entidades | Casilla de verificación | Marcado | No | Especifica si deseas crear entidades a partir de los archivos extraídos. |
| Contraseña del archivo ZIP | String | N/A | No | Especifica la contraseña del archivo ZIP si está protegido con contraseña. |
| Contraseña de fuerza bruta | Casilla de verificación | Desmarcado | No | Especifica si deseas realizar un ataque de fuerza bruta en el archivo ZIP protegido con contraseña. |
| Agregar al muro de casos | Casilla de verificación | Marcado | No | Especifica si deseas agregar los archivos extraídos al muro del caso. |
| Delimitador de la lista de contraseñas de archivos ZIP | String | , | Sí | Especifica el delimitador que se usará si se proporcionan varias contraseñas en el parámetro “Contraseña del archivo ZIP”. |
Ejemplo
En este caso, se extrae una entidad de archivo ZIP protegido por contraseña y los archivos resultantes se agregan al muro del caso junto con la creación de la entidad de archivo.
Configuraciones de acciones
| Parámetro | Valor |
| Incluir datos en el resultado de JSON | Marcado |
| Crea entidades | Marcado |
| Contraseña del archivo ZIP | Password1 |
| Contraseña de fuerza bruta | Desmarcado |
| Agregar al muro de casos | Marcado |
| Delimitador de la lista de contraseñas de archivos ZIP | , |
Resultados de la acción
-
Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo zip_files_extracted Verdadero/Falso verdadero
Get Attachment
Descripción
Recupera un adjunto del muro del caso y devuelve su valor en Base64.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
| Alcance del adjunto | Lista desplegable | Alerta | Sí | Especifica el tipo de adjunto que se debe recuperar. Las opciones son: Case o Alert. |
Ejemplo
En este caso, se extrae un adjunto del muro del caso y se convierte en un BLOB de Base64.
Configuraciones de acciones
| Parámetro | Valor |
| Entidades | Todas las entidades |
| Alcance del adjunto | Alerta |
Resultados de la acción
-
Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo ScriptResult Cantidad de archivos adjuntos 1 -
Resultado de JSON
{ "evidenceName": "myfile.txt", "description": "sample descriptions", "evidenceThumbnailBase64": "", "evidenceId": 475, "fileType": ".txt", "creatorUserId": "Siemplify automation", "id": 475, "type": 4, "caseId": 51209, "isFavorite": false, "modificationTimeUnixTimeInMs": 1664222678523, "creationTimeUnixTimeInMs": 1664222678523, "alertIdentifier": "COFENSE TRIAGE: INBOX REPORTCBEdfghB-B9E2-4A04fghAB-136A6fdghF0C6", "base64_blob": "dGhpcyBpcyB0ZXN0aW5nIHNhhdfhfpbmRlIHdpbmRvd3Mgc2hhcmdfghdfgUgddfghXNpbmcgc2llbXBsdfghaWZ5IGFndfghdfghdfghZW50" }
Get Files as Base64
Descripción
Convierte archivos de un directorio en valores Base64.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
| Rutas de acceso de los archivos | String | N/A | Sí | Especifica las rutas de acceso a los archivos en los que se almacenan los archivos. Usa un delimitador de comas si se especifican varias rutas. |
Ejemplo
En este caso, un archivo llamado iocs_list.txt en el directorio /mnt/sharefiles se convierte en un BLOB de Base64. Esta acción se suele usar junto con la acción “Agregar adjunto”, que toma el BLOB en Base64 como entrada y agrega el archivo al muro del caso.
Configuraciones de acciones
| Parámetro | Valor |
| Entidades | Todas las entidades |
| Rutas de acceso de los archivos | /mnt/sharefiles/iocs_list.txt |
Resultados de la acción
-
Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo ScriptResult Cantidad de archivos adjuntos 1 -
Resultado de JSON
{ "Filenames" : { 0 : "/opt/siemplify/siemplify_server/Scripting/Phishing_.eml", 1 : "/opt/siemplify/siemplify_server/Scripting/Logo.png" }, "data" : { 0 : { "path" : "/opt/siemplify/siemplify_server/Scripting", "filename" : "Phishing_.eml", "extension" : ".eml", "base64" : "asdfagdfgergert34523523452345dfg" } } }
Quitar entidad del archivo
Descripción
Quita el identificador de una entidad objetivo de un archivo local. Devolverá False si no se pueden quitar todas las entidades o si una entidad no existe.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
| Nombre del archivo | String | N/A | Sí | Especifica el nombre del archivo del que se quitarán las entidades. |
Ejemplo
En este caso, se quitan los identificadores de entidades de nombres de host internos de ioc_list.txt, que se encuentra en el directorio /tmp.
Configuraciones de acciones
| Parámetro | Valor |
| Entidades | Nombres de host internos |
| Nombre del archivo | ioc_list |
Resultados de la acción
-
Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo RemovedAllEntities Verdadero/Falso Verdadero
Save Base64 to File
Descripción
Convierte una cadena Base64 en un archivo. Admite listas separadas por comas para los campos Nombre de archivo y Entrada en Base64.
Ruta de acceso al archivo predeterminada: /opt/siemplify/siemplify_server/Scripting/downloads/FILE_NAME
Ruta de acceso predeterminada del archivo con un agente: /opt/SiemplifyAgent/downloads/FILE_NAME
Parámetros
| Parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
| Extensión de archivo | String | N/A | No | Especifica la extensión de archivo que se agregará al nombre del archivo. |
| Entrada Base64 | String | N/A | Sí | Especifica la cadena Base64 que se convertirá en un archivo. Admite la separación por comas. |
| Nombre del archivo | String | N/A | Sí | Especifica el nombre del archivo que se creará en función de la cadena Base64. |
Ejemplo
En este caso, si la acción se ejecuta en un agente remoto, se guarda una cadena de entrada en Base64 en un archivo de texto ioc_list ubicado en el directorio /opt/SiemplifyAgent/downloads.
Configuraciones de acciones
| Parámetro | Valor |
| Entidades | Nombres de host internos |
| Extensión de archivo | txt |
| Entrada Base64 | c2FtcGxIIGZpbGUgY29udGFpbsdfgsdfgmluZyBzYW1wbGUgZGF
OYQ== |
| Nombre del archivo | ioc_list |
Resultados de la acción
-
Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo ScriptResult Verdadero/Falso verdadero -
Resultado de JSON
{ "files": [ {"file_name": "ioc_list", "file_path": "/opt/SiemplifyAgent/downloads/ioc_list.txt", "extension": ".txt"}] }
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.