Utilitaires de fichiers

Compatible avec :

Présentation

Les utilitaires de fichiers sont un ensemble d'actions sur les fichiers utilisées pour améliorer les capacités des playbooks.

Actions

Ajouter une pièce jointe

Description

Ajoute une pièce jointe au mur de la demande.

Paramètres

Paramètre Type Valeur par défaut Obligatoire Description
Name Chaîne N/A Oui Spécifiez le nom de la pièce jointe qui sera visible dans le mur de la demande.
IsFavorite Case à cocher Décochée Non Indiquez si vous souhaitez que la pièce jointe soit marquée comme favorite dans le mur de la demande.
Blob Base64 Chaîne N/A Oui Spécifiez l'objet blob Base64 de la pièce jointe. Utilisez l'action "Obtenir les fichiers au format Base64" pour obtenir le blob Base64.

Cette action accepte un seul blob Base64. Si vous avez plusieurs fichiers, vous devez appeler cette action pour chacun d'eux individuellement.
Type Chaîne N/A Oui Spécifiez l'extension du fichier.
Description Chaîne N/A Oui Spécifiez la description du fichier.


Exemple

Dans ce scénario, un blob Base64 est dérivé d'une action précédente, puis associé au mur de la demande. Une fois ajoutée au mur, elle peut être utilisée pour une analyse plus approfondie. Cette action est utilisée en parallèle de l'action "Obtenir le fichier au format Base64", qui génère la chaîne Base64 d'un fichier.

Configurations des actions

Paramètre Valeur
Entités Toutes les entités
Nom Malicious_EML
IsFavorite Cochée
Blob Base64 [FileUtilities_Get Files as Base64_1.JsonResult | "data.base64"]
Type [FileUtilities_Get Files as Base64_1.JsonResult | "data.extension"
Description Fichier EML malveillant provenant d'un utilisateur final.

Résultats de l'action

  • Résultat du script
    Nom du résultat du script Options de valeur Exemple
    is_success Vrai/Faux is_success:True
  • Résultat JSON 
     {
"evidenceName" : "Malicious_EML", 
"description " : "Malicious EML file from end user.", 
"evidenceThumbnailBase64" : "", 
"evidenceId" : 322, 
"fileType" : ".eml", 
"creatorUserId" : "Siemplify automation", 
"id " : 322, 
"type"  : 4, 
"caseId" : 51187, 
"isFavorite" : true, 
"modificationTimeUnixTimeInMs" : 1664206699128, 
"creationTimeUnixTimeInMs" : 1664206699128, 
"alertIdentifier" : null
}

Ajouter une entité à un fichier

Description

Ajoute un identifiant d'entité cible à un fichier local. Elle n'ajoutera qu'une seule occurrence de l'entité au fichier et renverra la valeur "False" si l'entité existe déjà.

Paramètres

Paramètre Type Valeur par défaut Obligatoire Description
Filename Chaîne N/A Oui Indiquez le nom du fichier dans lequel écrire les entités. Le fichier sera stocké dans le répertoire /tmp/.

Exemple

Dans ce scénario, des identifiants d'entité de nom d'hôte suspects sont ajoutés à un fichier appelé iocs_list.txt dans le répertoire /mnt/fileshare/.

Configurations des actions

Paramètre Valeur
Entités Noms d'hôte suspects
Nom de fichier /mnt/fileshare/ocs_list.txt

Résultats de l'action

  • Résultat du script
    Nom du résultat du script Options de valeur Exemple
    AddedAllEntities Vrai/Faux Vrai

Fichiers de décompte

Description

Compte le nombre de fichiers dans un chemin d'accès à un dossier donné en fonction d'une extension de fichier spécifique.

Paramètres

Paramètre Type Valeur par défaut Obligatoire Description
Extension de fichier Chaîne *.txt Non Spécifiez l'extension de fichier à comptabiliser.
Dossier Chaîne N/A Oui Spécifiez le chemin d'accès au dossier dont vous souhaitez compter les fichiers.
Est récursif Case à cocher Décochée Non Si cette option est activée, tous les fichiers du répertoire seront comptabilisés de manière récursive.

Exemple

Dans ce scénario, tous les fichiers portant l'extension .txt dans le répertoire /mnt/fileshare sont comptabilisés.

Configurations des actions

Paramètre Valeur
Entités Toutes les entités
Extension de fichier *.txt
Dossier /mnt/fileshare/
Est récursif Cochée

Résultats de l'action

  • Résultat du script
    Nom du résultat du script Options de valeur Exemple
    ScriptResult Valeur du nombre 10

Créer une archive

Description

Crée un fichier d'archive à partir d'une liste de fichiers ou d'un répertoire fournis. Renvoie l'emplacement du fichier d'archive.

Paramètres

Paramètre Type Valeur par défaut Obligatoire Description
Type d'archive Chaîne N/A Oui Spécifiez le type d'archive à créer. Formats acceptés : zip, tar, gztar, bztar, xtar.
Nom de base de l'archive Chaîne N/A Oui Spécifiez le nom du fichier d'archive qui sera créé sans extension.
Archiver l'entrée Chaîne Décochée Oui Si cette option est activée, tous les fichiers du répertoire seront comptabilisés de manière récursive.

Exemple

Dans ce scénario, un fichier .zip d'archive nommé "archived_ioc_files" est créé. Il contient plusieurs fichiers dans le répertoire /mnt/fileshares.

Configurations des actions

Paramètre Valeur
Entités Toutes les entités
Type d'archive zip
Nom de base de l'archive archived_ioc_files
Archiver l'entrée /mnt/fileshares/ioc_list1,/mnt/fileshares/ioc_list2, /mnt/fileshares/ioc_list3

Résultats de l'action

  • Résultat du script
    Nom du résultat du script Options de valeur Exemple
    ScriptResult Vrai/Faux vrai
  • Résultat JSON 
     {
"archive" : 
"/opt/siemplify/siemplify_server/Scripting/FileUtilities/Archives/archived_ioc_files.zip",
"success" : true
}

Décoder Base64

Description

Décode la chaîne d'entrée Base64 et renvoie un objet JSON avec le contenu.

Paramètres

Paramètre Type Valeur par défaut Obligatoire Description
Entrée Base64 Chaîne N/A Oui Spécifiez la chaîne d'entrée Base64 que vous souhaitez décoder.
Encodage Menu déroulant UTF-8 Oui Spécifiez le format d'encodage. UTF-8 ou ASCII.

Exemple

Dans ce scénario, un blob Base64 d'un fichier est converti à l'aide d'UTF-8 en son contenu d'origine.

Configurations des actions

Paramètre Valeur
Entités Toutes les entités
Entrée Base64 (2FtcGxIIGZpbGUgY29udGFpbmluZyBzYW1qbGUgZGFOYQ==
Encodage UTF-8

Résultats de l'action

  • Résultat du script
    Nom du résultat du script Options de valeur Exemple
    ScriptResult Vrai/Faux vrai
  • Résultat JSON 
     {
"decoded_content" : "<file content>"
}

Extraire une archive

Description

Extrait un fichier d'archive dans un répertoire.

Paramètres

Paramètre Type Valeur par défaut Obligatoire Description
Archiver Chaîne N/A Oui Spécifiez le chemin d'accès à l'archive à extraire. Formats acceptés : zip, tar, gztar, bztar, xtar. Le chemin de destination est le suivant : /opt/siemplify/siemplify_server/Scripting/FileUtilities/Extract

Exemple

Dans ce scénario, les fichiers de ioc_lists.zip sont extraits et enregistrés dans le répertoire /opt/siemplify/siemplify_server/Scripting/FileUtilities/Extract.

Configurations des actions

Paramètre Valeur
Entités Toutes les entités
Archiver /opt/siemplify/siemplify_server/Scripting/FileUtilities/Extract/ioc_lists

Résultats de l'action

  • Résultat du script
    Nom du résultat du script Options de valeur Exemple
    ScriptResult Vrai/Faux vrai
  • Résultat JSON 
     {"archives" :
    {0 :
        "success" : true,
        "archive" : "ioc_lists.tar",
        "folder" : "/opt/siemplify/siemplify_server/Scripting/FileUtilities/Extract/ioc_lists",
        "files_with_path" :{
                0 : "/opt/siemplify/siemplify_server/Scripting/FileUtilities/Extract/testarchive/Archives/ioc_lists.tar",
                1 : "/opt/siemplify/siemplify_server/Scripting/FileUtilities/Extract/ioc_lists/Archives/file1"
                           },
        
        "files_list" : {
                0 : "ioc_lists.tar",
                1 : "file1",
                2 : "file2"
                        },
        "files" :{
            "name" : "ioc_lists",
            "type" : "directory",
            "children" : {
                0 :{
                    "name" : "ioc_lists.tar",
                    "type" : "file"
                   },
                1 : {
                    "name" : "file1",
                    "type" : "file"
                    },
                2 : {
                    "name" : "file2",
                    "type" : "file"
                    }
                         }

    }
}

Extraire des fichiers ZIP

Description

Extrayez les fichiers d'une archive ZIP. Il peut extraire les fichiers protégés par un mot de passe à l'aide d'un mot de passe fourni ou par force brute. Il utilise l'attribut attachment_id d'une entité de fichier pour extraire le fichier du mur de la demande.

Paramètres

Paramètre Type Valeur par défaut Obligatoire Description
Inclure les données dans le résultat JSON Case à cocher Décochée Non Indiquez si vous souhaitez inclure les données extraites en tant que valeurs Base64 dans le résultat JSON.
Créer des entités Case à cocher Cochée Non Indiquez si vous souhaitez créer des entités à partir des fichiers extraits.
Mot de passe du fichier ZIP Chaîne N/A Non Spécifiez le mot de passe du fichier ZIP s'il est protégé.
Mot de passe par force brute Case à cocher Décochée Non Indiquez si vous souhaitez forcer le mot de passe du fichier ZIP protégé.
Ajouter au mur des cas Case à cocher Cochée Non Indiquez si vous souhaitez ajouter les fichiers extraits à la page de l'affaire.
Délimiteur de la liste des mots de passe du fichier ZIP Chaîne , Oui Spécifiez le délimiteur à utiliser si plusieurs mots de passe sont fournis dans le paramètre "Mot de passe du fichier ZIP".

Exemple

Dans ce scénario, une entité de fichier ZIP protégé par mot de passe est extraite et les fichiers résultants sont ajoutés au mur des cas en même temps que l'entité de fichier est créée.

Configurations des actions

Paramètre Valeur
Inclure les données dans le résultat JSON Cochée
Créer des entités Cochée
Mot de passe du fichier ZIP Password1
Mot de passe par force brute Décochée
Ajouter au mur des cas Cochée
Délimiteur de la liste des mots de passe du fichier ZIP ,

Résultats de l'action

  • Résultat du script
    Nom du résultat du script Options de valeur Exemple
    zip_files_extracted Vrai/Faux vrai

Obtenir une pièce jointe

Description

Récupère une pièce jointe à partir du mur de la demande et renvoie sa valeur Base64.

Paramètres

Paramètre Type Valeur par défaut Obligatoire Description
Champ d'application de la pièce jointe Menu déroulant Alerte Oui Spécifiez le type de pièce jointe à récupérer. Les options sont les suivantes : "Cas" ou "Alerte".

Exemple

Dans ce scénario, une pièce jointe est extraite de la page de la demande et convertie en blob Base64.

Configurations des actions

Paramètre Valeur
Entités Toutes les entités
Champ d'application de la pièce jointe Alerte

Résultats de l'action

  • Résultat du script
    Nom du résultat du script Options de valeur Exemple
    ScriptResult Nombre de pièces jointes 1
  • Résultat JSON 
     {
"evidenceName": "myfile.txt", 
"description": "sample descriptions", 
"evidenceThumbnailBase64": "", 
"evidenceId": 475, 
"fileType": ".txt", 
"creatorUserId": "Siemplify automation", 
"id": 475, 
"type": 4, 
"caseId": 51209, 
"isFavorite": false, 
"modificationTimeUnixTimeInMs": 1664222678523, 
"creationTimeUnixTimeInMs": 1664222678523, 
"alertIdentifier": "COFENSE TRIAGE: INBOX REPORTCBEdfghB-B9E2-4A04fghAB-136A6fdghF0C6", 
"base64_blob": "dGhpcyBpcyB0ZXN0aW5nIHNhhdfhfpbmRlIHdpbmRvd3Mgc2hhcmdfghdfgUgddfghXNpbmcgc2llbXBsdfghaWZ5IGFndfghdfghdfghZW50"
}

Obtenir des fichiers au format Base64

Description

Convertit les fichiers d'un répertoire en valeurs Base64.

Paramètres

Paramètre Type Valeur par défaut Obligatoire Description
Chemins des fichiers Chaîne N/A Oui Spécifiez le ou les chemins d'accès aux fichiers stockés. Utilisez une virgule comme délimiteur si plusieurs chemins d'accès sont spécifiés.

Exemple

Dans ce scénario, un fichier nommé iocs_list.txt dans le répertoire /mnt/sharefiles est converti en blob Base64. Cette action est souvent utilisée avec l'action "Ajouter une pièce jointe", qui prend le blob Base64 comme entrée et ajoute le fichier au mur de la demande.

Configurations des actions

Paramètre Valeur
Entités Toutes les entités
Chemins des fichiers /mnt/sharefiles/iocs_list.txt

Résultats de l'action

  • Résultat du script
    Nom du résultat du script Options de valeur Exemple
    ScriptResult Nombre de pièces jointes 1
  • Résultat JSON 
     {
"Filenames" : {
     0 :  "/opt/siemplify/siemplify_server/Scripting/Phishing_.eml",
     1 :  "/opt/siemplify/siemplify_server/Scripting/Logo.png"
     },
"data" : {
     0 : {
          "path" : "/opt/siemplify/siemplify_server/Scripting",
          "filename" : "Phishing_.eml",
          "extension" : ".eml",
          "base64" : "asdfagdfgergert34523523452345dfg"  
     }
   }
}

Supprimer une entité d'un fichier

Description

Supprime l'identifiant d'une entité cible d'un fichier local. Elle renvoie "False" si elle ne parvient pas à supprimer toutes les entités ou si une entité n'existe pas.

Paramètres

Paramètre Type Valeur par défaut Obligatoire Description
Nom du fichier Chaîne N/A Oui Spécifiez le nom du fichier à partir duquel supprimer les entités.

Exemple

Dans ce scénario, les identifiants d'entité de nom d'hôte interne sont supprimés du fichier ioc_list.txt situé dans le répertoire /tmp.

Configurations des actions

Paramètre Valeur
Entités Noms d'hôte internes
Nom de fichier ioc_list

Résultats de l'action

  • Résultat du script
    Nom du résultat du script Options de valeur Exemple
    RemovedAllEntities Vrai/Faux Vrai

Enregistrer Base64 dans un fichier

Description

Convertit une chaîne Base64 en fichier. Il est compatible avec les listes séparées par des virgules pour les entrées "Nom de fichier" et "Base64".

Chemin d'accès au fichier par défaut : /opt/siemplify/siemplify_server/Scripting/downloads/FILE_NAME

Chemin d'accès au fichier par défaut avec un agent : /opt/SiemplifyAgent/downloads/FILE_NAME

Paramètres

Paramètre Type Valeur par défaut Obligatoire Description
Extension de fichier Chaîne N/A Non Spécifiez l'extension de fichier à ajouter au nom de fichier.
Entrée Base64 Chaîne N/A Oui Spécifiez la chaîne Base64 qui sera convertie en fichier. Accepte la séparation par une virgule.
Nom de fichier Chaîne N/A Oui Spécifiez le nom du fichier qui sera créé à partir de la chaîne Base64.

Exemple

Dans ce scénario, si l'action est exécutée sur un agent à distance, une chaîne d'entrée Base64 est enregistrée dans un fichier texte ioc_list situé dans le répertoire /opt/SiemplifyAgent/downloads.

Configurations des actions

Paramètre Valeur
Entités Noms d'hôte internes
Extension de fichier txt
Entrée Base64 c2FtcGxIIGZpbGUgY29udGFpbsdfgsdfgmluZyBzYW1wbGUgZGF

OYQ==
Nom de fichier ioc_list

Résultats de l'action

  • Résultat du script
    Nom du résultat du script Options de valeur Exemple
    ScriptResult Vrai/Faux vrai
  • Résultat JSON 
     {
"files": [
{"file_name": "ioc_list", 
"file_path": "/opt/SiemplifyAgent/downloads/ioc_list.txt", 
"extension": ".txt"}]
}

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.