Utilitas file
Ringkasan
Utilitas File adalah serangkaian tindakan file yang digunakan untuk meningkatkan kemampuan playbook.
Tindakan
Tambahkan Lampiran
Deskripsi
Menambahkan lampiran ke repositori kasus.
Parameter
| Parameter | Jenis | Nilai Default | Wajib Diisi | Deskripsi |
|---|---|---|---|---|
| Nama | String | T/A | Ya | Tentukan nama lampiran yang akan terlihat di dinding kasus. |
| IsFavorite | Kotak centang | Tidak dicentang | Tidak | Tentukan apakah Anda ingin lampiran ditandai sebagai favorit di dinding kasus. |
| Blob Base64 | String | T/A | Ya |
Tentukan blob Base64 lampiran. Gunakan tindakan “Dapatkan File sebagai Base64” untuk mendapatkan blob Base64.
Tindakan ini menerima satu blob Base64. Jika memiliki beberapa file, Anda harus memanggil tindakan ini untuk setiap file satu per satu. |
| Jenis | String | T/A | Ya | Tentukan ekstensi file |
| Deskripsi | String | T/A | Ya | Tentukan deskripsi file. |
Contoh
Dalam skenario ini, blob Base64 berasal dari tindakan sebelumnya dan kemudian dilampirkan ke dinding kasus. Setelah dipasang di dinding, alat ini dapat digunakan untuk analisis lebih lanjut. Tindakan ini digunakan bersama dengan tindakan “Dapatkan File sebagai Base64”, yang menghasilkan string Base64 dari sebuah file.
Konfigurasi Tindakan
| Parameter | Nilai |
| Entity | Semua entity |
| Nama | Malicious_EML |
| IsFavorite | Dicentang |
| Blob Base64 | [FileUtilities_Get Files as Base64_1.JsonResult | "data.base64"] |
| Jenis | [FileUtilities_Get Files as Base64_1.JsonResult | "data.extension" |
| Deskripsi | File EML berbahaya dari pengguna akhir. |
Hasil Tindakan
-
Hasil Skrip
Nama Hasil Skrip Opsi nilai Contoh is_success Benar/Salah is_success:True -
Hasil JSON
{ "evidenceName" : "Malicious_EML", "description " : "Malicious EML file from end user.", "evidenceThumbnailBase64" : "", "evidenceId" : 322, "fileType" : ".eml", "creatorUserId" : "Siemplify automation", "id " : 322, "type" : 4, "caseId" : 51187, "isFavorite" : true, "modificationTimeUnixTimeInMs" : 1664206699128, "creationTimeUnixTimeInMs" : 1664206699128, "alertIdentifier" : null }
Tambahkan Entitas ke File
Deskripsi
Menambahkan ID entity target ke file lokal. Hanya akan menambahkan satu kemunculan entity ke file dan akan menampilkan False jika entity sudah ada.
Parameter
| Parameter | Jenis | Nilai Default | Wajib Diisi | Deskripsi |
| Nama file | String | T/A | Ya | Tentukan nama file untuk menulis entity. File akan disimpan di direktori /tmp/. |
Contoh
Dalam skenario ini, ID entitas nama host yang mencurigakan ditambahkan ke file bernama iocs_list.txt di direktori /mnt/fileshare/.
Konfigurasi Tindakan
| Parameter | Nilai |
| Entity | Nama host yang mencurigakan |
| Nama file | /mnt/fileshare/ocs_list.txt |
Hasil Tindakan
-
Hasil Skrip
Nama Hasil Skrip Opsi nilai Contoh AddedAllEntities Benar/Salah Benar
Menghitung File
Deskripsi
Menghitung jumlah file dalam jalur folder tertentu menurut ekstensi file tertentu.
Parameter
| Parameter | Jenis | Nilai Default | Wajib Diisi | Deskripsi |
| Ekstensi File | String | *.txt | Tidak | Tentukan ekstensi file yang akan dihitung. |
| Folder | String | T/A | Ya | Tentukan jalur folder yang ingin Anda hitung jumlah filenya. |
| Bersifat Rekursif | Kotak centang | Tidak dicentang | Tidak | Jika diaktifkan, semua file dalam direktori akan dihitung secara rekursif. |
Contoh
Dalam skenario ini, semua file dengan .txt di direktori /mnt/fileshare akan dihitung.
Konfigurasi Tindakan
| Parameter | Nilai |
| Entity | Semua entity |
| Ekstensi File | *.txt |
| Folder | /mnt/fileshare/ |
| Bersifat Rekursif | Dicentang |
Hasil Tindakan
-
Hasil Skrip
Nama Hasil Skrip Opsi nilai Contoh ScriptResult Nilai Jumlah 10
Buat Arsip
Deskripsi
Membuat file arsip dari daftar file atau direktori yang disediakan. Menampilkan lokasi file arsip.
Parameter
| Parameter | Jenis | Nilai Default | Wajib Diisi | Deskripsi |
| Jenis Arsip | String | T/A | Ya | Tentukan jenis arsip yang akan dibuat. Mendukung: zip, tar, gztar, bztar, xtar. |
| Nama Dasar Arsip | String | T/A | Ya | Tentukan nama file arsip yang akan dibuat tanpa ekstensi. |
| Input Arsip | String | Tidak dicentang | Ya | Jika diaktifkan, semua file dalam direktori akan dihitung secara rekursif. |
Contoh
Dalam skenario ini, file zip arsip bernama archived_ioc_files dibuat yang berisi beberapa file di direktori /mnt/fileshares.
Konfigurasi Tindakan
| Parameter | Nilai |
| Entity | Semua entity |
| Jenis Arsip | zip |
| Nama Dasar Arsip | archived_ioc_files |
| Input Arsip | /mnt/fileshares/ioc_list1,/mnt/fileshares/ioc_list2, /mnt/fileshares/ioc_list3 |
Hasil Tindakan
-
Hasil Skrip
Nama Hasil Skrip Opsi nilai Contoh ScriptResult Benar/Salah true -
Hasil JSON
{ "archive" : "/opt/siemplify/siemplify_server/Scripting/FileUtilities/Archives/archived_ioc_files.zip", "success" : true }
Mendekode Base64
Deskripsi
Mendekode string input Base64 dan menampilkan objek json dengan konten.
Parameter
| Parameter | Jenis | Nilai Default | Wajib Diisi | Deskripsi |
| Input Base64 | String | T/A | Ya | Tentukan string input Base64 yang ingin Anda dekode. |
| Encoding | Dropdown | UTF-8 | Ya | Tentukan format encoding. UTF-8 atau ASCII. |
Contoh
Dalam skenario ini, blob Base64 dari file dikonversi menggunakan UTF-8 ke konten aslinya.
Konfigurasi Tindakan
| Parameter | Nilai |
| Entity | Semua entity |
| Input Base64 | (2FtcGxIIGZpbGUgY29udGFpbmluZyBzYW1qbGUgZGFOYQ== |
| Encoding | UTF-8 |
Hasil Tindakan
-
Hasil Skrip
Nama Hasil Skrip Opsi nilai Contoh ScriptResult Benar/Salah true -
Hasil JSON
{ "decoded_content" : "<file content>" }
Ekstrak Arsip
Deskripsi
Mengekstrak file arsip ke direktori.
Parameter
| Parameter | Jenis | Nilai Default | Wajib Diisi | Deskripsi |
| Arsipkan | String | T/A | Ya | Tentukan jalur arsip yang akan diekstrak. Mendukung: zip, tar, gztar, bztar, xtar. Jalur tujuan adalah: /opt/siemplify/siemplify_server/Scripting/FileUtilities/Extract |
Contoh
Dalam skenario ini, file di ioc_lists.zip diekstrak dan disimpan di direktori /opt/siemplify/siemplify_server/Scripting/FileUtilities/Extract.
Konfigurasi Tindakan
| Parameter | Nilai |
| Entity | Semua entity |
| Arsipkan | /opt/siemplify/siemplify_server/Scripting/FileUtilities/Extract/ioc_lists |
Hasil Tindakan
-
Hasil Skrip
Nama Hasil Skrip Opsi nilai Contoh ScriptResult Benar/Salah true -
Hasil JSON
{"archives" : {0 : "success" : true, "archive" : "ioc_lists.tar", "folder" : "/opt/siemplify/siemplify_server/Scripting/FileUtilities/Extract/ioc_lists", "files_with_path" :{ 0 : "/opt/siemplify/siemplify_server/Scripting/FileUtilities/Extract/testarchive/Archives/ioc_lists.tar", 1 : "/opt/siemplify/siemplify_server/Scripting/FileUtilities/Extract/ioc_lists/Archives/file1" }, "files_list" : { 0 : "ioc_lists.tar", 1 : "file1", 2 : "file2" }, "files" :{ "name" : "ioc_lists", "type" : "directory", "children" : { 0 :{ "name" : "ioc_lists.tar", "type" : "file" }, 1 : { "name" : "file1", "type" : "file" }, 2 : { "name" : "file2", "type" : "file" } } } }
Mengekstrak File ZIP
Deskripsi
Mengekstrak file dari arsip ZIP. Aplikasi ini memiliki kemampuan untuk mengekstrak file yang dilindungi sandi dengan sandi yang diberikan atau brute force. API ini menggunakan atribut attachment_id dari entitas file untuk menarik file dari dinding kasus dan mengekstraknya.
Parameter
| Parameter | Jenis | Nilai Default | Wajib Diisi | Deskripsi |
| Sertakan Data dalam Hasil JSON | Kotak centang | Tidak dicentang | Tidak | Tentukan apakah Anda ingin menyertakan data yang diekstrak sebagai nilai Base64 dalam hasil json. |
| Membuat Entity | Kotak centang | Dicentang | Tidak | Tentukan apakah Anda ingin membuat entitas dari file yang diekstrak. |
| Sandi File ZIP | String | T/A | Tidak | Tentukan sandi file ZIP jika dilindungi sandi. |
| Brute Force Sandi | Kotak centang | Tidak dicentang | Tidak | Tentukan apakah Anda ingin melakukan serangan brute force pada file ZIP yang dilindungi sandi. |
| Menambahkan ke Repositori Kasus | Kotak centang | Dicentang | Tidak | Tentukan apakah Anda ingin menambahkan file yang diekstrak ke dinding kasus. |
| Pembatas Daftar Sandi Zip | String | , | Ya | Tentukan pemisah yang akan digunakan jika beberapa sandi diberikan dalam parameter “Sandi File ZIP”. |
Contoh
Dalam skenario ini, entitas file zip yang dilindungi sandi diekstrak dan file yang dihasilkan ditambahkan ke repositori kasus bersama dengan pembuatan entitas file.
Konfigurasi Tindakan
| Parameter | Nilai |
| Sertakan Data dalam Hasil JSON | Dicentang |
| Membuat Entity | Dicentang |
| Sandi File ZIP | Password1 |
| Brute Force Sandi | Tidak dicentang |
| Menambahkan ke Repositori Kasus | Dicentang |
| Pembatas Daftar Sandi Zip | , |
Hasil Tindakan
-
Hasil Skrip
Nama Hasil Skrip Opsi nilai Contoh zip_files_extracted Benar/Salah true
Mendapatkan Lampiran
Deskripsi
Mengambil lampiran dari dinding kasus dan menampilkan nilai Base64-nya.
Parameter
| Parameter | Jenis | Nilai Default | Wajib Diisi | Deskripsi |
| Cakupan Lampiran | Dropdown | Pemberitahuan | Ya | Tentukan jenis lampiran yang perlu diambil. Opsi adalah: Kasus atau Pemberitahuan |
Contoh
Dalam skenario ini, lampiran ditarik dari dinding kasus dan dikonversi menjadi blob Base64.
Konfigurasi Tindakan
| Parameter | Nilai |
| Entity | Semua entity |
| Cakupan Lampiran | Pemberitahuan |
Hasil Tindakan
-
Hasil Skrip
Nama Hasil Skrip Opsi nilai Contoh ScriptResult Jumlah Lampiran 1 -
Hasil JSON
{ "evidenceName": "myfile.txt", "description": "sample descriptions", "evidenceThumbnailBase64": "", "evidenceId": 475, "fileType": ".txt", "creatorUserId": "Siemplify automation", "id": 475, "type": 4, "caseId": 51209, "isFavorite": false, "modificationTimeUnixTimeInMs": 1664222678523, "creationTimeUnixTimeInMs": 1664222678523, "alertIdentifier": "COFENSE TRIAGE: INBOX REPORTCBEdfghB-B9E2-4A04fghAB-136A6fdghF0C6", "base64_blob": "dGhpcyBpcyB0ZXN0aW5nIHNhhdfhfpbmRlIHdpbmRvd3Mgc2hhcmdfghdfgUgddfghXNpbmcgc2llbXBsdfghaWZ5IGFndfghdfghdfghZW50" }
Mendapatkan File sebagai Base64
Deskripsi
Mengonversi file dalam direktori menjadi nilai Base64.
Parameter
| Parameter | Jenis | Nilai Default | Wajib Diisi | Deskripsi |
| Jalur File | String | T/A | Ya | Tentukan jalur file tempat file disimpan. Gunakan pemisah koma jika beberapa jalur ditentukan. |
Contoh
Dalam skenario ini, file bernama iocs_list.txt di direktori /mnt/sharefiles dikonversi menjadi blob Base64. Tindakan ini sering digunakan bersama dengan tindakan “Tambahkan Lampiran”, yang menggunakan blob Base64 sebagai input dan menambahkan file ke dinding kasus.
Konfigurasi Tindakan
| Parameter | Nilai |
| Entity | Semua entity |
| Jalur File | /mnt/sharefiles/iocs_list.txt |
Hasil Tindakan
-
Hasil Skrip
Nama Hasil Skrip Opsi nilai Contoh ScriptResult Jumlah Lampiran 1 -
Hasil JSON
{ "Filenames" : { 0 : "/opt/siemplify/siemplify_server/Scripting/Phishing_.eml", 1 : "/opt/siemplify/siemplify_server/Scripting/Logo.png" }, "data" : { 0 : { "path" : "/opt/siemplify/siemplify_server/Scripting", "filename" : "Phishing_.eml", "extension" : ".eml", "base64" : "asdfagdfgergert34523523452345dfg" } } }
Menghapus Entitas dari File
Deskripsi
Menghapus ID entitas target dari file lokal. Metode ini akan menampilkan False jika gagal menghapus semua entity atau jika entity tidak ada.
Parameter
| Parameter | Jenis | Nilai Default | Wajib Diisi | Deskripsi |
| Nama File | String | T/A | Ya | Tentukan nama file yang akan dihapus entitasnya. |
Contoh
Dalam skenario ini, ID entitas nama host internal dihapus dari ioc_list.txt yang ada di direktori /tmp.
Konfigurasi Tindakan
| Parameter | Nilai |
| Entity | Nama host internal |
| Nama file | ioc_list |
Hasil Tindakan
-
Hasil Skrip
Nama Hasil Skrip Opsi nilai Contoh RemovedAllEntities Benar/Salah Benar
Simpan Base64 ke File
Deskripsi
Mengonversi string Base64 menjadi file. Alat ini mendukung daftar yang dipisahkan koma untuk Input Filename dan Base64.
Jalur file default: /opt/siemplify/siemplify_server/Scripting/downloads/FILE_NAME
Jalur file default menggunakan agen: /opt/SiemplifyAgent/downloads/FILE_NAME
Parameter
| Parameter | Jenis | Nilai Default | Wajib Diisi | Deskripsi |
| Ekstensi File | String | T/A | Tidak | Tentukan ekstensi file yang akan ditambahkan ke nama file. |
| Input Base64 | String | T/A | Ya | Tentukan string Base64 yang akan dikonversi menjadi file. Mendukung pemisahan koma. |
| Nama file | String | T/A | Ya | Tentukan nama file yang akan dibuat berdasarkan string Base64. |
Contoh
Dalam skenario ini, jika tindakan dijalankan di agen Jarak Jauh, string input Base64 akan disimpan ke file teks ioc_list yang berada di direktori /opt/SiemplifyAgent/downloads.
Konfigurasi Tindakan
| Parameter | Nilai |
| Entity | Nama host internal |
| Ekstensi File | txt |
| Input Base64 | c2FtcGxIIGZpbGUgY29udGFpbsdfgsdfgmluZyBzYW1wbGUgZGF
OYQ== |
| Nama file | ioc_list |
Hasil Tindakan
-
Hasil Skrip
Nama Hasil Skrip Opsi nilai Contoh ScriptResult Benar/Salah true -
Hasil JSON
{ "files": [ {"file_name": "ioc_list", "file_path": "/opt/SiemplifyAgent/downloads/ioc_list.txt", "extension": ".txt"}] }
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.