Utilità per i file
Panoramica
File Utilities è un insieme di azioni sui file utilizzate per potenziare le funzionalità del playbook.
Azioni
Aggiungi allegato
Descrizione
Aggiunge un allegato alla bacheca della richiesta.
Parametri
| Parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome | Stringa | N/D | Sì | Specifica il nome dell'allegato che sarà visibile nella bacheca della richiesta. |
| IsFavorite | Casella di controllo | Deselezionata | No | Specifica se vuoi che l'allegato venga contrassegnato come preferito nella bacheca della richiesta. |
| Blob Base64 | Stringa | N/D | Sì |
Specifica il blob Base64 dell'allegato. Utilizza l'azione "Recupera file come
Base64" per ottenere il blob Base64.
Questa azione accetta un singolo blob Base64. Se hai più file, devi chiamare questa azione per ogni file singolarmente. |
| Tipo | Stringa | N/D | Sì | Specifica l'estensione del file |
| Descrizione | Stringa | N/D | Sì | Specifica la descrizione del file. |
Esempio
In questo scenario, un blob Base64 viene derivato da un'azione precedente e poi allegato alla bacheca della richiesta. Una volta aggiunta alla bacheca, può essere utilizzata per ulteriori analisi. Questa azione viene utilizzata insieme all'azione "Ottieni file come Base64", che genera la stringa Base64 di un file.
Configurazioni delle azioni
| Parametro | Valore |
| Entità | Tutte le entità |
| Nome | Malicious_EML |
| IsFavorite | Selezionata |
| Blob Base64 | [FileUtilities_Get Files as Base64_1.JsonResult | "data.base64"] |
| Tipo | [FileUtilities_Get Files as Base64_1.JsonResult | "data.extension" |
| Descrizione | File EML dannoso dell'utente finale. |
Risultati dell'azione
-
Risultato script
Nome del risultato dello script Opzioni di valore Esempio is_success Vero/Falso is_success:True -
Risultato JSON
{ "evidenceName" : "Malicious_EML", "description " : "Malicious EML file from end user.", "evidenceThumbnailBase64" : "", "evidenceId" : 322, "fileType" : ".eml", "creatorUserId" : "Siemplify automation", "id " : 322, "type" : 4, "caseId" : 51187, "isFavorite" : true, "modificationTimeUnixTimeInMs" : 1664206699128, "creationTimeUnixTimeInMs" : 1664206699128, "alertIdentifier" : null }
Aggiungere un'entità al file
Descrizione
Aggiunge un identificatore di un'entità target a un file locale. Aggiungerà solo un'occorrenza dell'entità al file e restituirà False se l'entità esiste già.
Parametri
| Parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
| Nome del file | Stringa | N/D | Sì | Specifica il nome del file in cui scrivere le entità. Il file verrà archiviato nella directory /tmp/. |
Esempio
In questo scenario, gli identificatori di entità hostname sospetti vengono aggiunti a un file denominato iocs_list.txt nella directory /mnt/fileshare/.
Configurazioni delle azioni
| Parametro | Valore |
| Entità | Nomi host sospetti |
| Nome del file | /mnt/fileshare/ocs_list.txt |
Risultati dell'azione
-
Risultato script
Nome del risultato dello script Opzioni di valore Esempio AddedAllEntities Vero/Falso Vero
Conteggio file
Descrizione
Conta il numero di file in un determinato percorso della cartella in base a una specifica estensione del file.
Parametri
| Parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
| Estensione del file | Stringa | *.txt | No | Specifica l'estensione del file in base alla quale eseguire il conteggio. |
| Cartella | Stringa | N/D | Sì | Specifica il percorso della cartella di cui vuoi conteggiare i file. |
| Is Recursive | Casella di controllo | Deselezionata | No | Se attivata, questa opzione conteggia in modo ricorsivo tutti i file nella directory. |
Esempio
In questo scenario, vengono conteggiati tutti i file con .txt nella directory /mnt/fileshare.
Configurazioni delle azioni
| Parametro | Valore |
| Entità | Tutte le entità |
| Estensione del file | *.txt |
| Cartella | /mnt/fileshare/ |
| Is Recursive | Selezionata |
Risultati dell'azione
-
Risultato script
Nome del risultato dello script Opzioni di valore Esempio ScriptResult Valore conteggio 10
Crea archivio
Descrizione
Crea un file di archivio da un elenco di file o directory forniti. Restituisce la posizione del file di archivio.
Parametri
| Parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
| Tipo di archivio | Stringa | N/D | Sì | Specifica il tipo di archivio da creare. Supporta: zip, tar, gztar, bztar, xtar. |
| Nome base dell'archivio | Stringa | N/D | Sì | Specifica il nome del file di archivio che verrà creato senza estensione. |
| Archiviazione input | Stringa | Deselezionata | Sì | Se attivata, questa opzione conteggia in modo ricorsivo tutti i file nella directory. |
Esempio
In questo scenario, viene creato un file ZIP dell'archivio denominato archived_ioc_files contenente più file nella directory /mnt/fileshares.
Configurazioni delle azioni
| Parametro | Valore |
| Entità | Tutte le entità |
| Tipo di archivio | zip |
| Nome base dell'archivio | archived_ioc_files |
| Archiviazione input | /mnt/fileshares/ioc_list1,/mnt/fileshares/ioc_list2, /mnt/fileshares/ioc_list3 |
Risultati dell'azione
-
Risultato script
Nome del risultato dello script Opzioni di valore Esempio ScriptResult Vero/Falso true -
Risultato JSON
{ "archive" : "/opt/siemplify/siemplify_server/Scripting/FileUtilities/Archives/archived_ioc_files.zip", "success" : true }
Decodifica Base64
Descrizione
Decodifica la stringa di input Base64 e restituisce un oggetto JSON con i contenuti.
Parametri
| Parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
| Input Base64 | Stringa | N/D | Sì | Specifica la stringa di input Base64 che vuoi decodificare. |
| Codifica | Elenco a discesa | UTF-8 | Sì | Specifica il formato di codifica. UTF-8 o ASCII. |
Esempio
In questo scenario, un blob Base64 di un file viene convertito utilizzando UTF-8 nei suoi contenuti originali.
Configurazioni delle azioni
| Parametro | Valore |
| Entità | Tutte le entità |
| Input Base64 | (2FtcGxIIGZpbGUgY29udGFpbmluZyBzYW1qbGUgZGFOYQ== |
| Codifica | UTF-8 |
Risultati dell'azione
-
Risultato script
Nome del risultato dello script Opzioni di valore Esempio ScriptResult Vero/Falso true -
Risultato JSON
{ "decoded_content" : "<file content>" }
Estrai archivio
Descrizione
Estrae un file di archivio in una directory.
Parametri
| Parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
| Archivia | Stringa | N/D | Sì | Specifica il percorso dell'archivio da estrarre. Supporta: zip, tar, gztar, bztar, xtar. Il percorso di destinazione è: /opt/siemplify/siemplify_server/Scripting/FileUtilities/Extract |
Esempio
In questo scenario, i file in ioc_lists.zip vengono estratti e salvati nella directory /opt/siemplify/siemplify_server/Scripting/FileUtilities/Extract.
Configurazioni delle azioni
| Parametro | Valore |
| Entità | Tutte le entità |
| Archivia | /opt/siemplify/siemplify_server/Scripting/FileUtilities/Extract/ioc_lists |
Risultati dell'azione
-
Risultato script
Nome del risultato dello script Opzioni di valore Esempio ScriptResult Vero/Falso true -
Risultato JSON
{"archives" : {0 : "success" : true, "archive" : "ioc_lists.tar", "folder" : "/opt/siemplify/siemplify_server/Scripting/FileUtilities/Extract/ioc_lists", "files_with_path" :{ 0 : "/opt/siemplify/siemplify_server/Scripting/FileUtilities/Extract/testarchive/Archives/ioc_lists.tar", 1 : "/opt/siemplify/siemplify_server/Scripting/FileUtilities/Extract/ioc_lists/Archives/file1" }, "files_list" : { 0 : "ioc_lists.tar", 1 : "file1", 2 : "file2" }, "files" :{ "name" : "ioc_lists", "type" : "directory", "children" : { 0 :{ "name" : "ioc_lists.tar", "type" : "file" }, 1 : { "name" : "file1", "type" : "file" }, 2 : { "name" : "file2", "type" : "file" } } } }
Estrai file ZIP
Descrizione
Estrai i file da un archivio ZIP. Ha la capacità di estrarre file protetti da password tramite una password fornita o con attacchi di forza bruta. Utilizza l'attributo attachment_id di un'entità file per estrarre il file dalla bacheca della richiesta ed estrarlo.
Parametri
| Parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
| Includi dati nel risultato JSON | Casella di controllo | Deselezionata | No | Specifica se vuoi includere i dati estratti come valori Base64 nel risultato JSON. |
| Crea entità | Casella di controllo | Selezionata | No | Specifica se vuoi creare entità dai file estratti. |
| Password del file ZIP | Stringa | N/D | No | Specifica la password del file ZIP se è protetto da password. |
| Forza bruta della password | Casella di controllo | Deselezionata | No | Specifica se vuoi forzare la password del file ZIP protetto. |
| Aggiungi alla bacheca richieste | Casella di controllo | Selezionata | No | Specifica se vuoi aggiungere i file estratti alla bacheca della richiesta. |
| Delimitatore elenco password ZIP | Stringa | , | Sì | Specifica il delimitatore da utilizzare se vengono fornite più password nel parametro "Password file zip". |
Esempio
In questo scenario, viene estratta un'entità file ZIP protetta da password e i file risultanti vengono aggiunti alla bacheca richieste insieme alla creazione dell'entità file.
Configurazioni delle azioni
| Parametro | Valore |
| Includi dati nel risultato JSON | Selezionata |
| Crea entità | Selezionata |
| Password del file ZIP | Password1 |
| Forza bruta della password | Deselezionata |
| Aggiungi alla bacheca richieste | Selezionata |
| Delimitatore elenco password ZIP | , |
Risultati dell'azione
-
Risultato script
Nome del risultato dello script Opzioni di valore Esempio zip_files_extracted Vero/Falso true
Get Attachment
Descrizione
Recupera un allegato dalla bacheca della richiesta e ne restituisce il valore Base64.
Parametri
| Parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
| Ambito dell'allegato | Elenco a discesa | Avviso | Sì | Specifica il tipo di allegato da recuperare. Le opzioni sono: richiesta o avviso |
Esempio
In questo scenario, un allegato viene estratto dalla bacheca della richiesta e convertito in un blob Base64.
Configurazioni delle azioni
| Parametro | Valore |
| Entità | Tutte le entità |
| Ambito dell'allegato | Avviso |
Risultati dell'azione
-
Risultato script
Nome del risultato dello script Opzioni di valore Esempio ScriptResult Numero di allegati 1 -
Risultato JSON
{ "evidenceName": "myfile.txt", "description": "sample descriptions", "evidenceThumbnailBase64": "", "evidenceId": 475, "fileType": ".txt", "creatorUserId": "Siemplify automation", "id": 475, "type": 4, "caseId": 51209, "isFavorite": false, "modificationTimeUnixTimeInMs": 1664222678523, "creationTimeUnixTimeInMs": 1664222678523, "alertIdentifier": "COFENSE TRIAGE: INBOX REPORTCBEdfghB-B9E2-4A04fghAB-136A6fdghF0C6", "base64_blob": "dGhpcyBpcyB0ZXN0aW5nIHNhhdfhfpbmRlIHdpbmRvd3Mgc2hhcmdfghdfgUgddfghXNpbmcgc2llbXBsdfghaWZ5IGFndfghdfghdfghZW50" }
Get Files as Base64
Descrizione
Converte i file di una directory in valori Base64.
Parametri
| Parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
| Percorsi file | Stringa | N/D | Sì | Specifica i percorsi dei file in cui sono archiviati i file. Utilizza il delimitatore virgola se vengono specificati più percorsi. |
Esempio
In questo scenario, un file denominato iocs_list.txt nella directory /mnt/sharefiles viene convertito in un blob Base64. Questa azione viene spesso utilizzata insieme all'azione "Aggiungi allegato", che prende il blob Base64 come input e aggiunge il file alla bacheca della richiesta.
Configurazioni delle azioni
| Parametro | Valore |
| Entità | Tutte le entità |
| Percorsi file | /mnt/sharefiles/iocs_list.txt |
Risultati dell'azione
-
Risultato script
Nome del risultato dello script Opzioni di valore Esempio ScriptResult Numero di allegati 1 -
Risultato JSON
{ "Filenames" : { 0 : "/opt/siemplify/siemplify_server/Scripting/Phishing_.eml", 1 : "/opt/siemplify/siemplify_server/Scripting/Logo.png" }, "data" : { 0 : { "path" : "/opt/siemplify/siemplify_server/Scripting", "filename" : "Phishing_.eml", "extension" : ".eml", "base64" : "asdfagdfgergert34523523452345dfg" } } }
Rimuovere l'entità dal file
Descrizione
Rimuove l'identificatore di un'entità target da un file locale. Restituisce False se non riesce a rimuovere tutte le entità o se un'entità non esiste.
Parametri
| Parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
| Nome file | Stringa | N/D | Sì | Specifica il nome del file da cui rimuovere le entità. |
Esempio
In questo scenario, gli identificatori di entità del nome host interno vengono rimossi da ioc_list.txt che si trova nella directory /tmp.
Configurazioni delle azioni
| Parametro | Valore |
| Entità | Nomi host interni |
| Nome del file | ioc_list |
Risultati dell'azione
-
Risultato script
Nome del risultato dello script Opzioni di valore Esempio RemovedAllEntities Vero/Falso Vero
Salva Base64 in File
Descrizione
Converte una stringa Base64 in un file. Supporta elenchi separati da virgole per Nome file e Input Base64.
Percorso file predefinito: /opt/siemplify/siemplify_server/Scripting/downloads/FILE_NAME
Percorso file predefinito utilizzando un agente: /opt/SiemplifyAgent/downloads/FILE_NAME
Parametri
| Parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
| Estensione del file | Stringa | N/D | No | Specifica l'estensione di file da aggiungere al nome del file. |
| Input Base64 | Stringa | N/D | Sì | Specifica la stringa Base64 da convertire in un file. Supporta la separazione con virgole. |
| Nome del file | Stringa | N/D | Sì | Specifica il nome del file che verrà creato in base alla stringa Base64. |
Esempio
In questo scenario, se l'azione viene eseguita su un agente remoto, una stringa di input Base64 viene salvata in un file di testo ioc_list che si trova nella directory /opt/SiemplifyAgent/downloads.
Configurazioni delle azioni
| Parametro | Valore |
| Entità | Nomi host interni |
| Estensione del file | txt |
| Input Base64 | c2FtcGxIIGZpbGUgY29udGFpbsdfgsdfgmluZyBzYW1wbGUgZGF
OYQ== |
| Nome del file | ioc_list |
Risultati dell'azione
-
Risultato script
Nome del risultato dello script Opzioni di valore Esempio ScriptResult Vero/Falso true -
Risultato JSON
{ "files": [ {"file_name": "ioc_list", "file_path": "/opt/SiemplifyAgent/downloads/ioc_list.txt", "extension": ".txt"}] }
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.