파일 유틸리티

개요

파일 유틸리티는 플레이북 기능을 강화하는 데 사용되는 파일 작업 집합입니다.

작업

첨부파일 추가

설명

케이스 월에 첨부파일을 추가합니다.

매개변수

매개변수	유형	기본값	필수 항목	설명
이름	문자열	해당 사항 없음	예	케이스 월에 표시될 첨부파일의 이름을 지정합니다.
IsFavorite	체크박스	선택 해제	아니요	첨부파일을 케이스 월에서 즐겨찾기로 표시할지 여부를 지정합니다.
Base64 Blob	문자열	해당 사항 없음	예	첨부파일의 Base64 blob을 지정합니다. '파일을 Base64로 가져오기' 작업을 사용하여 Base64 blob을 가져옵니다. 이 작업은 단일 Base64 blob을 허용합니다. 파일이 여러 개인 경우 각 파일에 대해 이 작업을 개별적으로 호출해야 합니다.
유형	문자열	해당 사항 없음	예	파일 확장자 지정
설명	문자열	해당 사항 없음	예	파일 설명을 지정합니다.

예시

이 시나리오에서는 이전 작업에서 Base64 blob이 파생된 후 케이스 월에 첨부됩니다. 벽에 추가되면 추가 분석에 사용할 수 있습니다. 이 작업은 파일의 Base64 문자열을 생성하는 '파일을 Base64로 가져오기' 작업과 함께 사용됩니다.

작업 구성

매개변수	값
항목	모든 항목
이름	Malicious_EML
IsFavorite	선택됨
Base64 Blob	[FileUtilities_Get Files as Base64_1.JsonResult | "data.base64"]
유형	[FileUtilities_Get Files as Base64_1.JsonResult | 'data.extension'
설명	최종 사용자의 악성 EML 파일

작업 결과

• 스크립트 결과

  스크립트 결과 이름	값 옵션	예시
  is_success	True/False	is_success:True

• JSON 결과

   {
  "evidenceName" : "Malicious_EML", 
  "description " : "Malicious EML file from end user.", 
  "evidenceThumbnailBase64" : "", 
  "evidenceId" : 322, 
  "fileType" : ".eml", 
  "creatorUserId" : "Siemplify automation", 
  "id " : 322, 
  "type"  : 4, 
  "caseId" : 51187, 
  "isFavorite" : true, 
  "modificationTimeUnixTimeInMs" : 1664206699128, 
  "creationTimeUnixTimeInMs" : 1664206699128, 
  "alertIdentifier" : null
  }

---

파일에 항목 추가

설명

타겟 항목의 식별자를 로컬 파일에 추가합니다. 파일에 항목이 한 번만 추가되며 항목이 이미 있으면 False가 반환됩니다.

매개변수

매개변수	유형	기본값	필수 항목	설명
파일 이름	문자열	해당 사항 없음	예	엔티티를 쓸 파일의 이름을 지정합니다. 파일은 /tmp/ 디렉터리에 저장됩니다.

예시

이 시나리오에서는 의심스러운 호스트 이름 엔티티 식별자가 /mnt/fileshare/ 디렉터리의 iocs_list.txt라는 파일에 추가됩니다.

작업 구성

매개변수	값
항목	의심스러운 호스트 이름
파일 이름	/mnt/fileshare/ocs_list.txt

작업 결과

• 스크립트 결과

  스크립트 결과 이름	값 옵션	예시
  AddedAllEntities	True/False	참

---

파일 개수

설명

특정 파일 확장자에 따라 지정된 폴더 경로의 파일 수를 계산합니다.

매개변수

매개변수	유형	기본값	필수 항목	설명
파일 확장자	문자열	*.txt	아니요	개수를 셀 파일 확장자를 지정합니다.
폴더	문자열	해당 사항 없음	예	파일을 계산할 폴더 경로를 지정합니다.
Is Recursive(재귀적)	체크박스	선택 해제	아니요	사용 설정하면 디렉터리의 모든 파일을 재귀적으로 집계합니다.

예시

이 시나리오에서는 /mnt/fileshare 디렉터리에 있는 .txt 파일이 모두 집계됩니다.

작업 구성

매개변수	값
항목	모든 항목
파일 확장자	*.txt
폴더	/mnt/fileshare/
Is Recursive(재귀적)	선택됨

작업 결과

• 스크립트 결과

  스크립트 결과 이름	값 옵션	예시
  ScriptResult	개수 값	10

---

보관 파일 만들기

설명

제공된 파일 또는 디렉터리 목록에서 보관 파일을 만듭니다. 보관 파일의 위치를 반환합니다.

매개변수

매개변수	유형	기본값	필수 항목	설명
보관 파일 유형	문자열	해당 사항 없음	예	만들 보관 파일의 유형을 지정합니다. 지원되는 형식: zip, tar, gztar, bztar, xtar
보관 파일 기본 이름	문자열	해당 사항 없음	예	확장자 없이 생성될 보관 파일의 이름을 지정합니다.
보관 파일 입력	문자열	선택 해제	예	사용 설정하면 디렉터리의 모든 파일을 재귀적으로 집계합니다.

예시

이 시나리오에서는 /mnt/fileshares 디렉터리에 여러 파일이 포함된 archived_ioc_files라는 보관 파일 zip 파일이 생성됩니다.

작업 구성

매개변수	값
항목	모든 항목
보관 파일 유형	우편번호
보관 파일 기본 이름	archived_ioc_files
보관 파일 입력	/mnt/fileshares/ioc_list1,/mnt/fileshares/ioc_list2, /mnt/fileshares/ioc_list3

작업 결과

• 스크립트 결과

  스크립트 결과 이름	값 옵션	예시
  ScriptResult	True/False	true

• JSON 결과

   {
  "archive" : 
  "/opt/siemplify/siemplify_server/Scripting/FileUtilities/Archives/archived_ioc_files.zip",
  "success" : true
  }

---

Base64 디코딩

설명

Base64 입력 문자열을 디코딩하고 콘텐츠가 포함된 JSON 객체를 반환합니다.

매개변수

매개변수	유형	기본값	필수 항목	설명
Base64 입력	문자열	해당 사항 없음	예	디코딩할 Base64 입력 문자열을 지정합니다.
인코딩	드롭다운	UTF-8	예	인코딩 형식을 지정합니다. UTF-8 또는 ASCII

예시

이 시나리오에서는 파일의 Base64 blob이 UTF-8을 사용하여 원래 콘텐츠로 변환됩니다.

작업 구성

매개변수	값
항목	모든 항목
Base64 입력	(2FtcGxIIGZpbGUgY29udGFpbmluZyBzYW1qbGUgZGFOYQ==
인코딩	UTF-8

작업 결과

• 스크립트 결과

  스크립트 결과 이름	값 옵션	예시
  ScriptResult	True/False	true

• JSON 결과

   {
  "decoded_content" : "<file content>"
  }

---

보관 파일 추출

설명

보관 파일을 디렉터리로 추출합니다.

매개변수

매개변수	유형	기본값	필수 항목	설명
보관처리	문자열	해당 사항 없음	예	추출할 보관 파일의 경로를 지정합니다. 지원되는 형식: zip, tar, gztar, bztar, xtar 대상 경로는 다음과 같습니다. /opt/siemplify/siemplify_server/Scripting/FileUtilities/Extract

예시

이 시나리오에서는 ioc_lists.zip의 파일이 추출되어 /opt/siemplify/siemplify_server/Scripting/FileUtilities/Extract 디렉터리에 저장됩니다.

작업 구성

매개변수	값
항목	모든 항목
보관처리	/opt/siemplify/siemplify_server/Scripting/FileUtilities/Extract/ioc_lists

작업 결과

• 스크립트 결과

  스크립트 결과 이름	값 옵션	예시
  ScriptResult	True/False	true

• JSON 결과

   {"archives" :
      {0 :
          "success" : true,
          "archive" : "ioc_lists.tar",
          "folder" : "/opt/siemplify/siemplify_server/Scripting/FileUtilities/Extract/ioc_lists",
          "files_with_path" :{
                  0 : "/opt/siemplify/siemplify_server/Scripting/FileUtilities/Extract/testarchive/Archives/ioc_lists.tar",
                  1 : "/opt/siemplify/siemplify_server/Scripting/FileUtilities/Extract/ioc_lists/Archives/file1"
                             },
          
          "files_list" : {
                  0 : "ioc_lists.tar",
                  1 : "file1",
                  2 : "file2"
                          },
          "files" :{
              "name" : "ioc_lists",
              "type" : "directory",
              "children" : {
                  0 :{
                      "name" : "ioc_lists.tar",
                      "type" : "file"
                     },
                  1 : {
                      "name" : "file1",
                      "type" : "file"
                      },
                  2 : {
                      "name" : "file2",
                      "type" : "file"
                      }
                           }
  
      }
  }

---

ZIP 파일 추출

설명

ZIP 보관 파일에서 파일을 추출합니다. 제공된 비밀번호나 무차별 대입을 통해 비밀번호로 보호된 파일을 추출할 수 있습니다. 파일 엔티티의 attachment_id 속성을 사용하여 케이스 월에서 파일을 가져와 추출합니다.

매개변수

매개변수	유형	기본값	필수 항목	설명
JSON 결과에 데이터 포함	체크박스	선택 해제	아니요	추출된 데이터를 json 결과에 Base64 값으로 포함할지 여부를 지정합니다.
항목 만들기	체크박스	선택	아니요	추출된 파일에서 항목을 만들지 여부를 지정합니다.
ZIP 파일 비밀번호	문자열	해당 사항 없음	아니요	ZIP 파일이 비밀번호로 보호된 경우 비밀번호를 지정합니다.
무차별 대입 비밀번호	체크박스	선택 해제	아니요	비밀번호로 보호된 ZIP 파일을 무차별 대입할지 여부를 지정합니다.
케이스 월에 추가	체크박스	선택	아니요	추출된 파일을 케이스 월에 추가할지 지정합니다.
Zip 비밀번호 목록 구분 기호	문자열	,	예	'Zip 파일 비밀번호' 매개변수에 여러 비밀번호가 제공된 경우 사용할 구분 기호를 지정합니다.

예시

이 시나리오에서는 비밀번호로 보호된 zip 파일 항목이 추출되고 결과 파일이 파일 항목 생성과 함께 케이스 월에 추가됩니다.

작업 구성

매개변수	값
JSON 결과에 데이터 포함	선택됨
항목 만들기	선택됨
ZIP 파일 비밀번호	Password1
무차별 대입 비밀번호	선택 해제
케이스 월에 추가	선택됨
Zip 비밀번호 목록 구분 기호	,

작업 결과

• 스크립트 결과

  스크립트 결과 이름	값 옵션	예시
  zip_files_extracted	True/False	true

---

첨부파일 가져오기

설명

케이스 월에서 첨부파일을 가져와 Base64 값을 반환합니다.

매개변수

매개변수	유형	기본값	필수 항목	설명
첨부파일 범위	드롭다운	알림	예	가져와야 하는 첨부파일의 유형을 지정합니다. 옵션은 케이스 또는 알림입니다.

예시

이 시나리오에서는 첨부파일이 케이스 월에서 가져와 Base64 blob으로 변환됩니다.

작업 구성

매개변수	값
항목	모든 항목
첨부파일 범위	알림

작업 결과

• 스크립트 결과

  스크립트 결과 이름	값 옵션	예시
  ScriptResult	첨부파일 수	1

• JSON 결과

   {
  "evidenceName": "myfile.txt", 
  "description": "sample descriptions", 
  "evidenceThumbnailBase64": "", 
  "evidenceId": 475, 
  "fileType": ".txt", 
  "creatorUserId": "Siemplify automation", 
  "id": 475, 
  "type": 4, 
  "caseId": 51209, 
  "isFavorite": false, 
  "modificationTimeUnixTimeInMs": 1664222678523, 
  "creationTimeUnixTimeInMs": 1664222678523, 
  "alertIdentifier": "COFENSE TRIAGE: INBOX REPORTCBEdfghB-B9E2-4A04fghAB-136A6fdghF0C6", 
  "base64_blob": "dGhpcyBpcyB0ZXN0aW5nIHNhhdfhfpbmRlIHdpbmRvd3Mgc2hhcmdfghdfgUgddfghXNpbmcgc2llbXBsdfghaWZ5IGFndfghdfghdfghZW50"
  }

---

파일을 Base64로 가져오기

설명

디렉터리의 파일을 Base64 값으로 변환합니다.

매개변수

매개변수	유형	기본값	필수 항목	설명
File Paths	문자열	해당 사항 없음	예	파일이 저장된 파일 경로를 지정합니다. 여러 경로가 지정된 경우 쉼표 구분자를 사용합니다.

예시

이 시나리오에서는 /mnt/sharefiles 디렉터리의 iocs_list.txt 파일이 Base64 blob으로 변환됩니다. 이 작업은 Base64 blob을 입력으로 가져와 파일을 케이스 월에 추가하는 '첨부파일 추가' 작업과 함께 사용되는 경우가 많습니다.

작업 구성

매개변수	값
항목	모든 항목
File Paths	/mnt/sharefiles/iocs_list.txt

작업 결과

• 스크립트 결과

  스크립트 결과 이름	값 옵션	예시
  ScriptResult	첨부파일 수	1

• JSON 결과

   {
  "Filenames" : {
       0 :  "/opt/siemplify/siemplify_server/Scripting/Phishing_.eml",
       1 :  "/opt/siemplify/siemplify_server/Scripting/Logo.png"
       },
  "data" : {
       0 : {
            "path" : "/opt/siemplify/siemplify_server/Scripting",
            "filename" : "Phishing_.eml",
            "extension" : ".eml",
            "base64" : "asdfagdfgergert34523523452345dfg"  
       }
     }
  }  

---

파일에서 항목 삭제

설명

로컬 파일에서 타겟 항목의 식별자를 삭제합니다. 모든 항목을 삭제하지 못하거나 항목이 존재하지 않으면 False를 반환합니다.

매개변수

매개변수	유형	기본값	필수 항목	설명
파일 이름	문자열	해당 사항 없음	예	항목을 삭제할 파일의 이름을 지정합니다.

예시

이 시나리오에서는 /tmp 디렉터리에 있는 ioc_list.txt에서 내부 호스트 이름 엔티티 식별자가 삭제됩니다.

작업 구성

매개변수	값
항목	내부 호스트 이름
파일 이름	ioc_list

작업 결과

• 스크립트 결과

  스크립트 결과 이름	값 옵션	예시
  RemovedAllEntities	True/False	참

---

Base64를 파일에 저장

설명

Base64 문자열을 파일로 변환합니다. 파일 이름과 Base64 입력에 쉼표로 구분된 목록을 지원합니다.

기본 파일 경로: /opt/siemplify/siemplify_server/Scripting/downloads/FILE_NAME

에이전트를 사용하는 기본 파일 경로: /opt/SiemplifyAgent/downloads/FILE_NAME

매개변수

매개변수	유형	기본값	필수 항목	설명
파일 확장자	문자열	해당 사항 없음	아니요	파일 이름에 추가할 파일 확장자를 지정합니다.
Base64 입력	문자열	해당 사항 없음	예	파일로 변환될 Base64 문자열을 지정합니다. 쉼표로 구분된 값을 지원합니다.
파일 이름	문자열	해당 사항 없음	예	Base64 문자열을 기반으로 생성될 파일의 이름을 지정합니다.

예시

이 시나리오에서 원격 에이전트에서 작업을 실행하면 Base64 입력 문자열이 /opt/SiemplifyAgent/downloads 디렉터리에 있는 ioc_list 텍스트 파일에 저장됩니다.

작업 구성

매개변수	값
항목	내부 호스트 이름
파일 확장자	txt
Base64 입력	c2FtcGxIIGZpbGUgY29udGFpbsdfgsdfgmluZyBzYW1wbGUgZGF OYQ==
파일 이름	ioc_list

작업 결과

• 스크립트 결과

  스크립트 결과 이름	값 옵션	예시
  ScriptResult	True/False	true

• JSON 결과

   {
  "files": [
  {"file_name": "ioc_list", 
  "file_path": "/opt/SiemplifyAgent/downloads/ioc_list.txt", 
  "extension": ".txt"}]
  }