Utilitários de ficheiros
Overview
As utilidades de ficheiros são um conjunto de ações de ficheiros usadas para melhorar as capacidades dos manuais de procedimentos.
Ações
Adicionar anexo
Descrição
Adiciona um anexo à parede da caixa.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome | String | N/A | Sim | Especifique o nome do anexo que vai estar visível no mural de casos. |
| IsFavorite | Caixa de verificação | Desmarcado | Não | Especifique se quer que o anexo seja marcado como favorito na cronologia de registos. |
| Blob Base64 | String | N/A | Sim |
Especifique o blob Base64 do anexo. Use a ação "Obter ficheiros como
Base64" para obter o blob Base64.
Esta ação aceita um único blob Base64. Se tiver vários ficheiros, tem de chamar esta ação para cada ficheiro individualmente. |
| Tipo | String | N/A | Sim | Especifique a extensão do ficheiro |
| Descrição | String | N/A | Sim | Especifique a descrição do ficheiro. |
Exemplo
Neste cenário, um blob Base64 é derivado de uma ação anterior e, em seguida, é anexado ao registo do caso. Depois de adicionado à parede, pode ser usado para análise adicional. Esta ação é usada juntamente com a ação "Obter ficheiro como Base64", que gera a string Base64 de um ficheiro.
Configurações de ações
| Parâmetro | Valor |
| Entidades | Todas as entidades |
| Nome | Malicious_EML |
| IsFavorite | Marcado |
| Blob Base64 | [FileUtilities_Get Files as Base64_1.JsonResult | "data.base64"] |
| Tipo | [FileUtilities_Get Files as Base64_1.JsonResult | "data.extension" |
| Descrição | Ficheiro EML malicioso do utilizador final. |
Resultados da ação
-
Resultado do script
Nome do resultado do script Opções de valor Exemplo is_success Verdadeiro/Falso is_success:True -
Resultado JSON
{ "evidenceName" : "Malicious_EML", "description " : "Malicious EML file from end user.", "evidenceThumbnailBase64" : "", "evidenceId" : 322, "fileType" : ".eml", "creatorUserId" : "Siemplify automation", "id " : 322, "type" : 4, "caseId" : 51187, "isFavorite" : true, "modificationTimeUnixTimeInMs" : 1664206699128, "creationTimeUnixTimeInMs" : 1664206699128, "alertIdentifier" : null }
Adicione uma entidade ao ficheiro
Descrição
Adiciona um identificador de uma entidade de destino a um ficheiro local. Só adiciona uma ocorrência da entidade ao ficheiro e devolve False se a entidade já existir.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
| Nome do ficheiro | String | N/A | Sim | Especifique o nome do ficheiro no qual escrever as entidades. O ficheiro é armazenado no diretório /tmp/. |
Exemplo
Neste cenário, os identificadores de entidades de nomes de anfitrião suspeitos são adicionados a um ficheiro denominado iocs_list.txt no diretório /mnt/fileshare/.
Configurações de ações
| Parâmetro | Valor |
| Entidades | Nomes de anfitrião suspeitos |
| Nome do ficheiro | /mnt/fileshare/ocs_list.txt |
Resultados da ação
-
Resultado do script
Nome do resultado do script Opções de valor Exemplo AddedAllEntities Verdadeiro/Falso True
Contar ficheiros
Descrição
Conta o número de ficheiros num determinado caminho de pasta de acordo com uma extensão de ficheiro específica.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
| Extensão do ficheiro | String | *.txt | Não | Especifique a extensão do ficheiro pela qual fazer a contagem. |
| Pasta | String | N/A | Sim | Especifique o caminho da pasta cujos ficheiros quer contar. |
| É recursivo | Caixa de verificação | Desmarcado | Não | Se estiver ativada, esta opção conta recursivamente todos os ficheiros no diretório. |
Exemplo
Neste cenário, todos os ficheiros com .txt no diretório /mnt/fileshare são contabilizados.
Configurações de ações
| Parâmetro | Valor |
| Entidades | Todas as entidades |
| Extensão do ficheiro | *.txt |
| Pasta | /mnt/fileshare/ |
| É recursivo | Marcado |
Resultados da ação
-
Resultado do script
Nome do resultado do script Opções de valor Exemplo ScriptResult Valor da contagem 10
Criar arquivo
Descrição
Cria um ficheiro de arquivo a partir de uma lista de ficheiros ou diretórios fornecidos. Devolve a localização do ficheiro de arquivo.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
| Tipo de arquivo | String | N/A | Sim | Especifique o tipo de arquivo a criar. Suporta: zip, tar, gztar, bztar e xtar. |
| Nome base do arquivo | String | N/A | Sim | Especifique o nome do ficheiro de arquivo que vai ser criado sem extensão. |
| Arquivo de entradas | String | Desmarcado | Sim | Se estiver ativada, esta opção conta recursivamente todos os ficheiros no diretório. |
Exemplo
Neste cenário, é criado um ficheiro ZIP de arquivo denominado archived_ioc_files que contém vários ficheiros no diretório /mnt/fileshares.
Configurações de ações
| Parâmetro | Valor |
| Entidades | Todas as entidades |
| Tipo de arquivo | código postal |
| Nome base do arquivo | archived_ioc_files |
| Arquivo de entradas | /mnt/fileshares/ioc_list1,/mnt/fileshares/ioc_list2, /mnt/fileshares/ioc_list3 |
Resultados da ação
-
Resultado do script
Nome do resultado do script Opções de valor Exemplo ScriptResult Verdadeiro/Falso verdadeiro -
Resultado JSON
{ "archive" : "/opt/siemplify/siemplify_server/Scripting/FileUtilities/Archives/archived_ioc_files.zip", "success" : true }
Descodificar Base64
Descrição
Descodifica a string de entrada Base64 e devolve um objeto JSON com o conteúdo.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
| Entrada Base64 | String | N/A | Sim | Especifique a string de entrada Base64 que quer descodificar. |
| Codificação | Menu pendente | UTF-8 | Sim | Especifique o formato de codificação. UTF-8 ou ASCII. |
Exemplo
Neste cenário, um blob Base64 de um ficheiro é convertido através de UTF-8 no respetivo conteúdo original.
Configurações de ações
| Parâmetro | Valor |
| Entidades | Todas as entidades |
| Entrada Base64 | (2FtcGxIIGZpbGUgY29udGFpbmluZyBzYW1qbGUgZGFOYQ== |
| Codificação | UTF-8 |
Resultados da ação
-
Resultado do script
Nome do resultado do script Opções de valor Exemplo ScriptResult Verdadeiro/Falso verdadeiro -
Resultado JSON
{ "decoded_content" : "<file content>" }
Extraia um arquivo
Descrição
Extrai um ficheiro de arquivo para um diretório.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
| Arquivar | String | N/A | Sim | Especifique o caminho do arquivo a extrair. Suporta: zip, tar, gztar, bztar e xtar. O caminho de destino é: /opt/siemplify/siemplify_server/Scripting/FileUtilities/Extract |
Exemplo
Neste cenário, os ficheiros em ioc_lists.zip são extraídos e guardados no diretório /opt/siemplify/siemplify_server/Scripting/FileUtilities/Extract.
Configurações de ações
| Parâmetro | Valor |
| Entidades | Todas as entidades |
| Arquivar | /opt/siemplify/siemplify_server/Scripting/FileUtilities/Extract/ioc_lists |
Resultados da ação
-
Resultado do script
Nome do resultado do script Opções de valor Exemplo ScriptResult Verdadeiro/Falso verdadeiro -
Resultado JSON
{"archives" : {0 : "success" : true, "archive" : "ioc_lists.tar", "folder" : "/opt/siemplify/siemplify_server/Scripting/FileUtilities/Extract/ioc_lists", "files_with_path" :{ 0 : "/opt/siemplify/siemplify_server/Scripting/FileUtilities/Extract/testarchive/Archives/ioc_lists.tar", 1 : "/opt/siemplify/siemplify_server/Scripting/FileUtilities/Extract/ioc_lists/Archives/file1" }, "files_list" : { 0 : "ioc_lists.tar", 1 : "file1", 2 : "file2" }, "files" :{ "name" : "ioc_lists", "type" : "directory", "children" : { 0 :{ "name" : "ioc_lists.tar", "type" : "file" }, 1 : { "name" : "file1", "type" : "file" }, 2 : { "name" : "file2", "type" : "file" } } } }
Extraia ficheiros ZIP
Descrição
Extraia ficheiros de um arquivo ZIP. Tem a capacidade de extrair ficheiros protegidos por palavra-passe através de uma palavra-passe fornecida ou de força bruta. Usa o atributo attachment_id de uma entidade de ficheiro para extrair o ficheiro da cronologia do registo e extraí-lo.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
| Inclua dados no resultado JSON | Caixa de verificação | Desmarcado | Não | Especifique se quer incluir os dados extraídos como valores Base64 no resultado JSON. |
| Criar entidades | Caixa de verificação | Marcado | Não | Especifique se quer criar entidades a partir dos ficheiros extraídos. |
| Palavra-passe do ficheiro ZIP | String | N/A | Não | Especifique a palavra-passe do ficheiro ZIP se estiver protegido por palavra-passe. |
| Palavra-passe de força bruta | Caixa de verificação | Desmarcado | Não | Especifique se quer forçar o ficheiro ZIP protegido por palavra-passe. |
| Adicione à montra de capas | Caixa de verificação | Marcado | Não | Especifique se quer adicionar os ficheiros extraídos à cronologia do registo. |
| Delimitador da lista de palavras-passe do ficheiro ZIP | String | , | Sim | Especifique o delimitador a usar se forem fornecidas várias palavras-passe no parâmetro "Palavra-passe do ficheiro ZIP". |
Exemplo
Neste cenário, é extraída uma entidade de ficheiro ZIP protegida por palavra-passe e os ficheiros resultantes são adicionados à cronologia do registo juntamente com a criação da entidade de ficheiro.
Configurações de ações
| Parâmetro | Valor |
| Inclua dados no resultado JSON | Marcado |
| Criar entidades | Marcado |
| Palavra-passe do ficheiro ZIP | Password1 |
| Palavra-passe de força bruta | Desmarcado |
| Adicione à montra de capas | Marcado |
| Delimitador da lista de palavras-passe do ficheiro ZIP | , |
Resultados da ação
-
Resultado do script
Nome do resultado do script Opções de valor Exemplo zip_files_extracted Verdadeiro/Falso verdadeiro
Get Attachment
Descrição
Recupera um anexo da cronologia do registo e devolve o respetivo valor Base64.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
| Âmbito do anexo | Menu pendente | Alerta | Sim | Especifique o tipo de anexo que tem de ser obtido. As opções são: Case ou Alert |
Exemplo
Neste cenário, um anexo é extraído da cronologia do registo e é convertido num blob Base64.
Configurações de ações
| Parâmetro | Valor |
| Entidades | Todas as entidades |
| Âmbito do anexo | Alerta |
Resultados da ação
-
Resultado do script
Nome do resultado do script Opções de valor Exemplo ScriptResult Número de anexos 1 -
Resultado JSON
{ "evidenceName": "myfile.txt", "description": "sample descriptions", "evidenceThumbnailBase64": "", "evidenceId": 475, "fileType": ".txt", "creatorUserId": "Siemplify automation", "id": 475, "type": 4, "caseId": 51209, "isFavorite": false, "modificationTimeUnixTimeInMs": 1664222678523, "creationTimeUnixTimeInMs": 1664222678523, "alertIdentifier": "COFENSE TRIAGE: INBOX REPORTCBEdfghB-B9E2-4A04fghAB-136A6fdghF0C6", "base64_blob": "dGhpcyBpcyB0ZXN0aW5nIHNhhdfhfpbmRlIHdpbmRvd3Mgc2hhcmdfghdfgUgddfghXNpbmcgc2llbXBsdfghaWZ5IGFndfghdfghdfghZW50" }
Obtenha ficheiros como Base64
Descrição
Converte ficheiros num diretório em valores Base64.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
| Caminhos de ficheiros | String | N/A | Sim | Especifique os caminhos dos ficheiros onde os ficheiros estão armazenados. Use o delimitador de vírgula se forem especificados vários caminhos. |
Exemplo
Neste cenário, um ficheiro denominado iocs_list.txt no diretório /mnt/sharefiles é convertido num blob Base64. Esta ação é frequentemente usada juntamente com a ação "Adicionar anexo", que usa o blob Base64 como entrada e adiciona o ficheiro ao registo do pedido.
Configurações de ações
| Parâmetro | Valor |
| Entidades | Todas as entidades |
| Caminhos de ficheiros | /mnt/sharefiles/iocs_list.txt |
Resultados da ação
-
Resultado do script
Nome do resultado do script Opções de valor Exemplo ScriptResult Número de anexos 1 -
Resultado JSON
{ "Filenames" : { 0 : "/opt/siemplify/siemplify_server/Scripting/Phishing_.eml", 1 : "/opt/siemplify/siemplify_server/Scripting/Logo.png" }, "data" : { 0 : { "path" : "/opt/siemplify/siemplify_server/Scripting", "filename" : "Phishing_.eml", "extension" : ".eml", "base64" : "asdfagdfgergert34523523452345dfg" } } }
Remova a entidade do ficheiro
Descrição
Remove o identificador de uma entidade de destino de um ficheiro local. Devolve Falso se não conseguir remover todas as entidades ou se uma entidade não existir.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
| Nome do ficheiro | String | N/A | Sim | Especifique o nome do ficheiro do qual quer remover entidades. |
Exemplo
Neste cenário, os identificadores de entidades de nomes de anfitriões internos são removidos do ficheiro ioc_list.txt localizado no diretório /tmp.
Configurações de ações
| Parâmetro | Valor |
| Entidades | Nomes de anfitriões internos |
| Nome do ficheiro | ioc_list |
Resultados da ação
-
Resultado do script
Nome do resultado do script Opções de valor Exemplo RemovedAllEntities Verdadeiro/Falso True
Guardar Base64 no ficheiro
Descrição
Converte uma string Base64 num ficheiro. Suporta listas separadas por vírgulas para nome do ficheiro e entrada Base64.
Caminho do ficheiro predefinido: /opt/siemplify/siemplify_server/Scripting/downloads/FILE_NAME
Caminho do ficheiro predefinido com um agente: /opt/SiemplifyAgent/downloads/FILE_NAME
Parâmetros
| Parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
| Extensão do ficheiro | String | N/A | Não | Especifique a extensão do ficheiro a adicionar ao nome do ficheiro. |
| Entrada Base64 | String | N/A | Sim | Especifique a string Base64 que vai ser convertida num ficheiro. Suporta separação por vírgulas. |
| Nome do ficheiro | String | N/A | Sim | Especifique o nome do ficheiro que vai ser criado com base na string Base64. |
Exemplo
Neste cenário, se a ação for executada num agente remoto, uma string de entrada Base64 é guardada num ficheiro de texto ioc_list localizado no diretório /opt/SiemplifyAgent/downloads.
Configurações de ações
| Parâmetro | Valor |
| Entidades | Nomes de anfitriões internos |
| Extensão do ficheiro | txt |
| Entrada Base64 | c2FtcGxIIGZpbGUgY29udGFpbsdfgsdfgmluZyBzYW1wbGUgZGF
OYQ== |
| Nome do ficheiro | ioc_list |
Resultados da ação
-
Resultado do script
Nome do resultado do script Opções de valor Exemplo ScriptResult Verdadeiro/Falso verdadeiro -
Resultado JSON
{ "files": [ {"file_name": "ioc_list", "file_path": "/opt/SiemplifyAgent/downloads/ioc_list.txt", "extension": ".txt"}] }
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.