Utilitários de arquivos
Visão geral
O utilitário de arquivos é um conjunto de ações usadas para aumentar os recursos do playbook.
Ações
Adicionar anexo
Descrição
Adiciona um anexo ao painel de casos.
Parâmetros
| Parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome | String | N/A | Sim | Especifique o nome do anexo que vai aparecer no mural de casos. |
| IsFavorite | Caixa de seleção | Desmarcado | Não | Especifique se você quer que o anexo seja marcado como favorito no mural de casos. |
| Blob Base64 | String | N/A | Sim |
Especifique o blob Base64 do anexo. Use a ação "Receber arquivos como Base64" para receber o blob Base64.
Essa ação aceita um único blob Base64. Se você tiver vários arquivos, chame essa ação para cada um deles. |
| Tipo | String | N/A | Sim | Especifique a extensão do arquivo |
| Descrição | String | N/A | Sim | Especifique a descrição do arquivo. |
Exemplo
Nesse cenário, um blob Base64 é derivado de uma ação anterior e anexado ao painel de casos. Depois de adicionado à parede, ele pode ser usado para análise posterior. Essa ação é usada com a ação "Extrair arquivo como Base64", que gera a string Base64 de um arquivo.
Configurações de ação
| Parâmetro | Valor |
| Entidades | Todas as entidades |
| Nome | Malicious_EML |
| IsFavorite | Selecionado |
| Blob Base64 | [FileUtilities_Get Files as Base64_1.JsonResult | "data.base64"] |
| Tipo | [FileUtilities_Get Files as Base64_1.JsonResult | "data.extension" |
| Descrição | Arquivo EML malicioso de um usuário final. |
Resultados da ação
-
Resultado do script
Nome do resultado do script Opções de valor Exemplo is_success Verdadeiro/Falso is_success:True -
Resultado JSON
{ "evidenceName" : "Malicious_EML", "description " : "Malicious EML file from end user.", "evidenceThumbnailBase64" : "", "evidenceId" : 322, "fileType" : ".eml", "creatorUserId" : "Siemplify automation", "id " : 322, "type" : 4, "caseId" : 51187, "isFavorite" : true, "modificationTimeUnixTimeInMs" : 1664206699128, "creationTimeUnixTimeInMs" : 1664206699128, "alertIdentifier" : null }
Adicionar entidade ao arquivo
Descrição
Adiciona um identificador de uma entidade de destino a um arquivo local. Ele só adiciona uma ocorrência da entidade ao arquivo e retorna "False" se a entidade já existir.
Parâmetros
| Parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
| Nome do arquivo | String | N/A | Sim | Especifique o nome do arquivo em que as entidades serão gravadas. O arquivo será armazenado no diretório /tmp/. |
Exemplo
Nesse cenário, identificadores de entidades de nome de host suspeitos são adicionados a um arquivo chamado iocs_list.txt no diretório /mnt/fileshare/.
Configurações de ação
| Parâmetro | Valor |
| Entidades | Nomes de host suspeitos |
| Nome do arquivo | /mnt/fileshare/ocs_list.txt |
Resultados da ação
-
Resultado do script
Nome do resultado do script Opções de valor Exemplo AddedAllEntities Verdadeiro/Falso Verdadeiro
Contar arquivos
Descrição
Conta o número de arquivos em um determinado caminho de pasta de acordo com uma extensão de arquivo específica.
Parâmetros
| Parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
| Extensão do arquivo | String | *.txt | Não | Especifique a extensão do arquivo para fazer a contagem. |
| Pasta | String | N/A | Sim | Especifique o caminho da pasta em que você quer contar os arquivos. |
| Is Recursive | Caixa de seleção | Desmarcado | Não | Se ativada, essa opção vai contar recursivamente todos os arquivos no diretório. |
Exemplo
Nesse cenário, todos os arquivos com .txt no diretório /mnt/fileshare são contados.
Configurações de ação
| Parâmetro | Valor |
| Entidades | Todas as entidades |
| Extensão do arquivo | *.txt |
| Pasta | /mnt/fileshare/ |
| Is Recursive | Selecionado |
Resultados da ação
-
Resultado do script
Nome do resultado do script Opções de valor Exemplo ScriptResult Valor da contagem 10
Criar arquivo
Descrição
Cria um arquivo morto com base em uma lista de arquivos ou diretórios fornecidos. Retorna o local do arquivo de arquivamento.
Parâmetros
| Parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
| Tipo de arquivo | String | N/A | Sim | Especifique o tipo de arquivo a ser criado. Compatível com: zip, tar, gztar, bztar, xtar. |
| Nome base do arquivo | String | N/A | Sim | Especifique o nome do arquivo de arquivo que será criado sem extensão. |
| Entrada de arquivo | String | Desmarcado | Sim | Se ativada, essa opção vai contar recursivamente todos os arquivos no diretório. |
Exemplo
Nesse cenário, um arquivo zip de arquivo chamado archived_ioc_files é criado contendo vários arquivos no diretório /mnt/fileshares.
Configurações de ação
| Parâmetro | Valor |
| Entidades | Todas as entidades |
| Tipo de arquivo | zip |
| Nome base do arquivo | archived_ioc_files |
| Entrada de arquivo | /mnt/fileshares/ioc_list1,/mnt/fileshares/ioc_list2, /mnt/fileshares/ioc_list3 |
Resultados da ação
-
Resultado do script
Nome do resultado do script Opções de valor Exemplo ScriptResult Verdadeiro/Falso verdadeiro -
Resultado JSON
{ "archive" : "/opt/siemplify/siemplify_server/Scripting/FileUtilities/Archives/archived_ioc_files.zip", "success" : true }
Decodificar Base64
Descrição
Decodifica a string de entrada Base64 e retorna um objeto JSON com o conteúdo.
Parâmetros
| Parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
| Entrada Base64 | String | N/A | Sim | Especifique a string de entrada em Base64 que você quer decodificar. |
| Codificação | Menu suspenso | UTF-8 | Sim | Especifique o formato de codificação. UTF-8 ou ASCII. |
Exemplo
Neste cenário, um blob Base64 de um arquivo é convertido usando UTF-8 para o conteúdo original.
Configurações de ação
| Parâmetro | Valor |
| Entidades | Todas as entidades |
| Entrada Base64 | (2FtcGxIIGZpbGUgY29udGFpbmluZyBzYW1qbGUgZGFOYQ== |
| Codificação | UTF-8 |
Resultados da ação
-
Resultado do script
Nome do resultado do script Opções de valor Exemplo ScriptResult Verdadeiro/Falso verdadeiro -
Resultado JSON
{ "decoded_content" : "<file content>" }
Extrair arquivo
Descrição
Extrai um arquivo para um diretório.
Parâmetros
| Parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
| Arquivar | String | N/A | Sim | Especifique o caminho do arquivo a ser extraído. Compatível com: zip, tar, gztar, bztar, xtar. O caminho de destino é: /opt/siemplify/siemplify_server/Scripting/FileUtilities/Extract |
Exemplo
Nesse cenário, os arquivos em ioc_lists.zip são extraídos e salvos no diretório /opt/siemplify/siemplify_server/Scripting/FileUtilities/Extract.
Configurações de ação
| Parâmetro | Valor |
| Entidades | Todas as entidades |
| Arquivar | /opt/siemplify/siemplify_server/Scripting/FileUtilities/Extract/ioc_lists |
Resultados da ação
-
Resultado do script
Nome do resultado do script Opções de valor Exemplo ScriptResult Verdadeiro/Falso verdadeiro -
Resultado JSON
{"archives" : {0 : "success" : true, "archive" : "ioc_lists.tar", "folder" : "/opt/siemplify/siemplify_server/Scripting/FileUtilities/Extract/ioc_lists", "files_with_path" :{ 0 : "/opt/siemplify/siemplify_server/Scripting/FileUtilities/Extract/testarchive/Archives/ioc_lists.tar", 1 : "/opt/siemplify/siemplify_server/Scripting/FileUtilities/Extract/ioc_lists/Archives/file1" }, "files_list" : { 0 : "ioc_lists.tar", 1 : "file1", 2 : "file2" }, "files" :{ "name" : "ioc_lists", "type" : "directory", "children" : { 0 :{ "name" : "ioc_lists.tar", "type" : "file" }, 1 : { "name" : "file1", "type" : "file" }, 2 : { "name" : "file2", "type" : "file" } } } }
Extrair arquivos ZIP
Descrição
Extrair arquivos de um arquivo ZIP. Ele pode extrair arquivos protegidos por senha usando uma senha fornecida ou força bruta. Ele usa o atributo attachment_id de uma entidade de arquivo para extrair o arquivo do mural do caso e extraí-lo.
Parâmetros
| Parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
| Incluir dados no resultado JSON | Caixa de seleção | Desmarcado | Não | Especifique se você quer incluir os dados extraídos como valores Base64 no resultado JSON. |
| Criar entidades | Caixa de seleção | Selecionado | Não | Especifique se você quer criar entidades com base nos arquivos extraídos. |
| Senha do arquivo ZIP | String | N/A | Não | Especifique a senha do arquivo ZIP se ele for protegido por senha. |
| Senha de força bruta | Caixa de seleção | Desmarcado | Não | Especifique se você quer fazer um ataque de força bruta no arquivo ZIP protegido por senha. |
| Adicionar ao Painel de casos | Caixa de seleção | Selecionado | Não | Especifique se você quer adicionar os arquivos extraídos ao mural de casos. |
| Delimitador da lista de senhas de arquivos ZIP | String | , | Sim | Especifique o delimitador a ser usado se várias senhas forem fornecidas no parâmetro "Senha do arquivo ZIP". |
Exemplo
Nesse cenário, uma entidade de arquivo ZIP protegida por senha é extraída, e os arquivos resultantes são adicionados ao painel de casos junto com a criação da entidade de arquivo.
Configurações de ação
| Parâmetro | Valor |
| Incluir dados no resultado JSON | Selecionado |
| Criar entidades | Selecionado |
| Senha do arquivo ZIP | Password1 |
| Senha de força bruta | Desmarcado |
| Adicionar ao Painel de casos | Selecionado |
| Delimitador da lista de senhas de arquivos ZIP | , |
Resultados da ação
-
Resultado do script
Nome do resultado do script Opções de valor Exemplo zip_files_extracted Verdadeiro/Falso verdadeiro
Get Attachment
Descrição
Recupera um anexo da página de detalhes do caso e retorna o valor Base64 dele.
Parâmetros
| Parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
| Escopo do anexo | Menu suspenso | Alerta | Sim | Especifique o tipo de anexo que precisa ser recuperado. As opções são: caso ou alerta |
Exemplo
Nesse cenário, um anexo é extraído do mural do caso e convertido em um blob Base64.
Configurações de ação
| Parâmetro | Valor |
| Entidades | Todas as entidades |
| Escopo do anexo | Alerta |
Resultados da ação
-
Resultado do script
Nome do resultado do script Opções de valor Exemplo ScriptResult Número de anexos 1 -
Resultado JSON
{ "evidenceName": "myfile.txt", "description": "sample descriptions", "evidenceThumbnailBase64": "", "evidenceId": 475, "fileType": ".txt", "creatorUserId": "Siemplify automation", "id": 475, "type": 4, "caseId": 51209, "isFavorite": false, "modificationTimeUnixTimeInMs": 1664222678523, "creationTimeUnixTimeInMs": 1664222678523, "alertIdentifier": "COFENSE TRIAGE: INBOX REPORTCBEdfghB-B9E2-4A04fghAB-136A6fdghF0C6", "base64_blob": "dGhpcyBpcyB0ZXN0aW5nIHNhhdfhfpbmRlIHdpbmRvd3Mgc2hhcmdfghdfgUgddfghXNpbmcgc2llbXBsdfghaWZ5IGFndfghdfghdfghZW50" }
Receber arquivos como Base64
Descrição
Converte arquivos em um diretório para valores Base64.
Parâmetros
| Parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
| Caminhos de arquivos | String | N/A | Sim | Especifique os caminhos de arquivo em que os arquivos estão armazenados. Use o delimitador de vírgula se vários caminhos forem especificados. |
Exemplo
Nesse cenário, um arquivo chamado iocs_list.txt no diretório /mnt/sharefiles é convertido em um blob Base64. Essa ação é usada com frequência junto com a ação "Adicionar anexo", que usa o blob Base64 como entrada e adiciona o arquivo ao mural do caso.
Configurações de ação
| Parâmetro | Valor |
| Entidades | Todas as entidades |
| Caminhos de arquivos | /mnt/sharefiles/iocs_list.txt |
Resultados da ação
-
Resultado do script
Nome do resultado do script Opções de valor Exemplo ScriptResult Número de anexos 1 -
Resultado JSON
{ "Filenames" : { 0 : "/opt/siemplify/siemplify_server/Scripting/Phishing_.eml", 1 : "/opt/siemplify/siemplify_server/Scripting/Logo.png" }, "data" : { 0 : { "path" : "/opt/siemplify/siemplify_server/Scripting", "filename" : "Phishing_.eml", "extension" : ".eml", "base64" : "asdfagdfgergert34523523452345dfg" } } }
Remover entidade do arquivo
Descrição
Remove o identificador de uma entidade de destino de um arquivo local. Ele vai retornar False se não for possível remover todas as entidades ou se uma entidade não existir.
Parâmetros
| Parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
| Nome do arquivo | String | N/A | Sim | Especifique o nome do arquivo de que você quer remover entidades. |
Exemplo
Nesse cenário, os identificadores de entidade de nome do host interno são removidos de ioc_list.txt, que está localizado no diretório /tmp.
Configurações de ação
| Parâmetro | Valor |
| Entidades | Nomes de host internos |
| Nome do arquivo | ioc_list |
Resultados da ação
-
Resultado do script
Nome do resultado do script Opções de valor Exemplo RemovedAllEntities Verdadeiro/Falso Verdadeiro
Salvar Base64 em arquivo
Descrição
Converte uma string Base64 em um arquivo. Ele aceita listas separadas por vírgulas para nome de arquivo e entrada Base64.
Caminho padrão do arquivo: /opt/siemplify/siemplify_server/Scripting/downloads/FILE_NAME
Caminho de arquivo padrão usando um agente: /opt/SiemplifyAgent/downloads/FILE_NAME
Parâmetros
| Parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
| Extensão do arquivo | String | N/A | Não | Especifique a extensão do arquivo a ser adicionada ao nome do arquivo. |
| Entrada Base64 | String | N/A | Sim | Especifique a string Base64 que será convertida em um arquivo. Aceita separação por vírgulas. |
| Nome do arquivo | String | N/A | Sim | Especifique o nome do arquivo que será criado com base na string Base64. |
Exemplo
Nesse cenário, se a ação for executada em um agente remoto, uma string de entrada Base64 será salva em um arquivo de texto ioc_list localizado no diretório /opt/SiemplifyAgent/downloads.
Configurações de ação
| Parâmetro | Valor |
| Entidades | Nomes de host internos |
| Extensão do arquivo | txt |
| Entrada Base64 | c2FtcGxIIGZpbGUgY29udGFpbsdfgsdfgmluZyBzYW1wbGUgZGF
OYQ== |
| Nome do arquivo | ioc_list |
Resultados da ação
-
Resultado do script
Nome do resultado do script Opções de valor Exemplo ScriptResult Verdadeiro/Falso verdadeiro -
Resultado JSON
{ "files": [ {"file_name": "ioc_list", "file_path": "/opt/SiemplifyAgent/downloads/ioc_list.txt", "extension": ".txt"}] }
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.