통계
다음에서 지원:
Google secops
SOAR
이 문서에는 플레이북 기능을 강화하기 위해 항목 통계 작업에 사용되는 파라미터가 나열되어 있습니다.
이러한 작업을 사용하여 케이스 개요 내에서 인사이트를 생성하고, 보강 결과에서 추출된 가시성이 높은 데이터 포인트를 제공합니다.
작업
강화에서 항목 통계 만들기
이전 보강 단계의 데이터를 통합하여 서식이 지정된 문자열을 기반으로 엔티티 통계를 생성합니다.설명
강화 작업에서 항목 통계를 만듭니다.매개변수
| 매개변수 | 유형 | 기본값 | 필수 항목 | 설명 |
| 메시지 | 문자열 | 해당 사항 없음 | 예 | 엔티티 보강이 포함된 형식이 지정된 문자열입니다. |
| 트리거한 사용자 | 문자열 | Siemplify | 아니요 | 통계와 연결된 통합 이름입니다. |
예
이 예에서는 이전 VirusTotal 보강 작업의 출력을 파싱하여 시스템 통계를 생성합니다. 결과 메시지는 분석가가 검토할 수 있도록 케이스 개요의 인사이트 섹션에 표시됩니다.
작업 구성
| 매개변수 | 값 |
| 항목 | 모든 항목 |
| 메시지 | Is Risky: [VirusTotalV3_Enrich IP_1.JsonResult | "is_risky"]
|
| 트리거한 사용자 | VirusTotal |
작업 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
ScriptResult |
true 또는 false |
true |
JSON에서 항목 통계 만들기
설명
특정 JSON 객체를 파싱하고 이를 타겟 항목에 매핑하여 항목 통계를 생성합니다.
매개변수
| 매개변수 | 유형 | 기본값 | 필수 항목 | 설명 |
| JSON | JSON | 해당 사항 없음 | 예 | 인사이트를 생성하는 데 사용된 원시 JSON 객체입니다. |
| 식별자 KeyPath | 문자열 | 해당 사항 없음 | 예 | 항목 식별자가 포함된 키의 점 표기법 경로입니다. |
| 메시지 | 문자열 | 해당 사항 없음 | 예 | 통계 표시를 위해 형식이 지정된 문자열입니다. |
| 트리거한 사용자 | 문자열 | Siemplify | 아니요 | 통계와 연결된 통합의 이름입니다. |
예
이 예시에서는 JSON의 IP 항목을 기반으로 항목 통계를 만듭니다.
작업 구성
이 구성은 VirusTotal의 원격 분석을 통합 뷰로 집계합니다. JSON의 IP 항목을 기반으로 항목 통계를 만듭니다.
| 매개변수 | 값 |
| 항목 | 모든 항목 |
| JSON | [{"ip":"172.26.240.1","vt_score":"4"}]
|
| 식별자 KeyPath | ip
|
| 메시지 | VirusTotal 점수 |
| 트리거한 사용자 | VirusTotal |
작업 결과
스크립트 결과| 스크립트 결과 이름 | 값 옵션 | 예시 |
| ScriptResult | true 또는 false |
true |
여러 JSON에서 항목 통계 만들기
최대 5개의 별도 JSON 소스의 데이터를 단일 다중 섹션 항목 통계로 집계합니다.설명
강화 작업에서 항목 통계를 만듭니다.
매개변수
| 매개변수 | 유형 | 기본값 | 필수 항목 | 설명 |
| 필드 | 문자열 | 해당 사항 없음 | 아니요 | 네 번째 JSON 문자열에서 추출할 필드입니다. |
| JSON4 | JSON | 해당 사항 없음 | 아니요 | 통계를 위해 파싱할 네 번째 JSON 문자열입니다. |
| Title5 | 문자열 | 해당 사항 없음 | 아니요 | 다섯 번째 항목 섹션의 제목입니다. |
| Fields5 | 문자열 | 해당 사항 없음 | 아니요 | 다섯 번째 JSON 문자열에서 추출할 필드입니다. |
| JSON5 | JSON | 해당 사항 없음 | 아니요 | 통계를 위해 파싱할 다섯 번째 JSON 문자열입니다. |
| 자리표시자 구분선 | 문자열 | , | 아니요 | 줄을 바꿀 문자열입니다. |
| Title1 | 문자열 | 해당 사항 없음 | 아니요 | 첫 번째 항목 섹션에 사용할 제목입니다. |
| Fields1 | 문자열 | 해당 사항 없음 | 아니요 | 첫 번째 JSON 문자열에서 추출할 필드입니다. |
| JSON1 | JSON | 해당 사항 없음 | 아니요 | 통계를 위해 파싱할 첫 번째 JSON 문자열입니다. |
| Title2 | 문자열 | 해당 사항 없음 | 아니요 | 두 번째 항목 섹션에 사용할 제목입니다. |
| Fields2 | 문자열 | 해당 사항 없음 | 아니요 | 두 번째 JSON 문자열에서 추출할 필드입니다. |
| JSON2 | JSON | 해당 사항 없음 | 아니요 | 통계를 위해 파싱할 두 번째 JSON 문자열입니다. |
| Title3 | 문자열 | 해당 사항 없음 | 아니요 | 세 번째 항목 섹션에 사용할 제목입니다. |
| Fields3 | 문자열 | 해당 사항 없음 | 아니요 | 세 번째 JSON 문자열에서 추출할 필드입니다. |
| JSON3 | JSON | 해당 사항 없음 | 아니요 | 통계에 대해 파싱할 세 번째 JSON 문자열입니다. |
| Title4 | 문자열 | 해당 사항 없음 | 아니요 | 네 번째 항목 섹션에 사용할 제목입니다. |
예
이 예시에서는 IP 항목을 기반으로 항목 통계를 만들고 VirusTotal 및 Crowdstrike 정보로 보강합니다.
작업 구성
| 매개변수 | 유형 |
| 항목 | 모든 항목 |
| Fields4 | 비어 있음 |
| JSON4 | 비어 있음 |
| Title5 | 비어 있음 |
| Fields5 | 비어 있음 |
| JSON5 | 비어 있음 |
| 자리표시자 구분선 | 비어 있음 |
| Title1 | Virustotal 점수 |
| Fields1 | 항목 |
| JSON1 | [{"Entity": "172.26.240.1", "vt_score":"4",
|
| Title2 | Crowdstrike 점수 |
| Fields2 | 항목 |
| JSON2 | [{"Entity": "172.26.240.1", "crowdstrike_score":"4",
|
| Title3 | 비어 있음 |
| Fields3 | 비어 있음 |
| JSON3 | 비어 있음 |
| Title4 | 비어 있음 |
작업 결과
스크립트 결과| 스크립트 결과 이름 | 값 옵션 | 예시 |
| ScriptResult | true 또는 false |
true |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.