数据分析
支持的平台:
Google SecOps
SOAR
本文档列出了用于实体洞见操作的参数,以增强剧本功能。
使用这些操作可在支持请求概览中生成数据洞见,从而提供从丰富结果中提取的高度可见的数据点。
操作
基于丰富化数据创建实体数据分析
根据格式化的字符串生成实体洞见,其中包含上一步丰富化步骤中的数据。说明
根据富集操作创建实体分析洞见。参数
| 参数 | 类型 | 默认值 | 是必填字段 | 说明 |
| 消息 | 字符串 | 不适用 | 是 | 包含实体丰富功能的格式化字符串。 |
| 触发者 | 字符串 | Siemplify | 否 | 与数据分析相关联的集成名称。 |
示例
此示例展示了如何解析之前 VirusTotal 扩充操作的输出,以生成系统洞见。生成的讯息会显示在支持请求概览的分析洞见部分,供分析师查看。
操作配置
| 参数 | 值 |
| 实体 | 所有实体 |
| 消息 | Is Risky: [VirusTotalV3_Enrich IP_1.JsonResult | "is_risky"]
|
| 触发者 | VirusTotal |
操作结果
| 脚本结果名称 | 值选项 | 示例 |
ScriptResult |
true 或 false |
true |
根据 JSON 创建实体数据洞见
说明
通过解析特定 JSON 对象并将其映射到目标实体来生成实体洞见。
参数
| 参数 | 类型 | 默认值 | 是必填字段 | 说明 |
| JSON | JSON | 不适用 | 是 | 用于生成数据洞见的原始 JSON 对象。 |
| 标识符 KeyPath | 字符串 | 不适用 | 是 | 包含实体标识符的键的点表示法路径。 |
| 消息 | 字符串 | 不适用 | 是 | 用于显示数据洞见的格式化字符串。 |
| 触发者 | 字符串 | Siemplify | 否 | 与数据洞见关联的集成名称。 |
示例
此示例基于 JSON 中的 IP 实体创建实体数据洞见。
操作配置
此配置可将 VirusTotal 中的遥测数据汇总到统一视图中。它会根据 JSON 中的 IP 实体创建实体洞见。
| 参数 | 值 |
| 实体 | 所有实体 |
| JSON | [{"ip":"172.26.240.1","vt_score":"4"}]
|
| 标识符 KeyPath | ip
|
| 消息 | VirusTotal 分数 |
| 触发者 | VirusTotal |
操作执行结果
脚本结果| 脚本结果名称 | 值选项 | 示例 |
| ScriptResult | true 或 false |
true |
从多个 JSON 创建实体洞见
将最多五个单独的 JSON 来源中的数据汇总到单个多部分实体洞见中。说明
根据富集操作创建实体分析洞见。
参数
| 参数 | 类型 | 默认值 | 是必填字段 | 说明 |
| 字段 | 字符串 | 不适用 | 否 | 要从第四个 JSON 字符串中提取的字段。 |
| JSON4 | JSON | 不适用 | 否 | 要解析的第四个 JSON 字符串,用于获取数据洞见。 |
| Title5 | 字符串 | 不适用 | 否 | 第五个实体部分的标题。 |
| Fields5 | 字符串 | 不适用 | 否 | 要从第五个 JSON 字符串中提取的字段。 |
| JSON5 | JSON | 不适用 | 否 | 要解析的第五个 JSON 字符串,用于提供数据洞见。 |
| 占位分隔符 | 字符串 | 、 | 否 | 用于换行的字符串。 |
| Title1 | 字符串 | 不适用 | 否 | 要用于第一个实体部分的标题。 |
| Fields1 | 字符串 | 不适用 | 否 | 要从第一个 JSON 字符串中提取的字段。 |
| JSON1 | JSON | 不适用 | 否 | 要解析的第一个 JSON 字符串,用于生成数据洞见。 |
| Title2 | 字符串 | 不适用 | 否 | 要用于第二个实体部分的标题。 |
| Fields2 | 字符串 | 不适用 | 否 | 要从第二个 JSON 字符串中提取的字段。 |
| JSON2 | JSON | 不适用 | 否 | 要解析的第二个 JSON 字符串,用于提供数据洞见。 |
| Title3 | 字符串 | 不适用 | 否 | 要用于第三个实体部分的标题。 |
| Fields3 | 字符串 | 不适用 | 否 | 要从第三个 JSON 字符串中提取的字段。 |
| JSON3 | JSON | 不适用 | 否 | 要解析的第三个 JSON 字符串,用于获取数据洞见。 |
| Title4 | 字符串 | 不适用 | 否 | 要用于第四个实体部分的标题。 |
示例
此示例基于 IP 实体创建实体洞见,并使用 VirusTotal 和 Crowdstrike 信息对其进行丰富。
操作配置
| 参数 | 类型 |
| 实体 | 所有实体 |
| Fields4 | 空白 |
| JSON4 | 空白 |
| Title5 | 空白 |
| Fields5 | 空白 |
| JSON5 | 空白 |
| 占位分隔符 | 空白 |
| Title1 | VirusTotal 分数 |
| Fields1 | 实体 |
| JSON1 | [{"Entity": "172.26.240.1", "vt_score":"4",
|
| Title2 | Crowdstrike 得分 |
| Fields2 | 实体 |
| JSON2 | [{"Entity": "172.26.240.1", "crowdstrike_score":"4",
|
| Title3 | 空白 |
| Fields3 | 空白 |
| JSON3 | 空白 |
| Title4 | 空白 |
操作执行结果
脚本结果| 脚本结果名称 | 值选项 | 示例 |
| ScriptResult | true 或 false |
true |
需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。