Insights
Este documento lista os parâmetros usados para ações de insights de entidades que potencializam os recursos do playbook.
Use essas ações para gerar insights na visão geral do caso, fornecendo pontos de dados de alta visibilidade extraídos dos resultados do enriquecimento.
Ações
Criar insights de entidade com base no enriquecimento
Gera uma análise de entidade com base em uma string formatada, incorporando dados de uma etapa de enriquecimento anterior.Descrição
Cria um insight de entidade com base em uma ação de enriquecimento.Parâmetros
| Parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
| Mensagem | String | N/A | Sim | String formatada que incorpora o enriquecimento de entidades. |
| Acionada por | String | Siemplify | Não | Nome da integração associada ao insight. |
Exemplo
Este exemplo mostra a análise da saída de uma ação de enriquecimento anterior do VirusTotal para gerar um insight do sistema. A mensagem resultante aparece na seção Insights da visão geral do caso para análise do analista.
Configurações de ação
| Parâmetro | Valor |
| Entidades | Todas as entidades |
| Mensagem | Is Risky: [VirusTotalV3_Enrich IP_1.JsonResult | "is_risky"]
|
| Acionada por | VirusTotal |
Resultados da ação
| Nome do resultado do script | Opções de valor | Exemplo |
ScriptResult |
true ou false |
true |
Criar insights de entidade com base em JSON
Descrição
Gera uma análise de entidade ao analisar um objeto JSON específico e mapeá-lo para uma entidade de destino.
Parâmetros
| Parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
| JSON | JSON | N/A | Sim | Objeto JSON bruto usado para gerar o insight. |
| KeyPath do identificador | String | N/A | Sim | Caminho de notação de ponto para a chave que contém o identificador da entidade. |
| Mensagem | String | N/A | Sim | String formatada para a exibição do insight. |
| Acionada por | String | Siemplify | Não | Nome da integração associada ao insight. |
Exemplo
Este exemplo cria um insight de entidade com base em uma entidade de IP de um JSON.
Configurações de ação
Essa configuração agrega a telemetria do VirusTotal em uma visualização unificada. Ele cria um insight de entidade com base em uma entidade de IP de um JSON.
| Parâmetro | Valor |
| Entidades | Todas as entidades |
| JSON | [{"ip":"172.26.240.1","vt_score":"4"}]
|
| KeyPath do identificador | ip
|
| Mensagem | Pontuação do VirusTotal |
| Acionada por | VirusTotal |
Resultados da ação
Resultado do script| Nome do resultado do script | Opções de valor | Exemplo |
| ScriptResult | true ou false |
true |
Criar insights de entidades com vários JSONs
Agrega dados de até cinco fontes JSON separadas em um único insight de entidade com várias seções.Descrição
Cria um insight de entidade com base em uma ação de enriquecimento.
Parâmetros
| Parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
| Campos | String | N/A | Não | Campos a serem extraídos da quarta string JSON. |
| JSON4 | JSON | N/A | Não | Quarta string JSON a ser analisada para o insight. |
| Title5 | String | N/A | Não | Título da quinta seção de entidades. |
| Fields5 | String | N/A | Não | Campos a serem extraídos da quinta string JSON. |
| JSON5 | JSON | N/A | Não | Quinta string JSON a ser analisada para o insight. |
| Separador de marcador de posição | String | , | Não | String para quebrar as linhas. |
| Title1 | String | N/A | Não | Título a ser usado na primeira seção de entidades. |
| Fields1 | String | N/A | Não | Campos a serem extraídos da primeira string JSON. |
| JSON1 | JSON | N/A | Não | Primeira string JSON a ser analisada para o insight. |
| Title2 | String | N/A | Não | Título a ser usado para a seção da segunda entidade. |
| Fields2 | String | N/A | Não | Campos a serem extraídos da segunda string JSON. |
| JSON2 | JSON | N/A | Não | Segunda string JSON a ser analisada para o insight. |
| Title3 | String | N/A | Não | Título a ser usado na seção da terceira entidade. |
| Fields3 | String | N/A | Não | Campos a serem extraídos da terceira string JSON. |
| JSON3 | JSON | N/A | Não | Terceira string JSON a ser analisada para o insight. |
| Title4 | String | N/A | Não | Título a ser usado na quarta seção de entidades. |
Exemplo
Este exemplo cria um insight de entidade com base em uma entidade de IP e o enriquece com informações do VirusTotal e do Crowdstrike.
Configurações de ação
| Parâmetro | Tipo |
| Entidades | Todas as entidades |
| Fields4 | Em branco |
| JSON4 | Em branco |
| Title5 | Em branco |
| Fields5 | Em branco |
| JSON5 | Em branco |
| Separador de marcador de posição | Em branco |
| Title1 | Pontuação do VirusTotal |
| Fields1 | Entidade |
| JSON1 | [{"Entity": "172.26.240.1", "vt_score":"4",
|
| Title2 | Pontuação da Crowdstrike |
| Fields2 | Entidade |
| JSON2 | [{"Entity": "172.26.240.1", "crowdstrike_score":"4",
|
| Title3 | Em branco |
| Fields3 | Em branco |
| JSON3 | Em branco |
| Title4 | Em branco |
Resultados da ação
Resultado do script| Nome do resultado do script | Opções de valor | Exemplo |
| ScriptResult | true ou false |
true |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.