分析情報
以下でサポートされています。
Google SecOps
SOAR
このドキュメントでは、ハンドブックの機能強化に使用されるエンティティ分析情報アクションのパラメータの一覧を確認できます。
これらのアクションを使用して、ケースの概要内に分析情報を生成し、拡充結果から抽出された可視性の高いデータポイントを提供します。
操作
エンリッチメントからエンティティ インサイトを作成する
書式設定された文字列に基づいてエンティティ分析情報を生成し、前の拡充ステップのデータを組み込みます。説明
エンリッチメント アクションからエンティティ分析情報を作成します。パラメータ
| パラメータ | タイプ | デフォルト値 | 必須 | 説明 |
| メッセージ | 文字列 | なし | ○ | エンティティの拡充が組み込まれた書式設定済みの文字列。 |
| トリガー | 文字列 | Siemplify | × | 分析情報に関連付けられている統合の名前。 |
例
この例は、以前の VirusTotal 拡充アクションの出力を解析してシステム分析情報を生成する方法を示しています。生成されたメッセージは、アナリストが確認できるように、ケースの概要の [分析情報] セクションに表示されます。
アクション構成
| パラメータ | 値 |
| エンティティ | すべてのエンティティ |
| メッセージ | Is Risky: [VirusTotalV3_Enrich IP_1.JsonResult | "is_risky"]
|
| トリガー | VirusTotal |
アクションの結果
| スクリプトの結果名 | 値のオプション | 例 |
ScriptResult |
true または false |
true |
JSON からエンティティ インサイトを作成する
説明
特定の JSON オブジェクトを解析してターゲット エンティティにマッピングし、エンティティ分析情報を生成します。
パラメータ
| パラメータ | タイプ | デフォルト値 | 必須 | Description |
| JSON | JSON | なし | ○ | インサイトの生成に使用された未加工の JSON オブジェクト。 |
| Identifier KeyPath | 文字列 | なし | ○ | エンティティ識別子を含むキーへのドット表記のパス。 |
| メッセージ | 文字列 | なし | ○ | 分析情報の表示用にフォーマットされた文字列。 |
| トリガー | 文字列 | Siemplify | × | 分析情報に関連付けられているインテグレーションの名前。 |
例
この例では、JSON の IP エンティティに基づいてエンティティ分析情報を作成します。
アクション構成
この構成では、VirusTotal からのテレメトリーが統合ビューに集約されます。JSON の IP エンティティに基づいてエンティティ分析情報を作成します。
| パラメータ | 値 |
| エンティティ | すべてのエンティティ |
| JSON | [{"ip":"172.26.240.1","vt_score":"4"}]
|
| 識別子 KeyPath | ip
|
| メッセージ | VirusTotal スコア |
| トリガー | VirusTotal |
アクションの結果
スクリプトの結果| スクリプトの結果名 | 値のオプション | 例 |
| ScriptResult | true または false |
true |
複数の JSON からエンティティ インサイトを作成する
最大 5 つの個別の JSON ソースのデータを集計して、1 つのマルチセクション エンティティ分析情報にまとめます。説明
エンリッチメント アクションからエンティティ分析情報を作成します。
パラメータ
| パラメータ | タイプ | デフォルト値 | 必須 | 説明 |
| フィールド | 文字列 | なし | × | 4 番目の JSON 文字列から抽出するフィールド。 |
| JSON4 | JSON | なし | × | 分析対象の 4 番目の JSON 文字列。 |
| Title5 | 文字列 | なし | × | 5 番目のエンティティ セクションのタイトル。 |
| Fields5 | 文字列 | なし | × | 5 番目の JSON 文字列から抽出するフィールド。 |
| JSON5 | JSON | なし | × | 分析対象の 5 番目の JSON 文字列。 |
| プレースホルダの区切り文字 | 文字列 | 、 | × | 改行する文字列。 |
| Title1 | 文字列 | なし | × | 最初のエンティティ セクションで使用するタイトル。 |
| Fields1 | 文字列 | なし | × | 最初の JSON 文字列から抽出するフィールド。 |
| JSON1 | JSON | なし | × | 分析情報の解析対象となる最初の JSON 文字列。 |
| Title2 | 文字列 | なし | × | 2 番目のエンティティ セクションに使用するタイトル。 |
| Fields2 | 文字列 | なし | × | 2 番目の JSON 文字列から抽出するフィールド。 |
| JSON2 | JSON | なし | × | 分析用に解析する 2 番目の JSON 文字列。 |
| Title3 | 文字列 | なし | × | 3 番目のエンティティ セクションに使用するタイトル。 |
| Fields3 | 文字列 | なし | × | 3 番目の JSON 文字列から抽出するフィールド。 |
| JSON3 | JSON | なし | × | 分析用に解析する 3 つ目の JSON 文字列。 |
| Title4 | 文字列 | なし | × | 4 番目のエンティティ セクションに使用するタイトル。 |
例
この例では、IP エンティティに基づいてエンティティ分析情報を作成し、VirusTotal と Crowdstrike の情報で拡充します。
アクション構成
| パラメータ | タイプ |
| エンティティ | すべてのエンティティ |
| Fields4 | 空白 |
| JSON4 | 空白 |
| Title5 | 空白 |
| Fields5 | 空白 |
| JSON5 | 空白 |
| プレースホルダの区切り文字 | 空白 |
| Title1 | VirusTotal スコア |
| Fields1 | エンティティ |
| JSON1 | [{"Entity": "172.26.240.1", "vt_score":"4",
|
| Title2 | Crowdstrike スコア |
| Fields2 | エンティティ |
| JSON2 | [{"Entity": "172.26.240.1", "crowdstrike_score":"4",
|
| Title3 | 空白 |
| Fields3 | 空白 |
| JSON3 | 空白 |
| Title4 | 空白 |
アクションの結果
スクリプトの結果| スクリプトの結果名 | 値のオプション | 例 |
| ScriptResult | true または false |
true |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。