Insights
Ce document liste les paramètres utilisés pour les actions d'insights sur les entités afin d'améliorer les capacités des playbooks.
Utilisez ces actions pour générer des insights dans l'aperçu de la demande. Vous obtiendrez ainsi des points de données très visibles extraits des résultats d'enrichissement.
Actions
Créer un insight sur une entité à partir d'un enrichissement
Génère un insight sur une entité à partir d'une chaîne formatée, en intégrant les données d'une étape d'enrichissement précédente.Description
Crée un insight d'entité à partir d'une action d'enrichissement.Paramètres
| Paramètre | Type | Valeur par défaut | Obligatoire | Description |
| Message | Chaîne | N/A | Oui | Chaîne mise en forme qui intègre l'enrichissement d'entités. |
| Déclenchée par | Chaîne | Siemplify | Non | Nom de l'intégration associée à l'insight. |
Exemple
Cet exemple montre comment analyser la sortie d'une action d'enrichissement VirusTotal précédente pour générer un insight système. Le message qui en résulte s'affiche dans la section Insights de l'aperçu de la demande pour que l'analyste puisse l'examiner.
Configurations des actions
| Paramètre | Valeur |
| Entités | Toutes les entités |
| Message | Is Risky: [VirusTotalV3_Enrich IP_1.JsonResult | "is_risky"]
|
| Déclenchée par | VirusTotal |
Résultats de l'action
| Nom du résultat du script | Options de valeur | Exemple |
ScriptResult |
true ou false |
true |
Créer un insight d'entité à partir d'un fichier JSON
Description
Génère un insight sur une entité en analysant un objet JSON spécifique et en le mappant à une entité cible.
Paramètres
| Paramètre | Type | Valeur par défaut | Obligatoire | Description |
| JSON | JSON | N/A | Oui | Objet JSON brut utilisé pour générer l'insight. |
| Identifier KeyPath | Chaîne | N/A | Oui | Chemin d'accès en notation par points vers la clé contenant l'identifiant de l'entité. |
| Message | Chaîne | N/A | Oui | Chaîne mise en forme pour l'affichage de l'insight. |
| Déclenchée par | Chaîne | Siemplify | Non | Nom de l'intégration associée à l'insight. |
Exemple
Cet exemple crée un insight sur une entité en fonction d'une entité IP à partir d'un fichier JSON.
Configurations des actions
Cette configuration agrège la télémétrie de VirusTotal dans une vue unifiée. Il crée un insight sur une entité en fonction d'une entité IP à partir d'un fichier JSON.
| Paramètre | Valeur |
| Entités | Toutes les entités |
| JSON | [{"ip":"172.26.240.1","vt_score":"4"}]
|
| Identifier KeyPath | ip
|
| Message | Score VirusTotal |
| Déclenchée par | VirusTotal |
Résultats de l'action
Résultat du script| Nom du résultat du script | Options de valeur | Exemple |
| ScriptResult | true ou false |
true |
Créer un insight d'entité à partir de plusieurs fichiers JSON
Agrège les données provenant d'un maximum de cinq sources JSON distinctes dans un insight unique à plusieurs sections.Description
Crée un insight d'entité à partir d'une action d'enrichissement.
Paramètres
| Paramètre | Type | Valeur par défaut | Obligatoire | Description |
| Champs | Chaîne | N/A | Non | Champs à extraire de la quatrième chaîne JSON. |
| JSON4 | JSON | N/A | Non | Quatrième chaîne JSON à analyser pour obtenir l'insight. |
| Title5 | Chaîne | N/A | Non | Titre de la cinquième section d'entité. |
| Fields5 | Chaîne | N/A | Non | Champs à extraire de la cinquième chaîne JSON. |
| JSON5 | JSON | N/A | Non | Cinquième chaîne JSON à analyser pour obtenir l'insight. |
| Séparateur d'espace réservé | Chaîne | , | Non | Chaîne permettant de séparer les lignes. |
| Title1 | Chaîne | N/A | Non | Titre à utiliser pour la première section d'entités. |
| Fields1 | Chaîne | N/A | Non | Champs à extraire de la première chaîne JSON. |
| JSON1 | JSON | N/A | Non | Première chaîne JSON à analyser pour obtenir l'insight. |
| Title2 | Chaîne | N/A | Non | Titre à utiliser pour la section de la deuxième entité. |
| Fields2 | Chaîne | N/A | Non | Champs à extraire de la deuxième chaîne JSON. |
| JSON2 | JSON | N/A | Non | Deuxième chaîne JSON à analyser pour obtenir l'insight. |
| Title3 | Chaîne | N/A | Non | Titre à utiliser pour la section de la troisième entité. |
| Fields3 | Chaîne | N/A | Non | Champs à extraire de la troisième chaîne JSON. |
| JSON3 | JSON | N/A | Non | Troisième chaîne JSON à analyser pour obtenir l'insight. |
| Title4 | Chaîne | N/A | Non | Titre à utiliser pour la quatrième section d'entités. |
Exemple
Cet exemple crée un insight sur une entité basée sur une entité IP et l'enrichit avec des informations VirusTotal et Crowdstrike.
Configurations des actions
| Paramètre | Type |
| Entités | Toutes les entités |
| Fields4 | Blank |
| JSON4 | Blank |
| Title5 | Blank |
| Fields5 | Blank |
| JSON5 | Blank |
| Séparateur d'espace réservé | Blank |
| Title1 | Score Virustotal |
| Fields1 | Entité |
| JSON1 | [{"Entity": "172.26.240.1", "vt_score":"4",
|
| Title2 | Score Crowdstrike |
| Fields2 | Entité |
| JSON2 | [{"Entity": "172.26.240.1", "crowdstrike_score":"4",
|
| Title3 | Blank |
| Fields3 | Blank |
| JSON3 | Blank |
| Title4 | Blank |
Résultats de l'action
Résultat du script| Nom du résultat du script | Options de valeur | Exemple |
| ScriptResult | true ou false |
true |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.