Estadísticas
En este documento se enumeran los parámetros que se usan en las acciones de estadísticas de entidades para mejorar las funciones de las guías.
Use estas acciones para generar estadísticas en el resumen del caso, que proporciona puntos de datos de alta visibilidad extraídos de los resultados del enriquecimiento.
Acciones
Crear estadísticas de entidad a partir de un enriquecimiento
Genera una estadística de una entidad basada en una cadena con formato, que incorpora datos de un paso de enriquecimiento anterior.Descripción
Crea una estadística de una entidad a partir de una acción de enriquecimiento.Parámetros
| Parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
| Mensaje | Cadena | N/A | Sí | Cadena formateada que incorpora el enriquecimiento de entidades. |
| Activado por | Cadena | Siemplify | No | Nombre de la integración asociada a la estadística. |
Ejemplo
En este ejemplo se muestra cómo analizar la salida de una acción de enriquecimiento de VirusTotal anterior para generar una información valiosa del sistema. El mensaje resultante se muestra en la sección Estadísticas del resumen del caso para que lo revise el analista.
Configuraciones de acciones
| Parámetro | Valor |
| Entidades | Todas las entidades |
| Mensaje | Is Risky: [VirusTotalV3_Enrich IP_1.JsonResult | "is_risky"]
|
| Activado por | VirusTotal |
Resultados de la acción
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
ScriptResult |
true o false |
true |
Crear estadísticas de entidades a partir de JSON
Descripción
Genera una estadística de una entidad analizando un objeto JSON específico y asignándolo a una entidad de destino.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
| JSON | JSON | N/A | Sí | Objeto JSON sin procesar que se ha usado para generar la estadística. |
| Identifier KeyPath | Cadena | N/A | Sí | Ruta de notación de puntos a la clave que contiene el identificador de la entidad. |
| Mensaje | Cadena | N/A | Sí | Cadena con formato para mostrar la estadística. |
| Activado por | Cadena | Siemplify | No | Nombre de la integración asociada a la estadística. |
Ejemplo
En este ejemplo se crea una estadística de una entidad basada en una entidad de IP de un JSON.
Configuraciones de acciones
Esta configuración agrega la telemetría de VirusTotal en una vista unificada. Crea una estadística de una entidad basada en una entidad de IP de un JSON.
| Parámetro | Valor |
| Entidades | Todas las entidades |
| JSON | [{"ip":"172.26.240.1","vt_score":"4"}]
|
| Identifier KeyPath | ip
|
| Mensaje | Puntuación de VirusTotal |
| Activado por | VirusTotal |
Resultados de la acción
Resultado de secuencia de comandos| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
| ScriptResult | true o false |
true |
Crear estadísticas de entidades a partir de varios archivos JSON
Agrega datos de hasta cinco fuentes JSON independientes en una sola estadística de entidad con varias secciones.Descripción
Crea una estadística de una entidad a partir de una acción de enriquecimiento.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
| Campos | Cadena | N/A | No | Campos que se van a extraer de la cuarta cadena JSON. |
| JSON4 | JSON | N/A | No | Cuarta cadena JSON que se va a analizar para obtener la estadística. |
| Title5 | Cadena | N/A | No | Título de la quinta sección de entidades. |
| Fields5 | Cadena | N/A | No | Campos que se van a extraer de la quinta cadena JSON. |
| JSON5 | JSON | N/A | No | Quinta cadena JSON que se va a analizar para obtener la estadística. |
| Separador de marcador de posición | Cadena | , | No | Cadena para romper las líneas. |
| Title1 | Cadena | N/A | No | Título que se usará en la primera sección de entidades. |
| Fields1 | Cadena | N/A | No | Campos que se van a extraer de la primera cadena JSON. |
| JSON1 | JSON | N/A | No | Primera cadena JSON que se va a analizar para obtener la estadística. |
| Title2 | Cadena | N/A | No | Título que se usará en la segunda sección de la entidad. |
| Fields2 | Cadena | N/A | No | Campos que se van a extraer de la segunda cadena JSON. |
| JSON2 | JSON | N/A | No | Segunda cadena JSON que se va a analizar para obtener la estadística. |
| Title3 | Cadena | N/A | No | Título que se usará en la sección de la tercera entidad. |
| Fields3 | Cadena | N/A | No | Campos que se van a extraer de la tercera cadena JSON. |
| JSON3 | JSON | N/A | No | Tercera cadena JSON que se va a analizar para obtener la estadística. |
| Title4 | Cadena | N/A | No | Título que se usará en la cuarta sección de la entidad. |
Ejemplo
En este ejemplo se crea una estadística de una entidad basada en una entidad de IP y se enriquece con información de VirusTotal y Crowdstrike.
Configuraciones de acciones
| Parámetro | Tipo |
| Entidades | Todas las entidades |
| Fields4 | en blanco |
| JSON4 | en blanco |
| Title5 | en blanco |
| Fields5 | en blanco |
| JSON5 | en blanco |
| Separador de marcador de posición | en blanco |
| Title1 | Puntuación de VirusTotal |
| Fields1 | Entidad |
| JSON1 | [{"Entity": "172.26.240.1", "vt_score":"4",
|
| Title2 | Puntuación de CrowdStrike |
| Fields2 | Entidad |
| JSON2 | [{"Entity": "172.26.240.1", "crowdstrike_score":"4",
|
| Title3 | en blanco |
| Fields3 | en blanco |
| JSON3 | en blanco |
| Title4 | en blanco |
Resultados de la acción
Resultado de secuencia de comandos| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
| ScriptResult | true o false |
true |
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.