Approfondimenti
Questo documento elenca i parametri utilizzati per le azioni di approfondimento delle entità per potenziare le funzionalità del playbook.
Utilizza queste azioni per generare approfondimenti all'interno della panoramica della richiesta, fornendo punti dati ad alta visibilità estratti dai risultati dell'arricchimento.
Azioni
Creare approfondimenti sull'entità dall'arricchimento
Genera un insight sull'entità in base a una stringa formattata, incorporando i dati di un passaggio di arricchimento precedente.Descrizione
Crea un insight sull'entità da un'azione di arricchimento.Parametri
| Parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
| Messaggio | Stringa | N/D | Sì | Stringa formattata che incorpora l'arricchimento delle entità. |
| Attivato da | Stringa | Siemplify | No | Il nome dell'integrazione associata all'approfondimento. |
Esempio
Questo esempio mostra l'analisi dell'output di una precedente azione di arricchimento di VirusTotal per generare un approfondimento del sistema. Il messaggio risultante viene visualizzato nella sezione Approfondimenti della panoramica della richiesta per la revisione da parte dell'analista.
Configurazioni delle azioni
| Parametro | Valore |
| Entità | Tutte le entità |
| Messaggio | Is Risky: [VirusTotalV3_Enrich IP_1.JsonResult | "is_risky"]
|
| Attivato da | VirusTotal |
Risultati dell'azione
| Nome del risultato dello script | Opzioni di valore | Esempio |
ScriptResult |
true o false |
true |
Crea approfondimenti sull'entità da JSON
Descrizione
Genera un insight sull'entità analizzando un oggetto JSON specifico e mappandolo a un'entità di destinazione.
Parametri
| Parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
| JSON | JSON | N/D | Sì | Oggetto JSON non elaborato utilizzato per generare l'approfondimento. |
| Identifier KeyPath | Stringa | N/D | Sì | Il percorso con notazione punto alla chiave che contiene l'identificatore dell'entità. |
| Messaggio | Stringa | N/D | Sì | Stringa formattata per la visualizzazione dell'insight. |
| Attivato da | Stringa | Siemplify | No | Il nome dell'integrazione associata all'approfondimento. |
Esempio
Questo esempio crea un approfondimento sull'entità basato su un'entità IP da un JSON.
Configurazioni delle azioni
Questa configurazione aggrega la telemetria di VirusTotal in una visualizzazione unificata. Crea un insight sull'entità basato su un'entità IP da un file JSON.
| Parametro | Valore |
| Entità | Tutte le entità |
| JSON | [{"ip":"172.26.240.1","vt_score":"4"}]
|
| Identifier KeyPath | ip
|
| Messaggio | Punteggio VirusTotal |
| Attivato da | VirusTotal |
Risultati dell'azione
Risultato script| Nome del risultato dello script | Opzioni di valore | Esempio |
| ScriptResult | true o false |
true |
Crea approfondimenti sull'entità da più file JSON
Aggrega i dati di un massimo di cinque origini JSON separate in un unico approfondimento sull'entità composto da più sezioni.Descrizione
Crea un insight sull'entità da un'azione di arricchimento.
Parametri
| Parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
| Campi | Stringa | N/D | No | Campi da estrarre dalla quarta stringa JSON. |
| JSON4 | JSON | N/D | No | Quarta stringa JSON da analizzare per l'approfondimento. |
| Title5 | Stringa | N/D | No | Titolo della quinta sezione dell'entità. |
| Fields5 | Stringa | N/D | No | Campi da estrarre dalla quinta stringa JSON. |
| JSON5 | JSON | N/D | No | Quinta stringa JSON da analizzare per l'approfondimento. |
| Segnaposto separatore | Stringa | , | No | Stringa per interrompere le linee. |
| Title1 | Stringa | N/D | No | Titolo da utilizzare per la prima sezione dell'entità. |
| Fields1 | Stringa | N/D | No | Campi da estrarre dalla prima stringa JSON. |
| JSON1 | JSON | N/D | No | La prima stringa JSON da analizzare per l'approfondimento. |
| Title2 | Stringa | N/D | No | Titolo da utilizzare per la sezione della seconda entità. |
| Fields2 | Stringa | N/D | No | Campi da estrarre dalla seconda stringa JSON. |
| JSON2 | JSON | N/D | No | Seconda stringa JSON da analizzare per l'insight. |
| Title3 | Stringa | N/D | No | Titolo da utilizzare per la sezione della terza entità. |
| Fields3 | Stringa | N/D | No | Campi da estrarre dalla terza stringa JSON. |
| JSON3 | JSON | N/D | No | Terza stringa JSON da analizzare per ottenere l'approfondimento. |
| Title4 | Stringa | N/D | No | Titolo da utilizzare per la quarta sezione dell'entità. |
Esempio
Questo esempio crea un approfondimento sull'entità basato su un'entità IP e lo arricchisce con informazioni di VirusTotal e Crowdstrike.
Configurazioni delle azioni
| Parametro | Tipo |
| Entità | Tutte le entità |
| Fields4 | Vuota |
| JSON4 | Vuota |
| Title5 | Vuota |
| Fields5 | Vuota |
| JSON5 | Vuota |
| Segnaposto separatore | Vuota |
| Title1 | Punteggio VirusTotal |
| Fields1 | Entità |
| JSON1 | [{"Entity": "172.26.240.1", "vt_score":"4",
|
| Title2 | Punteggio Crowdstrike |
| Fields2 | Entità |
| JSON2 | [{"Entity": "172.26.240.1", "crowdstrike_score":"4",
|
| Title3 | Vuota |
| Fields3 | Vuota |
| JSON3 | Vuota |
| Title4 | Vuota |
Risultati dell'azione
Risultato script| Nome del risultato dello script | Opzioni di valore | Esempio |
| ScriptResult | true o false |
true |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.