Statistiken
In diesem Dokument werden die Parameter aufgeführt, die für Aktionen zur Analyse von Entitäten verwendet werden, um Playbook-Funktionen zu optimieren.
Mit diesen Aktionen lassen sich Erkenntnisse in der Fallübersicht generieren. Sie liefern gut sichtbare Datenpunkte, die aus den Ergebnissen der Anreicherung extrahiert wurden.
Aktionen
Entitätsinformationen aus der Anreicherung erstellen
Generiert einen Entity-Insight basierend auf einem formatierten String, in den Daten aus einem vorherigen Anreicherungsschritt einbezogen werden.Beschreibung
Erstellt eine Entitätsinformation aus einer Anreicherungsaktion.Parameter
| Parameter | Typ | Standardwert | Pflichtfeld | Beschreibung |
| Nachricht | String | – | Ja | Formatierter String, der die Anreicherung von Entitäten enthält. |
| Ausgelöst durch | String | Siemplify | Nein | Der Name der Integration, die mit der Statistik verknüpft ist. |
Beispiel
In diesem Beispiel wird die Ausgabe einer vorherigen VirusTotal-Anreicherungsaktion geparst, um eine Systeminformation zu generieren. Die resultierende Nachricht wird im Abschnitt Erkenntnisse der Fallübersicht zur Überprüfung durch den Analysten angezeigt.
Aktionskonfigurationen
| Parameter | Wert |
| Entitäten | Alle Entitäten |
| Nachricht | Is Risky: [VirusTotalV3_Enrich IP_1.JsonResult | "is_risky"]
|
| Ausgelöst durch | VirusTotal |
Aktionsergebnisse
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
ScriptResult |
true oder false |
true |
Entitätsinformationen aus JSON erstellen
Beschreibung
Generiert einen Einblick in eine Einheit, indem ein bestimmtes JSON-Objekt geparst und einer Zielentität zugeordnet wird.
Parameter
| Parameter | Typ | Standardwert | Pflichtfeld | Beschreibung |
| JSON | JSON | – | Ja | Das zum Erstellen der Statistik verwendete Roh-JSON-Objekt. |
| Identifier KeyPath | String | – | Ja | Pfad in Punktnotation zum Schlüssel, der die Entitäts-ID enthält. |
| Nachricht | String | – | Ja | Formatierter String für die Anzeige des Statistikelements. |
| Ausgelöst durch | String | Siemplify | Nein | Name der Integration, die mit der Statistik verknüpft ist. |
Beispiel
In diesem Beispiel wird ein Entity-Insight basierend auf einer IP-Entität aus einem JSON erstellt.
Aktionskonfigurationen
In dieser Konfiguration werden Telemetriedaten von VirusTotal in einer einheitlichen Ansicht zusammengefasst. Erstellt einen Einblick für eine IP-Entität aus einem JSON.
| Parameter | Wert |
| Entitäten | Alle Entitäten |
| JSON | [{"ip":"172.26.240.1","vt_score":"4"}]
|
| Identifier KeyPath | ip
|
| Nachricht | VirusTotal-Bewertung |
| Ausgelöst durch | VirusTotal |
Aktionsergebnisse
Scriptergebnis| Name des Scriptergebnisses | Wertoptionen | Beispiel |
| ScriptResult | true oder false |
true |
Entitätsinformationen aus mehreren JSON-Dateien erstellen
Aggregiert Daten aus bis zu fünf separaten JSON-Quellen in einem einzigen, mehrteiligen Einblick in die Entität.Beschreibung
Erstellt eine Entitätsinformation aus einer Anreicherungsaktion.
Parameter
| Parameter | Typ | Standardwert | Pflichtfeld | Beschreibung |
| Felder | String | – | Nein | Felder, die aus dem vierten JSON-String extrahiert werden sollen. |
| JSON4 | JSON | – | Nein | Vierter JSON-String, der für den Insight geparst werden soll. |
| Title5 | String | – | Nein | Titel für den fünften Entitätsabschnitt. |
| Fields5 | String | – | Nein | Felder, die aus dem fünften JSON-String extrahiert werden sollen. |
| JSON5 | JSON | – | Nein | Fünfter JSON-String, der für den Insight geparst werden soll. |
| Platzhalter-Trennzeichen | String | , | Nein | String zum Umbrechen der Zeilen. |
| Title1 | String | – | Nein | Titel für den ersten Entitätsabschnitt. |
| Fields1 | String | – | Nein | Felder, die aus dem ersten JSON-String extrahiert werden sollen. |
| JSON1 | JSON | – | Nein | Erster JSON-String, der für den Insight geparst werden soll. |
| Title2 | String | – | Nein | Titel für den zweiten Entitätsbereich. |
| Fields2 | String | – | Nein | Felder, die aus dem zweiten JSON-String extrahiert werden sollen. |
| JSON2 | JSON | – | Nein | Zweiter JSON-String, der für den Insight geparst werden soll. |
| Title3 | String | – | Nein | Titel für den Abschnitt zum Drittanbieter. |
| Fields3 | String | – | Nein | Felder, die aus dem dritten JSON-String extrahiert werden sollen. |
| JSON3 | JSON | – | Nein | Dritter JSON-String, der für den Insight geparst werden soll. |
| Title4 | String | – | Nein | Titel für den vierten Abschnitt der Entität. |
Beispiel
In diesem Beispiel wird ein Entity-Insight auf Grundlage einer IP-Entität erstellt und mit VirusTotal- und Crowdstrike-Informationen angereichert.
Aktionskonfigurationen
| Parameter | Typ |
| Entitäten | Alle Entitäten |
| Fields4 | Leer |
| JSON4 | Leer |
| Title5 | Leer |
| Fields5 | Leer |
| JSON5 | Leer |
| Platzhalter-Trennzeichen | Leer |
| Title1 | VirusTotal-Wert |
| Fields1 | Entität |
| JSON1 | [{"Entity": "172.26.240.1", "vt_score":"4",
|
| Title2 | CrowdStrike-Wertung |
| Fields2 | Entität |
| JSON2 | [{"Entity": "172.26.240.1", "crowdstrike_score":"4",
|
| Title3 | Leer |
| Fields3 | Leer |
| JSON3 | Leer |
| Title4 | Leer |
Aktionsergebnisse
Scriptergebnis| Name des Scriptergebnisses | Wertoptionen | Beispiel |
| ScriptResult | true oder false |
true |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten