Insights
Présentation
Ensemble d'actions d'insights créées pour améliorer les capacités des playbooks.
Actions
Créer un insight sur une entité à partir d'un enrichissement
Description
Crée un insight d'entité à partir d'une action d'enrichissement.
Paramètres
| Paramètre | Type | Valeur par défaut | Obligatoire | Description |
| Message | Chaîne | N/A | Oui | Spécifiez une chaîne mise en forme qui intègre l'enrichissement d'entités. |
| Déclenchée par | Chaîne | Siemplify | Non | Spécifiez le nom de l'intégration qui doit être associée à l'insight. |
Exemple
Dans ce scénario, nous récupérons les résultats d'une action d'enrichissement VirusTotal précédente et créons un insight avec un message qui s'affichera dans la section "Insights" de l'aperçu de la demande.
Configurations des actions
| Paramètre | Valeur |
| Entités | Toutes les entités |
| Message | Risque : [VirusTotalV3_Enrich IP_1.JsonResult | "is_risky"] |
| Déclenchée par | VirusTotal |
Résultats de l'action
- Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
| ScriptResult | Vrai/Faux | vrai |
Créer un insight sur une entité à partir de JSON
Description
Crée un insight d'entité à partir d'une action d'enrichissement.
Paramètres
| Paramètre | Type | Valeur par défaut | Obligatoire | Description |
| JSON | JSON | N/A | Oui | Spécifiez le fichier JSON qui sera utilisé pour générer des insights sur les entités. |
| Identifier KeyPath | Chaîne | N/A | Oui | Spécifiez le chemin d'accès à la clé permettant de trouver l'identifiant d'entité pour faire correspondre l'insight à l'entité associée. |
| Message | Chaîne | N/A | Oui | Spécifiez la chaîne mise en forme qui intègre l'enrichissement des entités. |
| Déclenchée par | Chaîne | Siemplify | Non | Spécifiez le nom de l'intégration qui doit être associée à l'insight. |
Exemple
Dans ce scénario, nous créons un insight d'entité basé sur une entité d'adresse IP à partir d'un fichier JSON.
Configurations des actions
Dans ce scénario, nous créons un insight sur une entité basée sur une entité IP à partir d'un fichier JSON.
| Paramètre | Valeur |
| Entités | Toutes les entités |
| JSON | [{"ip":"172.26.240.1","vt_score":"4"}] |
| Identifier KeyPath | ip |
| Message | Score VirusTotal |
| Déclenchée par | VirusTotal |
Résultats de l'action
- Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
| ScriptResult | Vrai/Faux | vrai |
Créer des insights sur les entités à partir de plusieurs fichiers JSON
Description
Crée un insight d'entité à partir d'une action d'enrichissement.
Paramètres
| Paramètre | Type | Valeur par défaut | Obligatoire | Description |
| Fields4 | Chaîne | N/A | Non | Spécifiez les champs qui seront extraits de la quatrième chaîne JSON. |
| JSON4 | JSON | N/A | Non | Spécifiez la quatrième chaîne JSON à analyser pour obtenir l'insight. |
| Title5 | Chaîne | N/A | Non | Spécifiez le titre à utiliser pour la cinquième section d'entité. |
| Fields5 | Chaîne | N/A | Non | Spécifiez les champs qui seront extraits de la cinquième chaîne JSON. |
| JSON5 | JSON | N/A | Non | Spécifiez la cinquième chaîne JSON à analyser pour obtenir l'insight. |
| Séparateur d'espace réservé | Chaîne | , | Non | Spécifiez la chaîne qui coupera les lignes. |
| Title1 | Chaîne | N/A | Non | Spécifiez le titre à utiliser pour la première section d'entités. |
| Fields1 | Chaîne | N/A | Non | Spécifiez les champs qui seront extraits de la première chaîne JSON. |
| JSON1 | JSON | N/A | Non | Spécifiez la première chaîne JSON à analyser pour obtenir l'insight. |
| Title2 | Chaîne | N/A | Non | Spécifiez le titre à utiliser pour la deuxième section d'entités. |
| Fields2 | Chaîne | N/A | Non | Spécifiez les champs qui seront extraits de la deuxième chaîne JSON. |
| JSON2 | JSON | N/A | Non | Spécifiez la deuxième chaîne JSON à analyser pour obtenir l'insight. |
| Title3 | Chaîne | N/A | Non | Spécifiez le titre à utiliser pour la troisième section d'entités. |
| Fields3 | Chaîne | N/A | Non | Spécifiez les champs qui seront extraits de la troisième chaîne JSON. |
| JSON3 | JSON | N/A | Non | Spécifiez la troisième chaîne JSON à analyser pour obtenir l'insight. |
| Title4 | Chaîne | N/A | Non | Spécifiez le titre à utiliser pour la quatrième section d'entité. |
Exemple
Dans ce scénario, nous créons un insight sur une entité basée sur une entité IP et l'enrichissons avec des informations VirusTotal et Crowdstrike.
Configurations des actions
| Paramètre | Type |
| Entités | Toutes les entités |
| Fields4 | Blank |
| JSON4 | Blank |
| Title5 | Blank |
| Fields5 | Blank |
| JSON5 | Blank |
| Séparateur d'espace réservé | Blank |
| Title1 | Score Virustotal |
| Fields1 | Entité |
| JSON1 | [{"Entity": "172.26.240.1", "vt_score":"4",
"EntityResult":"true"}] |
| Title2 | Score Crowdstrike |
| Fields2 | Entité |
| JSON2 | [{"Entity": "172.26.240.1", "crowdstrike_score":"4",
"EntityResult":"true"}] |
| Title3 | Blank |
| Fields3 | Blank |
| JSON3 | Blank |
| Title4 | Blank |
Résultats de l'action
- Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
| ScriptResult | Vrai/Faux | vrai |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.