통계
다음에서 지원:
Google secops
SOAR
개요
플레이북 기능을 강화하기 위해 생성된 통계 작업 세트입니다.
작업
강화에서 항목 통계 만들기
설명
강화 작업에서 항목 통계를 만듭니다.
매개변수
| 매개변수 | 유형 | 기본값 | 필수 항목 | 설명 |
| 메시지 | 문자열 | 해당 사항 없음 | 예 | 엔티티 보강이 포함된 형식화된 문자열을 지정합니다. |
| 트리거한 사용자 | 문자열 | Siemplify | 아니요 | 통계와 연결해야 하는 통합의 이름을 지정합니다. |
예시
이 시나리오에서는 이전 virustotal 보강 작업에서 결과를 가져와 메시지와 함께 통계를 생성합니다. 이 통계는 케이스 개요의 '통계' 섹션에 표시됩니다.
작업 구성
| 매개변수 | 값 |
| 항목 | 모든 항목 |
| 메시지 | 위험 여부: [VirusTotalV3_Enrich IP_1.JsonResult | "is_risky"] |
| 트리거한 사용자 | VirusTotal |
작업 결과
- 스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
| ScriptResult | True/False | true |
JSON에서 엔티티 통계 만들기
설명
강화 작업에서 항목 통계를 만듭니다.
매개변수
| 매개변수 | 유형 | 기본값 | 필수 항목 | 설명 |
| JSON | JSON | 해당 사항 없음 | 예 | 항목 통계를 생성하는 데 사용될 JSON을 지정합니다. |
| 식별자 KeyPath | 문자열 | 해당 사항 없음 | 예 | 통계를 연결된 항목과 일치시키기 위해 항목 식별자를 찾을 키 경로를 지정합니다. |
| 메시지 | 문자열 | 해당 사항 없음 | 예 | 엔티티 보강이 통합된 형식화된 문자열을 지정합니다. |
| 트리거한 사용자 | 문자열 | Siemplify | 아니요 | 통계와 연결해야 하는 통합의 이름을 지정합니다. |
예시
이 시나리오에서는 JSON의 IP 항목을 기반으로 항목 통계를 만듭니다.
작업 구성
이 시나리오에서는 JSON의 IP 항목을 기반으로 항목 통계를 만듭니다.
| 매개변수 | 값 |
| 항목 | 모든 항목 |
| JSON | [{"ip":"172.26.240.1","vt_score":"4"}] |
| 식별자 KeyPath | ip |
| 메시지 | VirusTotal 점수 |
| 트리거한 사용자 | VirusTotal |
작업 결과
- 스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
| ScriptResult | True/False | true |
여러 JSON에서 엔티티 통계 만들기
설명
강화 작업에서 항목 통계를 만듭니다.
매개변수
| 매개변수 | 유형 | 기본값 | 필수 항목 | 설명 |
| Fields4 | 문자열 | 해당 사항 없음 | 아니요 | 네 번째 JSON 문자열에서 추출할 필드를 지정합니다. |
| JSON4 | JSON | 해당 사항 없음 | 아니요 | 통계에 대해 파싱할 네 번째 JSON 문자열을 지정합니다. |
| Title5 | 문자열 | 해당 사항 없음 | 아니요 | 다섯 번째 항목 섹션에 사용할 제목을 지정합니다. |
| Fields5 | 문자열 | 해당 사항 없음 | 아니요 | 다섯 번째 JSON 문자열에서 추출할 필드를 지정합니다. |
| JSON5 | JSON | 해당 사항 없음 | 아니요 | 통계에 대해 파싱할 다섯 번째 JSON 문자열을 지정합니다. |
| 자리표시자 구분선 | 문자열 | , | 아니요 | 줄바꿈할 문자열을 지정합니다. |
| Title1 | 문자열 | 해당 사항 없음 | 아니요 | 첫 번째 항목 섹션에 사용할 제목을 지정합니다. |
| Fields1 | 문자열 | 해당 사항 없음 | 아니요 | 첫 번째 JSON 문자열에서 추출할 필드를 지정합니다. |
| JSON1 | JSON | 해당 사항 없음 | 아니요 | 통계에 대해 파싱할 첫 번째 JSON 문자열을 지정합니다. |
| Title2 | 문자열 | 해당 사항 없음 | 아니요 | 두 번째 항목 섹션에 사용할 제목을 지정합니다. |
| Fields2 | 문자열 | 해당 사항 없음 | 아니요 | 두 번째 JSON 문자열에서 추출할 필드를 지정합니다. |
| JSON2 | JSON | 해당 사항 없음 | 아니요 | 통계에 대해 파싱할 두 번째 JSON 문자열을 지정합니다. |
| Title3 | 문자열 | 해당 사항 없음 | 아니요 | 세 번째 항목 섹션에 사용할 제목을 지정합니다. |
| Fields3 | 문자열 | 해당 사항 없음 | 아니요 | 세 번째 JSON 문자열에서 추출할 필드를 지정합니다. |
| JSON3 | JSON | 해당 사항 없음 | 아니요 | 통계에 대해 파싱할 세 번째 JSON 문자열을 지정합니다. |
| Title4 | 문자열 | 해당 사항 없음 | 아니요 | 네 번째 항목 섹션에 사용할 제목을 지정합니다. |
예시
이 시나리오에서는 IP 엔티티를 기반으로 엔티티 통계를 만들고 VirusTotal 및 Crowdstrike 정보로 보강합니다.
작업 구성
| 매개변수 | 유형 |
| 항목 | 모든 항목 |
| Fields4 | 비어 있음 |
| JSON4 | 비어 있음 |
| Title5 | 비어 있음 |
| Fields5 | 비어 있음 |
| JSON5 | 비어 있음 |
| 자리표시자 구분선 | 비어 있음 |
| Title1 | Virustotal 점수 |
| Fields1 | 항목 |
| JSON1 | [{"Entity": "172.26.240.1", "vt_score":"4",
"EntityResult":"true"}] |
| Title2 | Crowdstrike 점수 |
| Fields2 | 항목 |
| JSON2 | [{"Entity": "172.26.240.1", "crowdstrike_score":"4",
"EntityResult":"true"}] |
| Title3 | 비어 있음 |
| Fields3 | 비어 있음 |
| JSON3 | 비어 있음 |
| Title4 | 비어 있음 |
작업 결과
- 스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
| ScriptResult | True/False | true |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.