Insights
Visão geral
Conjunto de ações de insights criadas para aprimorar as capacidades do playbook.
Ações
Criar insights de entidade com base no enriquecimento
Descrição
Cria um insight de entidade com base em uma ação de enriquecimento.
Parâmetros
| Parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
| Mensagem | String | N/A | Sim | Especifique uma string formatada que incorpore o enriquecimento de entidade. |
| Acionada por | String | Siemplify | Não | Especifique o nome da integração que deve ser associada ao insight. |
Exemplo
Nesse cenário, estamos extraindo resultados de uma ação anterior de enriquecimento do VirusTotal e criando um insight com uma mensagem, que será exibida na visão geral do caso na seção "Insights".
Configurações de ação
| Parâmetro | Valor |
| Entidades | Todas as entidades |
| Mensagem | Is Risky: [VirusTotalV3_Enrich IP_1.JsonResult | "is_risky"] |
| Acionada por | VirusTotal |
Resultados da ação
- Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
| ScriptResult | Verdadeiro/Falso | verdadeiro |
Criar insight de entidade com base em JSON
Descrição
Cria um insight de entidade com base em uma ação de enriquecimento.
Parâmetros
| Parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
| JSON | JSON | N/A | Sim | Especifique o JSON que será usado para gerar insights de entidade. |
| Identifier KeyPath | String | N/A | Sim | Especifique o caminho da chave em que encontrar o identificador da entidade para corresponder ao insight com a entidade associada. |
| Mensagem | String | N/A | Sim | Especifique a string formatada que incorpora o enriquecimento de entidade. |
| Acionada por | String | Siemplify | Não | Especifique o nome da integração que deve ser associada ao insight. |
Exemplo
Neste cenário, estamos criando um insight de entidade com base em uma entidade de IP de um JSON.
Configurações de ação
Neste cenário, estamos criando um insight de entidade com base em uma entidade de IP de um JSON.
| Parâmetro | Valor |
| Entidades | Todas as entidades |
| JSON | [{"ip":"172.26.240.1","vt_score":"4"}] |
| Identifier KeyPath | ip |
| Mensagem | Pontuação do VirusTotal |
| Acionada por | VirusTotal |
Resultados da ação
- Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
| ScriptResult | Verdadeiro/Falso | verdadeiro |
Criar insights de entidades com base em vários JSONs
Descrição
Cria um insight de entidade com base em uma ação de enriquecimento.
Parâmetros
| Parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
| Fields4 | String | N/A | Não | Especifique os campos que serão extraídos da quarta string JSON. |
| JSON4 | JSON | N/A | Não | Especifique a quarta string JSON a ser analisada para o insight. |
| Title5 | String | N/A | Não | Especifique o título a ser usado na quinta seção de entidades. |
| Fields5 | String | N/A | Não | Especifique os campos que serão extraídos da quinta string JSON. |
| JSON5 | JSON | N/A | Não | Especifique a quinta string JSON a ser analisada para o insight. |
| Separador de marcador de posição | String | , | Não | Especifique a string que vai quebrar as linhas. |
| Title1 | String | N/A | Não | Especifique o título a ser usado na primeira seção de entidades. |
| Fields1 | String | N/A | Não | Especifique os campos que serão extraídos da primeira string JSON |
| JSON1 | JSON | N/A | Não | Especifique a primeira string JSON a ser analisada para o insight. |
| Title2 | String | N/A | Não | Especifique o título a ser usado na segunda seção de entidades. |
| Fields2 | String | N/A | Não | Especifique os campos que serão extraídos da segunda string JSON |
| JSON2 | JSON | N/A | Não | Especifique a segunda string JSON a ser analisada para o insight. |
| Title3 | String | N/A | Não | Especifique o título a ser usado na terceira seção de entidades. |
| Fields3 | String | N/A | Não | Especifique os campos que serão extraídos da terceira string JSON |
| JSON3 | JSON | N/A | Não | Especifique a terceira string JSON a ser analisada para o insight. |
| Title4 | String | N/A | Não | Especifique o título a ser usado na quarta seção de entidades. |
Exemplo
Neste cenário, estamos criando um insight de entidade com base em uma entidade de IP e enriquecendo-o com informações do VirusTotal e do Crowdstrike.
Configurações de ação
| Parâmetro | Tipo |
| Entidades | Todas as entidades |
| Fields4 | Em branco |
| JSON4 | Em branco |
| Title5 | Em branco |
| Fields5 | Em branco |
| JSON5 | Em branco |
| Separador de marcador de posição | Em branco |
| Title1 | Pontuação do VirusTotal |
| Fields1 | Entidade |
| JSON1 | [{"Entity": "172.26.240.1", "vt_score":"4",
"EntityResult":"true"}] |
| Title2 | Pontuação do Crowdstrike |
| Fields2 | Entidade |
| JSON2 | [{"Entity": "172.26.240.1", "crowdstrike_score":"4",
"EntityResult":"true"}] |
| Title3 | Em branco |
| Fields3 | Em branco |
| JSON3 | Em branco |
| Title4 | Em branco |
Resultados da ação
- Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
| ScriptResult | Verdadeiro/Falso | verdadeiro |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.