数据分析
支持的平台:
Google SecOps
SOAR
概览
创建了一组数据洞见操作,以增强 playbook 功能。
操作
根据丰富化数据创建实体洞见
说明
根据富集操作创建实体分析洞见。
参数
| 参数 | 类型 | 默认值 | 是必填字段 | 说明 |
| 消息 | 字符串 | 不适用 | 是 | 指定包含实体丰富功能的格式化字符串。 |
| 触发者 | 字符串 | Siemplify | 否 | 指定应与数据洞见相关联的集成名称。 |
示例
在此场景中,我们从之前的 VirusTotal 丰富化操作中提取结果,并创建包含消息的分析洞见,该消息将显示在“分析洞见”部分的案例概览中。
操作配置
| 参数 | 值 |
| 实体 | 所有实体 |
| 消息 | 存在风险:[VirusTotalV3_Enrich IP_1.JsonResult | "is_risky"] |
| 触发者 | VirusTotal |
操作结果
- 脚本结果
| 脚本结果名称 | 值选项 | 示例 |
| ScriptResult | True/False | true |
根据 JSON 创建实体数据洞见
说明
根据富集操作创建实体分析洞见。
参数
| 参数 | 类型 | 默认值 | 是必填字段 | 说明 |
| JSON | JSON | 不适用 | 是 | 指定将用于生成实体洞见的 JSON。 |
| 标识符 KeyPath | 字符串 | 不适用 | 是 | 指定用于查找实体标识符的键路径,以便将数据洞见与关联的实体相匹配。 |
| 消息 | 字符串 | 不适用 | 是 | 指定包含实体丰富功能的格式化字符串。 |
| 触发者 | 字符串 | Siemplify | 否 | 指定应与数据洞见相关联的集成名称。 |
示例
在此场景中,我们将基于 JSON 中的 IP 实体创建实体洞见。
操作配置
在此场景中,我们将基于 JSON 中的 IP 实体创建实体洞见。
| 参数 | 值 |
| 实体 | 所有实体 |
| JSON | [{"ip":"172.26.240.1","vt_score":"4"}] |
| 标识符 KeyPath | ip |
| 消息 | VirusTotal 分数 |
| 触发者 | VirusTotal |
操作结果
- 脚本结果
| 脚本结果名称 | 值选项 | 示例 |
| ScriptResult | True/False | true |
从多个 JSON 创建实体洞见
说明
根据富集操作创建实体分析洞见。
参数
| 参数 | 类型 | 默认值 | 是必填字段 | 说明 |
| Fields4 | 字符串 | 不适用 | 否 | 指定将从第四个 JSON 字符串中提取的字段。 |
| JSON4 | JSON | 不适用 | 否 | 指定要解析的第四个 JSON 字符串,以获取数据洞见。 |
| Title5 | 字符串 | 不适用 | 否 | 指定要用于第五个实体部分的标题。 |
| Fields5 | 字符串 | 不适用 | 否 | 指定将从第五个 JSON 字符串中提取的字段。 |
| JSON5 | JSON | 不适用 | 否 | 指定要解析的第五个 JSON 字符串以获取数据洞见。 |
| 占位分隔符 | 字符串 | 、 | 否 | 指定将用于换行的字符串。 |
| Title1 | 字符串 | 不适用 | 否 | 指定要用于第一个实体部分的标题。 |
| Fields1 | 字符串 | 不适用 | 否 | 指定将从第一个 JSON 字符串中提取的字段 |
| JSON1 | JSON | 不适用 | 否 | 指定要解析的第一个 JSON 字符串,以获取数据洞见。 |
| Title2 | 字符串 | 不适用 | 否 | 指定要用于第二个实体部分的标题。 |
| Fields2 | 字符串 | 不适用 | 否 | 指定将从第二个 JSON 字符串中提取的字段 |
| JSON2 | JSON | 不适用 | 否 | 指定要解析的第二个 JSON 字符串,以获取数据洞见。 |
| Title3 | 字符串 | 不适用 | 否 | 指定要用于第三个实体部分的标题。 |
| Fields3 | 字符串 | 不适用 | 否 | 指定将从第三个 JSON 字符串中提取的字段 |
| JSON3 | JSON | 不适用 | 否 | 指定要解析的第三个 JSON 字符串,以获取数据洞见。 |
| Title4 | 字符串 | 不适用 | 否 | 指定要用于第四个实体部分的标题。 |
示例
在此场景中,我们将基于 IP 实体创建实体洞见,并使用 VirusTotal 和 Crowdstrike 信息对其进行丰富。
操作配置
| 参数 | 类型 |
| 实体 | 所有实体 |
| Fields4 | 空白 |
| JSON4 | 空白 |
| Title5 | 空白 |
| Fields5 | 空白 |
| JSON5 | 空白 |
| 占位分隔符 | 空白 |
| Title1 | VirusTotal 分数 |
| Fields1 | 实体 |
| JSON1 | [{"Entity": "172.26.240.1", "vt_score":"4",
"EntityResult":"true"}] |
| Title2 | Crowdstrike 得分 |
| Fields2 | 实体 |
| JSON2 | [{"Entity": "172.26.240.1", "crowdstrike_score":"4",
"EntityResult":"true"}] |
| Title3 | 空白 |
| Fields3 | 空白 |
| JSON3 | 空白 |
| Title4 | 空白 |
操作结果
- 脚本结果
| 脚本结果名称 | 值选项 | 示例 |
| ScriptResult | True/False | true |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。