深入分析
支援的國家/地區:
Google SecOps
SOAR
本文列出實體洞察動作使用的參數,可提升應對手冊功能。
使用這些動作,在案件總覽中產生洞察資料,提供從擴充結果中擷取的高曝光度資料點。
動作
從擴充功能建立實體洞察資料
根據格式化字串產生實體洞察資料,並納入先前擴充步驟的資料。說明
從擴充動作建立實體洞察。參數
| 參數 | 類型 | 預設值 | 是否為必要項目 | 說明 |
| 訊息 | 字串 | 不適用 | 是 | 包含實體擴充功能的格式化字串。 |
| 觸發者 | 字串 | Siemplify | 否 | 與洞察資料相關聯的整合名稱。 |
範例
這個範例說明如何剖析先前 VirusTotal 擴充動作的輸出內容,以產生系統洞察資料。系統會將生成的訊息顯示在案件總覽的「洞察」部分,供分析師審查。
動作設定
| 參數 | 值 |
| 實體 | 所有實體 |
| 訊息 | Is Risky: [VirusTotalV3_Enrich IP_1.JsonResult | "is_risky"]
|
| 觸發者 | VirusTotal |
動作結果
| 指令碼結果名稱 | 價值選項 | 範例 |
ScriptResult |
true或false |
true |
從 JSON 建立實體洞察資料
說明
剖析特定 JSON 物件並對應至目標實體,藉此產生實體洞察資料。
參數
| 參數 | 類型 | 預設值 | 是否為必要項目 | 說明 |
| JSON | JSON | 不適用 | 是 | 用於產生洞察資料的原始 JSON 物件。 |
| ID 金鑰路徑 | 字串 | 不適用 | 是 | 包含實體 ID 的索引鍵點記號路徑。 |
| 訊息 | 字串 | 不適用 | 是 | 洞察資料顯示的格式化字串。 |
| 觸發者 | 字串 | Siemplify | 否 | 與洞察資料相關聯的整合名稱。 |
範例
這個範例會根據 JSON 中的 IP 實體建立實體洞察。
動作設定
這項設定會將 VirusTotal 的遙測資料彙整為統一檢視畫面。根據 JSON 中的 IP 實體建立實體洞察資料。
| 參數 | 值 |
| 實體 | 所有實體 |
| JSON | [{"ip":"172.26.240.1","vt_score":"4"}]
|
| 識別項 KeyPath | ip
|
| 訊息 | VirusTotal 分數 |
| 觸發者 | VirusTotal |
動作執行結果
指令碼執行結果| 指令碼結果名稱 | 價值選項 | 範例 |
| ScriptResult | true或false |
true |
從多個 JSON 建立實體洞察資料
將最多五個不同的 JSON 來源資料匯總為單一多節實體洞察資料。說明
從擴充動作建立實體洞察。
參數
| 參數 | 類型 | 預設值 | 是否為必要項目 | 說明 |
| 欄位 | 字串 | 不適用 | 否 | 要從第四個 JSON 字串擷取的欄位。 |
| JSON4 | JSON | 不適用 | 否 | 要剖析的第四個 JSON 字串,用於取得洞察資料。 |
| Title5 | 字串 | 不適用 | 否 | 第五個實體部分的標題。 |
| Fields5 | 字串 | 不適用 | 否 | 要從第五個 JSON 字串擷取的欄位。 |
| JSON5 | JSON | 不適用 | 否 | 要剖析的第五個 JSON 字串,用於取得洞察資料。 |
| 預留位置分隔符 | 字串 | 、 | 否 | 用於換行的字串。 |
| Title1 | 字串 | 不適用 | 否 | 第一個實體部分的標題。 |
| Fields1 | 字串 | 不適用 | 否 | 要從第一個 JSON 字串擷取的欄位。 |
| JSON1 | JSON | 不適用 | 否 | 要剖析的第一個 JSON 字串,用於產生洞察資料。 |
| Title2 | 字串 | 不適用 | 否 | 第二個實體部分的標題。 |
| Fields2 | 字串 | 不適用 | 否 | 要從第二個 JSON 字串擷取的欄位。 |
| JSON2 | JSON | 不適用 | 否 | 要剖析的第二個 JSON 字串,用於產生洞察資料。 |
| Title3 | 字串 | 不適用 | 否 | 第三方實體部分的標題。 |
| Fields3 | 字串 | 不適用 | 否 | 要從第三個 JSON 字串擷取的欄位。 |
| JSON3 | JSON | 不適用 | 否 | 要剖析的第三個 JSON 字串,用於取得洞察資料。 |
| Title4 | 字串 | 不適用 | 否 | 第四個實體部分的標題。 |
範例
這個範例會根據 IP 實體建立實體洞察,並以 VirusTotal 和 Crowdstrike 資訊擴增洞察內容。
動作設定
| 參數 | 類型 |
| 實體 | 所有實體 |
| Fields4 | 空白 |
| JSON4 | 空白 |
| Title5 | 空白 |
| Fields5 | 空白 |
| JSON5 | 空白 |
| 預留位置分隔符 | 空白 |
| Title1 | Virustotal 分數 |
| Fields1 | 實體 |
| JSON1 | [{"Entity": "172.26.240.1", "vt_score":"4",
|
| Title2 | CrowdStrike 分數 |
| Fields2 | 實體 |
| JSON2 | [{"Entity": "172.26.240.1", "crowdstrike_score":"4",
|
| Title3 | 空白 |
| Fields3 | 空白 |
| JSON3 | 空白 |
| Title4 | 空白 |
動作執行結果
指令碼執行結果| 指令碼結果名稱 | 價值選項 | 範例 |
| ScriptResult | true或false |
true |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。