深入分析
支援的國家/地區:
Google SecOps
SOAR
總覽
這組洞察動作可強化應對手冊功能。
動作
從擴充功能建立實體洞察
說明
從擴充動作建立實體洞察。
參數
| 參數 | 類型 | 預設值 | 是否為必要項目 | 說明 |
| 訊息 | 字串 | 不適用 | 是 | 指定包含實體擴充功能的格式化字串。 |
| 觸發者 | 字串 | Siemplify | 否 | 指定應與洞察資料相關聯的整合名稱。 |
示例
在這個情境中,我們會從先前的 VirusTotal 擴充動作提取結果,並建立附有訊息的深入分析,顯示在「深入分析」部分的案件總覽中。
動作設定
| 參數 | 值 |
| 實體 | 所有實體 |
| 訊息 | Is Risky: [VirusTotalV3_Enrich IP_1.JsonResult | "is_risky"] |
| 觸發者 | VirusTotal |
動作執行結果
- 指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
| ScriptResult | True/False | 是 |
從 JSON 建立實體洞察
說明
從擴充動作建立實體洞察。
參數
| 參數 | 類型 | 預設值 | 是否為必要項目 | 說明 |
| JSON | JSON | 不適用 | 是 | 指定用於產生實體洞察資料的 JSON。 |
| 識別碼 KeyPath | 字串 | 不適用 | 是 | 指定金鑰路徑,以找出實體 ID,將洞察資料與相關聯的實體相符。 |
| 訊息 | 字串 | 不適用 | 是 | 指定包含實體擴充功能的格式化字串。 |
| 觸發者 | 字串 | Siemplify | 否 | 指定應與洞察資料相關聯的整合名稱。 |
示例
在這個情境中,我們要根據 JSON 中的 IP 實體建立實體洞察資料。
動作設定
在這個情境中,我們將根據 JSON 中的 IP 實體建立實體洞察資料。
| 參數 | 值 |
| 實體 | 所有實體 |
| JSON | [{"ip":"172.26.240.1","vt_score":"4"}] |
| 識別項 KeyPath | ip |
| 訊息 | VirusTotal 分數 |
| 觸發者 | VirusTotal |
動作執行結果
- 指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
| ScriptResult | True/False | 是 |
從多個 JSON 建立實體洞察
說明
從擴充動作建立實體洞察。
參數
| 參數 | 類型 | 預設值 | 是否為必要項目 | 說明 |
| Fields4 | 字串 | 不適用 | 否 | 指定要從第四個 JSON 字串擷取的欄位。 |
| JSON4 | JSON | 不適用 | 否 | 指定要剖析的第四個 JSON 字串,以取得洞察資料。 |
| Title5 | 字串 | 不適用 | 否 | 指定第五個實體部分的標題。 |
| Fields5 | 字串 | 不適用 | 否 | 指定要從第五個 JSON 字串擷取的欄位。 |
| JSON5 | JSON | 不適用 | 否 | 指定要剖析的第五個 JSON 字串,以取得洞察資料。 |
| 預留位置分隔符 | 字串 | 、 | 否 | 指定要換行的字串。 |
| Title1 | 字串 | 不適用 | 否 | 指定第一個實體部分的標題。 |
| Fields1 | 字串 | 不適用 | 否 | 指定要從第一個 JSON 字串擷取的欄位 |
| JSON1 | JSON | 不適用 | 否 | 指定要剖析的第一個 JSON 字串,以取得洞察資料。 |
| Title2 | 字串 | 不適用 | 否 | 指定第二個實體部分的標題。 |
| Fields2 | 字串 | 不適用 | 否 | 指定要從第二個 JSON 字串擷取的欄位 |
| JSON2 | JSON | 不適用 | 否 | 指定要剖析的第二個 JSON 字串,以取得洞察資料。 |
| Title3 | 字串 | 不適用 | 否 | 指定要用於第三個實體部分的標題。 |
| Fields3 | 字串 | 不適用 | 否 | 指定要從第三個 JSON 字串擷取的欄位 |
| JSON3 | JSON | 不適用 | 否 | 指定要剖析的第三個 JSON 字串,以取得洞察資料。 |
| Title4 | 字串 | 不適用 | 否 | 指定第四個實體部分的標題。 |
示例
在這個情境中,我們將根據 IP 實體建立實體洞察,並加入 VirusTotal 和 Crowdstrike 資訊。
動作設定
| 參數 | 類型 |
| 實體 | 所有實體 |
| Fields4 | 空白 |
| JSON4 | 空白 |
| Title5 | 空白 |
| Fields5 | 空白 |
| JSON5 | 空白 |
| 預留位置分隔符 | 空白 |
| Title1 | VirusTotal 分數 |
| Fields1 | 實體 |
| JSON1 | [{"Entity": "172.26.240.1", "vt_score":"4",
"EntityResult":"true"}] |
| Title2 | CrowdStrike 分數 |
| Fields2 | 實體 |
| JSON2 | [{"Entity": "172.26.240.1", "crowdstrike_score":"4",
"EntityResult":"true"}] |
| Title3 | 空白 |
| Fields3 | 空白 |
| JSON3 | 空白 |
| Title4 | 空白 |
動作執行結果
- 指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
| ScriptResult | True/False | 是 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。