清單
支援的國家/地區:
Google SecOps
SOAR
本文說明如何管理自訂清單。
搜尋自訂名單
說明
在自訂清單的記錄中搜尋特定字串。如果未提供任何值,搜尋結果會傳回所有自訂清單記錄。
參數
| 參數 | 類型 | 預設值 | 必填 | 說明 |
| 要搜尋的字串 | 字串 | 不適用 | 否 | 要在自訂清單的記錄中搜尋的字串。 |
| 類別 | 字串 | 不適用 | 否 | 要搜尋的自訂清單類別。 |
範例
在本例中,系統會檢查自訂清單中是否有任何記錄包含 .com,且類別為「封鎖的網域」。
動作設定
| 參數 | 值 |
| 實體 | 所有實體 |
| 要搜尋的字串 | .com |
| 類別 | 封鎖的網域 |
動作執行結果
-
指令碼執行結果
指令碼結果名稱 價值選項 範例 Match_recordstrue或falsetrue -
JSON 結果
[{ "entityIdentifier": "sample.com", "category": "Blocked Domains", "forDBMigration": false, "environments": ["*"], "id": 1, "creationTimeUnixTimeInMs": 1674846992575, "modificationTimeUnixTimeInMs": 1674846992575 }]
在環境自訂清單中搜尋指定字串
說明
在目前案件環境的自訂清單記錄中,搜尋特定字串。如果未提供任何值,搜尋結果會傳回所有自訂清單記錄。
參數
| 參數 | 類型 | 預設值 | 必填 | 說明 |
| 要搜尋的字串 | 字串 | 不適用 | 否 | 要在自訂清單的記錄中搜尋的字串。 |
| 類別 | 字串 | 不適用 | 否 | 在自訂清單中指定類別以進行搜尋。 |
範例
在本例中,系統會檢查 1.1.1.1 是否包含在類別為「vuln_scanner」的自訂清單中。
動作設定
| 參數 | 值 |
| 實體 | 所有實體 |
| 要搜尋的字串 | 1.1.1.1
|
| 類別 | vuln_scanner
|
動作執行結果
-
指令碼執行結果
指令碼結果名稱 價值選項 範例 Match_Records true或falsetrue -
JSON 結果
[ { "entityIdentifier": "1.1.1.1", "category": "vuln_scanner", "environments": [ "Default Environment" ], "id": 5, "name": "test", "creationTimeUnixTimeInMs": 1673953571935, "modificationTimeUnixTimeInMs": 1673953571935 } ]
字串是否在自訂清單中
說明
檢查字串是否位於自訂清單中。
參數
| 參數 | 類型 | 預設值 | 必填 | 說明 |
| ListItem | 字串 | 不適用 | 是 | 要新增至自訂清單的字串。 |
| 類別 | 字串 | 許可清單 | 是 | 自訂清單類別或名稱。 |
範例
在本例中,系統會檢查 IP 位址 0.0.0.0 是否存在於名為 bad_ips_list 的清單類別中。
動作設定
| 參數 | 值 |
| 實體 | 所有實體 |
| IdentifierList | 0.0.0.0
|
| 類別 | bad_ips_list
|
動作執行結果
- 指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 範例 |
| NumOf FoundResults | true或false |
true |
-
JSON 結果
{ "Entity" : "0.0.0.0", "EntityResult" : "true" }
將字串新增至自訂清單
說明
將字串新增至自訂清單。
參數
| 參數 | 類型 | 預設值 | 必填 | 說明 |
| ListItem | 字串 | 不適用 | 是 | 要新增至自訂清單的字串。 |
| 類別 | 字串 | 許可清單 | 是 | 自訂清單類別或名稱。 |
範例
在本範例中,IP 位址 0.0.0.1 會新增至名為 bad_ips_list 的自訂清單類別。
動作設定
| 參數 | 值 |
| 實體 | 所有實體 |
| Listitem | 0.0.0.1
|
| 類別 | bad_ips_list
|
動作執行結果
-
指令碼執行結果
指令碼結果名稱 價值選項 範例 NumOf FoundResults true或falsetrue -
JSON 結果
{ "Entity" : "0.0.0.0", "EntityResult" : "true" }
從自訂清單中移除字串
說明
從自訂清單中移除字串。
參數
| 參數 | 類型 | 預設值 | 必填 | 說明 |
| 類別 | 字串 | 許可清單 | 是 | 自訂清單類別或名稱。 |
| ListItem | 字串 | 不適用 | 是 | 要從自訂清單中移除的字串。 |
範例
在本範例中,IP 位址 0.0.0.1 會從名為 bad_ips_list 的自訂清單類別中移除。
動作設定
| 參數 | 值 |
| 實體 | 所有實體 |
| IdentifierList | 0.0.0.1
|
| 類別 | bad_ips_list
|
動作執行結果
-
指令碼執行結果
指令碼結果名稱 價值選項 範例 NumOfFoundResults true或falsetrue -
JSON 結果
{ "Entity" : "0.0.0.0", "EntityResult" : "true" }
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。