工具

支持的平台：

Google SecOps SOAR

一组用于数据处理的实用程序操作，可增强剧本功能。

操作

以下列出了您可以使用“工具”增强功能执行的操作类型。

DNS 查找

说明

使用指定的 DNS 解析器执行 DNS 查找。

参数

参数	类型	默认值	是必填字段	说明
DNS 服务器	IP 地址	不适用	是	单个或以英文逗号分隔的 DNS 服务器。

示例

此示例展示了 Google 的公共 DNS 地址 8.8.8.8，用于搜索外部网域实体。

操作结果

脚本结果

脚本结果名称 值选项 示例

ScriptResult True/False True

JSON 结果

{
"Entity": "WWW.EXAMPLE.ORG",
 "EntityResult": [{"Type": "A", "Response": "176.9.157.114", "DNS Server": "8.8.8.8"}]
}

添加或更新提醒附加数据

说明

在提醒附加数据中添加或更新字段。结果显示在提醒概览的 OFFENSE_ID 字段中。

参数

参数	类型	默认值	是必填字段	说明
JSON 字段	JSON	不适用	是	输入自由文本（针对一个变量）或表示 JSON 字典（可嵌套）的字符串。

示例

此示例向提醒添加了 MITRE 攻击详细信息，以便在提醒概览中显示这些信息。

操作执行结果

脚本结果

脚本结果名称 值选项 示例

ScriptResult 字典中的条目数 2

JSON 结果

{
"dict": {"mitre": " T1059"}, "list": []
}

将 playbook 附加到所有支持请求提醒

说明

将特定 playbook 或代码块附加到相应支持请求中的所有提醒。

参数

参数	类型	默认值	是必填字段	说明
playbook 名称	字符串	不适用	是	要添加到相应支持请求中所有提醒的 playbook 或 block 名称。

示例

此示例将名为 Phishing playbookM 的 playbook 附加到所有案例提醒。

操作执行结果

脚本结果

脚本结果名称 值选项 示例

ScriptResult true 或 false true

将 playbook 附加到提醒

说明

将特定 playbook 或区块附加到当前提醒。

参数

参数	类型	默认值	是必填字段	说明
playbook 名称	字符串	不适用	是	要添加到所有支持服务请求提醒的 playbook 或 block 名称。

示例

此示例将名为“Containment Block”（隔离块）的块附加到当前支持请求的提醒中。

操作执行结果

脚本结果

脚本结果名称 值选项 示例

ScriptResult true 或 false true

缓冲区

说明

将 JSON 输入转换为 JSON 对象。

参数

参数	类型	默认值	是必填字段	说明
ResultValue	字符串	不适用	否	作为 `ScriptResult` 值返回的占位值。
JSON	JSON	不适用	否	表达式构建器中显示的 JSON。

示例

此示例会在 JSON 表达式构建器中显示 JSON 输入值，以供进一步操作。

操作执行结果

脚本结果

脚本结果名称 值选项 示例

ScriptResult ResultValue 参数输入值成功

JSON 结果

{
"domain" : "company.com",
"domain2" : "company2.com"
}

获取证书详情

说明

检索指定网址的证书详细信息。

参数

参数	类型	默认值	是必填字段	说明
要检查的网址	网址	expired.badssk.com	是	指定要从中检索证书详细信息的网址。

示例

在此场景中，我们从 expired.badssl.com 网站检索证书详细信息。

操作结果

脚本结果

脚本结果名称 值选项 示例

ScriptResult True/False True

JSON 结果

{
"hostname": "expired.badssl.com",
 "ip": "104.154.89.105", 
"commonName": "*.badssl.com",
 "is_self_signed": false, 
"SAN": [["*.badssl.com", "badssl.com"]], 
"is_expired": true, 
"issuer": "EXAMPLE CA", 
"not_valid_before": "04/09/2015", 
"not_valid_after": "04/12/2015", 
"days_to_expiration": -2762
}

获取上下文值

说明

检索案例或提醒中上下文键的值。

参数

参数	类型	默认值	是必填字段	说明
范围	下拉菜单	提醒	是	指定键值的范围，无论是针对支持请求、提醒还是全局。
键	字符串	不适用	是	指定密钥。

示例

在此场景中，我们从支持服务请求中的“影响”键检索上下文值。此操作与 Set Context Value 操作搭配使用，后者用于向支持请求或提醒添加键值对。

操作结果

脚本结果

脚本结果名称 值选项 示例

ScriptResult 上下文值高

获取电子邮件模板

说明

返回系统中的所有电子邮件模板。

参数

参数	类型	默认值	是必填字段	说明
模板类型	下拉菜单	标准	是	指定要返回的模板类型，可以是标准或 HTML。

示例

在此场景中，我们返回所有基于 HTML 的电子邮件模板。

操作结果

脚本结果

脚本结果名称	值选项	示例
ScriptResult	包含 HTML 代码的 JSON 结果	JSON 结果显示在下一部分中

JSON 结果

{
"templates": [{"type": 1, "name": "test 1", "content": "<html>\n    <head>\n    <style type=\"text/css\"> .title\n\n    { color: blue; text-decoration: bold; text-size: 1em; }\n    .author\n    { color: gray; }\n\n    </style>\n    </head>\n\n    <body>\n    <span class=\"title\">La super bonne</span>\n    {Text}\n    [Case.Id]\n    </h1> <br/>\n    </body>\n\n    </html>", "creatorUserName": "f00942-fa040-4422324-b2c43e-de40fdsff122b9c4", "forMigration": false, "environments": ["Default"], "id": 3, "creationTimeUnixTimeInMs": 1672054127271, "modificationTimeUnixTimeInMs": 1672054127279}]
}

创建带分隔符的实体

说明

创建实体并将其添加到提醒中。

参数

参数	类型	默认值	是必填字段	说明
实体标识符	字符串	不适用	是	指定要添加到提醒中的一个或多个实体。
实体类型	字符串	不适用	是	指定实体类型。
Is Internal	复选框	未选择	否	检查所提供的实体是否属于内部网络。
实体分隔符	字符串	、	是	指定实体标识符字段中使用的分隔符。
丰富化 JSON	下拉菜单	JSON	否	以 JSON 格式指定丰富数据。
PrefixForEnrichment	字符串	不适用	否	指定要添加到丰富化数据中的前缀。

示例

在此场景中，我们将创建三个 IP 实体，并使用名为“is_suspicious”的字段来扩充它们。

操作结果

脚本结果

脚本结果名称	值选项	示例
ScriptResult	True/False	True

JSON 结果

{
"created": ["0.0.0.0", "0.0.0.1", "0.0.0.2"], 
"enriched": ["0.0.0.0", "0.0.0.1", "0.0.0.2"],
"failed": []
}

更新支持请求说明

说明

更新支持请求的说明。

参数

参数	类型	默认值	是必填字段	说明
案例说明	字符串	不适用	是	指定更新后的说明。

示例

此示例将支持请求说明更新为“This case is related to suspicious logins.”。

操作结果

脚本结果

脚本结果名称	值选项	示例
ScriptResult	True/False	True

规范化实体扩充

说明

接收来自实体的键列表并替换它们。

参数

参数	类型	默认值	是必填字段	说明
归一化数据	JSON	不适用	是	以以下 JSON 格式示例指定 JSON：[ { "entity_field_name": "AT_fields_Name", "new_name": "InternalEnrichment_Name" }, { "entity_field_name": "AT_fields_Direct-Manager", "new_name": "InternalEnrichment_DirectManager_Name" }, { "entity_field_name": "AT_Manager_fields_Work-Email", "new_name": "InternalEnrichment_DirectManager_Email" } ]

示例

在此场景中，我们将 is_bad 的实体键替换为 malicious。

操作结果

脚本结果

脚本结果名称	值选项	示例
ScriptResult	富化实体的数量	5

附加到上下文值

说明

将值附加到现有上下文属性，或者在上下文属性不存在时创建新属性并添加值。

参数

参数	类型	默认值	是必填字段	说明
键	字符串	不适用	是	指定上下文属性键
值	字符串	不适用	是	指定要附加到上下文属性的值
分隔符	字符串	不适用	是	指定值字段中使用的分隔符。

示例

在此场景中，我们将值“T1595”和“T1140”添加到现有上下文键“MITRE”。

操作结果

脚本结果

脚本结果名称	值选项	示例
ScriptResult	上下文值	T1595、T1140

创建实体关系

说明

在所提供的实体与关联的实体之间创建关系。如果所提供的实体不存在，则创建这些实体。

参数

参数	类型	默认值	是必填字段	说明
实体标识符	字符串	不适用	是	创建新的或使用现有的实体标识符或以英文逗号分隔的标识符列表。
实体标识符类型	下拉菜单	用户名	是	指定实体类型。
连接方式	下拉菜单	来源	是	使用来源、目的地或关联关系将实体标识符与目标实体标识符相关联。
目标实体类型	下拉菜单	地址	是	指定要将实体标识符关联到的目标实体类型。
目标实体标识符	字符串	不适用	否	此逗号分隔列表中的实体， “目标实体类型”中的类型将与“实体标识符”参数中的实体相关联。
丰富化 JSON	JSON	不适用	否	一个可选的 JSON 对象，包含键/ 可添加到新创建的实体的属性值对。
分隔符	字符串	不适用	否	指定用于分隔“实体标识符”和/或“目标实体标识符”中的实体列表的字符。默认值为逗号。

示例

在此场景中，我们将在用户与网址之间建立关系。在这种情况下，Bola001 访问了 example.com 的网址。

操作结果

脚本结果

脚本结果名称	值选项	示例
ScriptResult	True/False	True

JSON 结果

{
"Entity": "Bola001", "EntityResult": {}
}

提取网址网域

说明

使用新字段 siemplifytools_extracted_domain 扩充所有实体，该字段包含从实体标识符中提取的网域。如果实体没有网域（例如文件哈希），则不会返回任何内容。除了实体之外，用户还可以指定网址列表作为参数，并处理这些网址而不进行丰富。

参数

参数	类型	默认值	是必填字段	说明
分词符	字符串	、	是	指定用于分隔网址的分隔符字符串。
网址	字符串	不适用	否	指定一个或多个要从中提取网域的网址。
提取子网域	复选框	不适用	否	指定是否也要提取子网域。

示例

在此场景中，我们将从指定网址中提取网域。

操作结果

脚本结果

脚本结果名称	值选项	示例
ScriptResult	提取的网域数量	1

JSON 结果

{
"Entity": "https://sample.google.com", "EntityResult": {"domain": "sample.google.com", "source_entity_type": "DestinationURL"}
}

检查列表子集

说明

检查一个列表中的值是否存在于另一个列表中。

参数

参数	类型	默认值	是必填字段	说明
原始模式	字符串	不适用	是	指定要对照检查的项目列表。JSON 列表或以英文逗号分隔的列表。
子集	列表	不适用	是	指定子集列表。JSON 列表或以英文逗号分隔的列表。

示例

在此场景中，我们检查原始列表 1,2,3,4,5 中是否存在值 1、2、3，结果为 true。

操作结果

脚本结果

脚本结果名称	值选项	示例
ScriptResult	True/False	True

添加了提醒评分信息

说明

向提醒评分数据库添加条目。提醒得分基于以下比率：5 个低严重程度的提醒 = 1 个中等严重程度的提醒。3 个中等强度 = 1 个高强度。2 个高优先级问题 = 1 个严重问题。已向问题添加可选标记。

参数

参数	类型	默认值	是必填字段	说明
名称	字符串	不适用	是	对提醒执行的检查的名称。
说明	字符串	不适用	是	对提醒执行的检查的说明。
严重程度	字符串	信息	是	严重程度。
类别	字符串	不适用	是	所执行检查的类别。
来源	字符串	不适用	否	得分所依据的部分提醒。示例：文件、用户、电子邮件。
支持请求代码	字符串	不适用	否	要添加到支持请求的标记。

示例

此示例将提醒得分设置为“高”，因为 VirusTotal 提供了可疑结果。

操作结果

脚本结果

脚本结果名称	值选项	示例
Alert_score	信息、低、中、高、严重	高

JSON 结果

{
"category": "File Enrichment",
 "score_data": [{"score_name": "File Enrichment", "description": "VT has found a file to be suspicious", "severity": "High", "score": 3, "source": "VirusTotal"}],
 "category_score": 3
}

获取 Siemplify 用户

说明

返回系统中配置的所有用户的列表。

参数

参数	类型	默认值	是必填字段	说明
隐藏已停用的用户	复选框	已选择	否	指定是否从结果中隐藏已停用的用户。

示例

在此场景中，我们将返回系统中的所有用户，包括已停用的用户。

操作结果

脚本结果

脚本结果名称	值选项	示例
ScriptResult	True/False	True

JSON 结果

{
"siemplifyUsers": [{"permissionGroup": "Admins", "socRole": "@Administrator", "isDisabled": false, "loginIdentifier": "sample@domain.com", "firstName": "John", "lastName": "Doe", "permissionType": 0, "role": 0, "socRoleId": 1, "email": "sample@domain.com", "userName": "0b3423496fc2-0834302-42f33d-8523408-18c087d2347cf1e", "imageBase64": null, "userType": 1, "identityProvider": -1, "providerName": "Internal", "advancedReportsAccess": 0, "accountState": 2, "lastLoginTime": 1679831126656, "previousLoginTime": 1678950002044, "lastPasswordChangeTime": 0, "lastPasswordChangeNotificationTime": 0, "loginWrongPasswordCount": 0, "isDeleted": false, "deletionTimeUnixTimeInMs": 0, "environments": ["*"], "id": 245, "creationTimeUnixTimeInMs": 1675457504856, "modificationTimeUnixTimeInMs": 1674957504856
}

检查文本中的实体字段

说明

搜索范围内每个实体的特定字段（或使用正则表达式搜索多个字段），并将其与一个或多个值进行比较。比较的值也可以通过正则表达式进行处理。如果实体丰富中的某个后正则表达式值位于一个或多个搜索值中，则表示找到匹配项。

参数

参数	类型	默认值	是必填字段	说明
SearchInData	JSON	[ { "Data": "[Event.from]", "RegEx": "(?<=@)[^.]+(?=\\.)" } ]	是	JSON，用于表示您要搜索的字符串，格式如下：[ { "Data": "", "RegEx": "" } ]
FieldsInput	JSON	[ { "RegexForFieldName": "", "FieldName": "body", "RegexForFieldValue": "" }, { "RegexForFieldName": ".(_url_).", "FieldName": "", "RegexForFieldValue": "" }, { "RegexForFieldName": "", "FieldName": "body", "RegexForFieldValue": "HostName: (.*?)" } ]	是	一个 JSON，用于描述应测试哪些字段 [ "RegexForFieldName": “”, "FieldName": "要搜索的字段名称", "RegexForFieldValue": “”}]
ShouldEnrichEntity	字符串	domain_matched	否	如果设置为 <VAL>，还会将一个丰富值放在实体上，以便将该实体识别为与该值“匹配”。密钥将为 <VAL>
IsCaseSensitive	复选框	未选择	否	指定相应字段是否区分大小写。

示例

在此场景中，我们检查指定文本中是否存在字段名称为 malicious 的实体。

操作结果

脚本结果

脚本结果名称	值选项	示例
ScriptResult	发现结果数量	0

JSON 结果

{
"Entity": "EXL88765-AD", "EntityResult": [{"RegexForFieldName": "", "FieldName": "malicious", "RegexForFieldValue": "", "ResultsToSearch": {"val_to_search": [[]], "found_results": [], "num_of_results": 0}}]
}

获取集成实例

说明

返回环境的所有集成实例。

参数

无适用参数。

示例

在这种情况下，系统将返回所有环境中的所有集成实例。

操作结果

脚本结果

脚本结果名称	值选项	示例
ScriptResult	True/False	True

JSON 结果

{
"instances": [{"identifier": "27dee746-1857-41b7-a722-b99699b8d6c8", "integrationIdentifier": "Tools", "environmentIdentifier": "Default", "instanceName": "Tools_1", "instanceDescription": "test", "isConfigured": true, "isRemote": false, "isSystemDefault": false},{...........}]
}

延迟 playbook V2

说明

暂时停止 playbook 在指定时间段内完成。

参数

参数	类型	默认值	是必填字段	说明
秒	整数	0	否	指定延迟 playbook 的秒数。
分钟	整数	1	否	指定延迟 playbook 的分钟数。
小时	整数	0	否	指定延迟 playbook 的小时数。
天	整数	0	否	指定延迟 playbook 的天数。
Cron 表达式	字符串	不适用	否	使用 cron 表达式确定剧本应何时继续执行。优先级高于其他参数。

示例

在此场景中，我们将剧本延迟了 12.5 小时。

操作结果

脚本结果

脚本结果名称	值选项	示例
ScriptResult	True/False	True

获取原始提醒 JSON

说明

返回原始提醒（原始数据）的 JSON 结果。

参数

无适用参数

示例

在此场景中，系统会返回原始的原始 JSON 格式的提醒。

操作结果

脚本结果

脚本结果名称	值选项	示例
ScriptResult	True/False	True

JSON 结果

{
"CreatorUserId": null, "Events": [{"_fields": {"BaseEventIds": "[]", "ParentEventId": -1, "deviceEventClassId": "IRC Connections", "DeviceProduct": "IPS_Product", "StartTime": "1667497096184", "EndTime": "1667497096184"}, "_rawDataFields": {"applicationProtocol": "TCP", "categoryOutcome": "blocked", "destinationAddress": "104.131.182.103", "destinationHostName": "www.ircnet.org", "destinationPort": "770", "destinationProcessName": "MrlCS.sob", "destinationUserName": "XWTTRYzNr1l@gmail.com", "deviceAddress": "0.0.0.0", "deviceEventClassId": "IRC Connections", "deviceHostName": "ckIYC2", "Field_24": "B0:E7:DF:6C:EF:71", "deviceProduct": "IPS_Product", "deviceVendor": "Vendor", "endTime": "1667497110906", "eventId": "0aa16009-57b4-41a3-91ed-81347442ca29", "managerReceiptTime": "1522058997000", "message": "Connection to IRC Server", "name": "IRC Connections", "severity": "8", "sourceAddress": "0.0.0.0", "sourceHostName": "jhon@domain.local", "startTime": "1667497110906", "sourcetype": "Connection to IRC Server"}, "Environment": null, "SourceSystemName": null, "Extensions": []}], "Environment": "Default", "SourceSystemName": "Arcsight", "TicketId": "fab1b5a1-637f-4aed-a94f-c63137307505", "Description": "IRC Connections", "DisplayId": "fab1b5a1-637f-4aed-a94f-c63137307505", "Reason": null, "Name": "IRC Connections", "DeviceVendor": "IPS", "DeviceProduct": "IPS_Product", "StartTime": 1667497110906, "EndTime": 1667497110906, "Type": 1, "Priority": -1, "RuleGenerator": "IRC Connections", "SourceGroupingIdentifier": null, "PlaybookTriggerKeywords": [], "Extensions": [], "Attachments": null, "IsTrimmed": false, "DataType": 1, "SourceType": 1, "SourceSystemUrl": null, "SourceRuleIdentifier": null
}

获取当前时间

说明

返回当前日期和时间。

参数

参数	类型	默认值	是必填字段	说明
日期时间格式	字符串	%d/%m/%Y %H:%M	是	指定日期和时间的格式。

示例

在此场景中，我们使用以下格式返回日期和时间值：%d/%m/%Y %H:%M:%S

操作结果

脚本结果

脚本结果名称	值选项	示例
ScriptResult	日期时间值	03/11/2022 20:33:43

更新提醒得分

说明

按提供的金额更新提醒得分。

参数

参数	类型	默认值	是必填字段	说明
输入	整数	不适用	是	指定要增加或减少（负数）的量。

示例

在此场景中，我们将提醒得分降低了 20。

操作结果

脚本结果

脚本结果名称	值选项	示例
ScriptResult	输入值	-20

向实体日志添加注释

说明

为实体探索器中得分的每个实体向实体日志添加注释。

参数

参数	类型	默认值	是必填字段	说明
用户	下拉菜单	@Administrator	是	指定发表评论的用户。
评论	字符串	不适用	是	指定将添加到实体日志中的注释。

示例

操作结果

脚本结果

脚本结果名称	值选项	示例
不适用	不适用	不适用

重新附加 playbook

说明

从支持请求中移除 playbook，删除支持请求中来自该 playbook 的所有结果数据，然后重新附加该 playbook，以便再次运行。需要安装 PostgreSQL 集成，并配置为具有 Google SecOps SOAR 实例名称的共享环境。如需了解更多详情，请咨询客户成功经理 / 支持人员。

参数

参数	类型	默认值	是必填字段	说明
playbook 名称	下拉菜单	不适用	是	指定要重新附加的策略方案。

示例

在此场景中，我们将重新附加一个名为 attach_playbook_test 的 playbook

操作结果

脚本结果

脚本结果名称	值选项	示例
ScriptResult	True/False/请配置 PostgreSQL 集成的 Google SecOps SOAR 实例。	True

锁定 Playbook

说明

暂停当前 playbook，直到之前提醒中的所有 playbook 完成为止。

参数

参数	类型	默认值	是必填字段	说明
异步操作超时	整数	1 天	否	异步操作超时定义执行相应操作允许花费的总时间（所有迭代运行时的总和）。
异步轮询间隔	整数	1 小时	否	设置异步操作运行时期间两次轮询尝试间隔的时长。

示例

在此场景中，我们暂停当前 playbook，并每隔 30 秒检查一次，以查看相应支持请求中之前提醒的所有 playbook 是否已完成。

操作结果

脚本结果

脚本结果名称	值选项	示例
ScriptResult	True/False	True

查找 First Alert

说明

返回指定支持服务请求中第一个提醒的标识符。

参数

无适用参数。

示例

在此场景中，它会返回相应支持请求中第一个提醒的提醒标识符。

操作结果

脚本结果

脚本结果名称	值选项	示例
ScriptResult	提醒标识符值	IRC 连接 9A33308C-AC62-4A41-8F73-20529895D567

相似网域

说明

将网域实体与为环境定义的网域列表进行比较。如果网域相似，系统会将相应实体标记为可疑，并使用匹配的网域进行丰富。

参数

无适用参数

示例

在此场景中，我们检查外部网域实体是否与设置中的网域列表内配置的网域类似。

操作结果

脚本结果

脚本结果名称	值选项	示例
look_a_like_domain_found	True/False	True

JSON 结果

{
"Entity" : {"EntityResult" : { "look_a_like_domains" : ["outlooks.com"]}}
}

更改案例名称

说明

更改支持请求名称或标题。

参数

参数	类型	默认值	是必填字段	说明
新建名称	字符串	不适用	否	指定新支持请求的名称。
仅限首次提醒	复选框	未选择	否	如果选中，则仅当对相应支持请求中的第一个提醒执行操作时，才会更改支持请求的名称。

示例

在此场景中，只有在第一个提醒中运行时，支持请求的标题才会更改为“网络钓鱼 - 可疑电子邮件”。

操作结果

脚本结果

脚本结果名称	值选项	示例
ScriptResult	True/False	True

拼写检查字符串

说明

检查输入字符串的拼写。输出结果会显示准确率百分比、总字数、拼错的总字数、每个拼错的字词及其更正、以及输入字符串的更正版本。

参数

参数	类型	默认值	是必填字段	说明
字符串	字符串	不适用	是	指定要检查拼写错误的字符串。

示例

此示例会对以下输入字符串进行拼写检查：
“Testing if this is a mispelled wodr.”。

操作执行结果

脚本结果

脚本结果名称	值选项	示例
accuracy_percentage	百分比值	71

JSON 结果

{"input_string": "Testing if this is a mispelled wodr.", "total_words": 7, "total_misspelled_words": 2, "misspelled_words": [{"misspelled_word": "mispelled", "correction": "misspelled"}, {"misspelled_word": "wodr", "correction": "word"}], "accuracy": 71, "corrected_string": "Testing if this is a misspelled word."}

搜索文本

说明

在输入文本中搜索“Search For”参数，或遍历“Search For Regex”列表并在输入文本中查找匹配项。如果匹配，则该操作会返回 true。

参数

参数	类型	默认值	是必填字段	说明
文本	字符串	不适用	是	指定要搜索的文本。
搜索	字符串	不适用	否	在“text”字段中指定要搜索的字符串。
搜索正则表达式	字符串	不适用	否	将用于搜索字符串的正则表达式列表。正则表达式应以双引号括起来。支持英文逗号分隔列表。
区分大小写	复选框	不适用	否	指定搜索是否应区分大小写。

示例

在此场景中，我们检查 Text 字段值中是否存在 malicious 一词。

操作结果

脚本结果

脚本结果名称	值选项	示例
match_found	True/False	True

JSON 结果

{
"matches": [{"search": "malicious", "input": "This IOC is malicious.", "match": true}]
}

设置上下文值

说明

在特定上下文中设置键和值。此操作通常与“获取上下文值”操作搭配使用，以检索键的值。

参数

参数	类型	默认值	是必填字段	说明
值	字符串	不适用	是	指定上下文值。
键	字符串	不适用	是	指定上下文键。
范围	下拉菜单	提醒	是	指定上下文分配范围（提醒、支持请求、全局）。

示例

在此场景中，我们将“恶意”这一上下文键设置为“是”值。

操作结果

脚本结果

脚本结果名称	值选项	示例
ScriptResult	True/False	True

创建 Siemplify 任务

说明

将任务分配给用户或角色。该任务将与运行操作的支持请求相关联。

参数

参数	类型	默认值	是必填字段	说明
任务标题	字符串	不适用	否	指定任务的标题。
服务等级协议（以分钟为单位）	整数	480	是	指定分配的用户/角色必须在多长时间内（以分钟为单位）响应任务。
任务内容	字符串	不适用	是	指定任务的详细信息。
分配给	下拉菜单	不适用	是	指定任务将分配给的用户或角色。

示例

在此场景中，系统创建了一项任务，指示第 3 级支持人员运行病毒扫描。

操作结果

脚本结果

脚本结果名称	值选项	示例
ScriptResult	True/False	True

将支持请求分配给用户

说明

将支持请求分配给用户。

参数

参数	类型	默认值	是必填字段	说明
案例 ID	字符串	不适用	是	指定支持请求 ID。使用 [Case.Id] 表示当前支持请求。
分配给	字符串	@Admin	是	指定要将支持请求分配给的用户。这是用户的 ID。使用“Get Siemplify Users”操作检索特定用户的 ID。
提醒 ID	字符串		是	指定提醒 ID。使用 [Alert.Identifier]。

示例

在此场景中，我们将当前支持请求分配给特定用户，并使用其 ID。

操作结果

脚本结果

脚本结果名称	值选项	示例
ScriptResult	True/False	True

获取支持请求数据

说明

从某个支持请求中检索所有数据，并返回 JSON 结果。结果包括评论、实体信息、数据分析、运行的 playbook、提醒信息和事件。

参数

参数	类型	默认值	是必填字段	说明
案例 ID	整数	不适用	否	指定要查询的支持请求 ID。如果留空，则使用当前大小写。

示例

在此场景中，我们从当前问题中检索问题详情。

操作结果

脚本结果

脚本结果名称	值选项	示例
ScriptResult	True/False	True

JSON 结果

{
"wallData": [{"commentForClient": null, "comment": null, "modificationTimeUnixTimeInMsForClient": 0, "creatorUserId": "8f8er8d6-ee8b-478e-9ee592-cc27e9addda13b", "id": 6357, "type": 5, "caseId": 36902, "isFavorite": false, "modificationTimeUnixTimeInMs": 1680717397165, "creationTimeUnixTimeInMs": 1680717397165, "alertIdentifier": "SUSPICIOUS ACTIVITY991C7837-1EE9-4EEA-AE7B-975366CA2EAE"}, {"actionTriggerType": 0, "integration": "Tools", "executingUser": null, "playbookName": "New Playbook", "playbookIsInDebugMode": true, "status": 5, "actionProvider": "Scripts", "actionIdentifier": "Tools_Get Case Data_1", "actionResult": "Action started", "alertIdentifiers": ["SUSPICIOUS ACTIVITY991C7837-1EE9-4EEA-AE7B-975366CA2EAE"], "creatorUserId": null, "id": 7677, "type": 3, "caseId": 0, "isFavorite": false, "modificationTimeUnixTimeInMs": 1680717397401, "creationTimeUnixTimeInMs": 1680717397401, "alertIdentifier": null}], "alerts": [{"ticketId": "d21ebvcxzb88-35vc35-46b4-9edd08-063696d7cc092", "status": 0, "identifier": "SUSPICIOUS ACTIVITY991C7837-1EE9-4EEA-AE7B-975366CA2EAE", "hasWorkflows": true, "workflowsStatus": 1, "sourceSystemName": "CrowdStrikeFalcon", "securityEventCards": [{"caseId": 36902, "eventId": "5fde7844-0099-4c5d-a562-63e2d0deb7e5", "alertIdentifier": "SUSPICIOUS ACTIVITY991C7837-1EE9-4EEA-AE7B-975366CA2EAE", "eventName": "CustomIOAWinLowest", "product": "Falcon", "sources": [{"isValid": true, "identifier": "172.30.202.229", "type": "ADDRESS"}, {"isValid": true, "identifier": "EXLAB2019-AD", "type": "HOSTNAME"}, {"isValid": true, "identifier": "E019-AD$", "type": "USERUNIQNAME"}], "destinations": [], "artificats": [{"isValid": true, "identifier": "MPCMDRUN.EXE", "type": "FILENAME"}, {"isValid": true, "identifier": "60D88450B376694DC55EB8F40B0F79580D1DF399A7BDF", "type": "FILEHASH"}], "port": null, "outcome": null, "time": "2023-03-01T19:51:00Z", "deviceEventClassId": "Indicator of Attack", "fields": [{"isHighlight": true, "groupName": "HIGHLIGHTED FIELDS", "hideOptions": false, "items": [{"originalName": "startTime", "name": "Start Time", "value": "1680615463369"}, {"originalName": "endTime", "name": "End Time", "value": "1680615463369"}]}, {"isHighlight": false, "groupName": "Default", "hideOptions": false, "items": [{"originalName": "cid", "name": "cid", "value": "27fe4e4760b8476b2b6650e5a74"}, {"originalName": "created_timestamp", "name": "created_timestamp", "value": "2023-03-01T19:51:11.387187948Z"}........................
}

等待 playbook 完成

说明

暂停当前 playbook，直到在同一提醒上运行的另一个 playbook 或块完成。

参数

参数	类型	默认值	是必填字段	说明
playbook 名称	字符串	不适用	否	指定您要先完成的模块或剧本的名称。

示例

在此场景中，我们会暂停当前 playbook，直到在同一提醒上运行的“调查块”完成为止。

操作结果

脚本结果

脚本结果名称	值选项	示例
ScriptResult	True/False	True

转换为模拟支持请求

说明

将支持请求转换为可加载到平台中的模拟支持请求。

参数

参数	类型	默认值	是必填字段	说明
推送到模拟场景	复选框	未选择	否	如果选中此复选框，相应支持请求会添加到可用的模拟支持请求列表中。
将 JSON 保存为 Case Wall 文件	复选框	已选择	否	如果选中此选项，系统会将表示支持请求的 JSON 文件保存到支持请求墙，以供下载。
替换提醒名称	字符串	空	否	指定要使用的新提醒名称。如果选择此参数，它将取代完整路径名称参数。
路径的全名	复选框	未选择	否	如果选择此项，请使用 `source_product_eventtype` 作为提醒名称，例如 `QRadar_WinEventLog:Security_Remote fail login`。如果设置了 Override Alert Name，则系统会忽略此参数。

示例

在此示例中，系统会将一个支持服务请求转换为模拟支持服务请求，并使用“Risky Sign On”（有风险的登录）作为提醒名称，该名称将显示为首页上可用的模拟支持服务请求之一。

操作结果

脚本结果

脚本结果名称 值选项 示例

ScriptResult True/False True

JSON 结果

{
  "cases": [
    {
      "CreatorUserId": null,
      "Events": [
        {
          "_fields": {
            "BaseEventIds": "[]",
            "ParentEventId": -1,
            "DeviceProduct": "WinEventLog:Security",
            "StartTime": "1689266169689",
            "EndTime": "1689266169689"
          },
          "_rawDataFields": {
            "sourcetype": "Failed login",
            "starttime": "1689702001439",
            "endtime": "1689702001439"
          },
          "Environment": null,
          "SourceSystemName": null,
          "Extensions": []
        }
      ],
      "Environment": "default",
      "SourceSystemName": "QRadar",
      "TicketId": "de2e3913-e4d8-4060-ae2b-1c81ee64ba47",
      "Description": "This case created by SPLUNK query ",
      "DisplayId": "de2e3913-e4d8-4060-ae2b-1c81ee64ba47",
      "Reason": null,
      "Name": "Risky Sign On",
      "DeviceVendor": "WIN-24TBDNRMSVB",
      "DeviceProduct": "WinEventLog:Security",
      "StartTime": 1689702001439,
      "EndTime": 1689702001439,
      "Type": 1,
      "Priority": -1,
      "RuleGenerator": "Remote Failed login",
      "SourceGroupingIdentifier": null,
      "PlaybookTriggerKeywords": [],
      "Extensions": [
        {
          "Key": "KeyName",
          "Value": "TCS"
        }
      ],
      "Attachments": null,
      "IsTrimmed": false,
      "DataType": 1,
      "SourceType": 1,
      "SourceSystemUrl": null,
      "SourceRuleIdentifier": null,
      "SiemAlertId": null,
      "__CorrelationId": "7efd38feaea247ad9f5ea8d907e4387c"
    }
  ]
}

作业

根据搜索结果关闭支持请求

说明

此作业将根据搜索查询关闭所有支持请求。搜索载荷是“CaseSearchEverything”API 调用中使用的载荷。如需获取此值的示例，请前往界面中的“搜索”并打开开发者工具。搜索要删除的病例。在开发者工具中查找“CaseSearchEverything”API 调用。复制 POST 请求的 JSON 载荷，然后粘贴到“搜索载荷”中。关闭原因应为 0 或 1。0 = 恶意 1 = 非恶意。根本原因来自“设置”>“支持请求数据”>“支持请求关闭根本原因”。

参数

参数	类型	默认值	是必填字段	说明
搜索载荷	JSON	不适用	否	指定要搜索的 JSON 载荷。示例： {"tags":[],"ruleGenerator":[],"caseSource":[],"stage":[],"environments":[],"assignedUsers":[],"products":[],"ports":[],"categoryOutcomes":[],"status":[],"caseIds":[],"incident":[],"importance":[],"priorities":[],"pageSize":50,"isCaseClosed":false,"title":"","startTime":"2023-01-22T00:00:00.000Z","endTime":"2023-01-22T23:59:59.999Z","requestedPage":0,"timeRangeFilter":1}
关闭评论	字符串	不适用	是	指定关闭评论。
关闭原因	字符串	不适用	是	指定关闭原因。0 = 恶意，1 = 非恶意
根本原因	整数	不适用	是	指定根本原因。根本原因来自设置 > 案例数据 > 案例关闭根本原因。
Google SecOps SOAR 用户名	字符串	不适用	是	指定 Google SecOps SOAR 用户名。
Google SecOps SOAR 密码	密码	不适用	是	指定 Google SecOps SOAR 密码。