Ferramentas

Suportado em:

Google secops SOAR

Um conjunto de ações de utilidade para a manipulação de dados que melhoram as capacidades dos manuais de procedimentos.

Ações

A lista seguinte indica os tipos de ações que pode realizar com a melhoria Ferramentas.

Procura de DNS

Descrição

Executa uma procura de DNS através de um resolvedor de DNS especificado.

Parâmetros

Parâmetro	Tipo	Valor predefinido	Is Mandatory	Descrição
Servidor DNS	Endereço IP	N/A	Sim	Servidores DNS únicos ou separados por vírgulas.

Exemplo

Este exemplo mostra o endereço DNS público da Google de 8.8.8.8 para pesquisar entidades de domínio externas.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
ScriptResult	Verdadeiro/Falso	Verdadeiro

Resultado JSON

{
"Entity": "WWW.EXAMPLE.ORG",
 "EntityResult": [{"Type": "A", "Response": "176.9.157.114", "DNS Server": "8.8.8.8"}]
}

Adicione ou atualize dados adicionais de alertas

Descrição

Adiciona ou atualiza campos nos dados adicionais do alerta. Os resultados são apresentados na vista geral Alertas, no campo OFFENSE_ID.

Parâmetros

Parâmetro	Tipo	Valor predefinido	Is Mandatory	Descrição
Campos JSON	JSON	N/A	Sim	Introduza texto livre (para uma variável) ou uma string que represente um dicionário JSON (pode ser aninhado).

Exemplo

Este exemplo adiciona detalhes do ataque MITRE aos alertas para apresentação na Vista geral de alertas.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
ScriptResult	Número de itens no dicionário	2

Resultado JSON

{
"dict": {"mitre": " T1059"}, "list": []
}

Anexe o guia interativo a todos os alertas de registos

Descrição

Anexa um manual de procedimentos ou um bloco específico a todos os alertas num registo.

Parâmetros

Parâmetro	Tipo	Valor predefinido	Is Mandatory	Descrição
Nome do guia interativo	String	N/A	Sim	Playbook ou nome do bloco a adicionar a todos os alertas num registo.

Exemplo

Este exemplo anexa um plano de ação denominado Phishing playbookM a todos os alertas de registos.

Resultados da ação

Resultado do script

Nome do resultado do script Opções de valor Exemplo

ScriptResult true ou false true

Anexe um guia interativo a um alerta

Descrição

Anexa um manual de procedimentos ou um bloco específico ao alerta atual.

Parâmetros

Parâmetro	Tipo	Valor predefinido	Is Mandatory	Descrição
Nome do guia interativo	String	N/A	Sim	Nome do manual de procedimentos ou do bloco a adicionar a todos os alertas de registos.

Exemplo

Este exemplo anexa um bloco denominado Containment Block aos alertas de registos atuais.

Resultados da ação

Resultado do script

Nome do resultado do script Opções de valor Exemplo

ScriptResult true ou false true

Buffer

Descrição

Converter uma entrada JSON num objeto JSON.

Parâmetros

Parâmetro	Tipo	Valor predefinido	Is Mandatory	Descrição
ResultValue	String	N/A	Não	Valor de marcador de posição que é devolvido como o valor `ScriptResult`.
JSON	JSON	N/A	Não	JSON apresentado no criador de expressões.

Exemplo

Este exemplo apresenta o valor de entrada JSON no criador de expressões JSON para usar em ações adicionais.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
ScriptResult	Valor de entrada do parâmetro `ResultValue`	êxito

Resultado JSON

{
"domain" : "company.com",
"domain2" : "company2.com"
}

Obtenha detalhes do certificado

Descrição

Obtém os detalhes do certificado de um determinado URL.

Parâmetros

Parâmetro	Tipo	Valor predefinido	Is Mandatory	Descrição
URL a verificar	URL	expired.badssk.com	Sim	Especifique o URL a partir do qual pretende obter os detalhes do certificado.

Exemplo

Neste cenário, estamos a obter detalhes do certificado do site expired.badssl.com.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
ScriptResult	Verdadeiro/Falso	Verdadeiro

Resultado JSON

{
"hostname": "expired.badssl.com",
 "ip": "104.154.89.105", 
"commonName": "*.badssl.com",
 "is_self_signed": false, 
"SAN": [["*.badssl.com", "badssl.com"]], 
"is_expired": true, 
"issuer": "EXAMPLE CA", 
"not_valid_before": "04/09/2015", 
"not_valid_after": "04/12/2015", 
"days_to_expiration": -2762
}

Obtenha o valor do contexto

Descrição

Obtém um valor de uma chave de contexto num registo ou num alerta.

Parâmetros

Parâmetro	Tipo	Valor predefinido	Is Mandatory	Descrição
Âmbito	Menu pendente	Alerta	Sim	Especifique o âmbito das chaves-valores, quer seja num registo, num alerta ou global.
Chave	String	N/A	Sim	Especifique a chave.

Exemplo

Neste cenário, estamos a obter um valor de contexto de uma chave denominada impact num caso. Esta ação é usada juntamente com a ação Definir valor de contexto que adiciona os pares de chave-valor ao registo ou ao alerta.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
ScriptResult	Valor do contexto	Alto

Obtenha modelos de email

Descrição

Devolve todos os modelos de email no sistema.

Parâmetros

Parâmetro	Tipo	Valor predefinido	Is Mandatory	Descrição
Tipo de modelo	Menu pendente	Standard	Sim	Especifique o tipo de modelo a devolver, seja Standard ou HTML.

Exemplo

Neste cenário, estamos a devolver todos os modelos de email baseados em HTML.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
ScriptResult	Resultado JSON com código HTML	Resultado JSON apresentado na secção seguinte

Resultado JSON

{
"templates": [{"type": 1, "name": "test 1", "content": "<html>\n    <head>\n    <style type=\"text/css\"> .title\n\n    { color: blue; text-decoration: bold; text-size: 1em; }\n    .author\n    { color: gray; }\n\n    </style>\n    </head>\n\n    <body>\n    <span class=\"title\">La super bonne</span>\n    {Text}\n    [Case.Id]\n    </h1> <br/>\n    </body>\n\n    </html>", "creatorUserName": "f00942-fa040-4422324-b2c43e-de40fdsff122b9c4", "forMigration": false, "environments": ["Default"], "id": 3, "creationTimeUnixTimeInMs": 1672054127271, "modificationTimeUnixTimeInMs": 1672054127279}]
}

Crie entidades com separador

Descrição

Cria entidades e adiciona-as ao alerta.

Parâmetros

Parâmetro	Tipo	Valor predefinido	Is Mandatory	Descrição
Identificadores de entidades	String	N/A	Sim	Especifique a entidade ou as entidades a adicionar ao alerta.
Tipo de entidade	String	N/A	Sim	Especifique o tipo de entidade.
É interno	Caixa de verificação	Não selecionado	Não	Verifique se a entidade fornecida faz parte de uma rede interna.
Separador de entidades	String	,	Sim	Especifique o delimitador usado no campo de identificadores de entidades.
JSON de enriquecimento	Menu pendente	JSON	Não	Especifique os dados de enriquecimento no formato JSON.
PrefixForEnrichment	String	N/A	Não	Especifique o prefixo a adicionar aos dados de enriquecimento.

Exemplo

Neste cenário, estamos a criar três entidades de IP e a enriquecê-las com um campo denominado "is_suspicious".

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
ScriptResult	Verdadeiro/Falso	Verdadeiro

Resultado JSON

{
"created": ["0.0.0.0", "0.0.0.1", "0.0.0.2"], 
"enriched": ["0.0.0.0", "0.0.0.1", "0.0.0.2"],
"failed": []
}

Atualize a descrição do registo

Descrição

Atualiza a descrição de um registo.

Parâmetros

Parâmetro	Tipo	Valor predefinido	Is Mandatory	Descrição
Descrição do registo	String	N/A	Sim	Especifique a descrição atualizada.

Exemplo

Este exemplo atualiza a descrição do registo para "Este registo está relacionado com inícios de sessão suspeitos".

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
ScriptResult	Verdadeiro/Falso	Verdadeiro

Normalize o enriquecimento de entidades

Descrição

Recebe uma lista de chaves da entidade e substitui-as.

Parâmetros

Parâmetro	Tipo	Valor predefinido	Is Mandatory	Descrição
Dados de normalização	JSON	N/A	Sim	Especifique o JSON no seguinte exemplo de formato: [ { "entity_field_name": "AT_fields_Name", "new_name": "InternalEnrichment_Name" }, { "entity_field_name": "AT_fields_Direct-Manager", "new_name": "InternalEnrichment_DirectManager_Name" }, { "entity_field_name": "AT_Manager_fields_Work-Email", "new_name": "InternalEnrichment_DirectManager_Email" } ]

Exemplo

Neste cenário, estamos a substituir a chave da entidade de is_bad por malicious.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
ScriptResult	Número de entidades enriquecidas	5

Anexar ao valor de contexto

Descrição

Anexa um valor a uma propriedade de contexto existente ou cria uma nova propriedade de contexto se não existir e adiciona o valor.

Parâmetros

Parâmetro	Tipo	Valor predefinido	Is Mandatory	Descrição
Chave	String	N/A	Sim	Especifique a chave da propriedade de contexto
Valor	String	N/A	Sim	Especifique o valor a anexar à propriedade de contexto
Delimitador	String	N/A	Sim	Especifique o delimitador usado no campo de valor.

Exemplo

Neste cenário, estamos a adicionar os valores "T1595" e "T1140" a uma chave de contexto existente de "MITRE".

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
ScriptResult	Valores de contexto	T1595 e T1140

Crie relações entre entidades

Descrição

Cria uma relação entre as entidades fornecidas e as entidades associadas. Se as entidades fornecidas não existirem, são criadas.

Parâmetros

Parâmetro	Tipo	Valor predefinido	Is Mandatory	Descrição
Identificadores de entidades	String	N/A	Sim	Cria novos identificadores de entidades ou usa identificadores de entidades existentes, ou uma lista de identificadores separados por vírgulas.
Tipo de identificadores de entidades	Menu pendente	Nome de utilizador	Sim	Especifique o tipo de entidade.
Ligar como	Menu pendente	Origem	Sim	Associa identificadores de entidades através de relações de origem, destino ou associadas aos identificadores de entidades de destino.
Tipo de entidade de destino	Menu pendente	Endereço	Sim	Especifique o tipo de entidade de destino para associar os identificadores de entidades.
Identificadores de entidades de destino	String	N/A	Não	Entidades nesta lista separada por vírgulas de O tipo de Target Entity Type vai ser associado às entidades no parâmetro Entities Identifier(s).
JSON de enriquecimento	JSON	N/A	Não	Um objeto JSON opcional que contém o par chave / Pares de valores de atributos que podem ser adicionados às entidades criadas recentemente.
Caráter separador	String	N/A	Não	Especifique o caráter pelo qual separar a lista de entidades em Identificadores de entidades e/ou Identificadores de entidades de destino. A predefinição é a vírgula.

Exemplo

Neste cenário, estamos a criar uma relação entre um utilizador e um URL. Neste caso, Bola001 acedeu a um URL de example.com.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
ScriptResult	Verdadeiro/Falso	Verdadeiro

Resultado JSON

{
"Entity": "Bola001", "EntityResult": {}
}

Extraia o domínio do URL

Descrição

Enriquece todas as entidades com um novo campo siemplifytools_extracted_domain que contém o domínio extraído do identificador da entidade. Se a entidade não tiver um domínio (por exemplo, o hash do ficheiro), não é devolvido nada. Além das entidades, o utilizador pode especificar uma lista de URLs como parâmetro e processá-los sem enriquecer.

Parâmetros

Parâmetro	Tipo	Valor predefinido	Is Mandatory	Descrição
Separador	String	,	Sim	Especifique a string separadora a usar para separar URLs.
URLs	String	N/A	Não	Especifique um ou mais URLs dos quais extrair o domínio.
Extrair subdomínio	Caixa de verificação	N/A	Não	Especifique se também quer extrair o subdomínio.

Exemplo

Neste cenário, estamos a extrair o domínio do URL especificado.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
ScriptResult	Número de domínios extraídos	1

Resultado JSON

{
"Entity": "https://sample.google.com", "EntityResult": {"domain": "sample.google.com", "source_entity_type": "DestinationURL"}
}

Check List Subset

Descrição

Verifica se os valores numa lista existem noutra lista.

Parâmetros

Parâmetro	Tipo	Valor predefinido	Is Mandatory	Descrição
Original	String	N/A	Sim	Especifique a lista de itens a verificar. Lista JSON ou separada por vírgulas.
Subconjunto	Lista	N/A	Sim	Especifique a lista de subconjuntos. Lista JSON ou separada por vírgulas.

Exemplo

Neste cenário, estamos a verificar se os valores 1, 2 e 3 existem na lista original de 1, 2, 3, 4 e 5, o que resulta num valor de resultado verdadeiro.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
ScriptResult	Verdadeiro/Falso	Verdadeiro

Adicione informações de pontuação de alertas

Descrição

Adiciona uma entrada à base de dados de pontuação de alertas. A pontuação de alerta baseia-se na relação: 5 baixo = 1 médio. 3 Médios = 1 Elevado. 2 Alta = 1 Crítica. Opcional etiqueta adicionada ao registo.

Parâmetros

Parâmetro	Tipo	Valor predefinido	Is Mandatory	Descrição
Nome	String	N/A	Sim	Nome da verificação realizada no alerta.
Descrição	String	N/A	Sim	Descrição da verificação realizada no alerta.
Gravidade	String	Informativas	Sim	Gravidade.
Categoria	String	N/A	Sim	Categoria da verificação realizada.
Origem	String	N/A	Não	Parte do alerta a partir do qual a pontuação foi derivada. Exemplo: Ficheiros, utilizador, email.
Etiqueta do registo	String	N/A	Não	Etiquetas a adicionar ao registo.

Exemplo

Este exemplo define a pontuação do alerta como "elevada" devido a um resultado suspeito do VirusTotal.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
Alert_score	Informativo, Baixo, Médio, Alto, Crítico	Alto

Resultado JSON

{
"category": "File Enrichment",
 "score_data": [{"score_name": "File Enrichment", "description": "VT has found a file to be suspicious", "severity": "High", "score": 3, "source": "VirusTotal"}],
 "category_score": 3
}

Obter utilizadores do Siemplify

Descrição

Devolve uma lista de todos os utilizadores configurados no sistema.

Parâmetros

Parâmetro	Tipo	Valor predefinido	Is Mandatory	Descrição
Oculte utilizadores desativados	Caixa de verificação	Selecionado	Não	Especifique se quer ocultar utilizadores desativados dos resultados.

Exemplo

Neste cenário, estamos a devolver todos os utilizadores no sistema, incluindo os utilizadores desativados.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
ScriptResult	Verdadeiro/Falso	Verdadeiro

Resultado JSON

{
"siemplifyUsers": [{"permissionGroup": "Admins", "socRole": "@Administrator", "isDisabled": false, "loginIdentifier": "sample@domain.com", "firstName": "John", "lastName": "Doe", "permissionType": 0, "role": 0, "socRoleId": 1, "email": "sample@domain.com", "userName": "0b3423496fc2-0834302-42f33d-8523408-18c087d2347cf1e", "imageBase64": null, "userType": 1, "identityProvider": -1, "providerName": "Internal", "advancedReportsAccess": 0, "accountState": 2, "lastLoginTime": 1679831126656, "previousLoginTime": 1678950002044, "lastPasswordChangeTime": 0, "lastPasswordChangeNotificationTime": 0, "loginWrongPasswordCount": 0, "isDeleted": false, "deletionTimeUnixTimeInMs": 0, "environments": ["*"], "id": 245, "creationTimeUnixTimeInMs": 1675457504856, "modificationTimeUnixTimeInMs": 1674957504856
}

Verificar campos de entidades no texto

Descrição

Pesquise um campo específico de cada entidade no âmbito (ou vários campos através de regex) e compare-o com um ou mais valores. Os valores comparados também podem passar por uma expressão regular. É encontrada uma correspondência se um dos valores da expressão regular de publicação do enriquecimento de entidades estiver em um ou mais valores pesquisados.

Parâmetros

Parâmetro	Tipo	Valor predefinido	Is Mandatory	Descrição
SearchInData	JSON	[ { "Data": "[Event.from]", "RegEx": "(?<=@)[^.]+(?=\\.)" } ]	Sim	JSON que representa as strings nas quais quer pesquisar através deste formato: [ { "Data": "", "RegEx": "" } ]
FieldsInput	JSON	[ { "RegexForFieldName": "", "FieldName": "body", "RegexForFieldValue": "" }, { "RegexForFieldName": ".(_url_).", "FieldName": "", "RegexForFieldValue": "" }, { "RegexForFieldName": "", "FieldName": "body", "RegexForFieldValue": "HostName: (.*?)" } ]	Sim	Um JSON que descreve que campos devem ser testados para [ "RegexForFieldName": “”, "FieldName": "Field name to search", "RegexForFieldValue": “”}]
ShouldEnrichEntity	String	domain_matched	Não	Se for definido como <VAL>, também coloca um valor de enriquecimento na entidade a ser reconhecida como "correspondente" ao valor. A chave vai ser <VAL>
IsCaseSensitive	Caixa de verificação	Não selecionado	Não	Especifique se o campo é sensível a maiúsculas e minúsculas.

Exemplo

Neste cenário, estamos a verificar se existe uma entidade com um nome de campo de malicioso no texto especificado.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
ScriptResult	Número de resultados	0

Resultado JSON

{
"Entity": "EXL88765-AD", "EntityResult": [{"RegexForFieldName": "", "FieldName": "malicious", "RegexForFieldValue": "", "ResultsToSearch": {"val_to_search": [[]], "found_results": [], "num_of_results": 0}}]
}

Obter instâncias de integração

Descrição

Devolve todas as instâncias de integração de um ambiente.

Parâmetros

Nenhum parâmetro aplicável.

Exemplo

Neste cenário, são devolvidas todas as instâncias de integração em todos os ambientes.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
ScriptResult	Verdadeiro/Falso	Verdadeiro

Resultado JSON

{
"instances": [{"identifier": "27dee746-1857-41b7-a722-b99699b8d6c8", "integrationIdentifier": "Tools", "environmentIdentifier": "Default", "instanceName": "Tools_1", "instanceDescription": "test", "isConfigured": true, "isRemote": false, "isSystemDefault": false},{...........}]
}

Guia interativo sobre atrasos V2

Descrição

Interrompe temporariamente a conclusão de uma estratégia durante um período especificado.

Parâmetros

Parâmetro	Tipo	Valor predefinido	Is Mandatory	Descrição
Segundos	Número inteiro	0	Não	Especifique a quantidade de segundos para atrasar um playbook.
Minutos	Número inteiro	1	Não	Especifique a quantidade de minutos para atrasar uma playbook.
Horas	Número inteiro	0	Não	Especifique o número de horas para atrasar uma estratégia.
Dias	Número inteiro	0	Não	Especifique o número de dias para atrasar um guião de ações.
Expressão cron	String	N/A	Não	Determina quando o manual de soluções deve avançar através de uma expressão cron. Vai ter prioridade sobre os outros parâmetros.

Exemplo

Neste cenário, estamos a atrasar o manual em 12 horas e meia.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
ScriptResult	Verdadeiro/Falso	Verdadeiro

Get Original Alert Json

Descrição

Devolve o resultado JSON do alerta original (dados não processados).

Parâmetros

Nenhum parâmetro aplicável

Exemplo

Neste cenário, é devolvido o JSON não processado original do alerta.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
ScriptResult	Verdadeiro/Falso	Verdadeiro

Resultado JSON

{
"CreatorUserId": null, "Events": [{"_fields": {"BaseEventIds": "[]", "ParentEventId": -1, "deviceEventClassId": "IRC Connections", "DeviceProduct": "IPS_Product", "StartTime": "1667497096184", "EndTime": "1667497096184"}, "_rawDataFields": {"applicationProtocol": "TCP", "categoryOutcome": "blocked", "destinationAddress": "104.131.182.103", "destinationHostName": "www.ircnet.org", "destinationPort": "770", "destinationProcessName": "MrlCS.sob", "destinationUserName": "XWTTRYzNr1l@gmail.com", "deviceAddress": "0.0.0.0", "deviceEventClassId": "IRC Connections", "deviceHostName": "ckIYC2", "Field_24": "B0:E7:DF:6C:EF:71", "deviceProduct": "IPS_Product", "deviceVendor": "Vendor", "endTime": "1667497110906", "eventId": "0aa16009-57b4-41a3-91ed-81347442ca29", "managerReceiptTime": "1522058997000", "message": "Connection to IRC Server", "name": "IRC Connections", "severity": "8", "sourceAddress": "0.0.0.0", "sourceHostName": "jhon@domain.local", "startTime": "1667497110906", "sourcetype": "Connection to IRC Server"}, "Environment": null, "SourceSystemName": null, "Extensions": []}], "Environment": "Default", "SourceSystemName": "Arcsight", "TicketId": "fab1b5a1-637f-4aed-a94f-c63137307505", "Description": "IRC Connections", "DisplayId": "fab1b5a1-637f-4aed-a94f-c63137307505", "Reason": null, "Name": "IRC Connections", "DeviceVendor": "IPS", "DeviceProduct": "IPS_Product", "StartTime": 1667497110906, "EndTime": 1667497110906, "Type": 1, "Priority": -1, "RuleGenerator": "IRC Connections", "SourceGroupingIdentifier": null, "PlaybookTriggerKeywords": [], "Extensions": [], "Attachments": null, "IsTrimmed": false, "DataType": 1, "SourceType": 1, "SourceSystemUrl": null, "SourceRuleIdentifier": null
}

Get Current Time

Descrição

Devolve a data e a hora atuais.

Parâmetros

Parâmetro	Tipo	Valor predefinido	Is Mandatory	Descrição
Formato de data/hora	String	%d/%m/%Y %H:%M	Sim	Especifique o formato da data e da hora.

Exemplo

Neste cenário, estamos a devolver um valor de data e hora com o seguinte formato: %d/%m/%Y %H:%M:%S

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
ScriptResult	Valor de data/hora	03/11/2022 20:33:43

Atualize a pontuação de alerta

Descrição

Atualiza a pontuação do alerta pelo valor indicado.

Parâmetros

Parâmetro	Tipo	Valor predefinido	Is Mandatory	Descrição
Entrada	Número inteiro	N/A	Sim	Especifique o valor pelo qual quer aumentar ou diminuir (número negativo).

Exemplo

Neste cenário, estamos a diminuir a pontuação de alerta em 20.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
ScriptResult	Valor de entrada	-20

Adicionar comentário ao registo da entidade

Descrição

Adiciona um comentário ao registo de entidades para cada entidade na pontuação no explorador de entidades.

Parâmetros

Parâmetro	Tipo	Valor predefinido	Is Mandatory	Descrição
Utilizador	Menu pendente	@Administrator	Sim	Especificar o utilizador que criou o comentário.
Comentário	String	N/A	Sim	Especifique o comentário que vai ser adicionado ao registo da entidade.

Exemplo

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
N/A	N/A	N/A

Voltar a anexar o guia interativo

Descrição

Remove um plano de ação de um registo, elimina todos os dados de resultados no registo desse plano de ação e volta a anexar o plano de ação para que seja executado novamente. Requer a instalação da integração do PostgreSQL, configurada para o ambiente partilhado com um nome de instância do Google SecOps SOAR. Consulte o CSM / apoio técnico para ver detalhes adicionais.

Parâmetros

Parâmetro	Tipo	Valor predefinido	Is Mandatory	Descrição
Nome do guia interativo	Menu pendente	N/A	Sim	Especifique o manual de estratégias a voltar a anexar.

Exemplo

Neste cenário, vamos voltar a anexar um manual de estratégias denominado attach_playbook_test

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
ScriptResult	Verdadeiro/Falso/Configure a instância SOAR do Google SecOps da integração do PostgreSQL.	Verdadeiro

Playbook de bloqueio

Descrição

Pausa o livro de regras atual até que todos os livros de regras do alerta anterior sejam concluídos.

Parâmetros

Parâmetro	Tipo	Valor predefinido	Is Mandatory	Descrição
Tempo limite da ação assíncrona	Números inteiros	1 dia	Não	O limite de tempo para ações assíncronas define o tempo total permitido para esta ação (soma o tempo de execução de todas as iterações).
Intervalo de sondagem assíncrona	Números inteiros	1 hora	Não	Defina a duração entre cada tentativa de sondagem durante um tempo de execução de ação assíncrona.

Exemplo

Neste cenário, estamos a pausar o guia interativo atual e a verificar a cada 30 segundos para ver se todos os guias interativos no alerta anterior no registo estão concluídos.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
ScriptResult	Verdadeiro/Falso	Verdadeiro

Find First Alert

Descrição

Devolve o identificador do primeiro alerta num determinado registo.

Parâmetros

Nenhum parâmetro aplicável.

Exemplo

Neste cenário, está a devolver o identificador do alerta do primeiro alerta no registo.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
ScriptResult	Valor do identificador de alerta	IRC CONNECTIONS9A33308C-AC62-4A41-8F73-20529895D567

Domínios semelhantes

Descrição

Compara as entidades de domínio com a lista de domínios definida para o ambiente. Se os domínios forem semelhantes, a entidade é marcada como suspeita e enriquecida com o domínio correspondente.

Parâmetros

Nenhum parâmetro aplicável

Exemplo

Neste cenário, estamos a verificar se as entidades de domínio externo se assemelham aos domínios configurados na lista de domínios nas definições.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
look_a_like_domain_found	Verdadeiro/Falso	Verdadeiro

Resultado JSON

{
"Entity" : {"EntityResult" : { "look_a_like_domains" : ["outlooks.com"]}}
}

Altere o nome do registo

Descrição

Altera o nome ou o título de um registo.

Parâmetros

Parâmetro	Tipo	Valor predefinido	Is Mandatory	Descrição
Novo nome	String	N/A	Não	Especifique o novo nome do registo.
Apenas se for o primeiro alerta	Caixa de verificação	Não selecionado	Não	Se selecionada, só altera o nome do registo se a ação tiver sido executada no primeiro alerta do registo.

Exemplo

Neste cenário, o título de um registo é alterado para "Phishing - Email suspeito" apenas se for executado no primeiro alerta.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
ScriptResult	Verdadeiro/Falso	Verdadeiro

Spell Check String

Descrição

Verifique a ortografia da string de entrada. O resultado mostra a percentagem de precisão, o número total de palavras, o número total de palavras com erros ortográficos, a lista de cada palavra com erro ortográfico e a correção, bem como uma versão corrigida da string de entrada.

Parâmetros

Parâmetro	Tipo	Valor predefinido	Is Mandatory	Descrição
String	String	N/A	Sim	Especifique a string que vai ser verificada quanto a erros ortográficos.

Exemplo

Este exemplo verifica a ortografia da seguinte string de entrada:
"Testing if this is a mispelled wodr.".

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
accuracy_percentage	Valor percentual	71

Resultado JSON

{"input_string": "Testing if this is a mispelled wodr.", "total_words": 7, "total_misspelled_words": 2, "misspelled_words": [{"misspelled_word": "mispelled", "correction": "misspelled"}, {"misspelled_word": "wodr", "correction": "word"}], "accuracy": 71, "corrected_string": "Testing if this is a misspelled word."}

Pesquisar texto

Descrição

Pesquise o parâmetro "Search For" no texto de entrada ou percorra a lista "Search For Regex" e encontre correspondências no texto de entrada. Se houver uma correspondência, a ação devolve true.

Parâmetros

Parâmetro	Tipo	Valor predefinido	Is Mandatory	Descrição
Texto	String	N/A	Sim	Especifique o texto que vai ser pesquisado.
Pesquisar	String	N/A	Não	Especifique a string a pesquisar no campo "text" (texto).
Pesquisar expressão regular	String	N/A	Não	Lista de expressões regulares que vão ser usadas para pesquisar a string. A expressão regular deve ser colocada entre aspas duplas. Suporta listas delimitadas por vírgulas.
Sensível a maiúsculas e minúsculas	Caixa de verificação	N/A	Não	Especifique se a pesquisa deve ser sensível a maiúsculas e minúsculas.

Exemplo

Neste cenário, estamos a verificar se a palavra malicioso existe no valor do campo Texto.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
match_found	Verdadeiro/Falso	Verdadeiro

Resultado JSON

{
"matches": [{"search": "malicious", "input": "This IOC is malicious.", "match": true}]
}

Defina o valor do contexto

Descrição

Define uma chave e um valor num contexto específico. Esta ação é frequentemente usada com a ação "Obter valor do contexto" para obter o valor da chave.

Parâmetros

Parâmetro	Tipo	Valor predefinido	Is Mandatory	Descrição
Valor	String	N/A	Sim	Especifique o valor do contexto.
Chave	String	N/A	Sim	Especifique a chave de contexto.
Âmbito	Menu pendente	Alerta	Sim	Especifique o âmbito da atribuição de contexto (alerta, registo, global).

Exemplo

Neste cenário, estamos a definir uma chave de contexto de "malicioso" para o valor "sim".

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
ScriptResult	Verdadeiro/Falso	Verdadeiro

Crie uma tarefa do Siemplify

Descrição

Atribui uma tarefa a um utilizador ou uma função. A tarefa vai estar relacionada com o registo no qual a ação foi executada.

Parâmetros

Parâmetro	Tipo	Valor predefinido	Is Mandatory	Descrição
Título da tarefa	String	N/A	Não	Especifique o título da tarefa.
SLA (em minutos)	Número inteiro	480	Sim	Especifique o tempo em minutos que o utilizador/função atribuído tem para responder à tarefa.
Conteúdo da tarefa	String	N/A	Sim	Especifique os detalhes da tarefa.
Atribuir a	Menu pendente	N/A	Sim	Especifique o utilizador ou a função à qual a tarefa vai ser atribuída.

Exemplo

Neste cenário, é criada uma tarefa que instrui o nível 3 a executar uma análise de vírus.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
ScriptResult	Verdadeiro/Falso	Verdadeiro

Atribua o registo ao utilizador

Descrição

Atribui um registo a um utilizador.

Parâmetros

Parâmetro	Tipo	Valor predefinido	Is Mandatory	Descrição
ID do registo	String	N/A	Sim	Especifique o ID do registo. Use [Case.Id] para o registo de incidente atual.
Atribuir a	String	@Admin	Sim	Especifique o utilizador ao qual atribuir um registo. Este é o ID do utilizador. Use a ação "Get Siemplify Users" para obter o ID de um utilizador específico.
ID do alerta	String		Sim	Especifique o ID do alerta. Use [Alert.Identifier].

Exemplo

Neste cenário, estamos a atribuir o registo atual a um utilizador específico através do respetivo ID.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
ScriptResult	Verdadeiro/Falso	Verdadeiro

Obtenha dados de registos

Descrição

Obtém todos os dados de um registo e devolve um resultado JSON. O resultado inclui comentários, informações de entidades, estatísticas, manuais de procedimentos executados, informações de alertas e eventos.

Parâmetros

Parâmetro	Tipo	Valor predefinido	Is Mandatory	Descrição
ID do registo	Número inteiro	N/A	Não	Especifique o ID do registo a consultar. Se for deixado em branco, é usado o caso atual.

Exemplo

Neste cenário, estamos a obter os detalhes do registo do registo atual.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
ScriptResult	Verdadeiro/Falso	Verdadeiro

Resultado JSON

{
"wallData": [{"commentForClient": null, "comment": null, "modificationTimeUnixTimeInMsForClient": 0, "creatorUserId": "8f8er8d6-ee8b-478e-9ee592-cc27e9addda13b", "id": 6357, "type": 5, "caseId": 36902, "isFavorite": false, "modificationTimeUnixTimeInMs": 1680717397165, "creationTimeUnixTimeInMs": 1680717397165, "alertIdentifier": "SUSPICIOUS ACTIVITY991C7837-1EE9-4EEA-AE7B-975366CA2EAE"}, {"actionTriggerType": 0, "integration": "Tools", "executingUser": null, "playbookName": "New Playbook", "playbookIsInDebugMode": true, "status": 5, "actionProvider": "Scripts", "actionIdentifier": "Tools_Get Case Data_1", "actionResult": "Action started", "alertIdentifiers": ["SUSPICIOUS ACTIVITY991C7837-1EE9-4EEA-AE7B-975366CA2EAE"], "creatorUserId": null, "id": 7677, "type": 3, "caseId": 0, "isFavorite": false, "modificationTimeUnixTimeInMs": 1680717397401, "creationTimeUnixTimeInMs": 1680717397401, "alertIdentifier": null}], "alerts": [{"ticketId": "d21ebvcxzb88-35vc35-46b4-9edd08-063696d7cc092", "status": 0, "identifier": "SUSPICIOUS ACTIVITY991C7837-1EE9-4EEA-AE7B-975366CA2EAE", "hasWorkflows": true, "workflowsStatus": 1, "sourceSystemName": "CrowdStrikeFalcon", "securityEventCards": [{"caseId": 36902, "eventId": "5fde7844-0099-4c5d-a562-63e2d0deb7e5", "alertIdentifier": "SUSPICIOUS ACTIVITY991C7837-1EE9-4EEA-AE7B-975366CA2EAE", "eventName": "CustomIOAWinLowest", "product": "Falcon", "sources": [{"isValid": true, "identifier": "172.30.202.229", "type": "ADDRESS"}, {"isValid": true, "identifier": "EXLAB2019-AD", "type": "HOSTNAME"}, {"isValid": true, "identifier": "E019-AD$", "type": "USERUNIQNAME"}], "destinations": [], "artificats": [{"isValid": true, "identifier": "MPCMDRUN.EXE", "type": "FILENAME"}, {"isValid": true, "identifier": "60D88450B376694DC55EB8F40B0F79580D1DF399A7BDF", "type": "FILEHASH"}], "port": null, "outcome": null, "time": "2023-03-01T19:51:00Z", "deviceEventClassId": "Indicator of Attack", "fields": [{"isHighlight": true, "groupName": "HIGHLIGHTED FIELDS", "hideOptions": false, "items": [{"originalName": "startTime", "name": "Start Time", "value": "1680615463369"}, {"originalName": "endTime", "name": "End Time", "value": "1680615463369"}]}, {"isHighlight": false, "groupName": "Default", "hideOptions": false, "items": [{"originalName": "cid", "name": "cid", "value": "27fe4e4760b8476b2b6650e5a74"}, {"originalName": "created_timestamp", "name": "created_timestamp", "value": "2023-03-01T19:51:11.387187948Z"}........................
}

Wait For Playbook to Complete

Descrição

Pausa o livro de jogadas atual até que outro livro de jogadas ou bloqueio, que esteja a ser executado no mesmo alerta, seja concluído.

Parâmetros

Parâmetro	Tipo	Valor predefinido	Is Mandatory	Descrição
Nome do guia interativo	String	N/A	Não	Especifique o nome do bloco ou do manual que quer concluir primeiro.

Exemplo

Neste cenário, estamos a pausar o manual atual até que o "bloqueio de investigação" que está a ser executado no mesmo alerta esteja concluído.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
ScriptResult	Verdadeiro/Falso	Verdadeiro

Converter em registo simulado

Descrição

Converte um registo numa ocorrência simulada que pode ser carregada na plataforma.

Parâmetros

Parâmetro	Tipo	Valor predefinido	Is Mandatory	Descrição
Envie para registos simulados	Caixa de verificação	Não selecionado	Não	Se selecionada, o registo é adicionado à lista de registos simulados disponíveis.
Guarde o JSON como ficheiro da base de dados de casos	Caixa de verificação	Selecionado	Não	Se selecionado, é guardado um ficheiro JSON que representa o registo no mural de registos para ser transferido.
Substituir nome do alerta	String	Vazio	Não	Especifique um novo nome de alerta a usar. Este parâmetro substitui o parâmetro Nome do caminho completo, se selecionado.
Nome completo do caminho	Caixa de verificação	Não selecionado	Não	Se selecionado, use o nome do alerta como `source_product_eventtype` —por exemplo, `QRadar_WinEventLog:Security_Remote fail login`. Este parâmetro é ignorado se Override Alert Name estiver definido.

Exemplo

Neste exemplo, um registo é convertido num registo simulado através de "Início de sessão arriscado" como nome do alerta, que é apresentado como um dos registos simulados disponíveis no ecrã principal.

Resultados da ação

Resultado do script

Nome do resultado do script Opções de valores Exemplo

ScriptResult Verdadeiro/Falso Verdadeiro

Resultado JSON

{
  "cases": [
    {
      "CreatorUserId": null,
      "Events": [
        {
          "_fields": {
            "BaseEventIds": "[]",
            "ParentEventId": -1,
            "DeviceProduct": "WinEventLog:Security",
            "StartTime": "1689266169689",
            "EndTime": "1689266169689"
          },
          "_rawDataFields": {
            "sourcetype": "Failed login",
            "starttime": "1689702001439",
            "endtime": "1689702001439"
          },
          "Environment": null,
          "SourceSystemName": null,
          "Extensions": []
        }
      ],
      "Environment": "default",
      "SourceSystemName": "QRadar",
      "TicketId": "de2e3913-e4d8-4060-ae2b-1c81ee64ba47",
      "Description": "This case created by SPLUNK query ",
      "DisplayId": "de2e3913-e4d8-4060-ae2b-1c81ee64ba47",
      "Reason": null,
      "Name": "Risky Sign On",
      "DeviceVendor": "WIN-24TBDNRMSVB",
      "DeviceProduct": "WinEventLog:Security",
      "StartTime": 1689702001439,
      "EndTime": 1689702001439,
      "Type": 1,
      "Priority": -1,
      "RuleGenerator": "Remote Failed login",
      "SourceGroupingIdentifier": null,
      "PlaybookTriggerKeywords": [],
      "Extensions": [
        {
          "Key": "KeyName",
          "Value": "TCS"
        }
      ],
      "Attachments": null,
      "IsTrimmed": false,
      "DataType": 1,
      "SourceType": 1,
      "SourceSystemUrl": null,
      "SourceRuleIdentifier": null,
      "SiemAlertId": null,
      "__CorrelationId": "7efd38feaea247ad9f5ea8d907e4387c"
    }
  ]
}

Empregos

Feche registos com base na pesquisa

Descrição

Esta tarefa fecha todos os registos com base numa consulta de pesquisa. O payload de pesquisa é o payload usado na chamada da API "CaseSearchEverything". Para obter um exemplo deste valor, aceda à Pesquisa na IU e abra as Ferramentas para programadores. Pesquise os registos a eliminar. Procure a chamada API "CaseSearchEverything" nas ferramentas de programador. Copie o payload JSON do pedido POST e cole-o em "Payload de pesquisa". O motivo do fecho deve ser 0 ou 1. 0 = malicioso 1 = não malicioso. Motivo principal vem de Definições -> Dados do registo -> Motivo principal do encerramento do registo.

Parâmetros

Parâmetro	Tipo	Valor predefinido	Is Mandatory	Descrição
Payload de pesquisa	JSON	N/A	Não	Especifique o payload JSON para pesquisar. Exemplo: {"tags":[],"ruleGenerator":[],"caseSource":[],"stage":[],"environments":[],"assignedUsers":[],"products":[],"ports":[],"categoryOutcomes":[],"status":[],"caseIds":[],"incident":[],"importance":[],"priorities":[],"pageSize":50,"isCaseClosed":false,"title":"","startTime":"2023-01-22T00:00:00.000Z","endTime":"2023-01-22T23:59:59.999Z","requestedPage":0,"timeRangeFilter":1}
Fechar comentário	String	N/A	Sim	Especifique um comentário de fecho.
Motivo do fecho	String	N/A	Sim	Especifique o motivo do encerramento. 0 = malicioso, 1 = não malicioso
Causa principal	Número inteiro	N/A	Sim	Especifique a causa principal. A causa principal é proveniente de Definições > Dados do registo > Causa principal do encerramento do registo.
Nome de utilizador do Google SecOps SOAR	String	N/A	Sim	Especifique o nome de utilizador do Google SecOps SOAR.
Palavra-passe do Google SecOps SOAR	Palavra-passe	N/A	Sim	Especifique a palavra-passe do SOAR do Google SecOps.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.