工具

支援的國家/地區：

Google SecOps SOAR

這組實用動作可處理資料，進而強化應對手冊功能。

動作

以下列出您可透過「工具」Power-Up 執行的動作類型。

DNS 查詢

說明

使用指定的 DNS 解析器執行 DNS 查詢。

參數

參數	類型	預設值	是否為必要項目	說明
DNS 伺服器	IP 位址	不適用	是	單一或以半形逗號分隔的 DNS 伺服器。

範例

這個範例顯示 Google 的公開 DNS 位址 8.8.8.8，用於搜尋外部網域實體。

動作執行結果

指令碼執行結果

指令碼結果名稱 價值選項 範例

ScriptResult True/False 是

JSON 結果

{
"Entity": "WWW.EXAMPLE.ORG",
 "EntityResult": [{"Type": "A", "Response": "176.9.157.114", "DNS Server": "8.8.8.8"}]
}

新增或更新快訊額外資料

說明

在快訊額外資料中新增或更新欄位。結果會顯示在「快訊」總覽的「OFFENSE_ID」欄位中。

參數

參數	類型	預設值	是否為必要項目	說明
JSON 欄位	JSON	不適用	是	輸入任意文字 (適用於單一變數)，或代表 JSON 字典的字串 (可巢狀)。

範例

這個範例會將 MITRE 攻擊詳細資料新增至快訊，以便在「快訊總覽」中顯示。

動作執行結果

指令碼執行結果

指令碼結果名稱 價值選項 範例

ScriptResult 字典中的項目數量 2

JSON 結果

{
"dict": {"mitre": " T1059"}, "list": []
}

將應對手冊附加至所有案件快訊

說明

將特定應對手冊或封鎖動作附加至案件中的所有警報。

參數

參數	類型	預設值	是否為必要項目	說明
應對手冊名稱	字串	不適用	是	要新增至案件中所有快訊的劇本或封鎖名稱。

範例

這個範例會將名為「Phishing playbookM」的應對手冊附加至所有案件快訊。

動作執行結果

指令碼執行結果

指令碼結果名稱 價值選項 範例

ScriptResult true或false true

將應對手冊附加至快訊

說明

將特定應對手冊或模塊附加至目前快訊。

參數

參數	類型	預設值	是否為必要項目	說明
應對手冊名稱	字串	不適用	是	要新增至所有案件快訊的應對手冊或模塊名稱。

範例

這個範例會將名為「Containment Block」的區塊附加至目前的案件快訊。

動作執行結果

指令碼執行結果

指令碼結果名稱 價值選項 範例

ScriptResult true或false true

緩衝區

說明

將 JSON 輸入內容轉換為 JSON 物件。

參數

參數	類型	預設值	是否為必要項目	說明
ResultValue	字串	不適用	否	做為 `ScriptResult` 值傳回的預留位置值。
JSON	JSON	不適用	否	運算式建立工具中顯示的 JSON。

範例

這個範例會在 JSON 運算式建構工具中顯示 JSON 輸入值，以供後續動作使用。

動作執行結果

指令碼執行結果

指令碼結果名稱	價值選項	範例
ScriptResult	「`ResultValue`」參數輸入值	成功

JSON 結果

{
"domain" : "company.com",
"domain2" : "company2.com"
}

取得憑證詳細資料

說明

擷取指定網址的憑證詳細資料。

參數

參數	類型	預設值	是否為必要項目	說明
要檢查的網址	網址	expired.badssk.com	是	指定要從哪個網址擷取憑證詳細資料。

範例

在這個情境中，我們會從 expired.badssl.com 網站擷取憑證詳細資料。

動作執行結果

指令碼結果

指令碼結果名稱 值選項 範例

ScriptResult True/False 是

JSON 結果

{
"hostname": "expired.badssl.com",
 "ip": "104.154.89.105", 
"commonName": "*.badssl.com",
 "is_self_signed": false, 
"SAN": [["*.badssl.com", "badssl.com"]], 
"is_expired": true, 
"issuer": "EXAMPLE CA", 
"not_valid_before": "04/09/2015", 
"not_valid_after": "04/12/2015", 
"days_to_expiration": -2762
}

取得背景資訊值

說明

在案件或快訊中擷取內容鍵的值。

參數

參數	類型	預設值	是否為必要項目	說明
範圍	下拉式選單	快訊	是	指定鍵值的範圍，無論是在案件、快訊或全域中。
鍵	字串	不適用	是	指定金鑰。

範例

在本情境中，我們要從案件中名為「impact」的鍵擷取內容值。這項動作會與「設定內容值」動作搭配使用，將鍵/值組合新增至案件或快訊。

動作執行結果

指令碼執行結果

指令碼結果名稱 值選項 範例

ScriptResult 背景資訊值高

取得電子郵件範本

說明

傳回系統中的所有電子郵件範本。

參數

參數	類型	預設值	是否為必要項目	說明
範本類型	下拉式選單	標準	是	指定要傳回的範本類型，可為「標準」或「HTML」。

範例

在這個情境中，我們傳回所有以 HTML 為基礎的電子郵件範本。

動作執行結果

指令碼結果

指令碼結果名稱	值選項	範例
ScriptResult	包含 HTML 程式碼的 JSON 結果	JSON 結果顯示在下一節

JSON 結果

{
"templates": [{"type": 1, "name": "test 1", "content": "<html>\n    <head>\n    <style type=\"text/css\"> .title\n\n    { color: blue; text-decoration: bold; text-size: 1em; }\n    .author\n    { color: gray; }\n\n    </style>\n    </head>\n\n    <body>\n    <span class=\"title\">La super bonne</span>\n    {Text}\n    [Case.Id]\n    </h1> <br/>\n    </body>\n\n    </html>", "creatorUserName": "f00942-fa040-4422324-b2c43e-de40fdsff122b9c4", "forMigration": false, "environments": ["Default"], "id": 3, "creationTimeUnixTimeInMs": 1672054127271, "modificationTimeUnixTimeInMs": 1672054127279}]
}

使用分隔符號建立實體

說明

建立實體並新增至快訊。

參數

參數	類型	預設值	是否為必要項目	說明
實體 ID	字串	不適用	是	指定要新增至警告的一或多個實體。
實體類型	字串	不適用	是	指定實體類型。
為內部	核取方塊	未選取	否	檢查提供的實體是否屬於內部網路。
實體分隔符	字串	、	是	指定實體 ID 欄位中使用的分隔符號。
擴充功能 JSON	下拉式選單	JSON	否	以 JSON 格式指定擴充資料。
PrefixForEnrichment	字串	不適用	否	指定要新增至擴充資料的前置字串。

範例

在這個情境中，我們將建立三個 IP 實體，並使用名為「is_suspicious」的欄位擴充這些實體。

動作執行結果

指令碼結果

指令碼結果名稱	值選項	範例
ScriptResult	True/False	是

JSON 結果

{
"created": ["0.0.0.0", "0.0.0.1", "0.0.0.2"], 
"enriched": ["0.0.0.0", "0.0.0.1", "0.0.0.2"],
"failed": []
}

更新案件說明

說明

更新案件說明。

參數

參數	類型	預設值	是否為必要項目	說明
案件說明	字串	不適用	是	指定更新後的說明。

範例

這個範例會將案件說明更新為「This case is related to suspicious logins.」。

動作結果

指令碼執行結果

指令碼結果名稱	值選項	範例
ScriptResult	True/False	是

正規化實體擴充功能

說明

接收實體的金鑰清單並加以取代。

參數

參數	類型	預設值	是否為必要項目	說明
正規化資料	JSON	不適用	是	請按照下列格式範例指定 JSON：[ { "entity_field_name": "AT_fields_Name", "new_name": "InternalEnrichment_Name" }, { "entity_field_name": "AT_fields_Direct-Manager", "new_name": "InternalEnrichment_DirectManager_Name" }, { "entity_field_name": "AT_Manager_fields_Work-Email", "new_name": "InternalEnrichment_DirectManager_Email" } ]

範例

在這個情境中，我們要將 is_bad 的實體鍵替換為 malicious。

動作執行結果

指令碼結果

指令碼結果名稱	值選項	範例
ScriptResult	已擴充的實體數量	5

附加至內容值

說明

將值附加至現有內容屬性，或建立新的內容屬性 (如果不存在)，然後新增值。

參數

參數	類型	預設值	是否為必要項目	說明
鍵	字串	不適用	是	指定內容屬性鍵
值	字串	不適用	是	指定要附加至內容屬性的值
分隔符號	字串	不適用	是	指定值欄位中使用的分隔符號。

範例

在本情境中，我們將「T1595」和「T1140」值新增至「MITRE」的現有內容鍵。

動作執行結果

指令碼結果

指令碼結果名稱	值選項	範例
ScriptResult	內容值	T1595、T1140

建立實體關係

說明

在提供的實體和連結實體之間建立關係。如果提供的實體不存在，系統會建立這些實體。

參數

參數	類型	預設值	是否為必要項目	說明
實體 ID	字串	不適用	是	建立新的實體 ID，或使用現有的實體 ID 或以半形逗號分隔的 ID 清單。
實體 ID 類型	下拉式選單	使用者名稱	是	指定實體類型。
連線方式	下拉式選單	來源	是	使用來源、目的地或連結關係，將實體 ID 連結至目標實體 ID。
目標實體類型	下拉式選單	地址	是	指定要連結實體 ID 的目標實體類型。
目標實體 ID	字串	不適用	否	以半形逗號分隔的實體清單，「目標實體類型」中的類型會連結至「實體 ID」參數中的實體。
擴充功能 JSON	JSON	不適用	否	選用 JSON 物件，內含金鑰/ 可新增至新建立實體的屬性值配對。
分隔字元	字串	不適用	否	指定要用來分隔「實體 ID」和/或「目標實體 ID」清單的字元。預設值為逗號。

範例

在這個情境中，我們要建立使用者與網址之間的關係。在本例中，Bola001 已存取 example.com 的網址。

動作執行結果

指令碼結果

指令碼結果名稱	值選項	範例
ScriptResult	True/False	是

JSON 結果

{
"Entity": "Bola001", "EntityResult": {}
}

擷取網址網域

說明

使用新欄位 siemplifytools_extracted_domain 擴充所有實體，其中包含從實體 ID 擷取的網域。如果實體沒有網域 (例如檔案雜湊)，則不會傳回任何內容。除了實體之外，使用者也可以指定網址清單做為參數，並處理這些網址，不必進行擴充。

參數

參數	類型	預設值	是否為必要項目	說明
分隔符	字串	、	是	指定用於分隔網址的分隔符字串。
網址	字串	不適用	否	指定一或多個要擷取網域的網址。
擷取子網域	核取方塊	不適用	否	指定是否要一併擷取子網域。

範例

在本情境中，我們會從指定網址擷取網域。

動作執行結果

指令碼結果

指令碼結果名稱	值選項	範例
ScriptResult	擷取的網域數量	1

JSON 結果

{
"Entity": "https://sample.google.com", "EntityResult": {"domain": "sample.google.com", "source_entity_type": "DestinationURL"}
}

檢查清單子集

說明

檢查一個清單中的值是否也存在於另一個清單。

參數

參數	類型	預設值	是否為必要項目	說明
原始	字串	不適用	是	指定要檢查的項目清單。JSON 清單或以半形逗號分隔。
子集	清單	不適用	是	指定子集清單。JSON 清單或以半形逗號分隔。

範例

在這個情境中，我們要檢查原始清單 (1、2、3、4、5) 中是否包含值 1、2、3，結果為 true。

動作執行結果

指令碼結果

指令碼結果名稱	值選項	範例
ScriptResult	True/False	是

新增快訊評分資訊

說明

將項目新增至快訊評分資料庫。警示分數是根據比率計算：5 個低嚴重程度警示 = 1 個中等嚴重程度警示。3 個中等優先順序問題 = 1 個高優先順序問題。2 個「高」= 1 個「極高」。已將選用標記新增至案件。

參數

參數	類型	預設值	是否為必要項目	說明
名稱	字串	不適用	是	對快訊執行的檢查名稱。
說明	字串	不適用	是	對快訊執行的檢查說明。
嚴重性	字串	參考用	是	嚴重程度。
類別	字串	不適用	是	執行的檢查類別。
來源	字串	不適用	否	用來計算分數的快訊部分。範例：檔案、使用者、電子郵件。
案件標記	字串	不適用	否	要新增至案件的標記。

範例

由於 VirusTotal 傳回可疑結果，因此這個範例將快訊分數設為「高」。

動作執行結果

指令碼執行結果

指令碼結果名稱	價值選項	範例
Alert_score	資訊、低、中、高、重大	高

JSON 結果

{
"category": "File Enrichment",
 "score_data": [{"score_name": "File Enrichment", "description": "VT has found a file to be suspicious", "severity": "High", "score": 3, "source": "VirusTotal"}],
 "category_score": 3
}

取得 Siemplify 使用者

說明

傳回系統中設定的所有使用者清單。

參數

參數	類型	預設值	是否為必要項目	說明
隱藏已停用的使用者	核取方塊	已選取	否	指定是否要從結果中隱藏已停用的使用者。

範例

在這個情境中，我們會傳回系統中的所有使用者，包括已停用的使用者。

動作執行結果

指令碼結果

指令碼結果名稱	值選項	範例
ScriptResult	True/False	是

JSON 結果

{
"siemplifyUsers": [{"permissionGroup": "Admins", "socRole": "@Administrator", "isDisabled": false, "loginIdentifier": "sample@domain.com", "firstName": "John", "lastName": "Doe", "permissionType": 0, "role": 0, "socRoleId": 1, "email": "sample@domain.com", "userName": "0b3423496fc2-0834302-42f33d-8523408-18c087d2347cf1e", "imageBase64": null, "userType": 1, "identityProvider": -1, "providerName": "Internal", "advancedReportsAccess": 0, "accountState": 2, "lastLoginTime": 1679831126656, "previousLoginTime": 1678950002044, "lastPasswordChangeTime": 0, "lastPasswordChangeNotificationTime": 0, "loginWrongPasswordCount": 0, "isDeleted": false, "deletionTimeUnixTimeInMs": 0, "environments": ["*"], "id": 245, "creationTimeUnixTimeInMs": 1675457504856, "modificationTimeUnixTimeInMs": 1674957504856
}

Check Entities Fields In Text

說明

從範圍內的每個實體搜尋特定欄位 (或使用規則運算式搜尋多個欄位)，並與一或多個值進行比較。比較的值也可以經過規則運算式。如果實體擴充功能的其中一個後置規則運算式值，與搜尋中的一或多個值相符，即為找到相符項目。

參數

參數	類型	預設值	是否為必要項目	說明
SearchInData	JSON	[ { "Data": "[Event.from]", "RegEx": "(?<=@)[^.]+(?=\\.)" } ]	是	JSON，代表您要搜尋的字串，格式如下：[ { "Data": "", "RegEx": "" } ]
FieldsInput	JSON	[ { "RegexForFieldName": "", "FieldName": "body", "RegexForFieldValue": "" }, { "RegexForFieldName": ".(_url_).", "FieldName": "", "RegexForFieldValue": "" }, { "RegexForFieldName": "", "FieldName": "body", "RegexForFieldValue": "HostName: (.*?)" } ]	是	JSON，說明應測試哪些欄位。格式為：[ "RegexForFieldName": “”, "FieldName": "Field name to search", "RegexForFieldValue": “”}]
ShouldEnrichEntity	字串	domain_matched	否	如果設為 <VAL>，也會在實體上放置擴充值，以識別為與該值「相符」。金鑰為 <VAL>
IsCaseSensitive	核取方塊	未選取	否	並指定欄位是否區分大小寫。

範例

在這個情境中，我們要檢查指定文字中是否有欄位名稱為「malicious」的實體。

動作結果

指令碼執行結果

指令碼結果名稱	值選項	範例
ScriptResult	發現項目數量	0

JSON 結果

{
"Entity": "EXL88765-AD", "EntityResult": [{"RegexForFieldName": "", "FieldName": "malicious", "RegexForFieldValue": "", "ResultsToSearch": {"val_to_search": [[]], "found_results": [], "num_of_results": 0}}]
}

取得整合執行個體

說明

傳回環境的所有整合執行個體。

參數

沒有適用的參數。

範例

在這種情況下，系統會傳回所有環境中的所有整合執行個體。

動作執行結果

指令碼結果

指令碼結果名稱	值選項	範例
ScriptResult	True/False	是

JSON 結果

{
"instances": [{"identifier": "27dee746-1857-41b7-a722-b99699b8d6c8", "integrationIdentifier": "Tools", "environmentIdentifier": "Default", "instanceName": "Tools_1", "instanceDescription": "test", "isConfigured": true, "isRemote": false, "isSystemDefault": false},{...........}]
}

延遲應對手冊 V2

說明

暫時停止應對手冊在指定時間範圍內完成。

參數

參數	類型	預設值	是否為必要項目	說明
秒	整數	0	否	指定應對手冊的延遲秒數。
分鐘	整數	1	否	指定應對手冊的延遲時間 (以分鐘為單位)。
小時	整數	0	否	指定應對手冊延遲的小時數。
天	整數	0	否	指定應對手冊的延遲天數。
Cron 運算式	字串	不適用	否	使用 Cron 運算式決定應對手冊的執行時間。優先於其他參數。

範例

在這個情境中，我們將應對手冊延後 12.5 小時。

動作結果

指令碼執行結果

指令碼結果名稱	值選項	範例
ScriptResult	True/False	是

取得原始快訊 JSON

說明

傳回原始快訊的 JSON 結果 (原始資料)。

參數

不適用任何參數

範例

在此情境中，系統會傳回原始的警報 JSON。

動作執行結果

指令碼執行結果

指令碼結果名稱	值選項	範例
ScriptResult	True/False	是

JSON 結果

{
"CreatorUserId": null, "Events": [{"_fields": {"BaseEventIds": "[]", "ParentEventId": -1, "deviceEventClassId": "IRC Connections", "DeviceProduct": "IPS_Product", "StartTime": "1667497096184", "EndTime": "1667497096184"}, "_rawDataFields": {"applicationProtocol": "TCP", "categoryOutcome": "blocked", "destinationAddress": "104.131.182.103", "destinationHostName": "www.ircnet.org", "destinationPort": "770", "destinationProcessName": "MrlCS.sob", "destinationUserName": "XWTTRYzNr1l@gmail.com", "deviceAddress": "0.0.0.0", "deviceEventClassId": "IRC Connections", "deviceHostName": "ckIYC2", "Field_24": "B0:E7:DF:6C:EF:71", "deviceProduct": "IPS_Product", "deviceVendor": "Vendor", "endTime": "1667497110906", "eventId": "0aa16009-57b4-41a3-91ed-81347442ca29", "managerReceiptTime": "1522058997000", "message": "Connection to IRC Server", "name": "IRC Connections", "severity": "8", "sourceAddress": "0.0.0.0", "sourceHostName": "jhon@domain.local", "startTime": "1667497110906", "sourcetype": "Connection to IRC Server"}, "Environment": null, "SourceSystemName": null, "Extensions": []}], "Environment": "Default", "SourceSystemName": "Arcsight", "TicketId": "fab1b5a1-637f-4aed-a94f-c63137307505", "Description": "IRC Connections", "DisplayId": "fab1b5a1-637f-4aed-a94f-c63137307505", "Reason": null, "Name": "IRC Connections", "DeviceVendor": "IPS", "DeviceProduct": "IPS_Product", "StartTime": 1667497110906, "EndTime": 1667497110906, "Type": 1, "Priority": -1, "RuleGenerator": "IRC Connections", "SourceGroupingIdentifier": null, "PlaybookTriggerKeywords": [], "Extensions": [], "Attachments": null, "IsTrimmed": false, "DataType": 1, "SourceType": 1, "SourceSystemUrl": null, "SourceRuleIdentifier": null
}

取得目前時間

說明

傳回目前的日期和時間。

參數

參數	類型	預設值	是否為必要項目	說明
日期時間格式	字串	%d/%m/%Y %H:%M	是	指定日期和時間的格式。

範例

在這個情境中，我們會使用下列格式傳回日期和時間值：%d/%m/%Y %H:%M:%S

動作執行結果

指令碼結果

指令碼結果名稱	值選項	範例
ScriptResult	日期時間值	03/11/2022 20:33:43

更新快訊分數

說明

依據提供的金額更新快訊分數。

參數

參數	類型	預設值	是否為必要項目	說明
輸入	整數	不適用	是	指定要增加或減少的金額 (負數)。

範例

在這個情境中，我們將警報分數調降 20 分。

動作執行結果

指令碼結果

指令碼結果名稱	值選項	範例
ScriptResult	輸入值	-20

在實體記錄中新增註解

說明

為實體探索器中每個實體的實體記錄檔新增註解。

參數

參數	類型	預設值	是否為必要項目	說明
使用者	下拉式選單	@Administrator	是	指定建立留言的使用者。
註解	字串	不適用	是	指定要新增至實體記錄的註解。

範例

動作執行結果

指令碼結果

指令碼結果名稱	值選項	範例
不適用	不適用	不適用

重新附加 Playbook

說明

從案件中移除應對手冊、刪除案件中來自該應對手冊的所有結果資料，然後重新附加應對手冊，以便再次執行。需要安裝 PostgreSQL 整合功能，並設定為共用環境，執行個體名稱為 Google SecOps SOAR。詳情請洽詢客戶成功經理 / 支援團隊。

參數

參數	類型	預設值	是否為必要項目	說明
應對手冊名稱	下拉式選單	不適用	是	指定要重新附加的應對手冊。

範例

在本情境中，我們要重新附加名為 attach_playbook_test 的應對手冊。

動作執行結果

指令碼結果

指令碼結果名稱	值選項	範例
ScriptResult	True/False/Please configure the Google SecOps SOAR instance of the PostgreSQL integration.	是

鎖定應對手冊

說明

暫停目前的應對手冊，直到前一個快訊的所有應對手冊完成為止。

參數

參數	類型	預設值	是否為必要項目	說明
非同步動作逾時	整數	1 天	否	非同步動作逾時定義了此動作可執行的總時間 (所有疊代執行階段的加總時間)。
非同步輪詢間隔	整數	1 小時	否	設定每次輪詢嘗試之間的持續時間 (適用於非同步動作執行階段期間)。

範例

在這個情境中，我們會暫停目前的應對手冊，並每 30 秒檢查一次，確認案件中先前警報的所有應對手冊是否都已完成。

動作執行結果

指令碼結果

指令碼結果名稱	值選項	範例
ScriptResult	True/False	是

尋找 First Alert

說明

傳回指定案件中第一個快訊的 ID。

參數

沒有適用的參數。

範例

在本例中，系統會傳回案件中第一個快訊的快訊 ID。

動作執行結果

指令碼執行結果

指令碼結果名稱	值選項	範例
ScriptResult	快訊 ID 值	IRC CONNECTIONS9A33308C-AC62-4A41-8F73-20529895D567

相似網域

說明

比較網域實體與為環境定義的網域清單。如果網域相似，實體會標示為可疑，並以相符的網域擴充。

參數

沒有適用參數

範例

在這種情況下，我們會檢查外部網域實體是否與設定中的網域清單所設定的網域相似。

動作執行結果

指令碼結果

指令碼結果名稱	值選項	範例
look_a_like_domain_found	True/False	是

JSON 結果

{
"Entity" : {"EntityResult" : { "look_a_like_domains" : ["outlooks.com"]}}
}

變更案件名稱

說明

變更案件名稱或標題。

參數

參數	類型	預設值	是否為必要項目	說明
新建名稱	字串	不適用	否	指定案件的新名稱。
僅限第一則快訊	核取方塊	未選取	否	如果選取此選項，只有在對案件中的第一個快訊執行動作時，系統才會變更案件名稱。

範例

在這種情況下，只有在第一個快訊中執行時，案件標題才會變更為「網路釣魚 - 可疑電子郵件」。

動作執行結果

指令碼結果

指令碼結果名稱	值選項	範例
ScriptResult	True/False	是

Spell Check String

說明

檢查輸入字串的拼字。輸出結果會顯示準確率、總字數、錯別字總數、每個錯別字的清單和修正結果，以及輸入字串的修正版本。

參數

參數	類型	預設值	是否為必要項目	說明
字串	字串	不適用	是	指定要檢查拼字錯誤的字串。

範例

這個範例會對下列輸入字串執行拼字檢查：「Testing if this is a mispelled wodr.」。

動作執行結果

指令碼執行結果

指令碼結果名稱	價值選項	範例
accuracy_percentage	百分比值	71

JSON 結果

{"input_string": "Testing if this is a mispelled wodr.", "total_words": 7, "total_misspelled_words": 2, "misspelled_words": [{"misspelled_word": "mispelled", "correction": "misspelled"}, {"misspelled_word": "wodr", "correction": "word"}], "accuracy": 71, "corrected_string": "Testing if this is a misspelled word."}

搜尋文字

說明

在輸入文字中搜尋「Search For」參數，或在「Search For Regex」清單中循環搜尋，找出輸入文字中的相符項目。如果相符，動作會傳回 true。

參數

參數	類型	預設值	是否為必要項目	說明
文字	字串	不適用	是	指定要搜尋的文字。
搜尋	字串	不適用	否	在「text」欄位中指定要搜尋的字串。
搜尋規則運算式	字串	不適用	否	用於搜尋字串的 RegEx 清單。規則運算式應以雙引號括住。支援以半形逗號分隔的清單。
區分大小寫	核取方塊	不適用	否	指定搜尋是否要區分大小寫。

範例

在這個情境中，我們要檢查 Text 欄位值中是否含有「malicious」一詞。

動作執行結果

指令碼結果

指令碼結果名稱	值選項	範例
match_found	True/False	是

JSON 結果

{
"matches": [{"search": "malicious", "input": "This IOC is malicious.", "match": true}]
}

設定內容脈絡值

說明

在特定環境中設定鍵和值。這項動作通常會與「取得內容值」動作搭配使用，以擷取鍵的值。

參數

參數	類型	預設值	是否為必要項目	說明
值	字串	不適用	是	指定內容值。
鍵	字串	不適用	是	指定內容鍵。
範圍	下拉式選單	快訊	是	指定情境指派範圍 (快訊、案件、全域)。

範例

在本情境中，我們將「malicious」的內容鍵設為「yes」值。

動作執行結果

指令碼結果

指令碼結果名稱	值選項	範例
ScriptResult	True/False	是

建立 Siemplify 工作

說明

將工作指派給使用者或角色。這項工作會與執行動作的案件相關聯。

參數

參數	類型	預設值	是否為必要項目	說明
工作標題	字串	不適用	否	指定工作名稱。
服務水準協議 (以分鐘為單位)	整數	480	是	以分鐘為單位指定指派的使用者/角色必須回應工作要求的時間長度。
工作內容	字串	不適用	是	指定工作詳細資料。
指派對象	下拉式選單	不適用	是	指定要指派工作的使用者或角色。

範例

在這個情境中，系統會建立工作，指示第 3 層人員執行病毒掃描。

動作執行結果

指令碼執行結果

指令碼結果名稱	值選項	範例
ScriptResult	True/False	是

指派案件給使用者

說明

將案件指派給使用者。

參數

參數	類型	預設值	是否為必要項目	說明
案件 ID	字串	不適用	是	指定案件 ID。如要使用目前的案件，請使用 [Case.Id]。
指派對象	字串	@Admin	是	指定要將案件指派給哪位使用者。這是使用者的 ID。使用「Get Siemplify Users」動作，擷取特定使用者的 ID。
快訊 ID	字串		是	指定快訊 ID。使用 [Alert.Identifier]。

範例

在這個情境中，我們將使用 ID 將目前的案件指派給特定使用者。

動作執行結果

指令碼結果

指令碼結果名稱	值選項	範例
ScriptResult	True/False	是

取得案件資料

說明

從案件中擷取所有資料，並傳回 JSON 結果。結果包括註解、實體資訊、深入分析、執行的應對手冊、快訊資訊和事件。

參數

參數	類型	預設值	是否為必要項目	說明
案件 ID	整數	不適用	否	指定要查詢的案件 ID。如果留空，系統會使用目前的字母大小寫。

範例

在這個情境中，我們會從目前的案件擷取案件詳細資料。

動作執行結果

指令碼結果

指令碼結果名稱	值選項	範例
ScriptResult	True/False	是

JSON 結果

{
"wallData": [{"commentForClient": null, "comment": null, "modificationTimeUnixTimeInMsForClient": 0, "creatorUserId": "8f8er8d6-ee8b-478e-9ee592-cc27e9addda13b", "id": 6357, "type": 5, "caseId": 36902, "isFavorite": false, "modificationTimeUnixTimeInMs": 1680717397165, "creationTimeUnixTimeInMs": 1680717397165, "alertIdentifier": "SUSPICIOUS ACTIVITY991C7837-1EE9-4EEA-AE7B-975366CA2EAE"}, {"actionTriggerType": 0, "integration": "Tools", "executingUser": null, "playbookName": "New Playbook", "playbookIsInDebugMode": true, "status": 5, "actionProvider": "Scripts", "actionIdentifier": "Tools_Get Case Data_1", "actionResult": "Action started", "alertIdentifiers": ["SUSPICIOUS ACTIVITY991C7837-1EE9-4EEA-AE7B-975366CA2EAE"], "creatorUserId": null, "id": 7677, "type": 3, "caseId": 0, "isFavorite": false, "modificationTimeUnixTimeInMs": 1680717397401, "creationTimeUnixTimeInMs": 1680717397401, "alertIdentifier": null}], "alerts": [{"ticketId": "d21ebvcxzb88-35vc35-46b4-9edd08-063696d7cc092", "status": 0, "identifier": "SUSPICIOUS ACTIVITY991C7837-1EE9-4EEA-AE7B-975366CA2EAE", "hasWorkflows": true, "workflowsStatus": 1, "sourceSystemName": "CrowdStrikeFalcon", "securityEventCards": [{"caseId": 36902, "eventId": "5fde7844-0099-4c5d-a562-63e2d0deb7e5", "alertIdentifier": "SUSPICIOUS ACTIVITY991C7837-1EE9-4EEA-AE7B-975366CA2EAE", "eventName": "CustomIOAWinLowest", "product": "Falcon", "sources": [{"isValid": true, "identifier": "172.30.202.229", "type": "ADDRESS"}, {"isValid": true, "identifier": "EXLAB2019-AD", "type": "HOSTNAME"}, {"isValid": true, "identifier": "E019-AD$", "type": "USERUNIQNAME"}], "destinations": [], "artificats": [{"isValid": true, "identifier": "MPCMDRUN.EXE", "type": "FILENAME"}, {"isValid": true, "identifier": "60D88450B376694DC55EB8F40B0F79580D1DF399A7BDF", "type": "FILEHASH"}], "port": null, "outcome": null, "time": "2023-03-01T19:51:00Z", "deviceEventClassId": "Indicator of Attack", "fields": [{"isHighlight": true, "groupName": "HIGHLIGHTED FIELDS", "hideOptions": false, "items": [{"originalName": "startTime", "name": "Start Time", "value": "1680615463369"}, {"originalName": "endTime", "name": "End Time", "value": "1680615463369"}]}, {"isHighlight": false, "groupName": "Default", "hideOptions": false, "items": [{"originalName": "cid", "name": "cid", "value": "27fe4e4760b8476b2b6650e5a74"}, {"originalName": "created_timestamp", "name": "created_timestamp", "value": "2023-03-01T19:51:11.387187948Z"}........................
}

等待應對手冊完成

說明

暫停目前的應對手冊，直到在同一項快訊上執行的其他應對手冊或模塊完成為止。

參數

參數	類型	預設值	是否為必要項目	說明
應對手冊名稱	字串	不適用	否	指定要先完成的區塊或劇本名稱。

範例

在這種情況下，我們會暫停目前的應對手冊，直到在相同快訊上執行的「調查區塊」完成為止。

動作執行結果

指令碼結果

指令碼結果名稱	值選項	範例
ScriptResult	True/False	是

轉換為模擬案件

說明

將案件轉換為可載入平台的模擬案件。

參數

參數	類型	預設值	是否為必要項目	說明
推送到模擬案件	核取方塊	未選取	否	選取後，案件會新增至可用的模擬案件清單。
將 JSON 儲存為案件牆檔案	核取方塊	已選取	否	選取後，系統會將代表案件的 JSON 檔案儲存至案件牆，供您下載。
覆寫快訊名稱	String	空白	否	指定要使用的新快訊名稱。如果選取這個參數，系統會取代「完整路徑名稱」參數。
路徑全名	核取方塊	未選取	否	如果選取這個選項，請使用快訊名稱做為 `source_product_eventtype`，例如 `QRadar_WinEventLog:Security_Remote fail login`。如果已設定「覆寫快訊名稱」，系統會忽略這個參數。

範例

在本例中，系統會使用「Risky Sign On」做為快訊名稱，將案件轉換為模擬案件，並顯示在主畫面中，做為可用的模擬案件之一。

動作執行結果

指令碼結果

指令碼結果名稱 值選項 範例

ScriptResult True/False 是

JSON 結果

{
  "cases": [
    {
      "CreatorUserId": null,
      "Events": [
        {
          "_fields": {
            "BaseEventIds": "[]",
            "ParentEventId": -1,
            "DeviceProduct": "WinEventLog:Security",
            "StartTime": "1689266169689",
            "EndTime": "1689266169689"
          },
          "_rawDataFields": {
            "sourcetype": "Failed login",
            "starttime": "1689702001439",
            "endtime": "1689702001439"
          },
          "Environment": null,
          "SourceSystemName": null,
          "Extensions": []
        }
      ],
      "Environment": "default",
      "SourceSystemName": "QRadar",
      "TicketId": "de2e3913-e4d8-4060-ae2b-1c81ee64ba47",
      "Description": "This case created by SPLUNK query ",
      "DisplayId": "de2e3913-e4d8-4060-ae2b-1c81ee64ba47",
      "Reason": null,
      "Name": "Risky Sign On",
      "DeviceVendor": "WIN-24TBDNRMSVB",
      "DeviceProduct": "WinEventLog:Security",
      "StartTime": 1689702001439,
      "EndTime": 1689702001439,
      "Type": 1,
      "Priority": -1,
      "RuleGenerator": "Remote Failed login",
      "SourceGroupingIdentifier": null,
      "PlaybookTriggerKeywords": [],
      "Extensions": [
        {
          "Key": "KeyName",
          "Value": "TCS"
        }
      ],
      "Attachments": null,
      "IsTrimmed": false,
      "DataType": 1,
      "SourceType": 1,
      "SourceSystemUrl": null,
      "SourceRuleIdentifier": null,
      "SiemAlertId": null,
      "__CorrelationId": "7efd38feaea247ad9f5ea8d907e4387c"
    }
  ]
}

工作

根據搜尋結果結案

說明

這項工作會根據搜尋查詢關閉所有案件。搜尋有效負載是「CaseSearchEverything」API 呼叫中使用的有效負載。如要取得這個值的範例，請前往使用者介面中的「搜尋」並開啟開發人員工具。搜尋要刪除的案件。在開發人員工具中尋找「CaseSearchEverything」API 呼叫。複製 POST 要求的 JSON 酬載，然後貼到「Search Payload」(搜尋酬載)。「Close Reason」應為 0 或 1。0 = 惡意 1 = 非惡意。根本原因來自「設定」->「案件資料」->「案件關閉根本原因」。

參數

參數	類型	預設值	是否為必要項目	說明
搜尋酬載	JSON	不適用	否	指定要搜尋的 JSON 酬載。示例： {"tags":[],"ruleGenerator":[],"caseSource":[],"stage":[],"environments":[],"assignedUsers":[],"products":[],"ports":[],"categoryOutcomes":[],"status":[],"caseIds":[],"incident":[],"importance":[],"priorities":[],"pageSize":50,"isCaseClosed":false,"title":"","startTime":"2023-01-22T00:00:00.000Z","endTime":"2023-01-22T23:59:59.999Z","requestedPage":0,"timeRangeFilter":1}
關閉留言	字串	不適用	是	指定結尾註解。
關閉原因	字串	不適用	是	說明停業原因。0 = 惡意，1 = 非惡意
根本原因	整數	不適用	是	請指定根本原因。根本原因來自「設定」>「案件資料」 >「案件關閉根本原因」。
Google SecOps SOAR 使用者名稱	字串	不適用	是	指定 Google SecOps SOAR 使用者名稱。
Google SecOps SOAR 密碼	密碼	不適用	是	指定 Google SecOps SOAR 密碼。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。