Ferramentas

Compatível com:

Google SecOps SOAR

Um conjunto de ações utilitárias para manipulação de dados que potencializam os recursos do playbook.

Ações

Confira a seguir os tipos de ações que você pode realizar com o power-up Ferramentas.

Pesquisa de DNS

Descrição

Realiza uma busca DNS usando um resolvedor de DNS especificado.

Parâmetros

Parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
Servidor DNS	Endereço IP	N/A	Sim	Servidores DNS únicos ou separados por vírgulas.

Exemplo

Este exemplo mostra o endereço DNS público do Google 8.8.8.8 para pesquisar entidades de domínio externo.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
ScriptResult	Verdadeiro/Falso	Verdadeiro

Resultado JSON

{
"Entity": "WWW.EXAMPLE.ORG",
 "EntityResult": [{"Type": "A", "Response": "176.9.157.114", "DNS Server": "8.8.8.8"}]
}

Adicionar ou atualizar dados extras de alerta

Descrição

Adiciona ou atualiza campos nos dados extras do alerta. Os resultados são exibidos na visão geral de Alertas, campo OFFENSE_ID.

Parâmetros

Parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
Campos JSON	JSON	N/A	Sim	Insira texto livre (para uma variável) ou uma string que represente um dicionário JSON (pode ser aninhado).

Exemplo

Este exemplo adiciona detalhes do ataque MITRE aos alertas para mostrar na Visão geral dos alertas.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
ScriptResult	Nº de itens no dicionário	2

Resultado JSON

{
"dict": {"mitre": " T1059"}, "list": []
}

Anexar playbook a todos os alertas de caso

Descrição

Anexa um playbook ou bloco específico a todos os alertas em um caso.

Parâmetros

Parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
Nome do playbook	String	N/A	Sim	Playbook ou nome do bloco a ser adicionado a todos os alertas em um caso.

Exemplo

Este exemplo anexa um playbook chamado Phishing playbookM a todos os alertas de caso.

Resultados da ação

Resultado do script

Nome do resultado do script Opções de valor Exemplo

ScriptResult true ou false true

Anexar um playbook a um alerta

Descrição

Anexa um playbook ou bloco específico ao alerta atual.

Parâmetros

Parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
Nome do playbook	String	N/A	Sim	Nome do playbook ou bloco a ser adicionado a todos os alertas de caso.

Exemplo

Este exemplo anexa um bloco chamado Bloco de contenção aos alertas de caso atuais.

Resultados da ação

Resultado do script

Nome do resultado do script Opções de valor Exemplo

ScriptResult true ou false true

Buffer

Descrição

Converter uma entrada JSON em um objeto JSON.

Parâmetros

Parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
ResultValue	String	N/A	Não	Valor do marcador que retorna como o valor `ScriptResult`.
JSON	JSON	N/A	Não	JSON exibido no criador de expressões.

Exemplo

Este exemplo mostra o valor de entrada JSON no criador de expressões JSON para uso em outras ações.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
ScriptResult	Valor de entrada do parâmetro `ResultValue`	sucesso

Resultado JSON

{
"domain" : "company.com",
"domain2" : "company2.com"
}

Acessar detalhes do certificado

Descrição

Recupera detalhes do certificado de um determinado URL.

Parâmetros

Parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
URL para verificar	URL	expired.badssk.com	Sim	Especifique o URL para recuperar os detalhes do certificado.

Exemplo

Nesse cenário, estamos recuperando detalhes do certificado do site expired.badssl.com.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
ScriptResult	Verdadeiro/Falso	Verdadeiro

Resultado JSON

{
"hostname": "expired.badssl.com",
 "ip": "104.154.89.105", 
"commonName": "*.badssl.com",
 "is_self_signed": false, 
"SAN": [["*.badssl.com", "badssl.com"]], 
"is_expired": true, 
"issuer": "EXAMPLE CA", 
"not_valid_before": "04/09/2015", 
"not_valid_after": "04/12/2015", 
"days_to_expiration": -2762
}

Receber valor de contexto

Descrição

Recupera o valor de uma chave de contexto em um caso ou alerta.

Parâmetros

Parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
Escopo	Menu suspenso	Alerta	Sim	Especifique o escopo dos valores de chave, seja em um caso, alerta ou global.
Chave	String	N/A	Sim	Especifique a chave.

Exemplo

Neste cenário, estamos recuperando um valor de contexto de uma chave chamada impact em um caso. Essa ação é usada com a ação Definir valor de contexto, que adiciona os pares de chave-valor ao caso ou alerta.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
ScriptResult	Valor do contexto	Alta

Acessar modelos de e-mail

Descrição

Retorna todos os modelos de e-mail no sistema.

Parâmetros

Parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
Tipo de modelo	Menu suspenso	Padrão	Sim	Especifique o tipo de modelo a ser retornado: Padrão ou HTML.

Exemplo

Nesse cenário, estamos retornando todos os modelos de e-mail baseados em HTML.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
ScriptResult	Resultado em JSON com código HTML	Resultado em JSON mostrado na próxima seção

Resultado JSON

{
"templates": [{"type": 1, "name": "test 1", "content": "<html>\n    <head>\n    <style type=\"text/css\"> .title\n\n    { color: blue; text-decoration: bold; text-size: 1em; }\n    .author\n    { color: gray; }\n\n    </style>\n    </head>\n\n    <body>\n    <span class=\"title\">La super bonne</span>\n    {Text}\n    [Case.Id]\n    </h1> <br/>\n    </body>\n\n    </html>", "creatorUserName": "f00942-fa040-4422324-b2c43e-de40fdsff122b9c4", "forMigration": false, "environments": ["Default"], "id": 3, "creationTimeUnixTimeInMs": 1672054127271, "modificationTimeUnixTimeInMs": 1672054127279}]
}

Criar entidades com separador

Descrição

Cria entidades e as adiciona ao alerta.

Parâmetros

Parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
Identificadores de entidades	String	N/A	Sim	Especifique a entidade ou as entidades que serão adicionadas ao alerta.
Tipo da entidade	String	N/A	Sim	Especifique o tipo de entidade.
É interno	Caixa de seleção	Não selecionado	Não	Verifica se a entidade fornecida faz parte de uma rede interna.
Separador de entidades	String	,	Sim	Especifique o delimitador usado no campo de identificadores de entidades.
JSON de enriquecimento	Menu suspenso	JSON	Não	Especifique os dados de enriquecimento no formato JSON.
PrefixForEnrichment	String	N/A	Não	Especifique o prefixo a ser adicionado aos dados de enriquecimento.

Exemplo

Neste cenário, vamos criar três entidades de IP e enriquecê-las com um campo chamado "is_suspicious".

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
ScriptResult	Verdadeiro/Falso	Verdadeiro

Resultado JSON

{
"created": ["0.0.0.0", "0.0.0.1", "0.0.0.2"], 
"enriched": ["0.0.0.0", "0.0.0.1", "0.0.0.2"],
"failed": []
}

Atualizar descrição do caso

Descrição

Atualiza a descrição de um caso.

Parâmetros

Parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
Descrição do caso	String	N/A	Sim	Especifique a descrição atualizada.

Exemplo

Este exemplo atualiza a descrição do caso para "Este caso está relacionado a logins suspeitos".

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
ScriptResult	Verdadeiro/Falso	Verdadeiro

Normalizar o enriquecimento de entidade

Descrição

Recebe uma lista de chaves da entidade e as substitui.

Parâmetros

Parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
Dados de normalização	JSON	N/A	Sim	Especifique o JSON no seguinte exemplo de formato: [ { "entity_field_name": "AT_fields_Name", "new_name": "InternalEnrichment_Name" }, { "entity_field_name": "AT_fields_Direct-Manager", "new_name": "InternalEnrichment_DirectManager_Name" }, { "entity_field_name": "AT_Manager_fields_Work-Email", "new_name": "InternalEnrichment_DirectManager_Email" } ]

Exemplo

Nesse cenário, estamos substituindo a chave da entidade de is_bad por malicious.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
ScriptResult	Número de entidades enriquecidas	5

Anexar ao valor do contexto

Descrição

Adiciona um valor a uma propriedade de contexto existente ou cria uma nova propriedade de contexto se ela não existir e adiciona o valor.

Parâmetros

Parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
Chave	String	N/A	Sim	Especificar a chave da propriedade de contexto
Valor	String	N/A	Sim	Especifique o valor a ser anexado à propriedade de contexto.
Delimitador	String	N/A	Sim	Especifique o delimitador usado no campo de valor.

Exemplo

Neste cenário, estamos adicionando os valores "T1595" e "T1140" a uma chave de contexto "MITRE" já existente.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
ScriptResult	Valores de contexto	T1595, T1140

Criar relacionamentos entre entidades

Descrição

Cria uma relação entre as entidades fornecidas e as entidades vinculadas. Se as entidades fornecidas não existirem, elas serão criadas.

Parâmetros

Parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
Identificadores de entidade	String	N/A	Sim	Cria ou usa identificadores de entidade ou uma lista de identificadores separados por vírgulas.
Tipo de identificadores de entidade	Menu suspenso	Nome do usuário	Sim	Especifique o tipo de entidade.
Conectar como	Menu suspenso	Origem	Sim	Conecta identificadores de entidade usando relações de origem, destino ou vinculadas aos identificadores de entidade de destino.
Tipo de entidade de destino	Menu suspenso	Endereço	Sim	Especifique o tipo de entidade de destino para conectar os identificadores de entidade.
Identificadores da entidade de destino	String	N/A	Não	Entidades nesta lista separada por vírgulas, de O tipo de "Tipo de entidade de destino" será vinculado às entidades no parâmetro "Identificadores de entidades".
JSON de enriquecimento	JSON	N/A	Não	Um objeto JSON opcional que contém chave / Pares de valores de atributos que podem ser adicionados às entidades recém-criadas.
Caractere separador	String	N/A	Não	Especifique o caractere que vai separar a lista de entidades em "Identificadores de entidade" e/ou "Identificadores de entidade de destino". O padrão é vírgula.

Exemplo

Neste cenário, estamos criando uma relação entre um usuário e um URL. Nesse caso, Bola001 acessou um URL de example.com.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
ScriptResult	Verdadeiro/Falso	Verdadeiro

Resultado JSON

{
"Entity": "Bola001", "EntityResult": {}
}

Extrair domínio do URL

Descrição

Enriquece todas as entidades com um novo campo siemplifytools_extracted_domain que contém o domínio extraído do identificador da entidade. Se a entidade não tiver um domínio (hash de arquivo, por exemplo), nada será retornado. Além das entidades, o usuário pode especificar uma lista de URLs como parâmetro e processá-los sem enriquecer.

Parâmetros

Parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
Separador	String	,	Sim	Especifique a string do separador a ser usada para separar URLs.
URLs	String	N/A	Não	Especifique um ou mais URLs para extrair o domínio.
Extrair subdomínio	Caixa de seleção	N/A	Não	Especifique se você também quer extrair o subdomínio.

Exemplo

Nesse cenário, estamos extraindo o domínio do URL especificado.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
ScriptResult	Número de domínios extraídos	1

Resultado JSON

{
"Entity": "https://sample.google.com", "EntityResult": {"domain": "sample.google.com", "source_entity_type": "DestinationURL"}
}

Verificar subconjunto da lista

Descrição

Verifica se os valores em uma lista existem em outra.

Parâmetros

Parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
Original	String	N/A	Sim	Especifique a lista de itens a serem verificados. Lista JSON ou separada por vírgulas.
Subconjunto	Lista	N/A	Sim	Especifique a lista de subconjuntos. Lista JSON ou separada por vírgulas.

Exemplo

Nesse cenário, estamos verificando se os valores 1, 2 e 3 existem na lista original de 1, 2, 3, 4 e 5, resultando em um valor verdadeiro.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
ScriptResult	Verdadeiro/Falso	Verdadeiro

Adicionar informações de pontuação de alerta

Descrição

Adiciona uma entrada ao banco de dados de pontuação de alertas. A pontuação de alerta é baseada na proporção: 5 baixa = 1 média. 3 Médias = 1 Alta. 2 Alta = 1 Crítica. Tag opcional adicionada ao caso.

Parâmetros

Parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
Nome	String	N/A	Sim	Nome da verificação realizada no alerta.
Descrição	String	N/A	Sim	Descrição da verificação realizada no alerta.
Gravidade	String	Informativa	Sim	Gravidade.
Categoria	String	N/A	Sim	Categoria da verificação realizada.
Origem	String	N/A	Não	Parte do alerta de que a pontuação foi derivada. Exemplo: Files, user, Email.
Tag do caso	String	N/A	Não	Tags a serem adicionadas ao caso.

Exemplo

Este exemplo define a gravidade do alerta como "alta" devido a um resultado suspeito do VirusTotal.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
Alert_score	Informativo, baixo, médio, alto, crítico	Alta

Resultado JSON

{
"category": "File Enrichment",
 "score_data": [{"score_name": "File Enrichment", "description": "VT has found a file to be suspicious", "severity": "High", "score": 3, "source": "VirusTotal"}],
 "category_score": 3
}

Receber usuários da Siemplify

Descrição

Retorna a lista de todos os usuários configurados no sistema.

Parâmetros

Parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
Ocultar usuários desativados	Caixa de seleção	Selecionado	Não	Especifique se os usuários desativados devem ser ocultados dos resultados.

Exemplo

Nesse cenário, estamos retornando todos os usuários do sistema, incluindo os desativados.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
ScriptResult	Verdadeiro/Falso	Verdadeiro

Resultado JSON

{
"siemplifyUsers": [{"permissionGroup": "Admins", "socRole": "@Administrator", "isDisabled": false, "loginIdentifier": "sample@domain.com", "firstName": "John", "lastName": "Doe", "permissionType": 0, "role": 0, "socRoleId": 1, "email": "sample@domain.com", "userName": "0b3423496fc2-0834302-42f33d-8523408-18c087d2347cf1e", "imageBase64": null, "userType": 1, "identityProvider": -1, "providerName": "Internal", "advancedReportsAccess": 0, "accountState": 2, "lastLoginTime": 1679831126656, "previousLoginTime": 1678950002044, "lastPasswordChangeTime": 0, "lastPasswordChangeNotificationTime": 0, "loginWrongPasswordCount": 0, "isDeleted": false, "deletionTimeUnixTimeInMs": 0, "environments": ["*"], "id": 245, "creationTimeUnixTimeInMs": 1675457504856, "modificationTimeUnixTimeInMs": 1674957504856
}

Verificar campos de entidades no texto

Descrição

Pesquise um campo específico de cada entidade no escopo (ou vários campos usando regex) e compare com um ou mais valores. Os valores comparados também podem passar por uma expressão regular. Uma correspondência é encontrada se um dos valores de expressão regular pós-entidade do enriquecimento de entidade estiver em um ou mais valores pesquisados.

Parâmetros

Parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
SearchInData	JSON	[ { "Data": "[Event.from]", "RegEx": "(?<=@)[^.]+(?=\\.)" } ]	Sim	JSON que representa as strings em que você quer pesquisar usando este formato: [ { "Data": "", "RegEx": "" } ]
FieldsInput	JSON	[ { "RegexForFieldName": "", "FieldName": "body", "RegexForFieldValue": "" }, { "RegexForFieldName": ".(_url_).", "FieldName": "", "RegexForFieldValue": "" }, { "RegexForFieldName": "", "FieldName": "body", "RegexForFieldValue": "HostName: (.*?)" } ]	Sim	Um JSON que descreve quais campos devem ser testados para ["RegexForFieldName": "", "FieldName": "Nome do campo a ser pesquisado", "RegexForFieldValue": “”}]
ShouldEnrichEntity	String	domain_matched	Não	Se definido como <VAL>, também vai colocar um valor de enriquecimento na entidade para ser reconhecida como "correspondente" ao valor. A chave será <VAL>
IsCaseSensitive	Caixa de seleção	Não selecionado	Não	Especifique se o campo diferencia maiúsculas de minúsculas.

Exemplo

Neste cenário, estamos verificando se uma entidade com o nome de campo malicious está no texto especificado.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
ScriptResult	Número de descobertas	0

Resultado JSON

{
"Entity": "EXL88765-AD", "EntityResult": [{"RegexForFieldName": "", "FieldName": "malicious", "RegexForFieldValue": "", "ResultsToSearch": {"val_to_search": [[]], "found_results": [], "num_of_results": 0}}]
}

Receber instâncias de integração

Descrição

Retorna todas as instâncias de integração de um ambiente.

Parâmetros

Nenhum parâmetro aplicável.

Exemplo

Nesse cenário, todas as instâncias de integração em todos os ambientes serão retornadas.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
ScriptResult	Verdadeiro/Falso	Verdadeiro

Resultado JSON

{
"instances": [{"identifier": "27dee746-1857-41b7-a722-b99699b8d6c8", "integrationIdentifier": "Tools", "environmentIdentifier": "Default", "instanceName": "Tools_1", "instanceDescription": "test", "isConfigured": true, "isRemote": false, "isSystemDefault": false},{...........}]
}

Playbook de atraso V2

Descrição

Interrompe temporariamente a conclusão de um playbook por um período especificado.

Parâmetros

Parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
Segundos	Número inteiro	0	Não	Especifique a quantidade de segundos para atrasar um playbook.
Minutos	Número inteiro	1	Não	Especifique a quantidade de minutos para atrasar um playbook.
Horas	Número inteiro	0	Não	Especifique a quantidade de horas para atrasar um playbook.
Dias	Número inteiro	0	Não	Especifique o número de dias para atrasar um playbook.
Expressão Cron	String	N/A	Não	Determina quando o playbook deve continuar usando uma expressão cron. Será priorizado em relação aos outros parâmetros.

Exemplo

Nesse cenário, estamos atrasando o playbook por 12 horas e meia.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
ScriptResult	Verdadeiro/Falso	Verdadeiro

Receber JSON de alerta original

Descrição

Retorna o resultado JSON do alerta original (dados brutos).

Parâmetros

Nenhum parâmetro aplicável

Exemplo

Nesse cenário, o JSON bruto original do alerta é retornado.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
ScriptResult	Verdadeiro/Falso	Verdadeiro

Resultado JSON

{
"CreatorUserId": null, "Events": [{"_fields": {"BaseEventIds": "[]", "ParentEventId": -1, "deviceEventClassId": "IRC Connections", "DeviceProduct": "IPS_Product", "StartTime": "1667497096184", "EndTime": "1667497096184"}, "_rawDataFields": {"applicationProtocol": "TCP", "categoryOutcome": "blocked", "destinationAddress": "104.131.182.103", "destinationHostName": "www.ircnet.org", "destinationPort": "770", "destinationProcessName": "MrlCS.sob", "destinationUserName": "XWTTRYzNr1l@gmail.com", "deviceAddress": "0.0.0.0", "deviceEventClassId": "IRC Connections", "deviceHostName": "ckIYC2", "Field_24": "B0:E7:DF:6C:EF:71", "deviceProduct": "IPS_Product", "deviceVendor": "Vendor", "endTime": "1667497110906", "eventId": "0aa16009-57b4-41a3-91ed-81347442ca29", "managerReceiptTime": "1522058997000", "message": "Connection to IRC Server", "name": "IRC Connections", "severity": "8", "sourceAddress": "0.0.0.0", "sourceHostName": "jhon@domain.local", "startTime": "1667497110906", "sourcetype": "Connection to IRC Server"}, "Environment": null, "SourceSystemName": null, "Extensions": []}], "Environment": "Default", "SourceSystemName": "Arcsight", "TicketId": "fab1b5a1-637f-4aed-a94f-c63137307505", "Description": "IRC Connections", "DisplayId": "fab1b5a1-637f-4aed-a94f-c63137307505", "Reason": null, "Name": "IRC Connections", "DeviceVendor": "IPS", "DeviceProduct": "IPS_Product", "StartTime": 1667497110906, "EndTime": 1667497110906, "Type": 1, "Priority": -1, "RuleGenerator": "IRC Connections", "SourceGroupingIdentifier": null, "PlaybookTriggerKeywords": [], "Extensions": [], "Attachments": null, "IsTrimmed": false, "DataType": 1, "SourceType": 1, "SourceSystemUrl": null, "SourceRuleIdentifier": null
}

Ver a hora atual

Descrição

Retorna a data e a hora atuais.

Parâmetros

Parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
Formato de data/hora	String	%d/%m/%Y %H:%M	Sim	Especifique o formato da data e da hora.

Exemplo

Nesse cenário, estamos retornando um valor de data e hora usando o seguinte formato: %d/%m/%Y %H:%M:%S

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
ScriptResult	Valor de data e hora	03/11/2022 20:33:43

Atualizar a pontuação de alerta

Descrição

Atualiza a pontuação de alerta pelo valor fornecido.

Parâmetros

Parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
Entrada	Número inteiro	N/A	Sim	Especifique o valor a ser incrementado ou decrementado (número negativo).

Exemplo

Nesse cenário, estamos diminuindo a pontuação de alerta em 20.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
ScriptResult	Valor de entrada	-20

Adicionar comentário ao registro da entidade

Descrição

Adiciona um comentário ao registro de cada entidade na pontuação do Explorador de entidades.

Parâmetros

Parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
Usuário	Menu suspenso	@Administrator	Sim	Especifique o usuário que criou o comentário.
Comentário	String	N/A	Sim	Especifique o comentário que será adicionado ao registro da entidade.

Exemplo

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
N/A	N/A	N/A

Reanexar playbook

Descrição

Remove um playbook de um caso, exclui todos os dados de resultado do caso desse playbook e anexa o playbook novamente para que ele seja executado de novo. Requer a instalação da integração do PostgreSQL, configurada para o ambiente compartilhado com o nome de instância do Google SecOps SOAR. Consulte o CSM / Suporte para mais detalhes.

Parâmetros

Parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
Nome do playbook	Menu suspenso	N/A	Sim	Especifique o playbook a ser anexado novamente.

Exemplo

Neste cenário, estamos anexando novamente um playbook chamado attach_playbook_test

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
ScriptResult	Verdadeiro/Falso/Configure a instância do Google SecOps SOAR da integração do PostgreSQL.	Verdadeiro

Playbook de bloqueio

Descrição

Pausa o playbook atual até que todos os playbooks do alerta anterior sejam concluídos.

Parâmetros

Parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
Tempo limite de ação assíncrona	Números inteiros	1 dia	Não	O tempo limite de ação assíncrona define a duração total permitida para a ação (soma o tempo de execução de todas as iterações).
Intervalo de sondagem assíncrona	Números inteiros	1 hora	Não	Defina o tempo entre cada tentativa de sondagem durante o tempo de execução de uma ação assíncrona.

Exemplo

Nesse cenário, estamos pausando o manual atual e verificando a cada 30 segundos se todos os manuais no alerta anterior do caso foram concluídos.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
ScriptResult	Verdadeiro/Falso	Verdadeiro

Encontrar o First Alert

Descrição

Retorna o identificador do primeiro alerta em um determinado caso.

Parâmetros

Nenhum parâmetro aplicável.

Exemplo

Nesse cenário, ele está retornando o identificador do primeiro alerta no caso.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
ScriptResult	Valor do identificador de alerta	IRC CONNECTIONS9A33308C-AC62-4A41-8F73-20529895D567

Domínios semelhantes

Descrição

Compara entidades de domínio com a lista de domínios definidos para o ambiente. Se os domínios forem semelhantes, a entidade será marcada como suspeita e enriquecida com o domínio correspondente.

Parâmetros

Nenhum parâmetro aplicável

Exemplo

Nesse cenário, verificamos se as entidades de domínio externo são semelhantes aos domínios configurados na lista de domínios das configurações.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
look_a_like_domain_found	Verdadeiro/Falso	Verdadeiro

Resultado JSON

{
"Entity" : {"EntityResult" : { "look_a_like_domains" : ["outlooks.com"]}}
}

Mudar o nome do caso

Descrição

Muda o nome ou título de um caso.

Parâmetros

Parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
Novo nome	String	N/A	Não	Especifique o novo nome do caso.
Somente se for o primeiro alerta	Caixa de seleção	Não selecionado	Não	Se selecionada, só vai mudar o nome do caso se a ação tiver sido executada no primeiro alerta do caso.

Exemplo

Nesse cenário, o título de um caso será alterado para "Phishing - E-mail suspeito" somente se ele for executado no primeiro alerta.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
ScriptResult	Verdadeiro/Falso	Verdadeiro

String de verificação ortográfica

Descrição

Verifique a ortografia da string de entrada. A saída mostra a porcentagem de precisão, o número total de palavras, o número total de palavras escritas incorretamente, uma lista de cada palavra escrita incorretamente e a correção, além de uma versão corrigida da string de entrada.

Parâmetros

Parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
String	String	N/A	Sim	Especifique a string que será verificada quanto a erros de ortografia.

Exemplo

Este exemplo faz a verificação ortográfica da seguinte string de entrada:
"Testing if this is a mispelled wodr.".

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
accuracy_percentage	Valor percentual	71

Resultado JSON

{"input_string": "Testing if this is a mispelled wodr.", "total_words": 7, "total_misspelled_words": 2, "misspelled_words": [{"misspelled_word": "mispelled", "correction": "misspelled"}, {"misspelled_word": "wodr", "correction": "word"}], "accuracy": 71, "corrected_string": "Testing if this is a misspelled word."}

Texto da pesquisa

Descrição

Procure o parâmetro "Search For" no texto de entrada ou faça um loop na lista "Search For Regex" e encontre correspondências no texto de entrada. Se houver uma correspondência, a ação vai retornar true.

Parâmetros

Parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
Texto	String	N/A	Sim	Especifique o texto que será pesquisado.
Pesquisar por	String	N/A	Não	Especifique a string a ser pesquisada no campo "text".
Pesquisar por expressão regular	String	N/A	Não	Lista de expressões regulares que serão usadas para pesquisar a string. A expressão regular precisa estar entre aspas duplas. Aceita listas delimitadas por vírgulas.
Diferenciar maiúsculas e minúsculas	Caixa de seleção	N/A	Não	Especifique se a pesquisa diferencia maiúsculas de minúsculas.

Exemplo

Nesse cenário, estamos verificando se a palavra malicious existe no valor do campo Text.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
match_found	Verdadeiro/Falso	Verdadeiro

Resultado JSON

{
"matches": [{"search": "malicious", "input": "This IOC is malicious.", "match": true}]
}

Definir valor de contexto

Descrição

Define uma chave e um valor em um contexto específico. Essa ação geralmente é usada com a ação "Extrair valor do contexto" para recuperar o valor da chave.

Parâmetros

Parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
Valor	String	N/A	Sim	Especifique o valor do contexto.
Chave	String	N/A	Sim	Especifique a chave de contexto.
Escopo	Menu suspenso	Alerta	Sim	Especifique o escopo da atribuição de contexto (alerta, caso, global).

Exemplo

Nesse cenário, estamos definindo uma chave de contexto "malicious" com o valor "yes".

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
ScriptResult	Verdadeiro/Falso	Verdadeiro

Criar tarefa do Siemplify

Descrição

Atribui uma tarefa a um usuário ou função. A tarefa vai estar relacionada ao caso em que a ação foi executada.

Parâmetros

Parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
Título da tarefa	String	N/A	Não	Especifique o título da tarefa.
SLA (em minutos)	Número inteiro	480	Sim	Especifique o tempo em minutos que o usuário/função atribuído tem para responder à tarefa.
Conteúdo da tarefa	String	N/A	Sim	Especifique os detalhes da tarefa.
Atribuir a	Menu suspenso	N/A	Sim	Especifique o usuário ou a função a que a tarefa será atribuída.

Exemplo

Nesse cenário, uma tarefa é criada instruindo o nível 3 a executar uma verificação de vírus.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
ScriptResult	Verdadeiro/Falso	Verdadeiro

Atribuir caso a um usuário

Descrição

Atribui um caso a um usuário.

Parâmetros

Parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
ID do caso	String	N/A	Sim	Especifique o ID do caso. Use [Case.Id] para o caso atual.
Atribuir a	String	@Admin	Sim	Especifique o usuário a quem atribuir um caso. Este é o ID do usuário. Use a ação "Get Siemplify Users" para recuperar o ID de um usuário específico.
ID do alerta	String		Sim	Especifique o ID do alerta. Use [Alert.Identifier].

Exemplo

Nesse cenário, estamos atribuindo o caso atual a um usuário específico usando o ID dele.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
ScriptResult	Verdadeiro/Falso	Verdadeiro

Receber dados do caso

Descrição

Recupera todos os dados de um caso e retorna um resultado JSON. O resultado inclui comentários, informações de entidades, insights, playbooks executados, informações e eventos de alerta.

Parâmetros

Parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
ID do caso	Número inteiro	N/A	Não	Especifique o ID do caso a ser consultado. Se deixado em branco, o caso atual será usado.

Exemplo

Nesse cenário, estamos recuperando os detalhes do caso atual.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
ScriptResult	Verdadeiro/Falso	Verdadeiro

Resultado JSON

{
"wallData": [{"commentForClient": null, "comment": null, "modificationTimeUnixTimeInMsForClient": 0, "creatorUserId": "8f8er8d6-ee8b-478e-9ee592-cc27e9addda13b", "id": 6357, "type": 5, "caseId": 36902, "isFavorite": false, "modificationTimeUnixTimeInMs": 1680717397165, "creationTimeUnixTimeInMs": 1680717397165, "alertIdentifier": "SUSPICIOUS ACTIVITY991C7837-1EE9-4EEA-AE7B-975366CA2EAE"}, {"actionTriggerType": 0, "integration": "Tools", "executingUser": null, "playbookName": "New Playbook", "playbookIsInDebugMode": true, "status": 5, "actionProvider": "Scripts", "actionIdentifier": "Tools_Get Case Data_1", "actionResult": "Action started", "alertIdentifiers": ["SUSPICIOUS ACTIVITY991C7837-1EE9-4EEA-AE7B-975366CA2EAE"], "creatorUserId": null, "id": 7677, "type": 3, "caseId": 0, "isFavorite": false, "modificationTimeUnixTimeInMs": 1680717397401, "creationTimeUnixTimeInMs": 1680717397401, "alertIdentifier": null}], "alerts": [{"ticketId": "d21ebvcxzb88-35vc35-46b4-9edd08-063696d7cc092", "status": 0, "identifier": "SUSPICIOUS ACTIVITY991C7837-1EE9-4EEA-AE7B-975366CA2EAE", "hasWorkflows": true, "workflowsStatus": 1, "sourceSystemName": "CrowdStrikeFalcon", "securityEventCards": [{"caseId": 36902, "eventId": "5fde7844-0099-4c5d-a562-63e2d0deb7e5", "alertIdentifier": "SUSPICIOUS ACTIVITY991C7837-1EE9-4EEA-AE7B-975366CA2EAE", "eventName": "CustomIOAWinLowest", "product": "Falcon", "sources": [{"isValid": true, "identifier": "172.30.202.229", "type": "ADDRESS"}, {"isValid": true, "identifier": "EXLAB2019-AD", "type": "HOSTNAME"}, {"isValid": true, "identifier": "E019-AD$", "type": "USERUNIQNAME"}], "destinations": [], "artificats": [{"isValid": true, "identifier": "MPCMDRUN.EXE", "type": "FILENAME"}, {"isValid": true, "identifier": "60D88450B376694DC55EB8F40B0F79580D1DF399A7BDF", "type": "FILEHASH"}], "port": null, "outcome": null, "time": "2023-03-01T19:51:00Z", "deviceEventClassId": "Indicator of Attack", "fields": [{"isHighlight": true, "groupName": "HIGHLIGHTED FIELDS", "hideOptions": false, "items": [{"originalName": "startTime", "name": "Start Time", "value": "1680615463369"}, {"originalName": "endTime", "name": "End Time", "value": "1680615463369"}]}, {"isHighlight": false, "groupName": "Default", "hideOptions": false, "items": [{"originalName": "cid", "name": "cid", "value": "27fe4e4760b8476b2b6650e5a74"}, {"originalName": "created_timestamp", "name": "created_timestamp", "value": "2023-03-01T19:51:11.387187948Z"}........................
}

Aguardar a conclusão do manual

Descrição

Pausa o playbook atual até que outro playbook ou bloco, que está em execução no mesmo alerta, seja concluído.

Parâmetros

Parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
Nome do playbook	String	N/A	Não	Especifique o nome do bloco ou playbook que você quer concluir primeiro.

Exemplo

Nesse cenário, pausamos o playbook atual até que o "bloco de investigação" em execução no mesmo alerta seja concluído.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
ScriptResult	Verdadeiro/Falso	Verdadeiro

Converter em caso simulado

Descrição

Converte um caso em um caso simulado que pode ser carregado na plataforma.

Parâmetros

Parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
Enviar para casos simulados	Caixa de seleção	Não selecionado	Não	Se selecionado, o caso será adicionado à lista de casos simulados disponíveis.
Salvar JSON como arquivo de parede de casos	Caixa de seleção	Selecionado	Não	Se selecionado, um arquivo JSON que representa o caso será salvo no mural para ser baixado.
Substituir nome do alerta	String	Vazio	Não	Especifique um novo nome de alerta a ser usado. Esse parâmetro substitui o Nome do caminho completo, se selecionado.
Nome completo do caminho	Caixa de seleção	Não selecionado	Não	Se selecionado, use o nome do alerta como `source_product_eventtype` —por exemplo, `QRadar_WinEventLog:Security_Remote fail login`. Esse parâmetro será ignorado se a opção Substituir nome do alerta estiver marcada.

Exemplo

Neste exemplo, um caso é convertido em um caso simulado usando "Login arriscado" como nome do alerta, que será exibido como um dos casos simulados disponíveis na tela inicial.

Resultados da ação

Resultado do script

Nome do resultado do script Opções de valor Exemplo

ScriptResult Verdadeiro/Falso Verdadeiro

Resultado JSON

{
  "cases": [
    {
      "CreatorUserId": null,
      "Events": [
        {
          "_fields": {
            "BaseEventIds": "[]",
            "ParentEventId": -1,
            "DeviceProduct": "WinEventLog:Security",
            "StartTime": "1689266169689",
            "EndTime": "1689266169689"
          },
          "_rawDataFields": {
            "sourcetype": "Failed login",
            "starttime": "1689702001439",
            "endtime": "1689702001439"
          },
          "Environment": null,
          "SourceSystemName": null,
          "Extensions": []
        }
      ],
      "Environment": "default",
      "SourceSystemName": "QRadar",
      "TicketId": "de2e3913-e4d8-4060-ae2b-1c81ee64ba47",
      "Description": "This case created by SPLUNK query ",
      "DisplayId": "de2e3913-e4d8-4060-ae2b-1c81ee64ba47",
      "Reason": null,
      "Name": "Risky Sign On",
      "DeviceVendor": "WIN-24TBDNRMSVB",
      "DeviceProduct": "WinEventLog:Security",
      "StartTime": 1689702001439,
      "EndTime": 1689702001439,
      "Type": 1,
      "Priority": -1,
      "RuleGenerator": "Remote Failed login",
      "SourceGroupingIdentifier": null,
      "PlaybookTriggerKeywords": [],
      "Extensions": [
        {
          "Key": "KeyName",
          "Value": "TCS"
        }
      ],
      "Attachments": null,
      "IsTrimmed": false,
      "DataType": 1,
      "SourceType": 1,
      "SourceSystemUrl": null,
      "SourceRuleIdentifier": null,
      "SiemAlertId": null,
      "__CorrelationId": "7efd38feaea247ad9f5ea8d907e4387c"
    }
  ]
}

Jobs

Fechar casos com base na pesquisa

Descrição

Esse trabalho fecha todos os casos com base em uma consulta de pesquisa. O payload de pesquisa é o payload usado na chamada da API "CaseSearchEverything". Para ver um exemplo desse valor, acesse "Pesquisar" na UI e abra as Ferramentas para desenvolvedores. Pesquise os casos que você quer excluir. Procure a chamada de API "CaseSearchEverything" no DevTools. Copie o payload JSON da solicitação POST e cole em "Payload de pesquisa". O motivo do fechamento precisa ser 0 ou 1. 0 = malicioso, 1 = não malicioso. A causa raiz vem de Configurações -> Dados do caso -> Causa raiz do encerramento do caso.

Parâmetros

Parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
Payload de pesquisa	JSON	N/A	Não	Especifique o payload JSON para pesquisar. Exemplo: {"tags":[],"ruleGenerator":[],"caseSource":[],"stage":[],"environments":[],"assignedUsers":[],"products":[],"ports":[],"categoryOutcomes":[],"status":[],"caseIds":[],"incident":[],"importance":[],"priorities":[],"pageSize":50,"isCaseClosed":false,"title":"","startTime":"2023-01-22T00:00:00.000Z","endTime":"2023-01-22T23:59:59.999Z","requestedPage":0,"timeRangeFilter":1}
Fechar comentário	String	N/A	Sim	Especifique um comentário de encerramento.
Motivo do encerramento	String	N/A	Sim	Especifique o motivo do encerramento. 0 = malicioso, 1 = não malicioso
Causa principal	Número inteiro	N/A	Sim	Especifique a causa raiz. A causa raiz vem de Configurações > Dados do caso > Causa raiz do encerramento do caso.
Nome de usuário do Google SecOps SOAR	String	N/A	Sim	Especifique o nome de usuário do Google SecOps SOAR.
Senha do Google SecOps SOAR	Senha	N/A	Sim	Especifique a senha do Google SecOps SOAR.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.