Esta página se ha traducido con Cloud Translation API.

Herramientas

Disponible en:

SecOps de Google SOAR

Descripción general

Conjunto de acciones de utilidad para la manipulación de datos que mejoran las capacidades de las guías.

Acciones

Búsqueda de DNS

Descripción

Realiza una búsqueda de DNS mediante una resolución de DNS especificada.

Parámetros

Parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Servidor DNS	Dirección IP	N/A	Sí	Especifica uno o varios servidores DNS separados por comas.

Ejemplo

En este caso, usamos la dirección DNS pública de Google 8.8.8.8 para buscar entidades de dominio externas.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
ScriptResult	Verdadero/Falso	Verdadero

Resultado de JSON

{
"Entity": "WWW.EXAMPLE.ORG",
 "EntityResult": [{"Type": "A", "Response": "176.9.157.114", "DNS Server": "8.8.8.8"}]
}

Add Or Update Alert Additional Data

Descripción

Añade o actualiza campos en los datos adicionales de la alerta. Los resultados se mostrarán en un campo llamado "OFFENSE_ID" en el resumen de alertas.

Parámetros

Parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Campos JSON	JSON	N/A	Sí	Puedes introducir texto libre (para una variable), una cadena que represente un diccionario JSON (se puede anidar)

Ejemplo

En este caso, añadimos detalles de ataques de MITRE a las alertas, que se mostrarán en el resumen de alertas.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
ScriptResult	Número de elementos del diccionario	2

Resultado de JSON

{
"dict": {"mitre": " T1059"}, "list": []
}

Adjuntar guía a todas las alertas de caso

Descripción

Adjunta una guía o un bloque específicos a todas las alertas de un caso.

Parámetros

Parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Nombre de la guía	Cadena	N/A	Sí	Especifica el nombre de la guía o del bloque que se añadirá a todas las alertas de un caso.

Ejemplo

En este caso, vamos a adjuntar una guía llamada "Guía de phishing" a todas las alertas de un caso.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
ScriptResult	Verdadero/Falso	Verdadero

Adjuntar una guía a una alerta

Descripción

Adjunta una guía o un bloque específicos a la alerta actual.

Parámetros

Parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Nombre de la guía	Cadena	N/A	Sí	Especifica el nombre de la guía o del bloque que se añadirá a todas las alertas de un caso.

Ejemplo

En este caso, vamos a adjuntar un bloque llamado "Bloque de contención" a las alertas actuales del caso.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
ScriptResult	Verdadero/Falso	Verdadero

Búfer

Descripción

Convierte una entrada JSON en un objeto JSON.

Parámetros

Parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
ResultValue	Cadena	N/A	No	Valor de marcador de posición que se devolverá como valor de ScriptResult.
JSON	JSON	N/A	No	JSON que se mostrará en el generador de expresiones.

Ejemplo

En este caso, el valor de entrada JSON se mostrará en el generador de expresiones JSON para usarlo en acciones posteriores.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
ScriptResult	Valor de entrada del parámetro ResultValue	correcto

Resultado de JSON

{
"domain" : "company.com",
"domain2" : "company2.com"
}

Obtener detalles del certificado

Descripción

Obtiene los detalles del certificado de una URL determinada.

Parámetros

Parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
URL que se va a comprobar	URL	expired.badssk.com	Sí	Especifica la URL de la que quieres obtener los detalles del certificado.

Ejemplo

En este caso, vamos a obtener los detalles del certificado del sitio expired.badssl.com.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
ScriptResult	Verdadero/Falso	Verdadero

Resultado de JSON

{
"hostname": "expired.badssl.com",
 "ip": "104.154.89.105", 
"commonName": "*.badssl.com",
 "is_self_signed": false, 
"SAN": [["*.badssl.com", "badssl.com"]], 
"is_expired": true, 
"issuer": "EXAMPLE CA", 
"not_valid_before": "04/09/2015", 
"not_valid_after": "04/12/2015", 
"days_to_expiration": -2762
}

Obtener valor de contexto

Descripción

Obtiene el valor de una clave de contexto en un caso o una alerta.

Parámetros

Parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Ámbito	URL añadida a desplegable	Alerta	Sí	Especifica el ámbito de los pares clave-valor: si es en un caso, una alerta o global.
Clave	Cadena	N/A	Sí	Especifica la clave.

Ejemplo

En este caso, vamos a obtener un valor de contexto de una clave llamada impact en un caso. Esta acción se usa junto con la acción "Definir valor de contexto", que añade los pares clave-valor al caso o a la alerta.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
ScriptResult	Valor de contexto	Alta

Obtener plantillas de correo

Descripción

Devuelve todas las plantillas de correo del sistema.

Parámetros

Parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Tipo de plantilla	URL añadida a desplegable	Estándar	Sí	Especifica el tipo de plantilla que se va a devolver: estándar o HTML.

Ejemplo

En este caso, devolvemos todas las plantillas de correo basadas en HTML.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
ScriptResult	Resultado JSON que contiene código HTML	Resultado en JSON que se muestra a continuación

Resultado de JSON

{
"templates": [{"type": 1, "name": "test 1", "content": "<html>\n    <head>\n    <style type=\"text/css\"> .title\n\n    { color: blue; text-decoration: bold; text-size: 1em; }\n    .author\n    { color: gray; }\n\n    </style>\n    </head>\n\n    <body>\n    <span class=\"title\">La super bonne</span>\n    {Text}\n    [Case.Id]\n    </h1> <br/>\n    </body>\n\n    </html>", "creatorUserName": "f00942-fa040-4422324-b2c43e-de40fdsff122b9c4", "forMigration": false, "environments": ["Default"], "id": 3, "creationTimeUnixTimeInMs": 1672054127271, "modificationTimeUnixTimeInMs": 1672054127279}]
}

Crear entidades con separador

Descripción

Crea entidades y las añade a la alerta.

Parámetros

Parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Identificadores de entidades	Cadena	N/A	Sí	Especifica la entidad o las entidades que se añadirán a la alerta.
Tipo de entidad	Cadena	N/A	Sí	Especifica el tipo de entidad.
Es interno	Casilla	No seleccionado	No	Comprueba si la entidad proporcionada forma parte de una red interna.
Separador de entidades	Cadena	,	Sí	Especifica el delimitador que se usa en el campo de identificadores de entidades.
JSON de enriquecimiento	Menú desplegable	JSON	No	Especifica los datos de enriquecimiento en formato JSON.
PrefixForEnrichment	Cadena	N/A	No	Especifica el prefijo que se añadirá a los datos de enriquecimiento.

Ejemplo

En este caso, vamos a crear tres entidades de IP y a enriquecerlas con un campo llamado "is_suspicious".

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
ScriptResult	Verdadero/Falso	Verdadero

Resultado de JSON

{
"created": ["0.0.0.0", "0.0.0.1", "0.0.0.2"], 
"enriched": ["0.0.0.0", "0.0.0.1", "0.0.0.2"],
"failed": []
}

Actualizar la descripción del caso

Descripción

Actualiza la descripción de un caso.

Parámetros

Parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Descripción del caso	Cadena	N/A	Sí	Especifica la descripción actualizada.

Ejemplo

En este caso, vamos a actualizar la descripción del caso a "Este caso está relacionado con inicios de sesión sospechosos".

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
ScriptResult	Verdadero/Falso	Verdadero

Normalizar el enriquecimiento de entidades

Descripción

Recibe una lista de claves de la entidad y las sustituye.

Parámetros

Parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Datos de normalización	JSON	N/A	Sí	Especifica el JSON con el siguiente formato: [ { "entity_field_name": "AT_fields_Name", "new_name": "InternalEnrichment_Name" }, { "entity_field_name": "AT_fields_Direct-Manager", "new_name": "InternalEnrichment_DirectManager_Name" }, { "entity_field_name": "AT_Manager_fields_Work-Email", "new_name": "InternalEnrichment_DirectManager_Email" } ]

Ejemplo

En este caso, vamos a sustituir la clave de entidad de "is_bad" por "malicious".

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
ScriptResult	Número de entidades enriquecidas	5

Añadir al valor de contexto

Descripción

Añade un valor a una propiedad de contexto o crea una propiedad de contexto si no existe y añade el valor.

Parámetros

Parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Clave	Cadena	N/A	Sí	Especificar la clave de la propiedad de contexto
Valor	Cadena	N/A	Sí	Especifica el valor que se va a añadir a la propiedad de contexto.
Delimitador	Cadena	N/A	Sí	Especifica el delimitador que se usa en el campo de valor.

Ejemplo

En este caso, vamos a añadir los valores "T1595" y "T1140" a una clave de contexto ya creada llamada "MITRE".

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
ScriptResult	Valores de contexto	T1595, T1140

Crear relaciones entre entidades

Descripción

Crea una relación entre las entidades proporcionadas y las entidades vinculadas. Si las entidades proporcionadas no existen, se crearán.

Parámetros

Parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Identificador(es) de entidad	Cadena	N/A	Sí	Cree identificadores de entidad o use los que ya tenga, o bien cree una lista de identificadores separados por comas.
Tipo de identificador(es) de entidad	Desplegable	Nombre de usuario	Sí	Especifica el tipo de entidad.
Conectar como	Desplegable	Fuente	Sí	Conecta los identificadores de entidad mediante relaciones de origen, destino o vinculadas con los identificadores de entidad de destino.
Tipo de entidad objetivo	Desplegable	Dirección	Sí	Especifica el tipo de entidad de destino al que se van a conectar los identificadores de entidad. .
Identificador(es) de entidad de destino	Cadena	N/A	No	Entidades de esta lista separada por comas, de El tipo de Target Entity Type se vinculará a las entidades del parámetro Entities Identifier(s).
JSON de enriquecimiento	JSON	N/A	No	Un objeto JSON opcional que contiene la clave Pares de valores de atributos que se pueden añadir a las entidades recién creadas.
Carácter separador	Cadena	N/A	No	Especifica el carácter que se usará para separar la lista de entidades en Identificadores de entidad o Identificadores de entidad objetivo. El valor predeterminado es la coma.

Ejemplo

En este caso, vamos a crear una relación entre un usuario y una URL. En este caso, Bola001 ha accedido a una URL de example.com.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
ScriptResult	Verdadero/Falso	Verdadero

Resultado de JSON

{
"Entity": "Bola001", "EntityResult": {}
}

Extraer dominio de URL

Descripción

Enriquece todas las entidades con un nuevo campo "siemplifytools_extracted_domain" que contiene el dominio extraído del identificador de la entidad. Si la entidad no tiene ningún dominio (por ejemplo, un hash de archivo), no devolverá nada. Además de las entidades, el usuario puede especificar una lista de URLs como parámetro y procesarlas sin enriquecerlas.

Parámetros

Parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Separador	Cadena	,	Sí	Especifica la cadena de separación que se usará para separar las URLs.
URLs	Cadena	N/A	No	Especifique una o varias URLs de las que quiera extraer el dominio.
Extraer subdominio	Casilla	N/A	No	Especifica si también quieres extraer el subdominio.

Ejemplo

En este caso, vamos a extraer el dominio de la URL especificada.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
ScriptResult	Número de dominios extraídos	1

Resultado de JSON

{
"Entity": "https://sample.google.com", "EntityResult": {"domain": "sample.google.com", "source_entity_type": "DestinationURL"}
}

Check List Subset

Descripción

Comprueba si los valores de una lista existen en otra.

Parámetros

Parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Original	Cadena	N/A	Sí	Especifica la lista de elementos con los que se comparará. Lista JSON o separada por comas.
Subconjunto	Lista	N/A	Sí	Especifica la lista de subconjuntos. Lista JSON o separada por comas.

Ejemplo

En este caso, comprobamos si los valores 1, 2 y 3 están en la lista original 1, 2, 3, 4 y 5, lo que da como resultado el valor verdadero.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
ScriptResult	Verdadero/Falso	Verdadero

Añadir información de puntuación de alertas

Descripción

Añade una entrada a la base de datos de puntuación de alertas. La puntuación de las alertas se basa en la proporción: 5 bajas = 1 media. 3 medios = 1 alto. 2 High = 1 Critical. Se ha añadido una etiqueta opcional al caso.

Parámetros

Parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Nombre	Cadena	N/A	Sí	Especifica el nombre de la comprobación que se va a realizar en la alerta.
Descripción	Cadena	N/A	Sí	Especifica la descripción de la comprobación que se va a realizar en la alerta.
Gravedad	Cadena	Informativa	Sí	Especifica la gravedad.
Categoría	Cadena	N/A	Sí	Especifica la categoría de la comprobación que se ha realizado.
Fuente	Cadena	N/A	No	Especifica la parte de la alerta de la que se ha obtenido la puntuación. Ejemplo: Archivos, usuario, correo electrónico.
Etiqueta del caso	Cadena	N/A	No	Especifica las etiquetas que quieres añadir al caso.

Ejemplo

En este caso, asignamos una puntuación de alerta alta debido a un resultado sospechoso de VirusTotal.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
Alert_score	Informativa, Baja, Media, Alta y Crítica	Alta

Resultado de JSON

{
"category": "File Enrichment",
 "score_data": [{"score_name": "File Enrichment", "description": "VT has found a file to be suspicious", "severity": "High", "score": 3, "source": "VirusTotal"}],
 "category_score": 3
}

Get Siemplify Users

Descripción

Devuelve una lista de todos los usuarios configurados en el sistema.

Parámetros

Parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Ocultar usuarios inhabilitados	Casilla	Seleccionado	No	Especifica si se deben ocultar los usuarios inhabilitados de los resultados.

Ejemplo

En este caso, devolvemos todos los usuarios del sistema, incluidos los usuarios inhabilitados.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
ScriptResult	Verdadero/Falso	Verdadero

Resultado de JSON

{
"siemplifyUsers": [{"permissionGroup": "Admins", "socRole": "@Administrator", "isDisabled": false, "loginIdentifier": "sample@domain.com", "firstName": "John", "lastName": "Doe", "permissionType": 0, "role": 0, "socRoleId": 1, "email": "sample@domain.com", "userName": "0b3423496fc2-0834302-42f33d-8523408-18c087d2347cf1e", "imageBase64": null, "userType": 1, "identityProvider": -1, "providerName": "Internal", "advancedReportsAccess": 0, "accountState": 2, "lastLoginTime": 1679831126656, "previousLoginTime": 1678950002044, "lastPasswordChangeTime": 0, "lastPasswordChangeNotificationTime": 0, "loginWrongPasswordCount": 0, "isDeleted": false, "deletionTimeUnixTimeInMs": 0, "environments": ["*"], "id": 245, "creationTimeUnixTimeInMs": 1675457504856, "modificationTimeUnixTimeInMs": 1674957504856
}

Check Entities Fields In Text

Descripción

Busca un campo específico de cada entidad del ámbito (o varios campos mediante una expresión regular) y compáralo con uno o varios valores. Los valores comparados también pueden pasar por una expresión regular. Se encuentra una coincidencia si uno de los valores de post regex del enriquecimiento de la entidad se encuentra en uno o varios de los valores buscados.

Parámetros

Parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
SearchInData	JSON	[ { "Data": "[Event.from]", "RegEx": "(?<=@)[^.]+(?=\\.)" } ]	Sí	JSON que representa las cadenas en las que quieres buscar con este formato: [ { "Data": "", "RegEx": "" } ]
FieldsInput	JSON	[ { "RegexForFieldName": "", "FieldName": "body", "RegexForFieldValue": "" }, { "RegexForFieldName": ".(_url_).", "FieldName": "", "RegexForFieldValue": "" }, { "RegexForFieldName": "", "FieldName": "body", "RegexForFieldValue": "HostName: (.*?)" } ]	Sí	Un archivo JSON que describe qué campos se deben probar [ "RegexForFieldName": “”, "FieldName": "Nombre del campo que se va a buscar", "RegexForFieldValue": “”}]
ShouldEnrichEntity	Cadena	domain_matched	No	Si se define como <VAL>, también se asignará un valor de enriquecimiento a la entidad para que se reconozca como "coincidente" con el valor. La clave será <VAL>
IsCaseSensitive	Casilla	No seleccionado	No	Especifica si el campo distingue entre mayúsculas y minúsculas.

Ejemplo

En este caso, comprobamos si hay una entidad con el nombre de campo "malicious" en el texto especificado.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
ScriptResult	Número de hallazgos	0

Resultado de JSON

{
"Entity": "EXL88765-AD", "EntityResult": [{"RegexForFieldName": "", "FieldName": "malicious", "RegexForFieldValue": "", "ResultsToSearch": {"val_to_search": [[]], "found_results": [], "num_of_results": 0}}]
}

Get Integration Instances

Descripción

Devuelve todas las instancias de integración de un entorno.

Parámetros

No se aplica ningún parámetro.

Ejemplo

En este caso, se devolverán todas las instancias de integración de todos los entornos.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
ScriptResult	Verdadero/Falso	Verdadero

Resultado de JSON

{
"instances": [{"identifier": "27dee746-1857-41b7-a722-b99699b8d6c8", "integrationIdentifier": "Tools", "environmentIdentifier": "Default", "instanceName": "Tools_1", "instanceDescription": "test", "isConfigured": true, "isRemote": false, "isSystemDefault": false},{...........}]
}

Guía sobre retrasos (versión 2)

Descripción

Detiene temporalmente la finalización de una guía durante un periodo de tiempo especificado.

Parámetros

Parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Segundos	Entero	0	No	Especifica la cantidad de segundos que quieres que se retrase la guía.
Minutos	Entero	1	No	Especifica la cantidad de minutos que quieres retrasar la guía.
Horas	Entero	0	No	Especifica el número de horas que quieres que se retrase la guía.
Días	Entero	0	No	Especifica el número de días que quieres retrasar la guía.
Expresión cron	Cadena	N/A	No	Determina cuándo debe continuar el manual de procedimientos mediante una expresión cron. Tendrá prioridad sobre los demás parámetros.

Ejemplo

En este caso, vamos a retrasar la guía en 12 horas y media.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
ScriptResult	Verdadero/Falso	Verdadero

Get Original Alert Json

Descripción

Devuelve el resultado JSON de la alerta original (datos sin procesar).

Parámetros

No se aplican parámetros

Ejemplo

En este caso, se devuelve el JSON sin formato original de la alerta.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
ScriptResult	Verdadero/Falso	Verdadero

Resultado de JSON

{
"CreatorUserId": null, "Events": [{"_fields": {"BaseEventIds": "[]", "ParentEventId": -1, "deviceEventClassId": "IRC Connections", "DeviceProduct": "IPS_Product", "StartTime": "1667497096184", "EndTime": "1667497096184"}, "_rawDataFields": {"applicationProtocol": "TCP", "categoryOutcome": "blocked", "destinationAddress": "104.131.182.103", "destinationHostName": "www.ircnet.org", "destinationPort": "770", "destinationProcessName": "MrlCS.sob", "destinationUserName": "XWTTRYzNr1l@gmail.com", "deviceAddress": "0.0.0.0", "deviceEventClassId": "IRC Connections", "deviceHostName": "ckIYC2", "Field_24": "B0:E7:DF:6C:EF:71", "deviceProduct": "IPS_Product", "deviceVendor": "Vendor", "endTime": "1667497110906", "eventId": "0aa16009-57b4-41a3-91ed-81347442ca29", "managerReceiptTime": "1522058997000", "message": "Connection to IRC Server", "name": "IRC Connections", "severity": "8", "sourceAddress": "0.0.0.0", "sourceHostName": "jhon@domain.local", "startTime": "1667497110906", "sourcetype": "Connection to IRC Server"}, "Environment": null, "SourceSystemName": null, "Extensions": []}], "Environment": "Default", "SourceSystemName": "Arcsight", "TicketId": "fab1b5a1-637f-4aed-a94f-c63137307505", "Description": "IRC Connections", "DisplayId": "fab1b5a1-637f-4aed-a94f-c63137307505", "Reason": null, "Name": "IRC Connections", "DeviceVendor": "IPS", "DeviceProduct": "IPS_Product", "StartTime": 1667497110906, "EndTime": 1667497110906, "Type": 1, "Priority": -1, "RuleGenerator": "IRC Connections", "SourceGroupingIdentifier": null, "PlaybookTriggerKeywords": [], "Extensions": [], "Attachments": null, "IsTrimmed": false, "DataType": 1, "SourceType": 1, "SourceSystemUrl": null, "SourceRuleIdentifier": null
}

Obtener la hora actual

Descripción

Devuelve la fecha y la hora actuales.

Parámetros

Parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Formato de fecha y hora	Cadena	%d/%m/%Y %H:%M	Sí	Especifica el formato de la fecha y la hora.

Ejemplo

En este caso, devolvemos un valor de fecha y hora con el siguiente formato: %d/%m/%Y %H:%M:%S

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
ScriptResult	Valor de fecha y hora	03/11/2022 20:33:43

Actualizar puntuación de alerta

Descripción

Actualiza la puntuación de la alerta según la cantidad proporcionada.

Parámetros

Parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Entrada	Entero	N/A	Sí	Especifique el importe en el que se incrementará o reducirá (número negativo).

Ejemplo

En este caso, vamos a reducir la puntuación de alerta en 20.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
ScriptResult	Valor de entrada	-20

Añadir comentario al registro de entidades

Descripción

Añade un comentario al registro de la entidad de cada entidad de la puntuación en el Explorador de entidades.

Parámetros

Parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Usuario	Menú desplegable	@Administrator	Sí	Especifica el usuario que ha creado el comentario.
Comentario	Cadena	N/A	Sí	Especifica el comentario que se añadirá al registro de la entidad.

Ejemplo

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
N/A	N/A	N/A

Volver a adjuntar manual

Descripción

Quita un cuaderno de estrategias de un caso, elimina los datos de resultados del caso de ese cuaderno y vuelve a adjuntarlo para que se ejecute de nuevo. Requiere la instalación de la integración de PostgreSQL, configurada en el entorno compartido con el nombre de instancia Chronicle SOAR. Ponte en contacto con el gestor de éxito de clientes o el equipo de Asistencia para obtener más información.

Parámetros

Parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Nombre de la guía	Menú desplegable	N/A	Sí	Especifica la guía que quieres volver a adjuntar.

Ejemplo

En este caso, vamos a volver a adjuntar una guía llamada attach_playbook_test

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
ScriptResult	Verdadero/Falso/Configura la instancia de Chronicle SOAR de la integración de PostgreSQL.	Verdadero

Bloquear manual

Descripción

Pausa el manual de respuestas actual hasta que se completen todos los manuales de respuestas de la alerta anterior.

Parámetros

Parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Tiempo de espera de acción asíncrona	Números enteros	1 día	No	El tiempo de espera de las acciones asíncronas define el tiempo total permitido para esta acción (incluye el tiempo de ejecución de todas las iteraciones)
Intervalo de sondeo asíncrono	Números enteros	1 hora	No	Establece el periodo entre los intentos de sondeo durante el tiempo de ejecución de una acción asíncrona.

Ejemplo

En este caso , vamos a pausar la guía actual y comprobaremos cada 30 segundos si se han completado todas las guías de la alerta anterior del caso.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
ScriptResult	Verdadero/Falso	Verdadero

Buscar First Alert

Descripción

Devuelve el identificador de la primera alerta de un caso determinado.

Parámetros

No se aplica ningún parámetro.

Ejemplo

En este caso, devuelve el identificador de la primera alerta del caso.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
ScriptResult	Valor del identificador de alerta	IRC CONNECTIONS9A33308C-AC62-4A41-8F73-20529895D567

Dominios similares

Descripción

Compara las entidades de dominio con la lista de dominios definida para el entorno. Si los dominios son similares, la entidad se marcará como sospechosa y se enriquecerá con el dominio coincidente.

Parámetros

No se aplican parámetros

Ejemplo

En este caso, comprobamos si las entidades de dominio externo son similares a los dominios configurados en la lista de dominios de los ajustes.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
look_a_like_domain_found	Verdadero/Falso	Verdadero

Resultado de JSON

{
"Entity" : {"EntityResult" : { "look_a_like_domains" : ["outlooks.com"]}}
}

Cambiar nombre del caso

Descripción

Cambia el nombre o el título de un caso.

Parámetros

Parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Nombre nuevo	Cadena	N/A	No	Especifique el nuevo nombre del caso.
Solo si es la primera alerta	Casilla	No seleccionado	No	Si se selecciona, solo se cambiará el nombre del caso si la acción se ha ejecutado en la primera alerta del caso.

Ejemplo

En este caso, el título de un caso cambiará a "Phishing - Suspicious Email" solo si se ejecuta en la primera alerta.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
ScriptResult	Verdadero/Falso	Verdadero

Spell Check String

Descripción

Comprueba que la cadena de entrada esté escrita correctamente. Devolverá el porcentaje de precisión, el número total de palabras, el número de palabras con errores ortográficos, una lista de cada palabra con errores ortográficos y la corrección, así como una versión corregida de la cadena de entrada.

Parámetros

Parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Cadena	Cadena	N/A	Sí	Especifica la cadena en la que se buscarán errores ortográficos.

Ejemplo

En este caso, vamos a corregir la ortografía de la cadena de entrada "Testing if this is a mispelled wodr.".

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
accuracy_percentage	Valor porcentual	71

Resultado de JSON

{"input_string": "Testing if this is a mispelled wodr.", "total_words": 7, "total_misspelled_words": 2, "misspelled_words": [{"misspelled_word": "mispelled", "correction": "misspelled"}, {"misspelled_word": "wodr", "correction": "word"}], "accuracy": 71, "corrected_string": "Testing if this is a misspelled word."}

Texto de búsqueda

Descripción

Busca el parámetro "Buscar" en el texto de entrada o recorre en bucle la lista "Buscar con regex" y busca coincidencias en el texto de entrada. Si hay una coincidencia, la acción devolverá el valor true.

Parámetros

Parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Texto	Cadena	N/A	Sí	Especifica el texto que se buscará.
Buscar	Cadena	N/A	No	Especifica la cadena que quieras buscar en el campo "text".
Buscar con expresión regular	Cadena	N/A	No	Lista de expresiones regulares que se usarán para buscar la cadena. Las expresiones regulares deben escribirse entre comillas dobles. Admite listas delimitadas por comas.
Distingue entre mayúsculas y minúsculas	Casilla	N/A	No	Especifica si la búsqueda debe distinguir entre mayúsculas y minúsculas.

Ejemplo

En este caso, comprobamos si la palabra "malicious" (malicioso) existe en el valor del campo "Text" (Texto).

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
match_found	Verdadero/Falso	Verdadero

Resultado de JSON

{
"matches": [{"search": "malicious", "input": "This IOC is malicious.", "match": true}]
}

Set Context Value

Descripción

Define una clave y un valor en un contexto específico. Esta acción se suele usar con la acción "Obtener valor de contexto" para recuperar el valor de la clave.

Parámetros

Parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Valor	Cadena	N/A	Sí	Especifica el valor del contexto.
Clave	Cadena	N/A	Sí	Especifica la clave de contexto.
Ámbito	Menú desplegable	Alerta	Sí	Especifica el ámbito de asignación de contexto (Alerta, Caso o Global).

Ejemplo

En este caso, asignamos el valor "yes" a la clave de contexto "malicious".

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
ScriptResult	Verdadero/Falso	Verdadero

Crear tarea de Siemplify

Descripción

Asigna una tarea a un usuario o un rol. La tarea estará relacionada con el caso en el que se haya ejecutado la acción.

Parámetros

Parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Título de la tarea	Cadena	N/A	No	Especifica el título de la tarea.
Acuerdo de nivel de servicio (en minutos)	Entero	480	Sí	Especifica el tiempo en minutos que tiene el usuario o el rol asignado para responder a la tarea.
Contenido de la tarea	Cadena	N/A	Sí	Especifica los detalles de la tarea.
Asignar a	Desplegable	N/A	Sí	Especifica el usuario o el rol al que se asignará la tarea.

Ejemplo

En este caso, se crea una tarea en la que se indica al nivel 3 que ejecute un análisis de virus.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
ScriptResult	Verdadero/Falso	Verdadero

Asignar caso a usuario

Descripción

Asigna un caso a un usuario.

Parámetros

Parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
ID de asistencia	Cadena	N/A	Sí	Especifica el ID del caso. Usa [Case.Id] para el caso actual.
Asignar a	Cadena	@Admin	Sí	Especifica el usuario al que se va a asignar el caso. Es el ID del usuario. Usa la acción "Get Siemplify Users" (Obtener usuarios de Siemplify) para recuperar el ID de un usuario específico.
ID de alerta	Cadena		Sí	Especifica el ID de la alerta. Usa [Alert.Identifier].

Ejemplo

En este caso, vamos a asignar el caso actual a un usuario específico mediante su ID.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
ScriptResult	Verdadero/Falso	Verdadero

Get Case Data

Descripción

Recupera todos los datos de un caso y devuelve un resultado JSON. El resultado incluye comentarios, información de entidades, estadísticas, guías que se han ejecutado, información de alertas y eventos.

Parámetros

Parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
ID de asistencia	Entero	N/A	No	Especifica el ID del caso que quieres consultar. Si se deja en blanco, se usará el caso actual.

Ejemplo

En este caso, estamos obteniendo los detalles de la incidencia actual.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
ScriptResult	Verdadero/Falso	Verdadero

Resultado de JSON

{
"wallData": [{"commentForClient": null, "comment": null, "modificationTimeUnixTimeInMsForClient": 0, "creatorUserId": "8f8er8d6-ee8b-478e-9ee592-cc27e9addda13b", "id": 6357, "type": 5, "caseId": 36902, "isFavorite": false, "modificationTimeUnixTimeInMs": 1680717397165, "creationTimeUnixTimeInMs": 1680717397165, "alertIdentifier": "SUSPICIOUS ACTIVITY991C7837-1EE9-4EEA-AE7B-975366CA2EAE"}, {"actionTriggerType": 0, "integration": "Tools", "executingUser": null, "playbookName": "New Playbook", "playbookIsInDebugMode": true, "status": 5, "actionProvider": "Scripts", "actionIdentifier": "Tools_Get Case Data_1", "actionResult": "Action started", "alertIdentifiers": ["SUSPICIOUS ACTIVITY991C7837-1EE9-4EEA-AE7B-975366CA2EAE"], "creatorUserId": null, "id": 7677, "type": 3, "caseId": 0, "isFavorite": false, "modificationTimeUnixTimeInMs": 1680717397401, "creationTimeUnixTimeInMs": 1680717397401, "alertIdentifier": null}], "alerts": [{"ticketId": "d21ebvcxzb88-35vc35-46b4-9edd08-063696d7cc092", "status": 0, "identifier": "SUSPICIOUS ACTIVITY991C7837-1EE9-4EEA-AE7B-975366CA2EAE", "hasWorkflows": true, "workflowsStatus": 1, "sourceSystemName": "CrowdStrikeFalcon", "securityEventCards": [{"caseId": 36902, "eventId": "5fde7844-0099-4c5d-a562-63e2d0deb7e5", "alertIdentifier": "SUSPICIOUS ACTIVITY991C7837-1EE9-4EEA-AE7B-975366CA2EAE", "eventName": "CustomIOAWinLowest", "product": "Falcon", "sources": [{"isValid": true, "identifier": "172.30.202.229", "type": "ADDRESS"}, {"isValid": true, "identifier": "EXLAB2019-AD", "type": "HOSTNAME"}, {"isValid": true, "identifier": "E019-AD$", "type": "USERUNIQNAME"}], "destinations": [], "artificats": [{"isValid": true, "identifier": "MPCMDRUN.EXE", "type": "FILENAME"}, {"isValid": true, "identifier": "60D88450B376694DC55EB8F40B0F79580D1DF399A7BDF", "type": "FILEHASH"}], "port": null, "outcome": null, "time": "2023-03-01T19:51:00Z", "deviceEventClassId": "Indicator of Attack", "fields": [{"isHighlight": true, "groupName": "HIGHLIGHTED FIELDS", "hideOptions": false, "items": [{"originalName": "startTime", "name": "Start Time", "value": "1680615463369"}, {"originalName": "endTime", "name": "End Time", "value": "1680615463369"}]}, {"isHighlight": false, "groupName": "Default", "hideOptions": false, "items": [{"originalName": "cid", "name": "cid", "value": "27fe4e4760b8476b2b6650e5a74"}, {"originalName": "created_timestamp", "name": "created_timestamp", "value": "2023-03-01T19:51:11.387187948Z"}........................
}

Wait For Playbook to Complete

Descripción

Pausa la guía actual hasta que se complete otra guía o bloque que se esté ejecutando en la misma alerta.

Parámetros

Parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Nombre de la guía	Cadena	N/A	No	Especifica el nombre del bloque o del playbook que quieras completar primero.

Ejemplo

En este caso, pausaremos el manual actual hasta que se complete el bloqueo de investigación que se está ejecutando en la misma alerta.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
ScriptResult	Verdadero/Falso	Verdadero

Convertir en caso simulado

Descripción

Convierte un caso en un caso simulado que se puede cargar en la plataforma.

Parámetros

Parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Enviar a casos simulados	Casilla	No seleccionado	No	Si se selecciona, el caso se añade a la lista de casos simulados disponibles.
Guardar JSON como archivo de Case Wall	Casilla	Seleccionado	No	Si se selecciona esta opción, se guardará en el muro del caso un archivo JSON que representa el caso para que se pueda descargar.
Anular el nombre de la alerta	Cadena	Vacío	No	Especifica el nombre que quieres usar para la alerta. Este parámetro sustituye al parámetro Nombre de ruta completo si se selecciona.
Nombre de ruta completo	Casilla	No seleccionado	No	Si se selecciona, usa el nombre de la alerta como `source_product_eventtype` —por ejemplo, `QRadar_WinEventLog:Security_Remote fail login`. Este parámetro se ignora si se define Override Alert Name (Sustituir nombre de alerta).

Ejemplo

En este ejemplo, un caso se convierte en un caso simulado usando "Inicio de sesión arriesgado" como nombre de alerta, que se mostrará como uno de los casos simulados disponibles en la pantalla de inicio.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo

ScriptResult Verdadero/Falso Verdadero

Resultado de JSON

{
  "cases": [
    {
      "CreatorUserId": null,
      "Events": [
        {
          "_fields": {
            "BaseEventIds": "[]",
            "ParentEventId": -1,
            "DeviceProduct": "WinEventLog:Security",
            "StartTime": "1689266169689",
            "EndTime": "1689266169689"
          },
          "_rawDataFields": {
            "sourcetype": "Failed login",
            "starttime": "1689702001439",
            "endtime": "1689702001439"
          },
          "Environment": null,
          "SourceSystemName": null,
          "Extensions": []
        }
      ],
      "Environment": "default",
      "SourceSystemName": "QRadar",
      "TicketId": "de2e3913-e4d8-4060-ae2b-1c81ee64ba47",
      "Description": "This case created by SPLUNK query ",
      "DisplayId": "de2e3913-e4d8-4060-ae2b-1c81ee64ba47",
      "Reason": null,
      "Name": "Risky Sign On",
      "DeviceVendor": "WIN-24TBDNRMSVB",
      "DeviceProduct": "WinEventLog:Security",
      "StartTime": 1689702001439,
      "EndTime": 1689702001439,
      "Type": 1,
      "Priority": -1,
      "RuleGenerator": "Remote Failed login",
      "SourceGroupingIdentifier": null,
      "PlaybookTriggerKeywords": [],
      "Extensions": [
        {
          "Key": "KeyName",
          "Value": "TCS"
        }
      ],
      "Attachments": null,
      "IsTrimmed": false,
      "DataType": 1,
      "SourceType": 1,
      "SourceSystemUrl": null,
      "SourceRuleIdentifier": null,
      "SiemAlertId": null,
      "__CorrelationId": "7efd38feaea247ad9f5ea8d907e4387c"
    }
  ]
}

Empleos

Cerrar casos en función de la búsqueda

Descripción

Este trabajo cerrará todos los casos en función de una consulta de búsqueda. La carga útil de búsqueda es la carga útil que se usa en la llamada a la API "CaseSearchEverything". Para ver un ejemplo de este valor, vaya a Buscar en la interfaz de usuario y abra Herramientas para desarrolladores. Busca los casos que quieras eliminar. Busca la llamada a la API "CaseSearchEverything" en DevTools. Copia la carga útil JSON de la solicitud POST y pégala en "Buscar carga útil". El motivo del cierre debe ser 0 u 1. 0 = malicioso 1 = no malicioso. Causa principal procede de Configuración -> Datos del caso -> Causa principal del cierre del caso.

Parámetros

Parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Carga útil de búsqueda	JSON	N/A	No	Especifica la carga útil de JSON que quieres buscar. Ejemplo: {"tags":[],"ruleGenerator":[],"caseSource":[],"stage":[],"environments":[],"assignedUsers":[],"products":[],"ports":[],"categoryOutcomes":[],"status":[],"caseIds":[],"incident":[],"importance":[],"priorities":[],"pageSize":50,"isCaseClosed":false,"title":"","startTime":"2023-01-22T00:00:00.000Z","endTime":"2023-01-22T23:59:59.999Z","requestedPage":0,"timeRangeFilter":1}
Cerrar comentario	Cadena	N/A	Sí	Especifica un comentario de cierre.
Motivo del cierre	Cadena	N/A	Sí	Especifica el motivo del cierre. 0 = malicioso, 1 = no malicioso
Causa principal	Entero	N/A	Sí	Especifica la causa principal. La causa principal se encuentra en Configuración -> Datos del caso -> Causa principal del cierre del caso.
Nombre de usuario de Chronicle SOAR	Cadena	N/A	Sí	Especifica el nombre de usuario de Chronicle SOAR.
Contraseña de Chronicle SOAR	Contraseña	N/A	Sí	Especifica la contraseña de Chronicle SOAR.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.