Se usó la API de Cloud Translation para traducir esta página.

Herramientas

Compatible con:

Google SecOps SOAR

Descripción general

Es un conjunto de acciones de utilidad para la manipulación de datos que potencian las capacidades de la guía.

Actions

Búsqueda de DNS

Descripción

Realiza una búsqueda de DNS con un agente de resolución de DNS especificado.

Parámetros

Parámetro	Tipo	Valor predeterminado	Is Mandatory	Descripción
Servidor DNS	Dirección IP	N/A	Sí	Especifica uno o varios servidores DNS separados por comas.

Ejemplo

En este caso, usamos la dirección DNS pública de Google 8.8.8.8 para buscar entidades de dominio externas.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
ScriptResult	Verdadero/Falso	Verdadero

Resultado de JSON

{
"Entity": "WWW.EXAMPLE.ORG",
 "EntityResult": [{"Type": "A", "Response": "176.9.157.114", "DNS Server": "8.8.8.8"}]
}

Add Or Update Alert Additional Data

Descripción

Agrega o actualiza campos en los datos adicionales de la alerta. Los resultados se mostrarán en un campo llamado “OFFENSE_ID” en el Resumen de alertas.

Parámetros

Parámetro	Tipo	Valor predeterminado	Is Mandatory	Descripción
Campos JSON	JSON	N/A	Sí	Puedes ingresar texto libre (para una variable) o una cadena que represente un diccionario JSON (puede estar anidado).

Ejemplo

En esta situación, agregaremos detalles del ataque de MITRE a las alertas que se mostrarán en el resumen de alertas.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
ScriptResult	Cantidad de elementos en el diccionario	2

Resultado de JSON

{
"dict": {"mitre": " T1059"}, "list": []
}

Adjunta la guía a todas las alertas de casos

Descripción

Adjunta una guía o un bloque específicos a todas las alertas de un caso.

Parámetros

Parámetro	Tipo	Valor predeterminado	Is Mandatory	Descripción
Nombre de la guía	String	N/A	Sí	Especifica el nombre del playbook o del bloque que se agregará a todas las alertas de un caso.

Ejemplo

En este caso, adjuntaremos una guía llamada "Guía de phishing" a todas las alertas de un caso.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
ScriptResult	Verdadero/Falso	Verdadero

Adjuntar guía a la alerta

Descripción

Adjunta una guía o un bloque específicos a la alerta actual.

Parámetros

Parámetro	Tipo	Valor predeterminado	Is Mandatory	Descripción
Nombre de la guía	String	N/A	Sí	Especifica el nombre del playbook o del bloque que se agregará a todas las alertas de un caso.

Ejemplo

En esta situación, adjuntaremos un bloque llamado “Bloque de contención” a las alertas actuales del caso.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
ScriptResult	Verdadero/Falso	Verdadero

Búfer

Descripción

Convierte una entrada JSON en un objeto JSON.

Parámetros

Parámetro	Tipo	Valor predeterminado	Is Mandatory	Descripción
ResultValue	String	N/A	No	Es un valor de marcador de posición que se devolverá como el valor de ScriptResult.
JSON	JSON	N/A	No	Es el JSON que se mostrará en el generador de expresiones.

Ejemplo

En este caso, el valor de entrada JSON se mostrará en el compilador de expresiones JSON para que se use en acciones posteriores.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
ScriptResult	Valor de entrada del parámetro ResultValue	correcto

Resultado de JSON

{
"domain" : "company.com",
"domain2" : "company2.com"
}

Obtener detalles del certificado

Descripción

Recupera los detalles del certificado de una URL determinada.

Parámetros

Parámetro	Tipo	Valor predeterminado	Is Mandatory	Descripción
URL para verificar	URL	expired.badssk.com	Sí	Especifica la URL desde la que se recuperarán los detalles del certificado.

Ejemplo

En este caso, recuperaremos los detalles del certificado del sitio expired.badssl.com.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
ScriptResult	Verdadero/Falso	Verdadero

Resultado de JSON

{
"hostname": "expired.badssl.com",
 "ip": "104.154.89.105", 
"commonName": "*.badssl.com",
 "is_self_signed": false, 
"SAN": [["*.badssl.com", "badssl.com"]], 
"is_expired": true, 
"issuer": "EXAMPLE CA", 
"not_valid_before": "04/09/2015", 
"not_valid_after": "04/12/2015", 
"days_to_expiration": -2762
}

Obtener valor de contexto

Descripción

Recupera el valor de una clave de contexto en un caso o una alerta.

Parámetros

Parámetro	Tipo	Valor predeterminado	Is Mandatory	Descripción
Alcance	Desplegable	Alerta	Sí	Especifica el alcance de los valores de clave, ya sea en un caso, una alerta o de forma global.
Clave	String	N/A	Sí	Especifica la clave.

Ejemplo

En esta situación, recuperaremos un valor de contexto de una clave llamada impacto en un caso. Esta acción se usa junto con la acción “Establecer valor de contexto”, que agrega los pares clave-valor al caso o la alerta.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
ScriptResult	Valor del contexto	Alta

Obtener plantillas de correo electrónico

Descripción

Devuelve todas las plantillas de correo electrónico del sistema.

Parámetros

Parámetro	Tipo	Valor predeterminado	Is Mandatory	Descripción
Tipo de plantilla	Desplegable	Estándar	Sí	Especifica el tipo de plantilla que se devolverá, ya sea estándar o HTML.

Ejemplo

En este caso, devolvemos todas las plantillas de correo electrónico basadas en HTML.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
ScriptResult	Resultado en JSON que contiene código HTML	A continuación, se muestra el resultado de JSON

Resultado de JSON

{
"templates": [{"type": 1, "name": "test 1", "content": "<html>\n    <head>\n    <style type=\"text/css\"> .title\n\n    { color: blue; text-decoration: bold; text-size: 1em; }\n    .author\n    { color: gray; }\n\n    </style>\n    </head>\n\n    <body>\n    <span class=\"title\">La super bonne</span>\n    {Text}\n    [Case.Id]\n    </h1> <br/>\n    </body>\n\n    </html>", "creatorUserName": "f00942-fa040-4422324-b2c43e-de40fdsff122b9c4", "forMigration": false, "environments": ["Default"], "id": 3, "creationTimeUnixTimeInMs": 1672054127271, "modificationTimeUnixTimeInMs": 1672054127279}]
}

Create Entities With Separator

Descripción

Crea entidades y las agrega a la alerta.

Parámetros

Parámetro	Tipo	Valor predeterminado	Is Mandatory	Descripción
Identificadores de entidades	String	N/A	Sí	Especifica la entidad o las entidades que se agregarán a la alerta.
Tipo de entidad	String	N/A	Sí	Especifica el tipo de entidad.
Es interno	Casilla de verificación	No seleccionados	No	Comprueba si la entidad proporcionada forma parte de una red interna.
Separador de entidades	String	,	Sí	Especifica el delimitador que se usa en el campo de identificadores de entidades.
JSON de enriquecimiento	Lista desplegable	JSON	No	Especifica los datos de enriquecimiento en formato JSON.
PrefixForEnrichment	String	N/A	No	Especifica el prefijo que se agregará a los datos de enriquecimiento.

Ejemplo

En este caso, crearemos tres entidades de IP y las enriqueceremos con un campo llamado “is_suspicious”.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
ScriptResult	Verdadero/Falso	Verdadero

Resultado de JSON

{
"created": ["0.0.0.0", "0.0.0.1", "0.0.0.2"], 
"enriched": ["0.0.0.0", "0.0.0.1", "0.0.0.2"],
"failed": []
}

Actualizar la descripción del caso

Descripción

Actualiza la descripción de un caso.

Parámetros

Parámetro	Tipo	Valor predeterminado	Is Mandatory	Descripción
Descripción del caso	String	N/A	Sí	Especifica la descripción actualizada.

Ejemplo

En esta situación, actualizaremos la descripción del caso a "Este caso se relaciona con inicios de sesión sospechosos".

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
ScriptResult	Verdadero/Falso	Verdadero

Normaliza el enriquecimiento de entidades

Descripción

Recibe una lista de claves de la entidad y las reemplaza.

Parámetros

Parámetro	Tipo	Valor predeterminado	Is Mandatory	Descripción
Datos de normalización	JSON	N/A	Sí	Especifica el JSON con el siguiente ejemplo de formato: [ { "entity_field_name": "AT_fields_Name", "new_name": "InternalEnrichment_Name" }, { "entity_field_name": "AT_fields_Direct-Manager", "new_name": "InternalEnrichment_DirectManager_Name" }, { "entity_field_name": "AT_Manager_fields_Work-Email", "new_name": "InternalEnrichment_DirectManager_Email" } ]

Ejemplo

En este caso, reemplazaremos la clave de la entidad “is_bad” por “malicious”.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
ScriptResult	Cantidad de entidades enriquecidas	5

Append to Context Value

Descripción

Agrega un valor a una propiedad de contexto existente o crea una nueva propiedad de contexto si no existe y agrega el valor.

Parámetros

Parámetro	Tipo	Valor predeterminado	Is Mandatory	Descripción
Clave	String	N/A	Sí	Especifica la clave de la propiedad de contexto
Valor	String	N/A	Sí	Especifica el valor que se agregará a la propiedad de contexto.
Delimitador	String	N/A	Sí	Especifica el delimitador que se usa en el campo de valor.

Ejemplo

En este caso, agregaremos los valores “T1595” y “T1140” a una clave de contexto existente de “MITRE”.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
ScriptResult	Valores de contexto	T1595 y T1140

Crea relaciones entre entidades

Descripción

Crea una relación entre las entidades proporcionadas y las entidades vinculadas. Si las entidades proporcionadas no existen, se crearán.

Parámetros

Parámetro	Tipo	Valor predeterminado	Is Mandatory	Descripción
Identificadores de entidad	String	N/A	Sí	Crea identificadores de entidades nuevos o usa los existentes, o bien una lista de identificadores separados por comas.
Tipo de identificadores de entidad	Desplegable	Nombre del usuario	Sí	Especifica el tipo de entidad.
Conectar como	Desplegable	Fuente	Sí	Conecta los identificadores de entidades con relaciones de origen, destino o vinculadas a los identificadores de entidades objetivo.
Tipo de entidad objetivo	Desplegable	Dirección	Sí	Especifica el tipo de entidad de destino al que se conectarán los identificadores de entidad.
Identificadores de entidades objetivo	String	N/A	No	Entidades en esta lista separada por comas, de El tipo de Target Entity Type se vinculará a las entidades del parámetro Entities Identifier(s).
JSON de enriquecimiento	JSON	N/A	No	Es un objeto JSON opcional que contiene pares clave / Pares de valores de atributos que se pueden agregar a las entidades creadas recientemente.
Carácter separador	String	N/A	No	Especifica el carácter con el que se separará la lista de entidades en los identificadores de entidades o los identificadores de entidades objetivo. El valor predeterminado es la coma.

Ejemplo

En este caso, crearemos una relación entre un usuario y una URL. En este caso, Bola001 accedió a una URL de example.com.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
ScriptResult	Verdadero/Falso	Verdadero

Resultado de JSON

{
"Entity": "Bola001", "EntityResult": {}
}

Extraer dominio de URL

Descripción

Enriquece todas las entidades con un nuevo campo "siemplifytools_extracted_domain" que contiene el dominio extraído del identificador de la entidad. Si la entidad no tiene un dominio (por ejemplo, el hash de un archivo), simplemente no devolverá nada. Además de las entidades, el usuario puede especificar una lista de URLs como parámetro y procesarlas sin enriquecerlas, de forma natural.

Parámetros

Parámetro	Tipo	Valor predeterminado	Is Mandatory	Descripción
Separador	String	,	Sí	Especifica la cadena de separador que se usará para separar las URLs.
URL	String	N/A	No	Especifica una o más URLs de las que se extraerá el dominio.
Extraer subdominio	Casilla de verificación	N/A	No	Especifica si también quieres extraer el subdominio.

Ejemplo

En este caso, extraeremos el dominio de la URL especificada.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
ScriptResult	Cantidad de dominios extraídos	1

Resultado de JSON

{
"Entity": "https://sample.google.com", "EntityResult": {"domain": "sample.google.com", "source_entity_type": "DestinationURL"}
}

Check List Subset

Descripción

Comprueba si los valores de una lista existen en otra.

Parámetros

Parámetro	Tipo	Valor predeterminado	Is Mandatory	Descripción
Original	String	N/A	Sí	Especifica la lista de elementos con los que se realizará la verificación. Lista Json o separada por comas.
Subconjunto	Lista	N/A	Sí	Especifica la lista de subconjuntos. Lista JSON o separada por comas.

Ejemplo

En este caso, verificamos si los valores 1, 2 y 3 existen en la lista original de 1, 2, 3, 4 y 5, lo que genera un valor de resultado verdadero.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
ScriptResult	Verdadero/Falso	Verdadero

Agrega información de puntuación de alertas

Descripción

Agrega una entrada a la base de datos de puntuación de alertas. La puntuación de alerta se basa en la proporción: 5 baja = 1 media. 3 medios = 1 alto 2 de prioridad alta = 1 de prioridad crítica Es una etiqueta opcional que se agrega al caso.

Parámetros

Parámetro	Tipo	Valor predeterminado	Is Mandatory	Descripción
Nombre	String	N/A	Sí	Especifica el nombre de la verificación que se realiza en la alerta.
Descripción	String	N/A	Sí	Especifica la descripción de la verificación que se realiza en la alerta.
Gravedad	String	Informativo	Sí	Especifica la gravedad.
Categoría	String	N/A	Sí	Especifica la categoría de la verificación que se realizó.
Fuente	String	N/A	No	Especifica la parte de la alerta de la que se derivó la puntuación. Ejemplo: Archivos, usuario, correo electrónico.
Etiqueta del caso	String	N/A	No	Especifica las etiquetas que se agregarán al caso.

Ejemplo

En este caso, establecemos la puntuación de alerta como alta debido a un resultado sospechoso de VirusTotal.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
Alert_score	Informativo, Bajo, Medio, Alto, Crítico	Alta

Resultado de JSON

{
"category": "File Enrichment",
 "score_data": [{"score_name": "File Enrichment", "description": "VT has found a file to be suspicious", "severity": "High", "score": 3, "source": "VirusTotal"}],
 "category_score": 3
}

Get Siemplify Users

Descripción

Devuelve la lista de todos los usuarios configurados en el sistema.

Parámetros

Parámetro	Tipo	Valor predeterminado	Is Mandatory	Descripción
Ocultar usuarios inhabilitados	Casilla de verificación	Seleccionado	No	Especifica si se deben ocultar los usuarios inhabilitados en los resultados.

Ejemplo

En este caso, devolvemos todos los usuarios del sistema, incluidos los usuarios inhabilitados.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
ScriptResult	Verdadero/Falso	Verdadero

Resultado de JSON

{
"siemplifyUsers": [{"permissionGroup": "Admins", "socRole": "@Administrator", "isDisabled": false, "loginIdentifier": "sample@domain.com", "firstName": "John", "lastName": "Doe", "permissionType": 0, "role": 0, "socRoleId": 1, "email": "sample@domain.com", "userName": "0b3423496fc2-0834302-42f33d-8523408-18c087d2347cf1e", "imageBase64": null, "userType": 1, "identityProvider": -1, "providerName": "Internal", "advancedReportsAccess": 0, "accountState": 2, "lastLoginTime": 1679831126656, "previousLoginTime": 1678950002044, "lastPasswordChangeTime": 0, "lastPasswordChangeNotificationTime": 0, "loginWrongPasswordCount": 0, "isDeleted": false, "deletionTimeUnixTimeInMs": 0, "environments": ["*"], "id": 245, "creationTimeUnixTimeInMs": 1675457504856, "modificationTimeUnixTimeInMs": 1674957504856
}

Check Entities Fields In Text

Descripción

Busca un campo específico de cada entidad en el alcance (o varios campos con regex) y compáralo con uno o más valores. Los valores comparados también pueden pasar por una regex. Se encuentra una coincidencia si uno de los valores de la regex posterior del enriquecimiento de la entidad se encuentra en uno o más valores en los que se realizó la búsqueda.

Parámetros

Parámetro	Tipo	Valor predeterminado	Is Mandatory	Descripción
SearchInData	JSON	[ { "Data": "[Event.from]", "RegEx": "(?<=@)[^.]+(?=\\.)" } ]	Sí	JSON que representa las cadenas en las que deseas buscar con este formato: [ { "Data": "", "RegEx": "" } ]
FieldsInput	JSON	[ { "RegexForFieldName": "", "FieldName": "body", "RegexForFieldValue": "" }, { "RegexForFieldName": ".(_url_).", "FieldName": "", "RegexForFieldValue": "" }, { "RegexForFieldName": "", "FieldName": "body", "RegexForFieldValue": "HostName: (.*?)" } ]	Sí	Es un JSON que describe qué campos se deben probar. "FieldName": "Nombre del campo para buscar", "RegexForFieldValue": “”}]
ShouldEnrichEntity	String	domain_matched	No	Si se establece en <VAL>, también se agregará un valor de enriquecimiento a la entidad para que se reconozca como "coincidente" con el valor. La clave será <VAL>.
IsCaseSensitive	Casilla de verificación	No seleccionados	No	Especifica si el campo distingue mayúsculas de minúsculas.

Ejemplo

En este caso, verificamos si hay una entidad con el nombre de campo “malicious” en el texto especificado.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
ScriptResult	Cantidad de hallazgos	0

Resultado de JSON

{
"Entity": "EXL88765-AD", "EntityResult": [{"RegexForFieldName": "", "FieldName": "malicious", "RegexForFieldValue": "", "ResultsToSearch": {"val_to_search": [[]], "found_results": [], "num_of_results": 0}}]
}

Get Integration Instances

Descripción

Devuelve todas las instancias de integración de un entorno.

Parámetros

No se aplican parámetros.

Ejemplo

En este caso, se devolverán todas las instancias de integración en todos los entornos.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
ScriptResult	Verdadero/Falso	Verdadero

Resultado de JSON

{
"instances": [{"identifier": "27dee746-1857-41b7-a722-b99699b8d6c8", "integrationIdentifier": "Tools", "environmentIdentifier": "Default", "instanceName": "Tools_1", "instanceDescription": "test", "isConfigured": true, "isRemote": false, "isSystemDefault": false},{...........}]
}

Guía sobre retrasos, versión 2

Descripción

Detiene temporalmente la finalización de una guía durante un período específico.

Parámetros

Parámetro	Tipo	Valor predeterminado	Is Mandatory	Descripción
Segundos	Número entero	0	No	Especifica la cantidad de segundos que se retrasará la guía.
Minutos	Número entero	1	No	Especifica la cantidad de minutos que se retrasará la guía.
Horas	Número entero	0	No	Especifica la cantidad de horas que se retrasará la guía.
Días	Número entero	0	No	Especifica la cantidad de días que se retrasará la guía.
Expresión cron	String	N/A	No	Determina cuándo debe continuar la guía con una expresión cron. Se priorizará por sobre los demás parámetros.

Ejemplo

En este caso, retrasamos el manual en 12 horas y media.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
ScriptResult	Verdadero/Falso	Verdadero

Get Original Alert Json

Descripción

Devuelve el resultado en JSON de la alerta original (datos sin procesar).

Parámetros

No se aplican parámetros

Ejemplo

En este caso, se muestra el JSON sin procesar original de la alerta.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
ScriptResult	Verdadero/Falso	Verdadero

Resultado de JSON

{
"CreatorUserId": null, "Events": [{"_fields": {"BaseEventIds": "[]", "ParentEventId": -1, "deviceEventClassId": "IRC Connections", "DeviceProduct": "IPS_Product", "StartTime": "1667497096184", "EndTime": "1667497096184"}, "_rawDataFields": {"applicationProtocol": "TCP", "categoryOutcome": "blocked", "destinationAddress": "104.131.182.103", "destinationHostName": "www.ircnet.org", "destinationPort": "770", "destinationProcessName": "MrlCS.sob", "destinationUserName": "XWTTRYzNr1l@gmail.com", "deviceAddress": "0.0.0.0", "deviceEventClassId": "IRC Connections", "deviceHostName": "ckIYC2", "Field_24": "B0:E7:DF:6C:EF:71", "deviceProduct": "IPS_Product", "deviceVendor": "Vendor", "endTime": "1667497110906", "eventId": "0aa16009-57b4-41a3-91ed-81347442ca29", "managerReceiptTime": "1522058997000", "message": "Connection to IRC Server", "name": "IRC Connections", "severity": "8", "sourceAddress": "0.0.0.0", "sourceHostName": "jhon@domain.local", "startTime": "1667497110906", "sourcetype": "Connection to IRC Server"}, "Environment": null, "SourceSystemName": null, "Extensions": []}], "Environment": "Default", "SourceSystemName": "Arcsight", "TicketId": "fab1b5a1-637f-4aed-a94f-c63137307505", "Description": "IRC Connections", "DisplayId": "fab1b5a1-637f-4aed-a94f-c63137307505", "Reason": null, "Name": "IRC Connections", "DeviceVendor": "IPS", "DeviceProduct": "IPS_Product", "StartTime": 1667497110906, "EndTime": 1667497110906, "Type": 1, "Priority": -1, "RuleGenerator": "IRC Connections", "SourceGroupingIdentifier": null, "PlaybookTriggerKeywords": [], "Extensions": [], "Attachments": null, "IsTrimmed": false, "DataType": 1, "SourceType": 1, "SourceSystemUrl": null, "SourceRuleIdentifier": null
}

Obtener la hora actual

Descripción

Devuelve la fecha y hora actuales.

Parámetros

Parámetro	Tipo	Valor predeterminado	Is Mandatory	Descripción
Formato de fecha y hora	String	%d/%m/%Y %H:%M	Sí	Especifica el formato de la fecha y la hora.

Ejemplo

En este caso, devolvemos un valor de fecha y hora con el siguiente formato: %d/%m/%Y %H:%M:%S

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
ScriptResult	Valor de fecha y hora	11/03/2022 20:33:43

Actualizar la puntuación de alerta

Descripción

Actualiza la puntuación de alerta según el importe proporcionado.

Parámetros

Parámetro	Tipo	Valor predeterminado	Is Mandatory	Descripción
Entrada	Número entero	N/A	Sí	Especifica el importe en el que se incrementará o decrementará (número negativo).

Ejemplo

En este caso, disminuimos la puntuación de alerta en 20.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
ScriptResult	Valor de entrada	-20

Add Comment to Entity Log

Descripción

Agrega un comentario al registro de la entidad para cada entidad en la puntuación en el Explorador de entidades.

Parámetros

Parámetro	Tipo	Valor predeterminado	Is Mandatory	Descripción
Usuario	Lista desplegable	@Administrator	Sí	Especifica que el usuario creó el comentario.
Comentario	String	N/A	Sí	Especifica el comentario que se agregará al registro de la entidad.

Ejemplo

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
N/A	N/A	N/A

Volver a adjuntar la guía

Descripción

Quita un playbook de un caso, borra los datos de resultados del caso de ese playbook y vuelve a adjuntar el playbook para que se ejecute de nuevo. Requiere la instalación de la integración de PostgreSQL, configurada en el entorno compartido con el nombre de instancia de Chronicle SOAR. Consulta al CSM o al equipo de asistencia para obtener más detalles.

Parámetros

Parámetro	Tipo	Valor predeterminado	Is Mandatory	Descripción
Nombre de la guía	Lista desplegable	N/A	Sí	Especifica la guía que se volverá a adjuntar.

Ejemplo

En este caso, volvemos a adjuntar una guía llamada attach_playbook_test.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
ScriptResult	Verdadero/Falso/Configura la instancia de Chronicle SOAR de la integración de PostgreSQL.	Verdadero

Lock Playbook

Descripción

Pausa la guía actual hasta que se completen todas las guías de la alerta anterior.

Parámetros

Parámetro	Tipo	Valor predeterminado	Is Mandatory	Descripción
Tiempo de espera de la acción asíncrona	Números enteros	1 día	No	El tiempo de espera de las acciones asíncronas define el tiempo total permitido para esta acción (calcula el tiempo de ejecución de todas las iteraciones)
Intervalo de sondeo asíncrono	Números enteros	1 hora	No	Configura la duración entre cada intento de sondeo durante el tiempo de ejecución de una acción asíncrona.

Ejemplo

En este caso , pausamos la guía actual y verificamos cada 30 segundos si se completaron todas las guías de la alerta anterior del caso.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
ScriptResult	Verdadero/Falso	Verdadero

Encuentra First Alert

Descripción

Devuelve el identificador de la primera alerta en un caso determinado.

Parámetros

No se aplican parámetros.

Ejemplo

En este caso, se muestra el identificador de la primera alerta del caso.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
ScriptResult	Valor del identificador de alerta	IRC CONNECTIONS9A33308C-AC62-4A41-8F73-20529895D567

Dominios similares

Descripción

Compara las entidades de dominio con la lista de dominios definidos para el entorno. Si los dominios son similares, la entidad se marcará como sospechosa y se enriquecerá con el dominio coincidente.

Parámetros

No se aplican parámetros

Ejemplo

En este caso, verificamos si las entidades de dominio externas se parecen a los dominios configurados en la lista de dominios de la configuración.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
look_a_like_domain_found	Verdadero/Falso	Verdadero

Resultado de JSON

{
"Entity" : {"EntityResult" : { "look_a_like_domains" : ["outlooks.com"]}}
}

Cambiar el nombre del caso

Descripción

Cambia el nombre o el título de un caso.

Parámetros

Parámetro	Tipo	Valor predeterminado	Is Mandatory	Descripción
Nombre nuevo	String	N/A	No	Especifica el nuevo nombre del caso.
Solo si es la primera alerta	Casilla de verificación	No seleccionados	No	Si se selecciona, solo se cambiará el nombre del caso si la acción se ejecutó en la primera alerta del caso.

Ejemplo

En esta situación, el título de un caso se cambiará a “Phishing - Correo electrónico sospechoso” solo si se ejecuta en la primera alerta.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
ScriptResult	Verdadero/Falso	Verdadero

Cadena de corrección ortográfica

Descripción

Verifica la ortografía de la cadena de entrada. Se mostrará el porcentaje de precisión, la cantidad total de palabras, la cantidad de palabras con errores, una lista de cada palabra con errores y su corrección, y una versión corregida de la cadena de entrada.

Parámetros

Parámetro	Tipo	Valor predeterminado	Is Mandatory	Descripción
String	String	N/A	Sí	Especifica la cadena que se verificará para detectar errores ortográficos.

Ejemplo

En este caso, verificamos la ortografía de la cadena de entrada "Testing if this is a mispelled wodr".

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
accuracy_percentage	Valor porcentual	71

Resultado de JSON

{"input_string": "Testing if this is a mispelled wodr.", "total_words": 7, "total_misspelled_words": 2, "misspelled_words": [{"misspelled_word": "mispelled", "correction": "misspelled"}, {"misspelled_word": "wodr", "correction": "word"}], "accuracy": 71, "corrected_string": "Testing if this is a misspelled word."}

Texto de búsqueda

Descripción

Busca el parámetro "Search For" en el texto de entrada o itera la lista "Search For Regex" y busca coincidencias en el texto de entrada. Si hay una coincidencia, la acción devolverá verdadero.

Parámetros

Parámetro	Tipo	Valor predeterminado	Is Mandatory	Descripción
Texto	String	N/A	Sí	Especifica el texto que se buscará.
Buscar	String	N/A	No	Especifica la cadena que se buscará en el campo “texto”.
Buscar regex	String	N/A	No	Lista de expresiones regulares que se usarán para buscar la cadena. La expresión regular debe estar entre comillas dobles. Admite listas delimitadas por comas.
Distingue mayúsculas de minúsculas	Casilla de verificación	N/A	No	Especifica si la búsqueda debe distinguir mayúsculas de minúsculas.

Ejemplo

En este caso, verificamos si la palabra "malicioso" existe en el valor del campo "Texto".

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
match_found	Verdadero/Falso	Verdadero

Resultado de JSON

{
"matches": [{"search": "malicious", "input": "This IOC is malicious.", "match": true}]
}

Set Context Value

Descripción

Establece una clave y un valor en un contexto específico. Esta acción se suele usar con la acción "Obtener valor de contexto" para recuperar el valor de la clave.

Parámetros

Parámetro	Tipo	Valor predeterminado	Is Mandatory	Descripción
Valor	String	N/A	Sí	Especifica el valor del contexto.
Clave	String	N/A	Sí	Especifica la clave de contexto.
Alcance	Lista desplegable	Alerta	Sí	Especifica el alcance de la asignación de contexto (alerta, caso, global).

Ejemplo

En este caso, establecemos una clave de contexto "malicious" en el valor "yes".

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
ScriptResult	Verdadero/Falso	Verdadero

Create Siemplify Task

Descripción

Asigna una tarea a un usuario o rol. La tarea se relacionará con el caso en el que se ejecutó la acción.

Parámetros

Parámetro	Tipo	Valor predeterminado	Is Mandatory	Descripción
Título de la tarea	String	N/A	No	Especifica el título de la tarea.
ANS (en minutos)	Número entero	480	Sí	Especifica la cantidad de tiempo en minutos que el usuario o rol asignado tiene para responder a la tarea.
Contenido de la tarea	String	N/A	Sí	Especifica los detalles de la tarea.
Asignar a	Desplegable	N/A	Sí	Especifica el usuario o el rol al que se asignará la tarea.

Ejemplo

En esta situación, se crea una tarea en la que se le indica al nivel 3 que ejecute un análisis de virus.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
ScriptResult	Verdadero/Falso	Verdadero

Assign Case To User

Descripción

Asigna un caso a un usuario.

Parámetros

Parámetro	Tipo	Valor predeterminado	Is Mandatory	Descripción
ID del caso	String	N/A	Sí	Especifica el ID del caso. Usa [Case.Id] para el caso actual.
Asignar a	String	@Admin	Sí	Especifica el usuario al que se le asignará un caso. Es el ID del usuario. Usa la acción "Get Siemplify Users" para recuperar el ID de un usuario específico.
ID de alerta	String		Sí	Especifica el ID de la alerta. Usa [Alert.Identifier].

Ejemplo

En este caso, asignaremos el caso actual a un usuario específico con su ID.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
ScriptResult	Verdadero/Falso	Verdadero

Get Case Data

Descripción

Recupera todos los datos de un caso y muestra un resultado en formato JSON. El resultado incluye comentarios, información de entidades, estadísticas, guías ejecutadas, información de alertas y eventos.

Parámetros

Parámetro	Tipo	Valor predeterminado	Is Mandatory	Descripción
ID del caso	Número entero	N/A	No	Especifica el ID del caso que se consultará. Si se deja en blanco, se usará el caso actual.

Ejemplo

En este caso, recuperamos los detalles del caso actual.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
ScriptResult	Verdadero/Falso	Verdadero

Resultado de JSON

{
"wallData": [{"commentForClient": null, "comment": null, "modificationTimeUnixTimeInMsForClient": 0, "creatorUserId": "8f8er8d6-ee8b-478e-9ee592-cc27e9addda13b", "id": 6357, "type": 5, "caseId": 36902, "isFavorite": false, "modificationTimeUnixTimeInMs": 1680717397165, "creationTimeUnixTimeInMs": 1680717397165, "alertIdentifier": "SUSPICIOUS ACTIVITY991C7837-1EE9-4EEA-AE7B-975366CA2EAE"}, {"actionTriggerType": 0, "integration": "Tools", "executingUser": null, "playbookName": "New Playbook", "playbookIsInDebugMode": true, "status": 5, "actionProvider": "Scripts", "actionIdentifier": "Tools_Get Case Data_1", "actionResult": "Action started", "alertIdentifiers": ["SUSPICIOUS ACTIVITY991C7837-1EE9-4EEA-AE7B-975366CA2EAE"], "creatorUserId": null, "id": 7677, "type": 3, "caseId": 0, "isFavorite": false, "modificationTimeUnixTimeInMs": 1680717397401, "creationTimeUnixTimeInMs": 1680717397401, "alertIdentifier": null}], "alerts": [{"ticketId": "d21ebvcxzb88-35vc35-46b4-9edd08-063696d7cc092", "status": 0, "identifier": "SUSPICIOUS ACTIVITY991C7837-1EE9-4EEA-AE7B-975366CA2EAE", "hasWorkflows": true, "workflowsStatus": 1, "sourceSystemName": "CrowdStrikeFalcon", "securityEventCards": [{"caseId": 36902, "eventId": "5fde7844-0099-4c5d-a562-63e2d0deb7e5", "alertIdentifier": "SUSPICIOUS ACTIVITY991C7837-1EE9-4EEA-AE7B-975366CA2EAE", "eventName": "CustomIOAWinLowest", "product": "Falcon", "sources": [{"isValid": true, "identifier": "172.30.202.229", "type": "ADDRESS"}, {"isValid": true, "identifier": "EXLAB2019-AD", "type": "HOSTNAME"}, {"isValid": true, "identifier": "E019-AD$", "type": "USERUNIQNAME"}], "destinations": [], "artificats": [{"isValid": true, "identifier": "MPCMDRUN.EXE", "type": "FILENAME"}, {"isValid": true, "identifier": "60D88450B376694DC55EB8F40B0F79580D1DF399A7BDF", "type": "FILEHASH"}], "port": null, "outcome": null, "time": "2023-03-01T19:51:00Z", "deviceEventClassId": "Indicator of Attack", "fields": [{"isHighlight": true, "groupName": "HIGHLIGHTED FIELDS", "hideOptions": false, "items": [{"originalName": "startTime", "name": "Start Time", "value": "1680615463369"}, {"originalName": "endTime", "name": "End Time", "value": "1680615463369"}]}, {"isHighlight": false, "groupName": "Default", "hideOptions": false, "items": [{"originalName": "cid", "name": "cid", "value": "27fe4e4760b8476b2b6650e5a74"}, {"originalName": "created_timestamp", "name": "created_timestamp", "value": "2023-03-01T19:51:11.387187948Z"}........................
}

Wait For Playbook to Complete

Descripción

Pausa la guía actual hasta que se complete otra guía o bloque que se esté ejecutando en la misma alerta.

Parámetros

Parámetro	Tipo	Valor predeterminado	Is Mandatory	Descripción
Nombre de la guía	String	N/A	No	Especifica el nombre del bloque o playbook que deseas completar primero.

Ejemplo

En esta situación, pausaremos la guía actual hasta que se complete el "bloque de investigación" que se está ejecutando en la misma alerta.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
ScriptResult	Verdadero/Falso	Verdadero

Convertir en caso simulado

Descripción

Convierte un caso en un caso simulado que se puede cargar en la plataforma.

Parámetros

Parámetro	Tipo	Valor predeterminado	Is Mandatory	Descripción
Envía a Casos simulados	Casilla de verificación	No seleccionados	No	Si se selecciona, el caso se agrega a la lista de casos simulados disponibles.
Guardar JSON como archivo de Case Wall	Casilla de verificación	Seleccionado	No	Si se selecciona, se guarda un archivo JSON que representa el caso en el muro del caso para que se descargue.
Anular el nombre de la alerta	String	Vacío	No	Especifica un nombre nuevo para la alerta. Si se selecciona, este parámetro reemplaza al parámetro Nombre de ruta de acceso completo.
Nombre de ruta de acceso completo	Casilla de verificación	No seleccionados	No	Si se selecciona, usa el nombre de la alerta como `source_product_eventtype`, por ejemplo, `QRadar_WinEventLog:Security_Remote fail login`. Este parámetro se ignora si se establece Override Alert Name.

Ejemplo

En este ejemplo, un caso se convierte en un caso simulado con "Inicio de sesión riesgoso" como nombre de la alerta, que se mostrará como uno de los casos simulados disponibles en la pantalla principal.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo

ScriptResult Verdadero/Falso Verdadero

Resultado de JSON

{
  "cases": [
    {
      "CreatorUserId": null,
      "Events": [
        {
          "_fields": {
            "BaseEventIds": "[]",
            "ParentEventId": -1,
            "DeviceProduct": "WinEventLog:Security",
            "StartTime": "1689266169689",
            "EndTime": "1689266169689"
          },
          "_rawDataFields": {
            "sourcetype": "Failed login",
            "starttime": "1689702001439",
            "endtime": "1689702001439"
          },
          "Environment": null,
          "SourceSystemName": null,
          "Extensions": []
        }
      ],
      "Environment": "default",
      "SourceSystemName": "QRadar",
      "TicketId": "de2e3913-e4d8-4060-ae2b-1c81ee64ba47",
      "Description": "This case created by SPLUNK query ",
      "DisplayId": "de2e3913-e4d8-4060-ae2b-1c81ee64ba47",
      "Reason": null,
      "Name": "Risky Sign On",
      "DeviceVendor": "WIN-24TBDNRMSVB",
      "DeviceProduct": "WinEventLog:Security",
      "StartTime": 1689702001439,
      "EndTime": 1689702001439,
      "Type": 1,
      "Priority": -1,
      "RuleGenerator": "Remote Failed login",
      "SourceGroupingIdentifier": null,
      "PlaybookTriggerKeywords": [],
      "Extensions": [
        {
          "Key": "KeyName",
          "Value": "TCS"
        }
      ],
      "Attachments": null,
      "IsTrimmed": false,
      "DataType": 1,
      "SourceType": 1,
      "SourceSystemUrl": null,
      "SourceRuleIdentifier": null,
      "SiemAlertId": null,
      "__CorrelationId": "7efd38feaea247ad9f5ea8d907e4387c"
    }
  ]
}

Trabajos

Close Cases Based On Search

Descripción

Este trabajo cerrará todos los casos según una búsqueda. La carga útil de búsqueda es la que se usa en la llamada a la API de "CaseSearchEverything". Para obtener un ejemplo de este valor, ve a Search en la IU y abre Herramientas para desarrolladores. Busca los casos que deseas borrar. Busca la llamada a la API "CaseSearchEverything" en Herramientas para desarrolladores. Copia la carga útil JSON de la solicitud POST y pégala en "Carga útil de búsqueda". El motivo de cierre debe ser 0 o 1. 0 = Malicioso, 1 = No malicioso. La causa raíz proviene de Configuración -> Datos del caso -> Causa raíz del cierre del caso.

Parámetros

Parámetro	Tipo	Valor predeterminado	Is Mandatory	Descripción
Carga útil de la búsqueda	JSON	N/A	No	Especifica la carga útil de JSON que se buscará. Ejemplo: {"tags":[],"ruleGenerator":[],"caseSource":[],"stage":[],"environments":[],"assignedUsers":[],"products":[],"ports":[],"categoryOutcomes":[],"status":[],"caseIds":[],"incident":[],"importance":[],"priorities":[],"pageSize":50,"isCaseClosed":false,"title":"","startTime":"2023-01-22T00:00:00.000Z","endTime":"2023-01-22T23:59:59.999Z","requestedPage":0,"timeRangeFilter":1}
Cerrar comentario	String	N/A	Sí	Especifica un comentario de cierre.
Razón del cierre	String	N/A	Sí	Especifica el motivo del cierre. 0 = Malicioso, 1 = No malicioso
Causa raíz	Número entero	N/A	Sí	Especifica la causa raíz. La causa raíz proviene de Configuración -> Datos del caso -> Causa raíz del cierre del caso.
Nombre de usuario de Chronicle SOAR	String	N/A	Sí	Especifica el nombre de usuario de Chronicle SOAR.
Contraseña de Chronicle SOAR	Contraseña	N/A	Sí	Especifica la contraseña de Chronicle SOAR.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.