Halaman ini diterjemahkan oleh Cloud Translation API.

Alat

Didukung di:

Google secops SOAR

Ringkasan

Serangkaian tindakan utilitas untuk manipulasi data guna meningkatkan kemampuan playbook.

Tindakan

Pencarian DNS

Deskripsi

Melakukan pencarian DNS menggunakan resolver DNS yang ditentukan.

Parameter

Parameter	Jenis	Nilai Default	Wajib Diisi	Deskripsi
Server DNS	Alamat IP	T/A	Ya	Tentukan satu atau beberapa server DNS yang dipisahkan dengan koma.

Contoh

Dalam skenario ini, kita menggunakan alamat DNS publik Google, yaitu 8.8.8.8, untuk mencari entitas domain eksternal.

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip Opsi nilai Contoh

ScriptResult Benar/Salah Benar

Hasil JSON

{
"Entity": "WWW.EXAMPLE.ORG",
 "EntityResult": [{"Type": "A", "Response": "176.9.157.114", "DNS Server": "8.8.8.8"}]
}

Menambahkan Atau Memperbarui Data Tambahan Notifikasi

Deskripsi

Menambahkan atau memperbarui kolom dalam data tambahan pemberitahuan. Hasil akan ditampilkan di kolom bernama “OFFENSE_ID” di ringkasan Pemberitahuan.

Parameter

Parameter	Jenis	Nilai Default	Wajib Diisi	Deskripsi
Kolom JSON	JSON	T/A	Ya	Anda dapat memasukkan teks bebas (untuk satu variabel), string yang merepresentasikan kamus JSON (Dapat bertingkat)

Contoh

Dalam skenario ini, kami menambahkan detail serangan MITRE ke notifikasi yang akan ditampilkan di ringkasan notifikasi.

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip Opsi nilai Contoh

ScriptResult # item dalam kamus 2

Hasil JSON

{
"dict": {"mitre": " T1059"}, "list": []
}

Lampirkan Playbook ke Semua Pemberitahuan Kasus

Deskripsi

Melampirkan playbook atau pemblokiran tertentu ke semua pemberitahuan dalam kasus.

Parameter

Parameter	Jenis	Nilai Default	Wajib Diisi	Deskripsi
Nama Playbook	String	T/A	Ya	Tentukan nama playbook atau blok yang akan ditambahkan ke semua pemberitahuan dalam kasus.

Contoh

Dalam skenario ini, kita melampirkan playbook bernama “Phishing playbook” ke semua pemberitahuan dalam kasus.

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip Opsi nilai Contoh

ScriptResult Benar/Salah Benar

Melampirkan Playbook ke Pemberitahuan

Deskripsi

Melampirkan playbook atau blok tertentu ke pemberitahuan saat ini.

Parameter

Parameter	Jenis	Nilai Default	Wajib Diisi	Deskripsi
Nama Playbook	String	T/A	Ya	Tentukan nama playbook atau blok yang akan ditambahkan ke semua pemberitahuan dalam kasus.

Contoh

Dalam skenario ini, kita melampirkan blok yang disebut “Blok Pembatasan” ke pemberitahuan saat ini dalam kasus tersebut.

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip Opsi nilai Contoh

ScriptResult Benar/Salah Benar

Buffer

Deskripsi

Mengonversi input JSON menjadi objek JSON.

Parameter

Parameter	Jenis	Nilai Default	Wajib Diisi	Deskripsi
ResultValue	String	T/A	Tidak	Nilai placeholder yang akan ditampilkan sebagai nilai ScriptResult.
JSON	JSON	T/A	Tidak	JSON yang akan ditampilkan di pembuat ekspresi.

Contoh

Dalam skenario ini, nilai input JSON akan ditampilkan di pembuat ekspresi JSON untuk digunakan dalam tindakan lebih lanjut.

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi nilai	Contoh
ScriptResult	Nilai input parameter ResultValue	berhasil

Hasil JSON

{
"domain" : "company.com",
"domain2" : "company2.com"
}

Mendapatkan Detail Sertifikat

Deskripsi

Mengambil detail sertifikat URL tertentu.

Parameter

Parameter	Jenis	Nilai Default	Wajib Diisi	Deskripsi
URL yang akan diperiksa	URL	expired.badssk.com	Ya	Tentukan URL untuk mengambil detail sertifikat.

Contoh

Dalam skenario ini, kita mengambil detail sertifikat dari situs expired.badssl.com.

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip Opsi nilai Contoh

ScriptResult Benar/Salah Benar

Hasil JSON

{
"hostname": "expired.badssl.com",
 "ip": "104.154.89.105", 
"commonName": "*.badssl.com",
 "is_self_signed": false, 
"SAN": [["*.badssl.com", "badssl.com"]], 
"is_expired": true, 
"issuer": "EXAMPLE CA", 
"not_valid_before": "04/09/2015", 
"not_valid_after": "04/12/2015", 
"days_to_expiration": -2762
}

Dapatkan Nilai Konteks

Deskripsi

Mengambil nilai kunci konteks dalam kasus atau pemberitahuan.

Parameter

Parameter	Jenis	Nilai Default	Wajib Diisi	Deskripsi
Cakupan	Drop down	Pemberitahuan	Ya	Tentukan cakupan nilai kunci, apakah dalam kasus, pemberitahuan atau global.
Kunci	String	T/A	Ya	Tentukan kunci.

Contoh

Dalam skenario ini, kita mengambil nilai konteks dari kunci yang disebut impact dalam kasus. Tindakan ini digunakan bersama dengan tindakan “Tetapkan Nilai Konteks” yang menambahkan key-value pair ke kasus atau pemberitahuan.

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip Opsi nilai Contoh

ScriptResult Nilai konteks Tinggi

Dapatkan Template Email

Deskripsi

Menampilkan semua template email dalam sistem.

Parameter

Parameter	Jenis	Nilai Default	Wajib Diisi	Deskripsi
Jenis Template	Drop down	Standar	Ya	Tentukan jenis template yang akan ditampilkan, baik standar maupun HTML.

Contoh

Dalam skenario ini, kita akan menampilkan semua template email berbasis HTML.

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi nilai	Contoh
ScriptResult	Hasil JSON yang berisi kode HTML	Hasil JSON yang ditampilkan di bawah

Hasil JSON

{
"templates": [{"type": 1, "name": "test 1", "content": "<html>\n    <head>\n    <style type=\"text/css\"> .title\n\n    { color: blue; text-decoration: bold; text-size: 1em; }\n    .author\n    { color: gray; }\n\n    </style>\n    </head>\n\n    <body>\n    <span class=\"title\">La super bonne</span>\n    {Text}\n    [Case.Id]\n    </h1> <br/>\n    </body>\n\n    </html>", "creatorUserName": "f00942-fa040-4422324-b2c43e-de40fdsff122b9c4", "forMigration": false, "environments": ["Default"], "id": 3, "creationTimeUnixTimeInMs": 1672054127271, "modificationTimeUnixTimeInMs": 1672054127279}]
}

Buat Entitas Dengan Pemisah

Deskripsi

Membuat entity dan menambahkannya ke pemberitahuan.

Parameter

Parameter	Jenis	Nilai Default	Wajib Diisi	Deskripsi
ID Entitas	String	T/A	Ya	Tentukan entity yang akan ditambahkan ke pemberitahuan.
Jenis Entitas	String	T/A	Ya	Tentukan jenis entity.
Adalah Internal	Kotak centang	Tidak dipilih	Tidak	Periksa apakah entitas yang diberikan adalah bagian dari jaringan internal.
Pemisah Entitas	String	,	Ya	Tentukan pemisah yang digunakan di kolom ID entity.
JSON Pengayaan	Dropdown	JSON	Tidak	Tentukan data pengayaan dalam format JSON.
PrefixForEnrichment	String	T/A	Tidak	Tentukan awalan yang akan ditambahkan ke data pengayaan.

Contoh

Dalam skenario ini, kita membuat tiga entitas IP dan memperkayanya dengan kolom bernama “is_suspicious”.

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi nilai	Contoh
ScriptResult	Benar/Salah	Benar

Hasil JSON

{
"created": ["0.0.0.0", "0.0.0.1", "0.0.0.2"], 
"enriched": ["0.0.0.0", "0.0.0.1", "0.0.0.2"],
"failed": []
}

Perbarui Deskripsi Kasus

Deskripsi

Memperbarui deskripsi kasus.

Parameter

Parameter	Jenis	Nilai Default	Wajib Diisi	Deskripsi
Deskripsi Kasus	String	T/A	Ya	Tentukan deskripsi yang diperbarui.

Contoh

Dalam skenario ini, kita memperbarui deskripsi kasus menjadi “Kasus ini terkait dengan login yang mencurigakan”.

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi nilai	Contoh
ScriptResult	Benar/Salah	Benar

Menormalisasi Pengayaan Entitas

Deskripsi

Menerima daftar kunci dari entity dan menggantinya.

Parameter

Parameter	Jenis	Nilai Default	Wajib Diisi	Deskripsi
Data Normalisasi	JSON	T/A	Ya	Tentukan JSON dalam contoh format berikut: [ { "entity_field_name": "AT_fields_Name", "new_name": "InternalEnrichment_Name" }, { "entity_field_name": "AT_fields_Direct-Manager", "new_name": "InternalEnrichment_DirectManager_Name" }, { "entity_field_name": "AT_Manager_fields_Work-Email", "new_name": "InternalEnrichment_DirectManager_Email" } ]

Contoh

Dalam skenario ini, kita mengganti kunci entity “is_bad” menjadi “malicious”.

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi nilai	Contoh
ScriptResult	Jumlah entitas yang dipertkaya	5

Tambahkan ke Nilai Konteks

Deskripsi

Menambahkan nilai ke properti konteks yang ada atau membuat properti konteks baru jika tidak ada dan menambahkan nilai.

Parameter

Parameter	Jenis	Nilai Default	Wajib Diisi	Deskripsi
Kunci	String	T/A	Ya	Tentukan kunci properti konteks
Nilai	String	T/A	Ya	Tentukan nilai yang akan ditambahkan ke properti konteks
Pembatas	String	T/A	Ya	Tentukan pembatas yang digunakan di kolom nilai.

Contoh

Dalam skenario ini, kita menambahkan nilai “T1595” dan “T1140” ke kunci konteks “MITRE” yang ada.

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi nilai	Contoh
ScriptResult	Nilai konteks	T1595, T1140

Membuat Hubungan Entitas

Deskripsi

Membuat hubungan antara entity yang diberikan dan entity yang ditautkan. Jika entitas yang diberikan tidak ada, entitas tersebut akan dibuat.

Parameter

Parameter	Jenis	Nilai Default	Wajib Diisi	Deskripsi
ID Entitas	String	T/A	Ya	Buat ID entitas baru atau gunakan ID entitas yang ada atau daftar ID yang dipisahkan koma.
Jenis ID Entitas	Drop-Down	Nama Pengguna	Ya	Tentukan jenis entity.
Hubungkan Sebagai	Drop-Down	Sumber	Ya	Hubungkan ID entity menggunakan hubungan sumber, tujuan, atau yang ditautkan ke ID entity target.
Jenis Entitas Target	Drop-Down	Alamat	Ya	Tentukan jenis entity target untuk menghubungkan ID entity ke.
ID Entitas Target	String	T/A	Tidak	Entitas dalam daftar yang dipisahkan koma ini, dari jenis dari Jenis Entitas Target, akan ditautkan ke entitas dalam parameter ID Entitas.
JSON Pengayaan	JSON	T/A	Tidak	Objek JSON opsional yang berisi kunci / pasangan nilai atribut yang dapat ditambahkan ke entity yang baru dibuat.
Karakter Pemisah	String	T/A	Tidak	Tentukan karakter untuk memisahkan daftar entitas di ID Entitas dan/atau ID Entitas Target. Nilai defaultnya adalah koma.

Contoh

Dalam skenario ini, kita membuat hubungan antara pengguna dan URL. Dalam hal ini, Bola001 telah mengakses URL example.com.

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi nilai	Contoh
ScriptResult	Benar/Salah	Benar

Hasil JSON

{
"Entity": "Bola001", "EntityResult": {}
}

Mengekstrak Domain URL

Deskripsi

Memperkaya semua entitas dengan kolom baru "siemplifytools_extracted_domain" yang berisi domain yang diekstrak dari ID entitas. Jika entitas tidak memiliki domain (misalnya, hash file), entitas tersebut tidak akan menampilkan apa pun. Selain entitas, pengguna dapat menentukan daftar URL sebagai parameter dan memprosesnya tanpa pengayaan, secara alami.

Parameter

Parameter	Jenis	Nilai Default	Wajib Diisi	Deskripsi
Pemisah	String	,	Ya	Tentukan string pemisah yang akan digunakan untuk memisahkan URL.
URL	String	T/A	Tidak	Tentukan satu atau beberapa URL untuk mengekstrak domainnya.
Mengekstrak subdomain	Kotak centang	T/A	Tidak	Tentukan apakah Anda ingin mengekstrak subdomain juga.

Contoh

Dalam skenario ini, kita mengekstrak domain dari URL yang ditentukan.

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi nilai	Contoh
ScriptResult	Jumlah domain yang diekstrak	1

Hasil JSON

{
"Entity": "https://sample.google.com", "EntityResult": {"domain": "sample.google.com", "source_entity_type": "DestinationURL"}
}

Periksa Subset Daftar

Deskripsi

Memeriksa apakah nilai dalam satu daftar ada dalam daftar lain.

Parameter

Parameter	Jenis	Nilai Default	Wajib Diisi	Deskripsi
Asli	String	T/A	Ya	Tentukan daftar item yang akan diperiksa. Daftar Json atau dipisahkan koma.
Subhimpunan	Daftar	T/A	Ya	Tentukan daftar subset. Daftar JSON atau dipisahkan koma.

Contoh

Dalam skenario ini, kita memeriksa apakah nilai 1,2,3 ada dalam daftar asli 1,2,3,4,5 sehingga menghasilkan nilai benar.

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi nilai	Contoh
ScriptResult	Benar/Salah	Benar

Menambahkan Informasi Pemberian Skor Pemberitahuan

Deskripsi

Menambahkan entri ke database pemberian skor pemberitahuan. Skor notifikasi didasarkan pada rasio: 5 Rendah = 1 Sedang. 3 Sedang = 1 Tinggi. 2 Tinggi = 1 Kritis. Tag opsional ditambahkan ke kasus.

Parameter

Parameter	Jenis	Nilai Default	Wajib Diisi	Deskripsi
Nama	String	T/A	Ya	Tentukan nama pemeriksaan yang dilakukan pada pemberitahuan.
Deskripsi	String	T/A	Ya	Tentukan deskripsi pemeriksaan yang dilakukan pada pemberitahuan.
Keparahan	String	Informatif	Ya	Tentukan tingkat keparahan.
Kategori	String	T/A	Ya	Tentukan kategori pemeriksaan yang dilakukan.
Sumber	String	T/A	Tidak	Tentukan bagian pemberitahuan yang menjadi asal skor. Contoh: File, pengguna, Email.
Tag Kasus	String	T/A	Tidak	Tentukan tag yang akan ditambahkan ke kasus.

Contoh

Dalam skenario ini, kami menyetel skor notifikasi ke tinggi karena hasil yang mencurigakan dari VirusTotal.

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi nilai	Contoh
Alert_score	Informasi, Rendah, Sedang, Tinggi, Kritis	Tinggi

Hasil JSON

{
"category": "File Enrichment",
 "score_data": [{"score_name": "File Enrichment", "description": "VT has found a file to be suspicious", "severity": "High", "score": 3, "source": "VirusTotal"}],
 "category_score": 3
}

Mendapatkan Pengguna Siemplify

Deskripsi

Menampilkan daftar semua pengguna yang dikonfigurasi dalam sistem.

Parameter

Parameter	Jenis	Nilai Default	Wajib Diisi	Deskripsi
Menyembunyikan Pengguna yang Dinonaktifkan	Kotak centang	Dipilih	Tidak	Tentukan apakah pengguna yang dinonaktifkan akan disembunyikan dari hasil.

Contoh

Dalam skenario ini, kita akan menampilkan semua pengguna dalam sistem, termasuk pengguna yang dinonaktifkan.

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi nilai	Contoh
ScriptResult	Benar/Salah	Benar

Hasil JSON

{
"siemplifyUsers": [{"permissionGroup": "Admins", "socRole": "@Administrator", "isDisabled": false, "loginIdentifier": "sample@domain.com", "firstName": "John", "lastName": "Doe", "permissionType": 0, "role": 0, "socRoleId": 1, "email": "sample@domain.com", "userName": "0b3423496fc2-0834302-42f33d-8523408-18c087d2347cf1e", "imageBase64": null, "userType": 1, "identityProvider": -1, "providerName": "Internal", "advancedReportsAccess": 0, "accountState": 2, "lastLoginTime": 1679831126656, "previousLoginTime": 1678950002044, "lastPasswordChangeTime": 0, "lastPasswordChangeNotificationTime": 0, "loginWrongPasswordCount": 0, "isDeleted": false, "deletionTimeUnixTimeInMs": 0, "environments": ["*"], "id": 245, "creationTimeUnixTimeInMs": 1675457504856, "modificationTimeUnixTimeInMs": 1674957504856
}

Periksa Kolom Entity Dalam Teks

Deskripsi

Telusuri kolom tertentu dari setiap entity dalam cakupan (atau beberapa kolom menggunakan regex) dan bandingkan dengan satu atau beberapa nilai. Nilai yang dibandingkan juga dapat melalui regex. Kecocokan ditemukan jika salah satu nilai regex postingan dari pengayaan entity ada dalam satu atau beberapa nilai yang ditelusuri.

Parameter

Parameter	Jenis	Nilai Default	Wajib Diisi	Deskripsi
SearchInData	JSON	[ { "Data": "[Event.from]", "RegEx": "(?<=@)[^.]+(?=\\.)" } ]	Ya	JSON yang merepresentasikan string yang ingin Anda telusuri menggunakan format ini: [ { "Data": "", "RegEx": "" } ]
FieldsInput	JSON	[ { "RegexForFieldName": "", "FieldName": "body", "RegexForFieldValue": "" }, { "RegexForFieldName": ".(_url_).", "FieldName": "", "RegexForFieldValue": "" }, { "RegexForFieldName": "", "FieldName": "body", "RegexForFieldValue": "HostName: (.*?)" } ]	Ya	JSON yang menjelaskan kolom mana yang harus diuji untuk [ "RegexForFieldName": “”, "FieldName": "Nama kolom yang akan ditelusuri", "RegexForFieldValue": “”}]
ShouldEnrichEntity	String	domain_matched	Tidak	Jika disetel ke <VAL>, nilai pengayaan juga akan ditempatkan pada entitas agar dikenali sebagai "cocok” dengan nilai tersebut. Kuncinya adalah <VAL>
IsCaseSensitive	Kotak centang	Tidak dipilih	Tidak	Tentukan apakah kolom peka huruf besar/kecil.

Contoh

Dalam skenario ini, kita memeriksa apakah ada entitas dengan nama kolom “berbahaya” dalam teks yang ditentukan.

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi nilai	Contoh
ScriptResult	Jumlah temuan	0

Hasil JSON

{
"Entity": "EXL88765-AD", "EntityResult": [{"RegexForFieldName": "", "FieldName": "malicious", "RegexForFieldValue": "", "ResultsToSearch": {"val_to_search": [[]], "found_results": [], "num_of_results": 0}}]
}

Mendapatkan Instance Integrasi

Deskripsi

Menampilkan semua instance integrasi untuk lingkungan.

Parameter

Tidak ada parameter yang berlaku.

Contoh

Dalam skenario ini, semua instance integrasi di semua lingkungan akan ditampilkan.

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi nilai	Contoh
ScriptResult	Benar/Salah	Benar

Hasil JSON

{
"instances": [{"identifier": "27dee746-1857-41b7-a722-b99699b8d6c8", "integrationIdentifier": "Tools", "environmentIdentifier": "Default", "instanceName": "Tools_1", "instanceDescription": "test", "isConfigured": true, "isRemote": false, "isSystemDefault": false},{...........}]
}

Playbook Penundaan V2

Deskripsi

Menghentikan sementara penyelesaian playbook selama jangka waktu tertentu.

Parameter

Parameter	Jenis	Nilai Default	Wajib Diisi	Deskripsi
Detik	Bilangan bulat	0	Tidak	Tentukan jumlah detik untuk menunda playbook.
Menit	Bilangan bulat	1	Tidak	Tentukan jumlah menit untuk menunda playbook.
Jam	Bilangan bulat	0	Tidak	Tentukan jumlah jam untuk menunda playbook.
Hari	Bilangan bulat	0	Tidak	Tentukan jumlah hari untuk menunda playbook.
Ekspresi Cron	String	T/A	Tidak	Menentukan kapan playbook harus dilanjutkan menggunakan ekspresi cron. Akan diprioritaskan daripada parameter lainnya.

Contoh

Dalam skenario ini, kita menunda playbook selama 12 setengah jam.

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi nilai	Contoh
ScriptResult	Benar/Salah	Benar

Mendapatkan JSON Pemberitahuan Asli

Deskripsi

Menampilkan hasil JSON dari pemberitahuan asli (data mentah).

Parameter

Tidak Ada Parameter yang Berlaku

Contoh

Dalam skenario ini, json mentah asli pemberitahuan akan ditampilkan.

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi nilai	Contoh
ScriptResult	Benar/Salah	Benar

Hasil JSON

{
"CreatorUserId": null, "Events": [{"_fields": {"BaseEventIds": "[]", "ParentEventId": -1, "deviceEventClassId": "IRC Connections", "DeviceProduct": "IPS_Product", "StartTime": "1667497096184", "EndTime": "1667497096184"}, "_rawDataFields": {"applicationProtocol": "TCP", "categoryOutcome": "blocked", "destinationAddress": "104.131.182.103", "destinationHostName": "www.ircnet.org", "destinationPort": "770", "destinationProcessName": "MrlCS.sob", "destinationUserName": "XWTTRYzNr1l@gmail.com", "deviceAddress": "0.0.0.0", "deviceEventClassId": "IRC Connections", "deviceHostName": "ckIYC2", "Field_24": "B0:E7:DF:6C:EF:71", "deviceProduct": "IPS_Product", "deviceVendor": "Vendor", "endTime": "1667497110906", "eventId": "0aa16009-57b4-41a3-91ed-81347442ca29", "managerReceiptTime": "1522058997000", "message": "Connection to IRC Server", "name": "IRC Connections", "severity": "8", "sourceAddress": "0.0.0.0", "sourceHostName": "jhon@domain.local", "startTime": "1667497110906", "sourcetype": "Connection to IRC Server"}, "Environment": null, "SourceSystemName": null, "Extensions": []}], "Environment": "Default", "SourceSystemName": "Arcsight", "TicketId": "fab1b5a1-637f-4aed-a94f-c63137307505", "Description": "IRC Connections", "DisplayId": "fab1b5a1-637f-4aed-a94f-c63137307505", "Reason": null, "Name": "IRC Connections", "DeviceVendor": "IPS", "DeviceProduct": "IPS_Product", "StartTime": 1667497110906, "EndTime": 1667497110906, "Type": 1, "Priority": -1, "RuleGenerator": "IRC Connections", "SourceGroupingIdentifier": null, "PlaybookTriggerKeywords": [], "Extensions": [], "Attachments": null, "IsTrimmed": false, "DataType": 1, "SourceType": 1, "SourceSystemUrl": null, "SourceRuleIdentifier": null
}

Mendapatkan Waktu Saat Ini

Deskripsi

Menampilkan tanggal dan waktu saat ini.

Parameter

Parameter	Jenis	Nilai Default	Wajib Diisi	Deskripsi
Format Tanggal dan Waktu	String	%d/%m/%Y %H:%M	Ya	Tentukan format tanggal dan waktu.

Contoh

Dalam skenario ini, kita menampilkan nilai tanggal dan waktu menggunakan format berikut: %d/%m/%Y %H:%M:%S

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi nilai	Contoh
ScriptResult	Nilai tanggal waktu	03/11/2022 20.33.43

Perbarui Skor Pemberitahuan

Deskripsi

Memperbarui skor pemberitahuan dengan jumlah yang diberikan.

Parameter

Parameter	Jenis	Nilai Default	Wajib Diisi	Deskripsi
Input	Bilangan bulat	T/A	Ya	Tentukan jumlah yang akan ditambahkan atau dikurangi (angka negatif).

Contoh

Dalam skenario ini, kita mengurangi skor pemberitahuan sebesar 20.

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi nilai	Contoh
ScriptResult	Nilai Input	-20

Menambahkan Komentar ke Log Entitas

Deskripsi

Menambahkan komentar ke log entitas untuk setiap entitas dalam skor di Penjelajah Entitas.

Parameter

Parameter	Jenis	Nilai Default	Wajib Diisi	Deskripsi
Pengguna	Dropdown	@Administrator	Ya	Tentukan pengguna yang membuat komentar.
Komentar	String	T/A	Ya	Tentukan komentar yang akan ditambahkan ke log entitas.

Contoh

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi nilai	Contoh
T/A	T/A	T/A

Lampirkan Ulang Playbook

Deskripsi

Menghapus playbook dari kasus, menghapus data hasil apa pun dalam kasus dari playbook tersebut, dan melampirkan kembali playbook sehingga akan berjalan lagi. Memerlukan penginstalan integrasi PostgreSQL, yang dikonfigurasi ke Lingkungan Bersama dengan nama instance Chronicle SOAR. Lihat CSM / Dukungan untuk detail tambahan.

Parameter

Parameter	Jenis	Nilai Default	Wajib Diisi	Deskripsi
Nama Playbook	Dropdown	T/A	Ya	Tentukan playbook yang akan dilampirkan kembali.

Contoh

Dalam skenario ini, kita melampirkan kembali playbook yang disebut attach_playbook_test

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi nilai	Contoh
ScriptResult	Benar/Salah/Konfigurasi instance Chronicle SOAR dari integrasi PostgreSQL.	Benar

Playbook Kunci

Deskripsi

Menjeda playbook saat ini hingga semua playbook dari pemberitahuan sebelumnya selesai.

Parameter

Parameter	Jenis	Nilai Default	Wajib Diisi	Deskripsi
Waktu Tunggu Tindakan Asinkron	Bilangan bulat	1 Hari	Tidak	Waktu tunggu untuk tindakan asinkron menentukan total waktu yang diizinkan untuk tindakan ini (menjumlahkan semua runtime iterasi)
Interval Polling Asinkron	Bilangan bulat	1 Hour	Tidak	Tetapkan durasi di antara tiap upaya polling selama runtime tindakan asinkron.

Contoh

Dalam skenario ini , kita menjeda playbook saat ini dan memeriksa setiap 30 detik untuk melihat apakah semua playbook dalam pemberitahuan sebelumnya dalam kasus ini telah selesai.

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi nilai	Contoh
ScriptResult	Benar/Salah	Benar

Menemukan First Alert

Deskripsi

Menampilkan ID pemberitahuan pertama dalam kasus tertentu.

Parameter

Tidak ada parameter yang berlaku.

Contoh

Dalam skenario ini, ID pemberitahuan dari pemberitahuan pertama dalam kasus akan ditampilkan.

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi nilai	Contoh
ScriptResult	Nilai ID Pemberitahuan	KONEKSI IRC9A33308C-AC62-4A41-8F73-20529895D567

Domain yang Mirip

Deskripsi

Membandingkan entitas domain dengan daftar domain yang ditentukan untuk lingkungan. Jika domain serupa, entitas akan ditandai sebagai mencurigakan dan dilengkapi dengan domain yang cocok.

Parameter

Tidak ada parameter yang berlaku

Contoh

Dalam skenario ini, kita memeriksa apakah entitas domain eksternal terlihat mirip dengan domain yang dikonfigurasi dalam daftar domain di setelan.

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi nilai	Contoh
look_a_like_domain_found	Benar/Salah	Benar

Hasil JSON

{
"Entity" : {"EntityResult" : { "look_a_like_domains" : ["outlooks.com"]}}
}

Ubah Nama Kasus

Deskripsi

Mengubah nama atau judul kasus.

Parameter

Parameter	Jenis	Nilai Default	Wajib Diisi	Deskripsi
Nama Baru	String	T/A	Tidak	Tentukan nama baru kasus.
Hanya Jika Peringatan Pertama	Kotak centang	Tidak dipilih	Tidak	Jika dipilih, hanya akan mengubah nama kasus jika tindakan dieksekusi pada pemberitahuan pertama dalam kasus.

Contoh

Dalam skenario ini, judul kasus akan diubah menjadi “Phishing - Email Mencurigakan” hanya jika dijalankan dalam notifikasi pertama.

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi nilai	Contoh
ScriptResult	Benar/Salah	Benar

Spell Check String

Deskripsi

Periksa ejaan string input. Program ini akan menampilkan persentase akurasi, jumlah total kata, jumlah kata yang salah eja, daftar setiap kata yang salah eja dan koreksinya, serta versi yang dikoreksi dari string input.

Parameter

Parameter	Jenis	Nilai Default	Wajib Diisi	Deskripsi
String	String	T/A	Ya	Tentukan string yang akan diperiksa salah eja.

Contoh

Dalam skenario ini, kita mengeja string input “Testing if this is a mispelled wodr.”.

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi nilai	Contoh
accuracy_percentage	Nilai persentase	71

Hasil JSON

{"input_string": "Testing if this is a mispelled wodr.", "total_words": 7, "total_misspelled_words": 2, "misspelled_words": [{"misspelled_word": "mispelled", "correction": "misspelled"}, {"misspelled_word": "wodr", "correction": "word"}], "accuracy": 71, "corrected_string": "Testing if this is a misspelled word."}

Search Text

Deskripsi

Telusuri parameter 'Search For' dalam teks input atau lakukan loop melalui daftar 'Search For Regex' dan temukan kecocokan dalam teks input. Jika ada kecocokan, tindakan akan menampilkan nilai benar (true).

Parameter

Parameter	Jenis	Nilai Default	Wajib Diisi	Deskripsi
Teks	String	T/A	Ya	Tentukan teks yang akan ditelusuri.
Telusuri	String	T/A	Tidak	Tentukan string yang akan ditelusuri di kolom “text”.
Menelusuri Regex	String	T/A	Tidak	Daftar ekspresi reguler yang akan digunakan untuk menelusuri string. Regex harus diapit tanda kutip ganda. Mendukung daftar yang dipisahkan koma.
Peka Huruf Besar/Kecil.	Kotak centang	T/A	Tidak	Tentukan apakah penelusuran harus peka huruf besar/kecil.

Contoh

Dalam skenario ini, kita memeriksa apakah kata "berbahaya" ada dalam nilai kolom “Teks”.

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi nilai	Contoh
match_found	Benar/Salah	Benar

Hasil JSON

{
"matches": [{"search": "malicious", "input": "This IOC is malicious.", "match": true}]
}

Tetapkan Nilai Konteks

Deskripsi

Menetapkan kunci dan nilai dalam konteks tertentu. Tindakan ini sering digunakan dengan tindakan “Dapatkan Nilai konteks” untuk mengambil nilai kunci.

Parameter

Parameter	Jenis	Nilai Default	Wajib Diisi	Deskripsi
Nilai	String	T/A	Ya	Tentukan nilai konteks.
Kunci	String	T/A	Ya	Tentukan kunci konteks.
Cakupan	Dropdown	Pemberitahuan	Ya	Tentukan cakupan penetapan konteks (Pemberitahuan, Kasus, Global).

Contoh

Dalam skenario ini, kita menetapkan kunci konteks “berbahaya” ke nilai “ya”.

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi nilai	Contoh
ScriptResult	Benar/Salah	Benar

Buat Tugas Siemplify

Deskripsi

Menetapkan tugas kepada pengguna atau peran. Tugas akan terkait dengan kasus tempat tindakan dijalankan.

Parameter

Parameter	Jenis	Nilai Default	Wajib Diisi	Deskripsi
Judul Tugas	String	T/A	Tidak	Tentukan judul tugas.
SLA (dalam menit)	Bilangan bulat	480	Ya	Tentukan jumlah waktu dalam menit yang dimiliki pengguna/peran yang ditetapkan untuk merespons tugas.
Isi Tugas	String	T/A	Ya	Tentukan detail tugas.
Tetapkan Kepada	Drop-Down	T/A	Ya	Tentukan pengguna atau peran yang akan diberi tugas tersebut.

Contoh

Dalam skenario ini, tugas dibuat untuk menginstruksikan Tim Dukungan Teknis Tingkat 3 menjalankan pemindaian virus.

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi nilai	Contoh
ScriptResult	Benar/Salah	Benar

Menetapkan Kasus kepada Pengguna

Deskripsi

Menetapkan kasus kepada pengguna.

Parameter

Parameter	Jenis	Nilai Default	Wajib Diisi	Deskripsi
ID kasus	String	T/A	Ya	Tentukan ID kasus. Gunakan [Case.Id] untuk kasus saat ini.
Tetapkan Kepada	String	@Admin	Ya	Tentukan pengguna yang akan diberi tugas kasus. Ini adalah ID pengguna. Gunakan tindakan “Get Siemplify Users” untuk mengambil ID pengguna tertentu.
ID Notifikasi	String		Ya	Tentukan ID pemberitahuan. Gunakan [Alert.Identifier].

Contoh

Dalam skenario ini, kita menetapkan kasus saat ini kepada pengguna tertentu menggunakan ID-nya.

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi nilai	Contoh
ScriptResult	Benar/Salah	Benar

Mendapatkan Data Kasus

Deskripsi

Mengambil semua data dari kasus dan menampilkan hasil JSON. Hasilnya mencakup komentar, informasi entitas, insight, playbook yang dijalankan, informasi dan peristiwa pemberitahuan.

Parameter

Parameter	Jenis	Nilai Default	Wajib Diisi	Deskripsi
ID kasus	Bilangan bulat	T/A	Tidak	Tentukan ID kasus yang akan dikueri. Jika dibiarkan kosong, huruf akan menggunakan huruf saat ini.

Contoh

Dalam skenario ini, kita mengambil detail kasus dari kasus saat ini.

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi nilai	Contoh
ScriptResult	Benar/Salah	Benar

Hasil JSON

{
"wallData": [{"commentForClient": null, "comment": null, "modificationTimeUnixTimeInMsForClient": 0, "creatorUserId": "8f8er8d6-ee8b-478e-9ee592-cc27e9addda13b", "id": 6357, "type": 5, "caseId": 36902, "isFavorite": false, "modificationTimeUnixTimeInMs": 1680717397165, "creationTimeUnixTimeInMs": 1680717397165, "alertIdentifier": "SUSPICIOUS ACTIVITY991C7837-1EE9-4EEA-AE7B-975366CA2EAE"}, {"actionTriggerType": 0, "integration": "Tools", "executingUser": null, "playbookName": "New Playbook", "playbookIsInDebugMode": true, "status": 5, "actionProvider": "Scripts", "actionIdentifier": "Tools_Get Case Data_1", "actionResult": "Action started", "alertIdentifiers": ["SUSPICIOUS ACTIVITY991C7837-1EE9-4EEA-AE7B-975366CA2EAE"], "creatorUserId": null, "id": 7677, "type": 3, "caseId": 0, "isFavorite": false, "modificationTimeUnixTimeInMs": 1680717397401, "creationTimeUnixTimeInMs": 1680717397401, "alertIdentifier": null}], "alerts": [{"ticketId": "d21ebvcxzb88-35vc35-46b4-9edd08-063696d7cc092", "status": 0, "identifier": "SUSPICIOUS ACTIVITY991C7837-1EE9-4EEA-AE7B-975366CA2EAE", "hasWorkflows": true, "workflowsStatus": 1, "sourceSystemName": "CrowdStrikeFalcon", "securityEventCards": [{"caseId": 36902, "eventId": "5fde7844-0099-4c5d-a562-63e2d0deb7e5", "alertIdentifier": "SUSPICIOUS ACTIVITY991C7837-1EE9-4EEA-AE7B-975366CA2EAE", "eventName": "CustomIOAWinLowest", "product": "Falcon", "sources": [{"isValid": true, "identifier": "172.30.202.229", "type": "ADDRESS"}, {"isValid": true, "identifier": "EXLAB2019-AD", "type": "HOSTNAME"}, {"isValid": true, "identifier": "E019-AD$", "type": "USERUNIQNAME"}], "destinations": [], "artificats": [{"isValid": true, "identifier": "MPCMDRUN.EXE", "type": "FILENAME"}, {"isValid": true, "identifier": "60D88450B376694DC55EB8F40B0F79580D1DF399A7BDF", "type": "FILEHASH"}], "port": null, "outcome": null, "time": "2023-03-01T19:51:00Z", "deviceEventClassId": "Indicator of Attack", "fields": [{"isHighlight": true, "groupName": "HIGHLIGHTED FIELDS", "hideOptions": false, "items": [{"originalName": "startTime", "name": "Start Time", "value": "1680615463369"}, {"originalName": "endTime", "name": "End Time", "value": "1680615463369"}]}, {"isHighlight": false, "groupName": "Default", "hideOptions": false, "items": [{"originalName": "cid", "name": "cid", "value": "27fe4e4760b8476b2b6650e5a74"}, {"originalName": "created_timestamp", "name": "created_timestamp", "value": "2023-03-01T19:51:11.387187948Z"}........................
}

Tunggu hingga Playbook Selesai

Deskripsi

Menjeda playbook saat ini hingga playbook atau blok lain, yang berjalan pada peringatan yang sama, selesai.

Parameter

Parameter	Jenis	Nilai Default	Wajib Diisi	Deskripsi
Nama Playbook	String	T/A	Tidak	Tentukan nama blok atau playbook yang ingin Anda selesaikan terlebih dahulu.

Contoh

Dalam skenario ini, kami menjeda playbook saat ini hingga “blokir penyelidikan” yang berjalan pada pemberitahuan yang sama selesai.

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi nilai	Contoh
ScriptResult	Benar/Salah	Benar

Convert Into Simulated Case

Deskripsi

Mengonversi kasus menjadi kasus simulasi yang dapat dimuat ke dalam platform.

Parameter

Parameter	Jenis	Nilai Default	Wajib Diisi	Deskripsi
Mendorong ke Kasus Simulasi	Kotak centang	Tidak dipilih	Tidak	Jika dipilih, kasus akan ditambahkan ke daftar kasus simulasi yang tersedia.
Menyimpan JSON sebagai File Dinding Kasus	Kotak centang	Dipilih	Tidak	Jika dipilih, file JSON yang mewakili kasus akan disimpan ke dinding kasus untuk didownload.
Mengganti Nama Notifikasi	String	Kosong	Tidak	Tentukan nama pemberitahuan baru yang akan digunakan. Parameter ini menggantikan parameter Nama Jalur Lengkap jika dipilih.
Nama jalur lengkap	Kotak centang	Tidak dipilih	Tidak	Jika dipilih, gunakan nama pemberitahuan sebagai `source_product_eventtype` —misalnya, `QRadar_WinEventLog:Security_Remote fail login`. Parameter ini diabaikan jika Ganti Nama Pemberitahuan disetel.

Contoh

Dalam contoh ini, kasus dikonversi menjadi kasus simulasi menggunakan "Risky Sign On" sebagai nama pemberitahuan, yang akan ditampilkan sebagai salah satu kasus simulasi yang tersedia di layar utama.

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip Opsi nilai Contoh

ScriptResult Benar/Salah Benar

Hasil JSON

{
  "cases": [
    {
      "CreatorUserId": null,
      "Events": [
        {
          "_fields": {
            "BaseEventIds": "[]",
            "ParentEventId": -1,
            "DeviceProduct": "WinEventLog:Security",
            "StartTime": "1689266169689",
            "EndTime": "1689266169689"
          },
          "_rawDataFields": {
            "sourcetype": "Failed login",
            "starttime": "1689702001439",
            "endtime": "1689702001439"
          },
          "Environment": null,
          "SourceSystemName": null,
          "Extensions": []
        }
      ],
      "Environment": "default",
      "SourceSystemName": "QRadar",
      "TicketId": "de2e3913-e4d8-4060-ae2b-1c81ee64ba47",
      "Description": "This case created by SPLUNK query ",
      "DisplayId": "de2e3913-e4d8-4060-ae2b-1c81ee64ba47",
      "Reason": null,
      "Name": "Risky Sign On",
      "DeviceVendor": "WIN-24TBDNRMSVB",
      "DeviceProduct": "WinEventLog:Security",
      "StartTime": 1689702001439,
      "EndTime": 1689702001439,
      "Type": 1,
      "Priority": -1,
      "RuleGenerator": "Remote Failed login",
      "SourceGroupingIdentifier": null,
      "PlaybookTriggerKeywords": [],
      "Extensions": [
        {
          "Key": "KeyName",
          "Value": "TCS"
        }
      ],
      "Attachments": null,
      "IsTrimmed": false,
      "DataType": 1,
      "SourceType": 1,
      "SourceSystemUrl": null,
      "SourceRuleIdentifier": null,
      "SiemAlertId": null,
      "__CorrelationId": "7efd38feaea247ad9f5ea8d907e4387c"
    }
  ]
}

Pekerjaan

Menutup Kasus Berdasarkan Penelusuran

Deskripsi

Tugas ini akan menutup semua kasus berdasarkan kueri penelusuran. Payload Penelusuran adalah payload yang digunakan dalam panggilan API 'CaseSearchEverything'. Untuk mendapatkan contoh nilai ini, buka Penelusuran di UI dan buka Alat Developer. Telusuri kasus yang akan dihapus. Cari panggilan API "CaseSearchEverything" di DevTools. Salin payload JSON permintaan POST dan tempel di "Search Payload". Alasan Penutupan harus 0 atau 1. 0 = berbahaya 1 = tidak berbahaya. Penyebab Utama berasal dari Setelan -> Data Kasus -> Penyebab Utama Penutupan Kasus.

Parameter

Parameter	Jenis	Nilai Default	Wajib Diisi	Deskripsi
Payload Penelusuran	JSON	T/A	Tidak	Tentukan payload JSON yang akan ditelusuri. Contoh: {"tags":[],"ruleGenerator":[],"caseSource":[],"stage":[],"environments":[],"assignedUsers":[],"products":[],"ports":[],"categoryOutcomes":[],"status":[],"caseIds":[],"incident":[],"importance":[],"priorities":[],"pageSize":50,"isCaseClosed":false,"title":"","startTime":"2023-01-22T00:00:00.000Z","endTime":"2023-01-22T23:59:59.999Z","requestedPage":0,"timeRangeFilter":1}
Tutup Komentar	String	T/A	Ya	Tentukan komentar penutup.
Alasan Penutupan	String	T/A	Ya	Tentukan alasan penutupan. 0 = berbahaya, 1 = tidak berbahaya
Penyebab Utama	Bilangan bulat	T/A	Ya	Tentukan penyebab utama. Penyebab Utama berasal dari Setelan -> Data Kasus -> Penyebab Utama Penutupan Kasus.
Nama Pengguna Chronicle SOAR	String	T/A	Ya	Tentukan nama pengguna Chronicle SOAR.
Sandi Chronicle SOAR	Sandi	T/A	Ya	Tentukan sandi Chronicle SOAR.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.