Questa pagina è stata tradotta dall'API Cloud Translation.

Strumenti

Supportato in:

Google secops SOAR

Panoramica

Un insieme di azioni di utilità per la manipolazione dei dati per potenziare le funzionalità del playbook.

Azioni

Ricerca DNS

Descrizione

Esegue una ricerca DNS utilizzando un resolver DNS specificato.

Parametri

Parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Server DNS	Indirizzo IP	N/D	Sì	Specifica uno o più server DNS separati da virgole.

Esempio

In questo scenario, utilizziamo l'indirizzo DNS pubblico di Google 8.8.8.8 per cercare entità di dominio esterno.

Risultati dell'azione

Risultato script

Nome del risultato dello script	Opzioni di valore	Esempio
ScriptResult	Vero/Falso	Vero

Risultato JSON

{
"Entity": "WWW.EXAMPLE.ORG",
 "EntityResult": [{"Type": "A", "Response": "176.9.157.114", "DNS Server": "8.8.8.8"}]
}

Aggiungere o aggiornare i dati aggiuntivi dell'avviso

Descrizione

Aggiunge o aggiorna i campi nei dati aggiuntivi dell'avviso. I risultati verranno visualizzati in un campo denominato "OFFENSE_ID" nella panoramica degli avvisi.

Parametri

Parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Campi JSON	JSON	N/D	Sì	Puoi inserire testo libero (per una variabile), una stringa che rappresenta un dizionario JSON (può essere nidificato)

Esempio

In questo scenario, aggiungiamo i dettagli dell'attacco MITRE agli avvisi che verranno visualizzati nella panoramica degli avvisi.

Risultati dell'azione

Risultato script

Nome del risultato dello script	Opzioni di valore	Esempio
ScriptResult	Numero di elementi nel dizionario	2

Risultato JSON

{
"dict": {"mitre": " T1059"}, "list": []
}

Allega la guida pratica a tutti gli avvisi relativi ai casi

Descrizione

Collega un playbook o un blocco specifico a tutti gli avvisi in una richiesta.

Parametri

Parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Nome playbook	Stringa	N/D	Sì	Specifica il nome del playbook o del blocco che verrà aggiunto a tutti gli avvisi in un caso.

Esempio

In questo scenario, stiamo allegando un playbook chiamato "Playbook phishing" a tutti gli avvisi di una richiesta.

Risultati dell'azione

Risultato script

Nome del risultato dello script	Opzioni di valore	Esempio
ScriptResult	Vero/Falso	Vero

Allegare un playbook a un avviso

Descrizione

Collega un playbook o un blocco specifico all'avviso corrente.

Parametri

Parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Nome playbook	Stringa	N/D	Sì	Specifica il nome del playbook o del blocco che verrà aggiunto a tutti gli avvisi in un caso.

Esempio

In questo scenario, stiamo allegando un blocco chiamato "Blocco di contenimento" agli avvisi attuali nella richiesta.

Risultati dell'azione

Risultato script

Nome del risultato dello script	Opzioni di valore	Esempio
ScriptResult	Vero/Falso	Vero

Buffer

Descrizione

Converti un input JSON in un oggetto JSON.

Parametri

Parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
ResultValue	Stringa	N/D	No	Valore segnaposto che verrà restituito come valore ScriptResult.
JSON	JSON	N/D	No	JSON che verrà visualizzato nello strumento di creazione espressioni.

Esempio

In questo scenario, il valore di input JSON verrà visualizzato nel builder di espressioni JSON da utilizzare per ulteriori azioni.

Risultati dell'azione

Risultato script

Nome del risultato dello script	Opzioni di valore	Esempio
ScriptResult	Valore di input del parametro ResultValue	operazione riuscita

Risultato JSON

{
"domain" : "company.com",
"domain2" : "company2.com"
}

Visualizza i dettagli del certificato

Descrizione

Recupera i dettagli del certificato di un determinato URL.

Parametri

Parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
URL da controllare	URL	expired.badssk.com	Sì	Specifica l'URL da cui recuperare i dettagli del certificato.

Esempio

In questo scenario, recuperiamo i dettagli del certificato dal sito expired.badssl.com.

Risultati dell'azione

Risultato script

Nome del risultato dello script	Opzioni di valore	Esempio
ScriptResult	Vero/Falso	Vero

Risultato JSON

{
"hostname": "expired.badssl.com",
 "ip": "104.154.89.105", 
"commonName": "*.badssl.com",
 "is_self_signed": false, 
"SAN": [["*.badssl.com", "badssl.com"]], 
"is_expired": true, 
"issuer": "EXAMPLE CA", 
"not_valid_before": "04/09/2015", 
"not_valid_after": "04/12/2015", 
"days_to_expiration": -2762
}

Get Context Value

Descrizione

Recupera un valore di una chiave di contesto in una richiesta o in un avviso.

Parametri

Parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Ambito	Menu a discesa	Avviso	Sì	Specifica l'ambito delle coppie chiave-valore in una richiesta, un avviso o a livello globale.
Chiave	Stringa	N/D	Sì	Specifica la chiave.

Esempio

In questo scenario, stiamo recuperando un valore di contesto da una chiave chiamata impatto in un caso. Questa azione viene utilizzata insieme all'azione "Imposta valore contesto", che aggiunge le coppie chiave-valore al caso o all'avviso.

Risultati dell'azione

Risultato script

Nome del risultato dello script	Opzioni di valore	Esempio
ScriptResult	Valore del contesto	Alta

Scarica i modelli email

Descrizione

Restituisce tutti i modelli email nel sistema.

Parametri

Parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Tipo di template	Menu a discesa	Standard	Sì	Specifica il tipo di modello da restituire, standard o HTML.

Esempio

In questo scenario, restituiamo tutti i modelli di email basati su HTML.

Risultati dell'azione

Risultato script

Nome del risultato dello script	Opzioni di valore	Esempio
ScriptResult	Risultato JSON contenente codice HTML	Risultato JSON mostrato di seguito

Risultato JSON

{
"templates": [{"type": 1, "name": "test 1", "content": "<html>\n    <head>\n    <style type=\"text/css\"> .title\n\n    { color: blue; text-decoration: bold; text-size: 1em; }\n    .author\n    { color: gray; }\n\n    </style>\n    </head>\n\n    <body>\n    <span class=\"title\">La super bonne</span>\n    {Text}\n    [Case.Id]\n    </h1> <br/>\n    </body>\n\n    </html>", "creatorUserName": "f00942-fa040-4422324-b2c43e-de40fdsff122b9c4", "forMigration": false, "environments": ["Default"], "id": 3, "creationTimeUnixTimeInMs": 1672054127271, "modificationTimeUnixTimeInMs": 1672054127279}]
}

Creare entità con separatore

Descrizione

Crea entità e le aggiunge all'avviso.

Parametri

Parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Identificatori delle entità	Stringa	N/D	Sì	Specifica l'entità o le entità da aggiungere all'avviso.
Tipo di entità	Stringa	N/D	Sì	Specifica il tipo di entità.
È interno	Casella di controllo	Non selezionato	No	Controlla se l'entità fornita fa parte di una rete interna.
Separatore di entità	Stringa	,	Sì	Specifica il delimitatore utilizzato nel campo degli identificatori delle entità.
JSON di arricchimento	Elenco a discesa	JSON	No	Specifica i dati di arricchimento in formato JSON.
PrefixForEnrichment	Stringa	N/D	No	Specifica il prefisso da aggiungere ai dati di arricchimento.

Esempio

In questo scenario, creiamo tre entità IP e le arricchiamo con un campo denominato "is_suspicious".

Risultati dell'azione

Risultato script

Nome del risultato dello script	Opzioni di valore	Esempio
ScriptResult	Vero/Falso	Vero

Risultato JSON

{
"created": ["0.0.0.0", "0.0.0.1", "0.0.0.2"], 
"enriched": ["0.0.0.0", "0.0.0.1", "0.0.0.2"],
"failed": []
}

Aggiorna la descrizione della richiesta

Descrizione

Aggiorna la descrizione di una richiesta.

Parametri

Parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Descrizione della richiesta	Stringa	N/D	Sì	Specifica la descrizione aggiornata.

Esempio

In questo scenario, stiamo aggiornando la descrizione della richiesta di assistenza con "Questa richiesta di assistenza è correlata ad accessi sospetti".

Risultati dell'azione

Risultato script

Nome del risultato dello script	Opzioni di valore	Esempio
ScriptResult	Vero/Falso	Vero

Normalizza l'arricchimento delle entità

Descrizione

Riceve un elenco di chiavi dall'entità e le sostituisce.

Parametri

Parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Dati di normalizzazione	JSON	N/D	Sì	Specifica il JSON nel seguente formato di esempio: [ { "entity_field_name": "AT_fields_Name", "new_name": "InternalEnrichment_Name" }, { "entity_field_name": "AT_fields_Direct-Manager", "new_name": "InternalEnrichment_DirectManager_Name" }, { "entity_field_name": "AT_Manager_fields_Work-Email", "new_name": "InternalEnrichment_DirectManager_Email" } ]

Esempio

In questo scenario, sostituiamo la chiave dell'entità "is_bad" con "malicious".

Risultati dell'azione

Risultato script

Nome del risultato dello script	Opzioni di valore	Esempio
ScriptResult	Numero di entità arricchite	5

Aggiungi al valore di contesto

Descrizione

Aggiunge un valore a una proprietà di contesto esistente o crea una nuova proprietà di contesto se non esiste e aggiunge il valore.

Parametri

Parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Chiave	Stringa	N/D	Sì	Specifica la chiave della proprietà di contesto
Valore	Stringa	N/D	Sì	Specifica il valore da aggiungere alla proprietà di contesto
Delimitatore	Stringa	N/D	Sì	Specifica il delimitatore utilizzato nel campo del valore.

Esempio

In questo scenario, aggiungiamo i valori "T1595" e "T1140" a una chiave di contesto esistente "MITRE".

Risultati dell'azione

Risultato script

Nome del risultato dello script	Opzioni di valore	Esempio
ScriptResult	Valori di contesto	T1595, T1140

Creare relazioni tra entità

Descrizione

Crea una relazione tra le entità fornite e le entità collegate. Se le entità fornite non esistono, verranno create.

Parametri

Parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Identificatore o identificatori entità	Stringa	N/D	Sì	Crea nuovi identificatori di entità o utilizza quelli esistenti oppure un elenco di identificatori separati da virgole.
Tipo di identificatore entità	Menu a discesa	Nome utente	Sì	Specifica il tipo di entità.
Connetti come	Menu a discesa	Origine	Sì	Collega gli identificatori delle entità utilizzando le relazioni di origine, destinazione o collegate agli identificatori delle entità di destinazione.
Tipo di entità target	Menu a discesa	Indirizzo	Sì	Specifica il tipo di entità di destinazione a cui collegare gli identificatori di entità.
Identificatore o identificatori dell'entità target	Stringa	N/D	No	Entità in questo elenco separato da virgole, di il tipo di Tipo di entità target verrà collegato alle entità nel parametro Identificatori entità.
JSON di arricchimento	JSON	N/D	No	Un oggetto JSON facoltativo contenente la chiave / coppie di valori di attributi che possono essere aggiunti alle entità appena create.
Carattere separatore	Stringa	N/D	No	Specifica il carattere per separare l'elenco delle entità in Identificatori entità e/o Identificatori entità di destinazione. Il valore predefinito è la virgola.

Esempio

In questo scenario, creiamo una relazione tra un utente e un URL. In questo caso, Bola001 ha eseguito l'accesso a un URL di example.com.

Risultati dell'azione

Risultato script

Nome del risultato dello script	Opzioni di valore	Esempio
ScriptResult	Vero/Falso	Vero

Risultato JSON

{
"Entity": "Bola001", "EntityResult": {}
}

Estrai dominio URL

Descrizione

Arricchisce tutte le entità con un nuovo campo "siemplifytools_extracted_domain" contenente il dominio estratto dall'identificatore dell'entità. Se l'entità non ha un dominio (ad esempio hash del file), non restituirà nulla. Oltre alle entità, l'utente può specificare un elenco di URL come parametro ed elaborarli, senza arricchimento.

Parametri

Parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Separatore	Stringa	,	Sì	Specifica la stringa separatore da utilizzare per separare gli URL.
URL	Stringa	N/D	No	Specifica uno o più URL da cui estrarre il dominio.
Estrai sottodominio	Casella di controllo	N/D	No	Specifica se vuoi estrarre anche il sottodominio.

Esempio

In questo scenario, estraiamo il dominio dall'URL specificato.

Risultati dell'azione

Risultato script

Nome del risultato dello script	Opzioni di valore	Esempio
ScriptResult	Numero di domini estratti	1

Risultato JSON

{
"Entity": "https://sample.google.com", "EntityResult": {"domain": "sample.google.com", "source_entity_type": "DestinationURL"}
}

Check List Subset

Descrizione

Controlla se i valori di un elenco sono presenti in un altro elenco.

Parametri

Parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Originale	Stringa	N/D	Sì	Specifica l'elenco degli elementi da confrontare. Elenco JSON o elenco separato da virgole.
Sottoinsieme	Elenco	N/D	Sì	Specifica l'elenco dei sottoinsiemi. Elenco JSON o separato da virgole.

Esempio

In questo scenario, stiamo verificando se i valori 1, 2, 3 esistono nell'elenco originale di 1, 2, 3, 4, 5, il che comporta un valore di risultato vero.

Risultati dell'azione

Risultato script

Nome del risultato dello script	Opzioni di valore	Esempio
ScriptResult	Vero/Falso	Vero

Aggiungere informazioni sul punteggio degli avvisi

Descrizione

Aggiunge una voce al database di assegnazione dei punteggi degli avvisi. Il punteggio dell'avviso si basa sul rapporto: 5 basso = 1 medio. 3 medie = 1 alta. 2 High = 1 Critical. Tag facoltativo aggiunto alla richiesta.

Parametri

Parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Nome	Stringa	N/D	Sì	Specifica il nome del controllo eseguito sull'avviso.
Descrizione	Stringa	N/D	Sì	Specifica la descrizione del controllo eseguito sull'avviso.
Gravità	Stringa	Informativo	Sì	Specifica la gravità.
Categoria	Stringa	N/D	Sì	Specifica la categoria del controllo eseguito.
Origine	Stringa	N/D	No	Specifica la parte dell'avviso da cui è stato derivato il punteggio. Esempio: File, utente, email.
Tag richiesta	Stringa	N/D	No	Specifica i tag da aggiungere alla richiesta.

Esempio

In questo scenario, impostiamo il punteggio dell'avviso su alto a causa di un risultato sospetto di VirusTotal.

Risultati dell'azione

Risultato script

Nome del risultato dello script	Opzioni di valore	Esempio
Alert_score	Informativo, Basso, Medio, Alto, Critico	Alta

Risultato JSON

{
"category": "File Enrichment",
 "score_data": [{"score_name": "File Enrichment", "description": "VT has found a file to be suspicious", "severity": "High", "score": 3, "source": "VirusTotal"}],
 "category_score": 3
}

Recuperare gli utenti di Siemplify

Descrizione

Restituisce l'elenco di tutti gli utenti configurati nel sistema.

Parametri

Parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Nascondi utenti disattivati	Casella di controllo	Selezionato	No	Specifica se nascondere gli utenti disattivati dai risultati.

Esempio

In questo scenario, restituiamo tutti gli utenti del sistema, inclusi gli utenti disattivati.

Risultati dell'azione

Risultato script

Nome del risultato dello script	Opzioni di valore	Esempio
ScriptResult	Vero/Falso	Vero

Risultato JSON

{
"siemplifyUsers": [{"permissionGroup": "Admins", "socRole": "@Administrator", "isDisabled": false, "loginIdentifier": "sample@domain.com", "firstName": "John", "lastName": "Doe", "permissionType": 0, "role": 0, "socRoleId": 1, "email": "sample@domain.com", "userName": "0b3423496fc2-0834302-42f33d-8523408-18c087d2347cf1e", "imageBase64": null, "userType": 1, "identityProvider": -1, "providerName": "Internal", "advancedReportsAccess": 0, "accountState": 2, "lastLoginTime": 1679831126656, "previousLoginTime": 1678950002044, "lastPasswordChangeTime": 0, "lastPasswordChangeNotificationTime": 0, "loginWrongPasswordCount": 0, "isDeleted": false, "deletionTimeUnixTimeInMs": 0, "environments": ["*"], "id": 245, "creationTimeUnixTimeInMs": 1675457504856, "modificationTimeUnixTimeInMs": 1674957504856
}

Controlla i campi delle entità nel testo

Descrizione

Cerca un campo specifico di ogni entità nell'ambito (o più campi utilizzando le espressioni regolari) e confrontalo con uno o più valori. I valori confrontati possono anche essere sottoposti a regex. Viene trovata una corrispondenza se uno dei valori regex del post dell'arricchimento dell'entità è presente in uno o più valori cercati.

Parametri

Parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
SearchInData	JSON	[ { "Data": "[Event.from]", "RegEx": "(?<=@)[^.]+(?=\\.)" } ]	Sì	JSON che rappresenta le stringhe in cui vuoi eseguire la ricerca utilizzando questo formato: [ { "Data": "", "RegEx": "" } ]
FieldsInput	JSON	[ { "RegexForFieldName": "", "FieldName": "body", "RegexForFieldValue": "" }, { "RegexForFieldName": ".(_url_).", "FieldName": "", "RegexForFieldValue": "" }, { "RegexForFieldName": "", "FieldName": "body", "RegexForFieldValue": "HostName: (.*?)" } ]	Sì	Un JSON che descrive quali campi devono essere testati per [ "RegexForFieldName": “”, "FieldName": "Field name to search", "RegexForFieldValue": “”}]
ShouldEnrichEntity	Stringa	domain_matched	No	Se impostato su <VAL>, verrà inserito anche un valore di arricchimento nell'entità da riconoscere come "corrispondente" con il valore. La chiave sarà <VAL>
IsCaseSensitive	Casella di controllo	Non selezionato	No	Specifica se il campo è sensibile alle maiuscole.

Esempio

In questo scenario, verifichiamo se nel testo specificato è presente un'entità con il nome del campo "malicious".

Risultati dell'azione

Risultato script

Nome del risultato dello script	Opzioni di valore	Esempio
ScriptResult	Numero di risultati	0

Risultato JSON

{
"Entity": "EXL88765-AD", "EntityResult": [{"RegexForFieldName": "", "FieldName": "malicious", "RegexForFieldValue": "", "ResultsToSearch": {"val_to_search": [[]], "found_results": [], "num_of_results": 0}}]
}

Ottieni istanze di integrazione

Descrizione

Restituisce tutte le istanze di integrazione per un ambiente.

Parametri

Nessun parametro applicabile.

Esempio

In questo scenario, verranno restituite tutte le istanze di integrazione in tutti gli ambienti.

Risultati dell'azione

Risultato script

Nome del risultato dello script	Opzioni di valore	Esempio
ScriptResult	Vero/Falso	Vero

Risultato JSON

{
"instances": [{"identifier": "27dee746-1857-41b7-a722-b99699b8d6c8", "integrationIdentifier": "Tools", "environmentIdentifier": "Default", "instanceName": "Tools_1", "instanceDescription": "test", "isConfigured": true, "isRemote": false, "isSystemDefault": false},{...........}]
}

Delay Playbook V2

Descrizione

Interrompe temporaneamente il completamento di un playbook per un periodo di tempo specificato.

Parametri

Parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Secondi	Numero intero	0	No	Specifica il numero di secondi per ritardare il playbook.
Minuti	Numero intero	1	No	Specifica il numero di minuti per ritardare il playbook.
Ore	Numero intero	0	No	Specifica il numero di ore per cui ritardare il playbook.
Giorni	Numero intero	0	No	Specifica il numero di giorni per cui ritardare il playbook.
Espressione cron	Stringa	N/D	No	Determina quando il playbook deve procedere utilizzando un'espressione cron. Avrà la priorità rispetto agli altri parametri.

Esempio

In questo scenario, ritardiamo il playbook di 12 ore e mezza.

Risultati dell'azione

Risultato script

Nome del risultato dello script	Opzioni di valore	Esempio
ScriptResult	Vero/Falso	Vero

Get Original Alert Json

Descrizione

Restituisce il risultato JSON dell'avviso originale (dati non elaborati).

Parametri

Nessun parametro applicabile

Esempio

In questo scenario, viene restituito il JSON non elaborato originale dell'avviso.

Risultati dell'azione

Risultato script

Nome del risultato dello script	Opzioni di valore	Esempio
ScriptResult	Vero/Falso	Vero

Risultato JSON

{
"CreatorUserId": null, "Events": [{"_fields": {"BaseEventIds": "[]", "ParentEventId": -1, "deviceEventClassId": "IRC Connections", "DeviceProduct": "IPS_Product", "StartTime": "1667497096184", "EndTime": "1667497096184"}, "_rawDataFields": {"applicationProtocol": "TCP", "categoryOutcome": "blocked", "destinationAddress": "104.131.182.103", "destinationHostName": "www.ircnet.org", "destinationPort": "770", "destinationProcessName": "MrlCS.sob", "destinationUserName": "XWTTRYzNr1l@gmail.com", "deviceAddress": "0.0.0.0", "deviceEventClassId": "IRC Connections", "deviceHostName": "ckIYC2", "Field_24": "B0:E7:DF:6C:EF:71", "deviceProduct": "IPS_Product", "deviceVendor": "Vendor", "endTime": "1667497110906", "eventId": "0aa16009-57b4-41a3-91ed-81347442ca29", "managerReceiptTime": "1522058997000", "message": "Connection to IRC Server", "name": "IRC Connections", "severity": "8", "sourceAddress": "0.0.0.0", "sourceHostName": "jhon@domain.local", "startTime": "1667497110906", "sourcetype": "Connection to IRC Server"}, "Environment": null, "SourceSystemName": null, "Extensions": []}], "Environment": "Default", "SourceSystemName": "Arcsight", "TicketId": "fab1b5a1-637f-4aed-a94f-c63137307505", "Description": "IRC Connections", "DisplayId": "fab1b5a1-637f-4aed-a94f-c63137307505", "Reason": null, "Name": "IRC Connections", "DeviceVendor": "IPS", "DeviceProduct": "IPS_Product", "StartTime": 1667497110906, "EndTime": 1667497110906, "Type": 1, "Priority": -1, "RuleGenerator": "IRC Connections", "SourceGroupingIdentifier": null, "PlaybookTriggerKeywords": [], "Extensions": [], "Attachments": null, "IsTrimmed": false, "DataType": 1, "SourceType": 1, "SourceSystemUrl": null, "SourceRuleIdentifier": null
}

Get Current Time

Descrizione

Restituisce la data e l'ora correnti.

Parametri

Parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Formato data/ora	Stringa	%d/%m/%Y %H:%M	Sì	Specifica il formato della data e dell'ora.

Esempio

In questo scenario, restituiamo un valore di data e ora utilizzando il seguente formato: %d/%m/%Y %H:%M:%S

Risultati dell'azione

Risultato script

Nome del risultato dello script	Opzioni di valore	Esempio
ScriptResult	Valore di data e ora	03/11/2022 20:33:43

Aggiorna punteggio avviso

Descrizione

Aggiorna il punteggio dell'avviso in base all'importo fornito.

Parametri

Parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Input	Numero intero	N/D	Sì	Specifica l'importo di incremento o decremento (numero negativo).

Esempio

In questo scenario, riduciamo il punteggio dell'avviso di 20 punti.

Risultati dell'azione

Risultato script

Nome del risultato dello script	Opzioni di valore	Esempio
ScriptResult	Valore di input	-20

Aggiungi commento al log entità

Descrizione

Aggiunge un commento al log dell'entità per ogni entità nel punteggio in Esplora entità.

Parametri

Parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Utente	Elenco a discesa	@Administrator	Sì	Specifica l'utente che ha creato il commento.
Commento	Stringa	N/D	Sì	Specifica il commento che verrà aggiunto al log dell'entità.

Esempio

Risultati dell'azione

Risultato script

Nome del risultato dello script	Opzioni di valore	Esempio
N/D	N/D	N/D

Riallega playbook

Descrizione

Rimuove un playbook da un caso, elimina tutti i dati dei risultati nel caso da quel playbook e lo ricollega in modo che venga eseguito di nuovo. Richiede l'installazione dell'integrazione PostgreSQL, configurata per l'ambiente condiviso con un nome istanza di Chronicle SOAR. Per ulteriori dettagli, contatta il CSM / l'assistenza.

Parametri

Parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Nome playbook	Elenco a discesa	N/D	Sì	Specifica il playbook da ricollegare.

Esempio

In questo scenario, ricolleghiamo un playbook chiamato attach_playbook_test

Risultati dell'azione

Risultato script

Nome del risultato dello script	Opzioni di valore	Esempio
ScriptResult	True/False/Please configure the Chronicle SOAR instance of the PostgreSQL integration.	Vero

Playbook di chiusura

Descrizione

Mette in pausa il playbook corrente finché non vengono completati tutti i playbook dell'avviso precedente.

Parametri

Parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Timeout dell'azione asincrona	Numeri interi	1 giorno	No	Il timeout per le azioni asincrone definisce il tempo totale consentito per questa azione (somma i runtime di tutte le iterazioni)
Intervallo di polling asincrono	Numeri interi	1 ora	No	Imposta la durata tra ogni tentativo di polling durante il runtime di un'azione asincrona.

Esempio

In questo scenario , mettiamo in pausa il playbook corrente e controlliamo ogni 30 secondi per verificare se tutti i playbook nell'avviso precedente della richiesta sono completi.

Risultati dell'azione

Risultato script

Nome del risultato dello script	Opzioni di valore	Esempio
ScriptResult	Vero/Falso	Vero

Trovare First Alert

Descrizione

Restituisce l'identificatore del primo avviso in una determinata richiesta.

Parametri

Nessun parametro applicabile.

Esempio

In questo scenario, restituisce l'identificatore del primo avviso nella richiesta.

Risultati dell'azione

Risultato script

Nome del risultato dello script	Opzioni di valore	Esempio
ScriptResult	Valore identificatore avviso	IRC CONNECTIONS9A33308C-AC62-4A41-8F73-20529895D567

Domini simili

Descrizione

Confronta le entità di dominio con l'elenco dei domini definiti per l'ambiente. Se i domini sono simili, l'entità verrà contrassegnata come sospetta e arricchita con il dominio corrispondente.

Parametri

Nessun parametro applicabile

Esempio

In questo scenario, verifichiamo se le entità di dominio esterni assomigliano ai domini configurati nell'elenco dei domini nelle impostazioni.

Risultati dell'azione

Risultato script

Nome del risultato dello script	Opzioni di valore	Esempio
look_a_like_domain_found	Vero/Falso	Vero

Risultato JSON

{
"Entity" : {"EntityResult" : { "look_a_like_domains" : ["outlooks.com"]}}
}

Modificare il nome della richiesta

Descrizione

Modifica il nome o il titolo di una pratica.

Parametri

Parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Nuovo nome	Stringa	N/D	No	Specifica il nuovo nome della richiesta.
Solo se First Alert	Casella di controllo	Non selezionato	No	Se selezionata, modificherà il nome della richiesta solo se l'azione è stata eseguita sul primo avviso della richiesta.

Esempio

In questo scenario, il titolo di una richiesta verrà modificato in "Phishing - Email sospetta" solo se viene eseguito nel primo avviso.

Risultati dell'azione

Risultato script

Nome del risultato dello script	Opzioni di valore	Esempio
ScriptResult	Vero/Falso	Vero

Spell Check String

Descrizione

Controlla l'ortografia della stringa di input. Verranno restituiti la percentuale di accuratezza, il numero totale di parole, il numero di parole con errori ortografici, l'elenco di ogni parola con errori ortografici e la correzione, nonché una versione corretta della stringa di input.

Parametri

Parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Stringa	Stringa	N/D	Sì	Specifica la stringa per cui verrà verificata la presenza di errori ortografici.

Esempio

In questo scenario, controlliamo l'ortografia della stringa di input "Testing if this is a mispelled wodr.".

Risultati dell'azione

Risultato script

Nome del risultato dello script	Opzioni di valore	Esempio
accuracy_percentage	Valore percentuale	71

Risultato JSON

{"input_string": "Testing if this is a mispelled wodr.", "total_words": 7, "total_misspelled_words": 2, "misspelled_words": [{"misspelled_word": "mispelled", "correction": "misspelled"}, {"misspelled_word": "wodr", "correction": "word"}], "accuracy": 71, "corrected_string": "Testing if this is a misspelled word."}

Search Text

Descrizione

Cerca il parametro "Cerca" nel testo di input o scorri l'elenco "Cerca espressione regolare" e trova le corrispondenze nel testo di input. Se viene trovata una corrispondenza, l'azione restituirà il valore True.

Parametri

Parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Testo	Stringa	N/D	Sì	Specifica il testo da cercare.
Cerca	Stringa	N/D	No	Specifica la stringa da cercare nel campo "text".
Cerca regex	Stringa	N/D	No	Elenco delle espressioni regolari che verranno utilizzate per cercare la stringa. L'espressione regolare deve essere racchiusa tra virgolette doppie. Supporta un elenco delimitato da virgole.
Sensibilità alle maiuscole	Casella di controllo	N/D	No	Specifica se la ricerca deve essere sensibile alle maiuscole.

Esempio

In questo scenario, controlliamo se la parola "malicious" esiste nel valore del campo "Text".

Risultati dell'azione

Risultato script

Nome del risultato dello script	Opzioni di valore	Esempio
match_found	Vero/Falso	Vero

Risultato JSON

{
"matches": [{"search": "malicious", "input": "This IOC is malicious.", "match": true}]
}

Set Context Value

Descrizione

Imposta una chiave e un valore in un contesto specifico. Questa azione viene spesso utilizzata con l'azione "Ottieni valore contesto" per recuperare il valore della chiave.

Parametri

Parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Valore	Stringa	N/D	Sì	Specifica il valore del contesto.
Chiave	Stringa	N/D	Sì	Specifica la chiave di contesto.
Ambito	Elenco a discesa	Avviso	Sì	Specifica l'ambito di assegnazione del contesto (avviso, richiesta, globale).

Esempio

In questo scenario, impostiamo una chiave di contesto "malicious" sul valore "yes".

Risultati dell'azione

Risultato script

Nome del risultato dello script	Opzioni di valore	Esempio
ScriptResult	Vero/Falso	Vero

Crea attività Siemplify

Descrizione

Assegna un'attività a un utente o a un ruolo. L'attività sarà correlata alla richiesta su cui è stata eseguita l'azione.

Parametri

Parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Titolo attività	Stringa	N/D	No	Specifica il titolo dell'attività.
SLA (in minuti)	Numero intero	480	Sì	Specifica la quantità di tempo in minuti a disposizione dell'utente/ruolo assegnato per rispondere all'attività.
Contenuti attività	Stringa	N/D	Sì	Specifica i dettagli dell'attività.
Assegna a	Menu a discesa	N/D	Sì	Specifica l'utente o il ruolo a cui verrà assegnato il compito.

Esempio

In questo scenario, viene creato un'attività che indica al livello 3 di eseguire una scansione antivirus.

Risultati dell'azione

Risultato script

Nome del risultato dello script	Opzioni di valore	Esempio
ScriptResult	Vero/Falso	Vero

Assegna richiesta all'utente

Descrizione

Assegna una richiesta a un utente.

Parametri

Parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
ID richiesta	Stringa	N/D	Sì	Specifica l'ID richiesta. Utilizza [Case.Id] per la richiesta corrente.
Assegna a	Stringa	@Admin	Sì	Specifica l'utente a cui assegnare una richiesta. Questo è l'ID dell'utente. Utilizza l'azione "Recupera utenti Siemplify" per recuperare l'ID di un utente specifico.
ID avviso	Stringa		Sì	Specifica l'ID avviso. Utilizza [Alert.Identifier].

Esempio

In questo scenario, assegniamo la richiesta attuale a un utente specifico utilizzando il suo ID.

Risultati dell'azione

Risultato script

Nome del risultato dello script	Opzioni di valore	Esempio
ScriptResult	Vero/Falso	Vero

Recupera i dati della richiesta

Descrizione

Recupera tutti i dati da una richiesta e restituisce un risultato JSON. Il risultato include commenti, informazioni sulle entità, approfondimenti, playbook eseguiti, informazioni e eventi relativi agli avvisi.

Parametri

Parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
ID richiesta	Numero intero	N/D	No	Specifica l'ID richiesta da interrogare. Se il campo viene lasciato vuoto, verrà utilizzato il caso corrente.

Esempio

In questo scenario, recuperiamo i dettagli della richiesta dalla richiesta corrente.

Risultati dell'azione

Risultato script

Nome del risultato dello script	Opzioni di valore	Esempio
ScriptResult	Vero/Falso	Vero

Risultato JSON

{
"wallData": [{"commentForClient": null, "comment": null, "modificationTimeUnixTimeInMsForClient": 0, "creatorUserId": "8f8er8d6-ee8b-478e-9ee592-cc27e9addda13b", "id": 6357, "type": 5, "caseId": 36902, "isFavorite": false, "modificationTimeUnixTimeInMs": 1680717397165, "creationTimeUnixTimeInMs": 1680717397165, "alertIdentifier": "SUSPICIOUS ACTIVITY991C7837-1EE9-4EEA-AE7B-975366CA2EAE"}, {"actionTriggerType": 0, "integration": "Tools", "executingUser": null, "playbookName": "New Playbook", "playbookIsInDebugMode": true, "status": 5, "actionProvider": "Scripts", "actionIdentifier": "Tools_Get Case Data_1", "actionResult": "Action started", "alertIdentifiers": ["SUSPICIOUS ACTIVITY991C7837-1EE9-4EEA-AE7B-975366CA2EAE"], "creatorUserId": null, "id": 7677, "type": 3, "caseId": 0, "isFavorite": false, "modificationTimeUnixTimeInMs": 1680717397401, "creationTimeUnixTimeInMs": 1680717397401, "alertIdentifier": null}], "alerts": [{"ticketId": "d21ebvcxzb88-35vc35-46b4-9edd08-063696d7cc092", "status": 0, "identifier": "SUSPICIOUS ACTIVITY991C7837-1EE9-4EEA-AE7B-975366CA2EAE", "hasWorkflows": true, "workflowsStatus": 1, "sourceSystemName": "CrowdStrikeFalcon", "securityEventCards": [{"caseId": 36902, "eventId": "5fde7844-0099-4c5d-a562-63e2d0deb7e5", "alertIdentifier": "SUSPICIOUS ACTIVITY991C7837-1EE9-4EEA-AE7B-975366CA2EAE", "eventName": "CustomIOAWinLowest", "product": "Falcon", "sources": [{"isValid": true, "identifier": "172.30.202.229", "type": "ADDRESS"}, {"isValid": true, "identifier": "EXLAB2019-AD", "type": "HOSTNAME"}, {"isValid": true, "identifier": "E019-AD$", "type": "USERUNIQNAME"}], "destinations": [], "artificats": [{"isValid": true, "identifier": "MPCMDRUN.EXE", "type": "FILENAME"}, {"isValid": true, "identifier": "60D88450B376694DC55EB8F40B0F79580D1DF399A7BDF", "type": "FILEHASH"}], "port": null, "outcome": null, "time": "2023-03-01T19:51:00Z", "deviceEventClassId": "Indicator of Attack", "fields": [{"isHighlight": true, "groupName": "HIGHLIGHTED FIELDS", "hideOptions": false, "items": [{"originalName": "startTime", "name": "Start Time", "value": "1680615463369"}, {"originalName": "endTime", "name": "End Time", "value": "1680615463369"}]}, {"isHighlight": false, "groupName": "Default", "hideOptions": false, "items": [{"originalName": "cid", "name": "cid", "value": "27fe4e4760b8476b2b6650e5a74"}, {"originalName": "created_timestamp", "name": "created_timestamp", "value": "2023-03-01T19:51:11.387187948Z"}........................
}

Attendi il completamento della guida pratica

Descrizione

Mette in pausa il playbook corrente finché non viene completato un altro playbook o blocco in esecuzione sullo stesso avviso.

Parametri

Parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Nome playbook	Stringa	N/D	No	Specifica il nome del blocco o del playbook che vuoi completare per primo.

Esempio

In questo scenario, mettiamo in pausa il playbook corrente finché non viene completato il "blocco di indagine" in esecuzione sullo stesso avviso.

Risultati dell'azione

Risultato script

Nome del risultato dello script	Opzioni di valore	Esempio
ScriptResult	Vero/Falso	Vero

Converti in richiesta simulata

Descrizione

Converte una richiesta in una richiesta simulata che può essere caricata nella piattaforma.

Parametri

Parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Esegui il push a Richieste simulate	Casella di controllo	Non selezionato	No	Se selezionata, la richiesta viene aggiunta all'elenco delle richieste simulate disponibili.
Salva JSON come file Case Wall	Casella di controllo	Selezionato	No	Se selezionato, un file JSON che rappresenta la richiesta viene salvato nella bacheca della richiesta per essere scaricato.
Override del nome avviso	Stringa	Vuoto	No	Specifica un nuovo nome per l'avviso da utilizzare. Se selezionato, questo parametro sostituisce il parametro Nome percorso completo.
Nome percorso completo	Casella di controllo	Non selezionato	No	Se selezionato, utilizza il nome dell'avviso come `source_product_eventtype`, ad esempio `QRadar_WinEventLog:Security_Remote fail login`. Questo parametro viene ignorato se è impostato Override Alert Name.

Esempio

In questo esempio, un caso viene convertito in un caso simulato utilizzando "Accesso rischioso" come nome dell'avviso, che verrà visualizzato come uno dei casi simulati disponibili nella schermata Home.

Risultati dell'azione

Risultato script

Nome del risultato dello script Opzioni di valore Esempio

ScriptResult Vero/Falso Vero

Risultato JSON

{
  "cases": [
    {
      "CreatorUserId": null,
      "Events": [
        {
          "_fields": {
            "BaseEventIds": "[]",
            "ParentEventId": -1,
            "DeviceProduct": "WinEventLog:Security",
            "StartTime": "1689266169689",
            "EndTime": "1689266169689"
          },
          "_rawDataFields": {
            "sourcetype": "Failed login",
            "starttime": "1689702001439",
            "endtime": "1689702001439"
          },
          "Environment": null,
          "SourceSystemName": null,
          "Extensions": []
        }
      ],
      "Environment": "default",
      "SourceSystemName": "QRadar",
      "TicketId": "de2e3913-e4d8-4060-ae2b-1c81ee64ba47",
      "Description": "This case created by SPLUNK query ",
      "DisplayId": "de2e3913-e4d8-4060-ae2b-1c81ee64ba47",
      "Reason": null,
      "Name": "Risky Sign On",
      "DeviceVendor": "WIN-24TBDNRMSVB",
      "DeviceProduct": "WinEventLog:Security",
      "StartTime": 1689702001439,
      "EndTime": 1689702001439,
      "Type": 1,
      "Priority": -1,
      "RuleGenerator": "Remote Failed login",
      "SourceGroupingIdentifier": null,
      "PlaybookTriggerKeywords": [],
      "Extensions": [
        {
          "Key": "KeyName",
          "Value": "TCS"
        }
      ],
      "Attachments": null,
      "IsTrimmed": false,
      "DataType": 1,
      "SourceType": 1,
      "SourceSystemUrl": null,
      "SourceRuleIdentifier": null,
      "SiemAlertId": null,
      "__CorrelationId": "7efd38feaea247ad9f5ea8d907e4387c"
    }
  ]
}

Job

Chiudere le richieste in base alla ricerca

Descrizione

Questo job chiuderà tutte le richieste in base a una query di ricerca. Il payload di ricerca è il payload utilizzato nella chiamata API "CaseSearchEverything". Per visualizzare un esempio di questo valore, vai a Ricerca nell'interfaccia utente e apri gli strumenti per sviluppatori. Cerca le richieste da eliminare. Cerca la chiamata API "CaseSearchEverything" in DevTools. Copia il payload JSON della richiesta POST e incollalo in "Search Payload" (Payload di ricerca). Il motivo della chiusura deve essere 0 o 1. 0 = dannoso 1 = non dannoso. Causa principale deriva da Impostazioni -> Dati richiesta -> Causa principale per chiusura richiesta.

Parametri

Parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Payload della ricerca	JSON	N/D	No	Specifica il payload JSON da cercare. Esempio: {"tags":[],"ruleGenerator":[],"caseSource":[],"stage":[],"environments":[],"assignedUsers":[],"products":[],"ports":[],"categoryOutcomes":[],"status":[],"caseIds":[],"incident":[],"importance":[],"priorities":[],"pageSize":50,"isCaseClosed":false,"title":"","startTime":"2023-01-22T00:00:00.000Z","endTime":"2023-01-22T23:59:59.999Z","requestedPage":0,"timeRangeFilter":1}
Chiudi commento	Stringa	N/D	Sì	Specifica un commento di chiusura.
Motivo chiusura	Stringa	N/D	Sì	Specifica il motivo della chiusura. 0 = dannoso, 1 = non dannoso
Causa principale	Numero intero	N/D	Sì	Specifica la causa principale. La causa principale proviene da Impostazioni -> Dati delle richieste -> Causa principale per la chiusura della richiesta.
Nome utente Chronicle SOAR	Stringa	N/D	Sì	Specifica il nome utente di Chronicle SOAR.
Password di Chronicle SOAR	Password	N/D	Sì	Specifica la password di Chronicle SOAR.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.