이 페이지는 Cloud Translation API를 통해 번역되었습니다.

도구

다음에서 지원:

Google secops SOAR

개요

플레이북 기능을 강화하기 위한 데이터 조작 유틸리티 작업 세트입니다.

작업

DNS 조회

설명

지정된 DNS 리졸버를 사용하여 DNS 조회를 실행합니다.

매개변수

매개변수	유형	기본값	필수 항목	설명
DNS 서버	IP 주소	해당 사항 없음	예	단일 또는 쉼표로 구분된 DNS 서버를 지정합니다.

예시

이 시나리오에서는 Google의 공개 DNS 주소인 8.8.8.8을 사용하여 외부 도메인 항목을 조회합니다.

작업 결과

스크립트 결과

스크립트 결과 이름 값 옵션 예시

ScriptResult True/False 참

JSON 결과

{
"Entity": "WWW.EXAMPLE.ORG",
 "EntityResult": [{"Type": "A", "Response": "176.9.157.114", "DNS Server": "8.8.8.8"}]
}

Add Or Update Alert Additional Data

설명

알림 추가 데이터의 필드를 추가하거나 업데이트합니다. 결과는 알림 개요의 'OFFENSE_ID' 필드에 표시됩니다.

매개변수

매개변수	유형	기본값	필수 항목	설명
JSON 필드	JSON	해당 사항 없음	예	자유 텍스트 (변수 하나) 또는 JSON 사전을 나타내는 문자열 (중첩 가능)을 입력할 수 있습니다.

예시

이 시나리오에서는 알림 개요에 표시될 알림에 MITRE 공격 세부정보를 추가합니다.

작업 결과

스크립트 결과

스크립트 결과 이름	값 옵션	예시
ScriptResult	사전에 있는 항목 수	2

JSON 결과

{
"dict": {"mitre": " T1059"}, "list": []
}

모든 케이스 알림에 플레이북 연결

설명

특정 플레이북 또는 차단 목록을 케이스의 모든 알림에 연결합니다.

매개변수

매개변수	유형	기본값	필수 항목	설명
플레이북 이름	문자열	해당 사항 없음	예	케이스의 모든 알림에 추가할 플레이북 또는 블록 이름을 지정합니다.

예시

이 시나리오에서는 '피싱 플레이북'이라는 플레이북을 케이스의 모든 알림에 첨부합니다.

작업 결과

스크립트 결과

스크립트 결과 이름 값 옵션 예시

ScriptResult True/False 참

알림에 플레이북 연결

설명

현재 알림에 특정 플레이북 또는 블록을 연결합니다.

매개변수

매개변수	유형	기본값	필수 항목	설명
플레이북 이름	문자열	해당 사항 없음	예	케이스의 모든 알림에 추가할 플레이북 또는 블록 이름을 지정합니다.

예시

이 시나리오에서는 케이스의 현재 알림에 'Containment Block'(차단)이라는 블록을 첨부합니다.

작업 결과

스크립트 결과

스크립트 결과 이름 값 옵션 예시

ScriptResult True/False 참

버퍼

설명

JSON 입력을 JSON 객체로 변환합니다.

매개변수

매개변수	유형	기본값	필수 항목	설명
ResultValue	문자열	해당 사항 없음	아니요	ScriptResult 값으로 반환될 자리표시자 값입니다.
JSON	JSON	해당 사항 없음	아니요	표현식 작성 도구에 표시될 JSON입니다.

예시

이 시나리오에서는 추가 작업에 사용할 JSON 입력 값이 JSON 표현식 빌더에 표시됩니다.

작업 결과

스크립트 결과

스크립트 결과 이름	값 옵션	예시
ScriptResult	ResultValue 매개변수 입력 값	성공

JSON 결과

{
"domain" : "company.com",
"domain2" : "company2.com"
}

인증서 세부정보 가져오기

설명

지정된 URL의 인증서 세부정보를 가져옵니다.

매개변수

매개변수	유형	기본값	필수 항목	설명
확인할 URL	URL	expired.badssk.com	예	인증서 세부정보를 가져올 URL을 지정합니다.

예시

이 시나리오에서는 expired.badssl.com 사이트에서 인증서 세부정보를 가져옵니다.

작업 결과

스크립트 결과

스크립트 결과 이름 값 옵션 예시

ScriptResult True/False 참

JSON 결과

{
"hostname": "expired.badssl.com",
 "ip": "104.154.89.105", 
"commonName": "*.badssl.com",
 "is_self_signed": false, 
"SAN": [["*.badssl.com", "badssl.com"]], 
"is_expired": true, 
"issuer": "EXAMPLE CA", 
"not_valid_before": "04/09/2015", 
"not_valid_after": "04/12/2015", 
"days_to_expiration": -2762
}

컨텍스트 값 가져오기

설명

케이스 또는 알림에서 컨텍스트 키의 값을 가져옵니다.

매개변수

매개변수	유형	기본값	필수 항목	설명
범위	드롭다운	알림	예	케이스, 알림 또는 전역에 있는지 여부에 따라 키 값의 범위를 지정합니다.
키	문자열	해당 사항 없음	예	키를 지정합니다.

예시

이 시나리오에서는 케이스의 impact라는 키에서 컨텍스트 값을 가져옵니다. 이 작업은 케이스 또는 알림에 키-값 쌍을 추가하는 '컨텍스트 값 설정' 작업과 함께 사용됩니다.

작업 결과

스크립트 결과

스크립트 결과 이름 값 옵션 예시

ScriptResult 컨텍스트 값 높음

이메일 템플릿 가져오기

설명

시스템의 모든 이메일 템플릿을 반환합니다.

매개변수

매개변수	유형	기본값	필수 항목	설명
템플릿 유형	드롭다운	표준	예	표준 또는 HTML 중 반환할 템플릿 유형을 지정합니다.

예시

이 시나리오에서는 모든 HTML 기반 이메일 템플릿을 반환합니다.

작업 결과

스크립트 결과

스크립트 결과 이름	값 옵션	예시
ScriptResult	HTML 코드가 포함된 JSON 결과	아래에 표시된 JSON 결과

JSON 결과

{
"templates": [{"type": 1, "name": "test 1", "content": "<html>\n    <head>\n    <style type=\"text/css\"> .title\n\n    { color: blue; text-decoration: bold; text-size: 1em; }\n    .author\n    { color: gray; }\n\n    </style>\n    </head>\n\n    <body>\n    <span class=\"title\">La super bonne</span>\n    {Text}\n    [Case.Id]\n    </h1> <br/>\n    </body>\n\n    </html>", "creatorUserName": "f00942-fa040-4422324-b2c43e-de40fdsff122b9c4", "forMigration": false, "environments": ["Default"], "id": 3, "creationTimeUnixTimeInMs": 1672054127271, "modificationTimeUnixTimeInMs": 1672054127279}]
}

Create Entities With Separator

설명

항목을 만들어 알림에 추가합니다.

매개변수

매개변수	유형	기본값	필수 항목	설명
항목 식별자	문자열	해당 사항 없음	예	알림에 추가할 항목을 지정합니다.
항목 유형	문자열	해당 사항 없음	예	항목 유형을 지정합니다.
내부용	체크박스	선택하지 않음	아니요	제공된 항목이 내부 네트워크에 속하는지 확인합니다.
항목 구분자	문자열	,	예	엔티티 식별자 필드에 사용된 구분 기호를 지정합니다.
강화 JSON	드롭다운	JSON	아니요	JSON 형식으로 풍부한 데이터를 지정합니다.
PrefixForEnrichment	문자열	해당 사항 없음	아니요	보강 데이터에 추가할 접두사를 지정합니다.

예시

이 시나리오에서는 IP 엔티티 3개를 만들고 'is_suspicious'라는 필드로 이를 보강합니다.

작업 결과

스크립트 결과

스크립트 결과 이름	값 옵션	예시
ScriptResult	True/False	참

JSON 결과

{
"created": ["0.0.0.0", "0.0.0.1", "0.0.0.2"], 
"enriched": ["0.0.0.0", "0.0.0.1", "0.0.0.2"],
"failed": []
}

케이스 설명 업데이트

설명

케이스의 설명을 업데이트합니다.

매개변수

매개변수	유형	기본값	필수 항목	설명
케이스 설명	문자열	해당 사항 없음	예	업데이트된 설명을 지정합니다.

예시

이 시나리오에서는 케이스 설명을 '이 케이스는 의심스러운 로그인과 관련이 있습니다.'로 업데이트합니다.

작업 결과

스크립트 결과

스크립트 결과 이름	값 옵션	예시
ScriptResult	True/False	참

항목 정보 보강 정규화

설명

엔티티에서 키 목록을 수신하고 이를 대체합니다.

매개변수

매개변수	유형	기본값	필수 항목	설명
정규화 데이터	JSON	해당 사항 없음	예	다음 형식 예시에 따라 JSON을 지정합니다. [ { "entity_field_name": "AT_fields_Name", "new_name": "InternalEnrichment_Name" }, { "entity_field_name": "AT_fields_Direct-Manager", "new_name": "InternalEnrichment_DirectManager_Name" }, { "entity_field_name": "AT_Manager_fields_Work-Email", "new_name": "InternalEnrichment_DirectManager_Email" } ]

예시

이 시나리오에서는 'is_bad'의 항목 키를 'malicious'로 대체합니다.

작업 결과

스크립트 결과

스크립트 결과 이름	값 옵션	예시
ScriptResult	강화된 항목 수	5

컨텍스트 값에 추가

설명

기존 컨텍스트 속성에 값을 추가하거나, 컨텍스트 속성이 없는 경우 새 컨텍스트 속성을 만들어 값을 추가합니다.

매개변수

매개변수	유형	기본값	필수 항목	설명
키	문자열	해당 사항 없음	예	컨텍스트 속성 키 지정
값	문자열	해당 사항 없음	예	컨텍스트 속성에 추가할 값을 지정합니다.
구분자	문자열	해당 사항 없음	예	값 필드에 사용된 구분 기호를 지정합니다.

예시

이 시나리오에서는 기존 'MITRE' 컨텍스트 키에 'T1595' 및 'T1140' 값을 추가합니다.

작업 결과

스크립트 결과

스크립트 결과 이름	값 옵션	예시
ScriptResult	컨텍스트 값	T1595, T1140

항목 관계 만들기

설명

제공된 항목과 연결된 항목 간의 관계를 만듭니다. 제공된 항목이 없으면 항목이 생성됩니다.

매개변수

매개변수	유형	기본값	필수 항목	설명
엔티티 식별자	문자열	해당 사항 없음	예	새 엔티티 식별자 또는 기존 엔티티 식별자를 사용하거나 쉼표로 구분된 식별자 목록을 사용합니다.
항목 식별자 유형	드롭다운	사용자 이름	예	항목 유형을 지정합니다.
다음으로 연결	드롭다운	소스	예	소스, 대상 또는 연결된 관계를 사용하여 항목 식별자를 대상 항목 식별자에 연결합니다.
대상 항목 유형	드롭다운	주소	예	항목 식별자를 연결할 타겟 항목 유형을 지정합니다.
타겟 항목 식별자	문자열	해당 사항 없음	아니요	이 쉼표로 구분된 목록의 항목은 대상 항목 유형의 유형은 항목 식별자 매개변수의 항목에 연결됩니다.
강화 JSON	JSON	해당 사항 없음	아니요	키/값 쌍을 포함하는 선택적 JSON 객체입니다. 새로 생성된 항목에 추가할 수 있는 속성의 값 쌍입니다.
구분자 문자	문자열	해당 사항 없음	아니요	항목 식별자 및/또는 타겟 항목 식별자의 항목 목록을 구분할 문자를 지정합니다. 기본값은 쉼표입니다.

예시

이 시나리오에서는 사용자와 URL 간의 관계를 만듭니다. 이 경우 Bola001이 example.com의 URL에 액세스했습니다.

작업 결과

스크립트 결과

스크립트 결과 이름	값 옵션	예시
ScriptResult	True/False	참

JSON 결과

{
"Entity": "Bola001", "EntityResult": {}
}

URL 도메인 추출

설명

추출된 도메인을 포함하는 새 필드 'siemplifytools_extracted_domain'으로 모든 항목을 보강합니다. 엔티티에 도메인이 없으면 (예: 파일 해시) 아무것도 반환하지 않습니다. 엔티티 외에도 사용자는 URL 목록을 매개변수로 지정하고 자연스럽게 풍부하게 하지 않고 처리할 수 있습니다.

매개변수

매개변수	유형	기본값	필수 항목	설명
구분자	문자열	,	예	URL을 구분하는 데 사용할 구분자 문자열을 지정합니다.
URL	문자열	해당 사항 없음	아니요	도메인을 추출할 URL을 하나 이상 지정합니다.
하위 도메인 추출	체크박스	해당 사항 없음	아니요	하위 도메인도 추출할지 지정합니다.

예시

이 시나리오에서는 지정된 URL에서 도메인을 추출합니다.

작업 결과

스크립트 결과

스크립트 결과 이름	값 옵션	예시
ScriptResult	추출된 도메인 수	1

JSON 결과

{
"Entity": "https://sample.google.com", "EntityResult": {"domain": "sample.google.com", "source_entity_type": "DestinationURL"}
}

목록 하위 집합 확인

설명

한 목록의 값이 다른 목록에 있는지 확인합니다.

매개변수

매개변수	유형	기본값	필수 항목	설명
원본	문자열	해당 사항 없음	예	확인할 항목 목록을 지정합니다. JSON 목록 또는 쉼표로 구분됩니다.
하위 집합	목록	해당 사항 없음	예	하위 집합 목록을 지정합니다. JSON 목록 또는 쉼표로 구분됩니다.

예시

이 시나리오에서는 값 1, 2, 3이 원래 목록 1, 2, 3, 4, 5에 있는지 확인하여 결과 값이 true가 됩니다.

작업 결과

스크립트 결과

스크립트 결과 이름	값 옵션	예시
ScriptResult	True/False	참

알림 점수 정보 추가

설명

알림 점수 데이터베이스에 항목을 추가합니다. 알림 점수는 비율을 기반으로 합니다. 낮음 5개 = 보통 1개 3개(보통) = 1개(높음) 높음 2개 = 매우 높음 1개 케이스에 선택적 태그가 추가되었습니다.

매개변수

매개변수	유형	기본값	필수 항목	설명
이름	문자열	해당 사항 없음	예	알림에서 실행되는 검사의 이름을 지정합니다.
설명	문자열	해당 사항 없음	예	알림에서 실행되는 확인에 대한 설명을 지정합니다.
심각도	문자열	정보 제공	예	심각도를 지정합니다.
카테고리	문자열	해당 사항 없음	예	실행된 검사의 카테고리를 지정합니다.
소스	문자열	해당 사항 없음	아니요	점수가 파생된 알림 부분을 지정합니다. 예: 파일, 사용자, 이메일
케이스 태그	문자열	해당 사항 없음	아니요	케이스에 추가할 태그를 지정합니다.

예시

이 시나리오에서는 VirusTotal의 의심스러운 결과로 인해 알림 점수를 높음으로 설정합니다.

작업 결과

스크립트 결과

스크립트 결과 이름	값 옵션	예시
Alert_score	정보, 낮음, 중간, 높음, 매우 높음	높음

JSON 결과

{
"category": "File Enrichment",
 "score_data": [{"score_name": "File Enrichment", "description": "VT has found a file to be suspicious", "severity": "High", "score": 3, "source": "VirusTotal"}],
 "category_score": 3
}

Siemplify 사용자 가져오기

설명

시스템에 구성된 모든 사용자의 목록을 반환합니다.

매개변수

매개변수	유형	기본값	필수 항목	설명
사용 중지된 사용자 숨기기	체크박스	선택됨	아니요	사용 중지된 사용자를 결과에서 숨길지 여부를 지정합니다.

예시

이 시나리오에서는 사용 중지된 사용자를 포함하여 시스템의 모든 사용자를 반환합니다.

작업 결과

스크립트 결과

스크립트 결과 이름	값 옵션	예시
ScriptResult	True/False	참

JSON 결과

{
"siemplifyUsers": [{"permissionGroup": "Admins", "socRole": "@Administrator", "isDisabled": false, "loginIdentifier": "sample@domain.com", "firstName": "John", "lastName": "Doe", "permissionType": 0, "role": 0, "socRoleId": 1, "email": "sample@domain.com", "userName": "0b3423496fc2-0834302-42f33d-8523408-18c087d2347cf1e", "imageBase64": null, "userType": 1, "identityProvider": -1, "providerName": "Internal", "advancedReportsAccess": 0, "accountState": 2, "lastLoginTime": 1679831126656, "previousLoginTime": 1678950002044, "lastPasswordChangeTime": 0, "lastPasswordChangeNotificationTime": 0, "loginWrongPasswordCount": 0, "isDeleted": false, "deletionTimeUnixTimeInMs": 0, "environments": ["*"], "id": 245, "creationTimeUnixTimeInMs": 1675457504856, "modificationTimeUnixTimeInMs": 1674957504856
}

Check Entities Fields In Text

설명

범위 내 각 항목에서 특정 필드 (또는 정규식을 사용하는 여러 필드)를 검색하고 하나 이상의 값과 비교합니다. 비교된 값은 정규식을 통과할 수도 있습니다. 엔티티 보강의 사후 정규식 값 중 하나가 검색된 하나 이상의 값에 있으면 일치하는 것으로 간주됩니다.

매개변수

매개변수	유형	기본값	필수 항목	설명
SearchInData	JSON	[ { "Data": "[Event.from]", "RegEx": "(?<=@)[^.]+(?=\\.)" } ]	예	이 형식을 사용하여 검색할 문자열을 나타내는 JSON입니다. [ { 'Data': '', 'RegEx': '' } ]
FieldsInput	JSON	[ { "RegexForFieldName": "", "FieldName": "body", "RegexForFieldValue": "" }, { "RegexForFieldName": ".(_url_).", "FieldName": "", "RegexForFieldValue": "" }, { "RegexForFieldName": "", "FieldName": "body", "RegexForFieldValue": "HostName: (.*?)" } ]	예	테스트할 필드를 설명하는 JSON입니다. [ "RegexForFieldName": “”, 'FieldName': '검색할 필드 이름', "RegexForFieldValue": “”}]
ShouldEnrichEntity	문자열	domain_matched	아니요	<VAL>로 설정하면 값과 '일치'하는 것으로 인식되도록 엔티티에 보강 값도 배치됩니다. 키는 <VAL>입니다.
IsCaseSensitive	체크박스	선택하지 않음	아니요	필드의 대소문자 구분 여부를 지정합니다.

예시

이 시나리오에서는 '악성'이라는 필드 이름이 있는 항목이 지정된 텍스트에 있는지 확인합니다.

작업 결과

스크립트 결과

스크립트 결과 이름	값 옵션	예시
ScriptResult	발견 항목 수	0

JSON 결과

{
"Entity": "EXL88765-AD", "EntityResult": [{"RegexForFieldName": "", "FieldName": "malicious", "RegexForFieldValue": "", "ResultsToSearch": {"val_to_search": [[]], "found_results": [], "num_of_results": 0}}]
}

통합 인스턴스 가져오기

설명

환경의 모든 통합 인스턴스를 반환합니다.

매개변수

해당하는 매개변수가 없습니다.

예시

이 시나리오에서는 모든 환경의 모든 통합 인스턴스가 반환됩니다.

작업 결과

스크립트 결과

스크립트 결과 이름	값 옵션	예시
ScriptResult	True/False	참

JSON 결과

{
"instances": [{"identifier": "27dee746-1857-41b7-a722-b99699b8d6c8", "integrationIdentifier": "Tools", "environmentIdentifier": "Default", "instanceName": "Tools_1", "instanceDescription": "test", "isConfigured": true, "isRemote": false, "isSystemDefault": false},{...........}]
}

지연 플레이북 V2

설명

지정된 기간 동안 플레이북이 완료되지 않도록 일시적으로 중지합니다.

매개변수

매개변수	유형	기본값	필수 항목	설명
초	정수	0	아니요	플레이북을 지연할 시간(초)을 지정합니다.
분	정수	1	아니요	플레이북을 지연할 시간(분)을 지정합니다.
시간	정수	0	아니요	플레이북을 지연할 시간(시간)을 지정합니다.
일	정수	0	아니요	플레이북을 지연할 일수를 지정합니다.
크론 표현식	문자열	해당 사항 없음	아니요	크론 표현식을 사용하여 플레이북이 진행되어야 하는 시점을 결정합니다. 다른 매개변수보다 우선순위가 높습니다.

예시

이 시나리오에서는 플레이북을 12시간 30분 동안 지연합니다.

작업 결과

스크립트 결과

스크립트 결과 이름	값 옵션	예시
ScriptResult	True/False	참

Get Original Alert Json

설명

원래 알림의 JSON 결과를 반환합니다 (원시 데이터).

매개변수

해당 매개변수 없음

예시

이 시나리오에서는 알림의 원래 원시 json이 반환됩니다.

작업 결과

스크립트 결과

스크립트 결과 이름	값 옵션	예시
ScriptResult	True/False	참

JSON 결과

{
"CreatorUserId": null, "Events": [{"_fields": {"BaseEventIds": "[]", "ParentEventId": -1, "deviceEventClassId": "IRC Connections", "DeviceProduct": "IPS_Product", "StartTime": "1667497096184", "EndTime": "1667497096184"}, "_rawDataFields": {"applicationProtocol": "TCP", "categoryOutcome": "blocked", "destinationAddress": "104.131.182.103", "destinationHostName": "www.ircnet.org", "destinationPort": "770", "destinationProcessName": "MrlCS.sob", "destinationUserName": "XWTTRYzNr1l@gmail.com", "deviceAddress": "0.0.0.0", "deviceEventClassId": "IRC Connections", "deviceHostName": "ckIYC2", "Field_24": "B0:E7:DF:6C:EF:71", "deviceProduct": "IPS_Product", "deviceVendor": "Vendor", "endTime": "1667497110906", "eventId": "0aa16009-57b4-41a3-91ed-81347442ca29", "managerReceiptTime": "1522058997000", "message": "Connection to IRC Server", "name": "IRC Connections", "severity": "8", "sourceAddress": "0.0.0.0", "sourceHostName": "jhon@domain.local", "startTime": "1667497110906", "sourcetype": "Connection to IRC Server"}, "Environment": null, "SourceSystemName": null, "Extensions": []}], "Environment": "Default", "SourceSystemName": "Arcsight", "TicketId": "fab1b5a1-637f-4aed-a94f-c63137307505", "Description": "IRC Connections", "DisplayId": "fab1b5a1-637f-4aed-a94f-c63137307505", "Reason": null, "Name": "IRC Connections", "DeviceVendor": "IPS", "DeviceProduct": "IPS_Product", "StartTime": 1667497110906, "EndTime": 1667497110906, "Type": 1, "Priority": -1, "RuleGenerator": "IRC Connections", "SourceGroupingIdentifier": null, "PlaybookTriggerKeywords": [], "Extensions": [], "Attachments": null, "IsTrimmed": false, "DataType": 1, "SourceType": 1, "SourceSystemUrl": null, "SourceRuleIdentifier": null
}

현재 시간 가져오기

설명

현재 날짜 및 시간을 반환합니다.

매개변수

매개변수	유형	기본값	필수 항목	설명
날짜/시간 형식	문자열	%d/%m/%Y %H:%M	예	날짜 및 시간 형식을 지정합니다.

예시

이 시나리오에서는 %d/%m/%Y %H:%M:%S 형식을 사용하여 날짜 및 시간 값을 반환합니다.

작업 결과

스크립트 결과

스크립트 결과 이름	값 옵션	예시
ScriptResult	날짜 시간 값	2022년 3월 11일 20시 33분 43초

알림 점수 업데이트

설명

제공된 금액만큼 알림 점수를 업데이트합니다.

매개변수

매개변수	유형	기본값	필수 항목	설명
입력	정수	해당 사항 없음	예	증가 또는 감소시킬 금액 (음수)을 지정합니다.

예시

이 시나리오에서는 알림 점수를 20점 낮춥니다.

작업 결과

스크립트 결과

스크립트 결과 이름	값 옵션	예시
ScriptResult	입력 값	-20

항목 로그에 댓글 추가

설명

Entity Explorer의 점수에 있는 각 항목의 항목 로그에 주석을 추가합니다.

매개변수

매개변수	유형	기본값	필수 항목	설명
사용자	드롭다운	@Administrator	예	댓글을 작성한 사용자를 지정합니다.
댓글	문자열	해당 사항 없음	예	엔티티 로그에 추가될 의견을 지정합니다.

예시

작업 결과

스크립트 결과

스크립트 결과 이름	값 옵션	예시
해당 사항 없음	해당 사항 없음	해당 사항 없음

플레이북 다시 첨부

설명

케이스에서 플레이북을 삭제하고, 해당 플레이북의 케이스에 있는 결과 데이터를 삭제하고, 플레이북을 다시 연결하여 다시 실행합니다. PostgreSQL 통합을 설치해야 하며, 인스턴스 이름이 Chronicle SOAR인 공유 환경으로 구성되어야 합니다. 자세한 내용은 CSM / 지원팀에 문의하세요.

매개변수

매개변수	유형	기본값	필수 항목	설명
플레이북 이름	드롭다운	해당 사항 없음	예	다시 연결할 플레이북을 지정합니다.

예시

이 시나리오에서는 attach_playbook_test라는 플레이북을 다시 연결합니다.

작업 결과

스크립트 결과

스크립트 결과 이름	값 옵션	예시
ScriptResult	True/False/PostgreSQL 통합의 Chronicle SOAR 인스턴스를 구성하세요.	참

플레이북 잠금

설명

이전 알림의 모든 플레이북이 완료될 때까지 현재 플레이북을 일시중지합니다.

매개변수

매개변수	유형	기본값	필수 항목	설명
비동기 작업 제한 시간	정수	1일	아니요	비동기 작업 제한 시간은 이 작업에 허용되는 총 시간 (모든 반복 런타임 합산)을 정의합니다.
비동기 폴링 간격	정수	1시간	아니요	비동기 작업 런타임 중 다음 폴링 시도까지의 시간을 설정하세요.

예시

이 시나리오에서는 현재 플레이북을 일시중지하고 30초마다 케이스의 이전 알림에 있는 모든 플레이북이 완료되었는지 확인합니다.

작업 결과

스크립트 결과

스크립트 결과 이름	값 옵션	예시
ScriptResult	True/False	참

First Alert 찾기

설명

지정된 케이스의 첫 번째 알림 식별자를 반환합니다.

매개변수

해당하는 매개변수가 없습니다.

예시

이 시나리오에서는 케이스의 첫 번째 알림의 알림 식별자를 반환합니다.

작업 결과

스크립트 결과

스크립트 결과 이름	값 옵션	예시
ScriptResult	알림 식별자 값	IRC CONNECTIONS9A33308C-AC62-4A41-8F73-20529895D567

유사 도메인

설명

도메인 엔티티를 환경에 정의된 도메인 목록과 비교합니다. 도메인이 유사한 경우 항목이 의심스러운 것으로 표시되고 일치하는 도메인으로 보강됩니다.

매개변수

해당 매개변수 없음

예시

이 시나리오에서는 외부 도메인 항목이 설정의 도메인 목록에 구성된 도메인과 유사한지 확인합니다.

작업 결과

스크립트 결과

스크립트 결과 이름	값 옵션	예시
look_a_like_domain_found	True/False	참

JSON 결과

{
"Entity" : {"EntityResult" : { "look_a_like_domains" : ["outlooks.com"]}}
}

케이스 이름 변경

설명

케이스 이름 또는 제목을 변경합니다.

매개변수

매개변수	유형	기본값	필수 항목	설명
새 이름	문자열	해당 사항 없음	아니요	케이스의 새 이름을 지정합니다.
첫 번째 알림인 경우에만	체크박스	선택하지 않음	아니요	선택된 경우 케이스의 첫 번째 알림에서 작업이 실행된 경우에만 케이스의 이름을 변경합니다.

예시

이 시나리오에서 케이스 제목은 첫 번째 알림에서 실행되는 경우에만 '피싱 - 의심스러운 이메일'로 변경됩니다.

작업 결과

스크립트 결과

스크립트 결과 이름	값 옵션	예시
ScriptResult	True/False	참

맞춤법 검사 문자열

설명

입력 문자열의 맞춤법을 확인합니다. 정확한 비율, 총 단어 수, 맞춤법이 틀린 단어 수, 맞춤법이 틀린 각 단어와 수정사항 목록, 수정된 입력 문자열을 출력합니다.

매개변수

매개변수	유형	기본값	필수 항목	설명
문자열	문자열	해당 사항 없음	예	맞춤법 오류를 확인할 문자열을 지정합니다.

예시

이 시나리오에서는 입력 문자열 'Testing if this is a mispelled wodr.'의 맞춤법을 검사합니다.

작업 결과

스크립트 결과

스크립트 결과 이름	값 옵션	예시
accuracy_percentage	백분율 값	71

JSON 결과

{"input_string": "Testing if this is a mispelled wodr.", "total_words": 7, "total_misspelled_words": 2, "misspelled_words": [{"misspelled_word": "mispelled", "correction": "misspelled"}, {"misspelled_word": "wodr", "correction": "word"}], "accuracy": 71, "corrected_string": "Testing if this is a misspelled word."}

검색 텍스트

설명

입력 텍스트에서 'Search For' 매개변수를 검색하거나 'Search For Regex' 목록을 순회하여 입력 텍스트에서 일치하는 항목을 찾습니다. 일치하는 항목이 있으면 작업에서 true를 반환합니다.

매개변수

매개변수	유형	기본값	필수 항목	설명
텍스트	문자열	해당 사항 없음	예	검색할 텍스트를 지정합니다.
검색	문자열	해당 사항 없음	아니요	'text' 필드에 검색할 문자열을 지정합니다.
정규식 검색	문자열	해당 사항 없음	아니요	문자열을 검색하는 데 사용될 정규식 목록입니다. 정규식은 큰따옴표로 묶어야 합니다. 쉼표로 구분된 목록을 지원합니다.
대소문자 구분	체크박스	해당 사항 없음	아니요	검색 시 대소문자를 구분할지 여부를 지정합니다.

예시

이 시나리오에서는 '텍스트' 필드 값에 '악성'이라는 단어가 있는지 확인합니다.

작업 결과

스크립트 결과

스크립트 결과 이름	값 옵션	예시
match_found	True/False	참

JSON 결과

{
"matches": [{"search": "malicious", "input": "This IOC is malicious.", "match": true}]
}

Set Context Value

설명

특정 컨텍스트에서 키와 값을 설정합니다. 이 작업은 키의 값을 가져오기 위해 '컨텍스트 값 가져오기' 작업과 함께 자주 사용됩니다.

매개변수

매개변수	유형	기본값	필수 항목	설명
값	문자열	해당 사항 없음	예	컨텍스트 값을 지정합니다.
키	문자열	해당 사항 없음	예	컨텍스트 키를 지정합니다.
범위	드롭다운	알림	예	컨텍스트 할당 범위 (Alert, Case, Global)를 지정합니다.

예시

이 시나리오에서는 'malicious' 컨텍스트 키를 'yes' 값으로 설정합니다.

작업 결과

스크립트 결과

스크립트 결과 이름	값 옵션	예시
ScriptResult	True/False	참

Siemplify 작업 만들기

설명

사용자 또는 역할에 작업을 할당합니다. 작업은 작업이 실행된 케이스와 관련됩니다.

매개변수

매개변수	유형	기본값	필수 항목	설명
할 일 제목	문자열	해당 사항 없음	아니요	작업 제목을 지정합니다.
SLA (분)	정수	480	예	할당된 사용자/역할이 작업에 응답해야 하는 시간을 분 단위로 지정합니다.
태스크 내용	문자열	해당 사항 없음	예	작업의 세부정보를 지정합니다.
할당 대상	드롭다운	해당 사항 없음	예	작업이 할당될 사용자 또는 역할을 지정합니다.

예시

이 시나리오에서는 3단계 지원팀에 바이러스 검사를 실행하라는 메시지가 표시된 작업이 생성됩니다.

작업 결과

스크립트 결과

스크립트 결과 이름	값 옵션	예시
ScriptResult	True/False	참

사용자에게 케이스 할당

설명

사용자에게 케이스를 할당합니다.

매개변수

매개변수	유형	기본값	필수 항목	설명
케이스 ID	문자열	해당 사항 없음	예	케이스 ID를 지정합니다. 현재 케이스에는 [Case.Id] 를 사용합니다.
할당 대상	문자열	@Admin	예	케이스를 할당할 사용자를 지정합니다. 사용자의 ID입니다. 'Siemplify 사용자 가져오기' 작업을 사용하여 특정 사용자의 ID를 가져옵니다.
알림 ID	문자열		예	알림 ID를 지정합니다. [Alert.Identifier]를 사용합니다.

예시

이 시나리오에서는 ID를 사용하여 현재 케이스를 특정 사용자에게 할당합니다.

작업 결과

스크립트 결과

스크립트 결과 이름	값 옵션	예시
ScriptResult	True/False	참

Get Case Data

설명

케이스의 모든 데이터를 가져와 JSON 결과를 반환합니다. 결과에는 댓글, 엔티티 정보, 통계, 실행된 플레이북, 알림 정보, 이벤트가 포함됩니다.

매개변수

매개변수	유형	기본값	필수 항목	설명
케이스 ID	정수	해당 사항 없음	아니요	조회할 케이스 ID를 지정합니다. 비워두면 현재 사례가 사용됩니다.

예시

이 시나리오에서는 현재 케이스에서 케이스 세부정보를 가져옵니다.

작업 결과

스크립트 결과

스크립트 결과 이름	값 옵션	예시
ScriptResult	True/False	참

JSON 결과

{
"wallData": [{"commentForClient": null, "comment": null, "modificationTimeUnixTimeInMsForClient": 0, "creatorUserId": "8f8er8d6-ee8b-478e-9ee592-cc27e9addda13b", "id": 6357, "type": 5, "caseId": 36902, "isFavorite": false, "modificationTimeUnixTimeInMs": 1680717397165, "creationTimeUnixTimeInMs": 1680717397165, "alertIdentifier": "SUSPICIOUS ACTIVITY991C7837-1EE9-4EEA-AE7B-975366CA2EAE"}, {"actionTriggerType": 0, "integration": "Tools", "executingUser": null, "playbookName": "New Playbook", "playbookIsInDebugMode": true, "status": 5, "actionProvider": "Scripts", "actionIdentifier": "Tools_Get Case Data_1", "actionResult": "Action started", "alertIdentifiers": ["SUSPICIOUS ACTIVITY991C7837-1EE9-4EEA-AE7B-975366CA2EAE"], "creatorUserId": null, "id": 7677, "type": 3, "caseId": 0, "isFavorite": false, "modificationTimeUnixTimeInMs": 1680717397401, "creationTimeUnixTimeInMs": 1680717397401, "alertIdentifier": null}], "alerts": [{"ticketId": "d21ebvcxzb88-35vc35-46b4-9edd08-063696d7cc092", "status": 0, "identifier": "SUSPICIOUS ACTIVITY991C7837-1EE9-4EEA-AE7B-975366CA2EAE", "hasWorkflows": true, "workflowsStatus": 1, "sourceSystemName": "CrowdStrikeFalcon", "securityEventCards": [{"caseId": 36902, "eventId": "5fde7844-0099-4c5d-a562-63e2d0deb7e5", "alertIdentifier": "SUSPICIOUS ACTIVITY991C7837-1EE9-4EEA-AE7B-975366CA2EAE", "eventName": "CustomIOAWinLowest", "product": "Falcon", "sources": [{"isValid": true, "identifier": "172.30.202.229", "type": "ADDRESS"}, {"isValid": true, "identifier": "EXLAB2019-AD", "type": "HOSTNAME"}, {"isValid": true, "identifier": "E019-AD$", "type": "USERUNIQNAME"}], "destinations": [], "artificats": [{"isValid": true, "identifier": "MPCMDRUN.EXE", "type": "FILENAME"}, {"isValid": true, "identifier": "60D88450B376694DC55EB8F40B0F79580D1DF399A7BDF", "type": "FILEHASH"}], "port": null, "outcome": null, "time": "2023-03-01T19:51:00Z", "deviceEventClassId": "Indicator of Attack", "fields": [{"isHighlight": true, "groupName": "HIGHLIGHTED FIELDS", "hideOptions": false, "items": [{"originalName": "startTime", "name": "Start Time", "value": "1680615463369"}, {"originalName": "endTime", "name": "End Time", "value": "1680615463369"}]}, {"isHighlight": false, "groupName": "Default", "hideOptions": false, "items": [{"originalName": "cid", "name": "cid", "value": "27fe4e4760b8476b2b6650e5a74"}, {"originalName": "created_timestamp", "name": "created_timestamp", "value": "2023-03-01T19:51:11.387187948Z"}........................
}

플레이북이 완료될 때까지 기다림

설명

동일한 알림에서 실행 중인 다른 플레이북 또는 블록이 완료될 때까지 현재 플레이북을 일시중지합니다.

매개변수

매개변수	유형	기본값	필수 항목	설명
플레이북 이름	문자열	해당 사항 없음	아니요	먼저 완료하려는 블록 또는 플레이북의 이름을 지정합니다.

예시

이 시나리오에서는 동일한 알림에서 실행 중인 '조사 차단'이 완료될 때까지 현재 플레이북이 일시중지됩니다.

작업 결과

스크립트 결과

스크립트 결과 이름	값 옵션	예시
ScriptResult	True/False	참

시뮬레이션된 케이스로 변환

설명

케이스를 플랫폼에 로드할 수 있는 시뮬레이션된 케이스로 변환합니다.

매개변수

매개변수	유형	기본값	필수 항목	설명
시뮬레이션 케이스로 푸시	체크박스	선택하지 않음	아니요	선택하면 케이스가 사용 가능한 시뮬레이션된 케이스 목록에 추가됩니다.
JSON을 케이스 월 파일로 저장	체크박스	선택됨	아니요	선택하면 케이스를 나타내는 JSON 파일이 다운로드할 수 있도록 케이스 월에 저장됩니다.
알림 이름 재정의	문자열	비어 있음	아니요	사용할 새 알림 이름을 지정합니다. 이 매개변수는 선택된 경우 전체 경로 이름 매개변수를 대체합니다.
전체 경로 이름	체크박스	선택하지 않음	아니요	선택한 경우 알림 이름을 `source_product_eventtype`로 사용합니다(예: `QRadar_WinEventLog:Security_Remote fail login`). 알림 이름 재정의가 설정된 경우 이 매개변수는 무시됩니다.

예시

이 예에서는 '위험한 로그인'을 알림 이름으로 사용하여 케이스가 시뮬레이션된 케이스로 변환됩니다. 이 케이스는 홈 화면에서 사용 가능한 시뮬레이션된 케이스 중 하나로 표시됩니다.

작업 결과

스크립트 결과

스크립트 결과 이름 값 옵션 예시

ScriptResult True/False 참

JSON 결과

{
  "cases": [
    {
      "CreatorUserId": null,
      "Events": [
        {
          "_fields": {
            "BaseEventIds": "[]",
            "ParentEventId": -1,
            "DeviceProduct": "WinEventLog:Security",
            "StartTime": "1689266169689",
            "EndTime": "1689266169689"
          },
          "_rawDataFields": {
            "sourcetype": "Failed login",
            "starttime": "1689702001439",
            "endtime": "1689702001439"
          },
          "Environment": null,
          "SourceSystemName": null,
          "Extensions": []
        }
      ],
      "Environment": "default",
      "SourceSystemName": "QRadar",
      "TicketId": "de2e3913-e4d8-4060-ae2b-1c81ee64ba47",
      "Description": "This case created by SPLUNK query ",
      "DisplayId": "de2e3913-e4d8-4060-ae2b-1c81ee64ba47",
      "Reason": null,
      "Name": "Risky Sign On",
      "DeviceVendor": "WIN-24TBDNRMSVB",
      "DeviceProduct": "WinEventLog:Security",
      "StartTime": 1689702001439,
      "EndTime": 1689702001439,
      "Type": 1,
      "Priority": -1,
      "RuleGenerator": "Remote Failed login",
      "SourceGroupingIdentifier": null,
      "PlaybookTriggerKeywords": [],
      "Extensions": [
        {
          "Key": "KeyName",
          "Value": "TCS"
        }
      ],
      "Attachments": null,
      "IsTrimmed": false,
      "DataType": 1,
      "SourceType": 1,
      "SourceSystemUrl": null,
      "SourceRuleIdentifier": null,
      "SiemAlertId": null,
      "__CorrelationId": "7efd38feaea247ad9f5ea8d907e4387c"
    }
  ]
}

작업

검색을 기반으로 케이스 종료

설명

이 작업은 검색어를 기반으로 모든 케이스를 종료합니다. 검색 페이로드는 'CaseSearchEverything' API 호출에 사용되는 페이로드입니다. 이 값의 예를 확인하려면 UI에서 검색으로 이동하여 개발자 도구를 엽니다. 삭제할 케이스를 검색합니다. DevTools에서 'CaseSearchEverything' API 호출을 찾습니다. POST 요청의 JSON 페이로드를 복사하여 '페이로드 검색'에 붙여넣습니다. 종료 이유는 0 또는 1이어야 합니다. 0 = 악성 1 = 악성이 아님 근본 원인은 설정 -> 케이스 데이터 -> 케이스 종료 근본 원인에서 가져옵니다.

매개변수

매개변수	유형	기본값	필수 항목	설명
검색 페이로드	JSON	해당 사항 없음	아니요	검색할 JSON 페이로드를 지정합니다. 예: {"tags":[],"ruleGenerator":[],"caseSource":[],"stage":[],"environments":[],"assignedUsers":[],"products":[],"ports":[],"categoryOutcomes":[],"status":[],"caseIds":[],"incident":[],"importance":[],"priorities":[],"pageSize":50,"isCaseClosed":false,"title":"","startTime":"2023-01-22T00:00:00.000Z","endTime":"2023-01-22T23:59:59.999Z","requestedPage":0,"timeRangeFilter":1}
의견 닫기	문자열	해당 사항 없음	예	종료 의견을 지정합니다.
종료 이유	문자열	해당 사항 없음	예	폐쇄 사유를 지정합니다. 0 = 악성, 1 = 악성 아님
근본 원인	정수	해당 사항 없음	예	근본 원인을 지정합니다. 근본 원인은 설정 -> 케이스 데이터 -> 케이스 종료 근본 원인에서 가져옵니다.
Chronicle SOAR 사용자 이름	문자열	해당 사항 없음	예	Chronicle SOAR 사용자 이름을 지정합니다.
Chronicle SOAR 비밀번호	비밀번호	해당 사항 없음	예	Chronicle SOAR 비밀번호를 지정합니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.