Esta página foi traduzida pela API Cloud Translation.

Ferramentas

Compatível com:

Google secops SOAR

Overview

Um conjunto de ações de utilidade para a manipulação de dados que melhoram as capacidades dos manuais de soluções.

Ações

Procura de DNS

Descrição

Executa uma procura de DNS através de um resolvedor de DNS especificado.

Parâmetros

Parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Servidor DNS	Endereço IP	N/A	Sim	Especifique um único servidor DNS ou vários separados por vírgulas.

Exemplo

Neste cenário, estamos a usar o endereço DNS público da Google de 8.8.8.8 para procurar entidades de domínio externas.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
ScriptResult	Verdadeiro/Falso	True

Resultado JSON

{
"Entity": "WWW.EXAMPLE.ORG",
 "EntityResult": [{"Type": "A", "Response": "176.9.157.114", "DNS Server": "8.8.8.8"}]
}

Add Or Update Alert Additional Data

Descrição

Adiciona ou atualiza campos nos dados adicionais do alerta. Os resultados são apresentados num campo denominado "OFFENSE_ID" na vista geral de alertas.

Parâmetros

Parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Campos JSON	JSON	N/A	Sim	Pode introduzir texto livre (para uma variável), uma string que represente um dicionário JSON (pode ser aninhado)

Exemplo

Neste cenário, estamos a adicionar detalhes do ataque MITRE aos alertas que serão apresentados na vista geral de alertas.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
ScriptResult	Número de itens no dicionário	2

Resultado JSON

{
"dict": {"mitre": " T1059"}, "list": []
}

Anexe o guia interativo a todos os alertas de registos

Descrição

Anexa um manual de procedimentos ou um bloco específico a todos os alertas num registo.

Parâmetros

Parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Nome do guia interativo	String	N/A	Sim	Especifique o nome do manual de procedimentos ou do bloco que vai ser adicionado a todos os alertas num registo.

Exemplo

Neste cenário, anexamos um guia interativo denominado "Guia interativo de phishing" a todos os alertas num registo.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
ScriptResult	Verdadeiro/Falso	True

Anexe um guia interativo ao alerta

Descrição

Anexa um manual de procedimentos ou um bloqueio específico ao alerta atual.

Parâmetros

Parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Nome do guia interativo	String	N/A	Sim	Especifique o nome do manual de procedimentos ou do bloco que vai ser adicionado a todos os alertas num registo.

Exemplo

Neste cenário, anexamos um bloco denominado "Bloco de contenção" aos alertas atuais no registo.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
ScriptResult	Verdadeiro/Falso	True

Buffer

Descrição

Converter uma entrada JSON num objeto JSON.

Parâmetros

Parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
ResultValue	String	N/A	Não	Valor do marcador de posição que vai ser devolvido como o valor ScriptResult.
JSON	JSON	N/A	Não	JSON que é apresentado no criador de expressões.

Exemplo

Neste cenário, o valor de entrada JSON é apresentado no criador de expressões JSON para ser usado em ações adicionais.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
ScriptResult	Valor de entrada do parâmetro ResultValue	êxito

Resultado JSON

{
"domain" : "company.com",
"domain2" : "company2.com"
}

Obtenha detalhes do certificado

Descrição

Obtém os detalhes do certificado de um determinado URL.

Parâmetros

Parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
URL a verificar	URL	expired.badssk.com	Sim	Especifique o URL a partir do qual quer obter os detalhes do certificado.

Exemplo

Neste cenário, estamos a obter detalhes do certificado do site expired.badssl.com.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
ScriptResult	Verdadeiro/Falso	True

Resultado JSON

{
"hostname": "expired.badssl.com",
 "ip": "104.154.89.105", 
"commonName": "*.badssl.com",
 "is_self_signed": false, 
"SAN": [["*.badssl.com", "badssl.com"]], 
"is_expired": true, 
"issuer": "EXAMPLE CA", 
"not_valid_before": "04/09/2015", 
"not_valid_after": "04/12/2015", 
"days_to_expiration": -2762
}

Get Context Value

Descrição

Obtém um valor de uma chave de contexto num registo ou num alerta.

Parâmetros

Parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Âmbito	Menu pendente	Alerta	Sim	Especifique o âmbito das chaves-valores, quer seja num registo, num alerta ou global.
Chave	String	N/A	Sim	Especifique a chave.

Exemplo

Neste cenário, estamos a obter um valor de contexto de uma chave denominada impact num caso. Esta ação é usada juntamente com a ação "Definir valor de contexto" que adiciona os pares de chave-valor ao registo ou alerta.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
ScriptResult	Valor do contexto	Alto

Obtenha modelos de email

Descrição

Devolve todos os modelos de email no sistema.

Parâmetros

Parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Tipo de modelo	Menu pendente	Standard	Sim	Especifique o tipo de modelo a devolver, quer seja padrão ou HTML.

Exemplo

Neste cenário, estamos a devolver todos os modelos de email baseados em HTML.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
ScriptResult	Resultado JSON com código HTML	Resultado JSON apresentado abaixo

Resultado JSON

{
"templates": [{"type": 1, "name": "test 1", "content": "<html>\n    <head>\n    <style type=\"text/css\"> .title\n\n    { color: blue; text-decoration: bold; text-size: 1em; }\n    .author\n    { color: gray; }\n\n    </style>\n    </head>\n\n    <body>\n    <span class=\"title\">La super bonne</span>\n    {Text}\n    [Case.Id]\n    </h1> <br/>\n    </body>\n\n    </html>", "creatorUserName": "f00942-fa040-4422324-b2c43e-de40fdsff122b9c4", "forMigration": false, "environments": ["Default"], "id": 3, "creationTimeUnixTimeInMs": 1672054127271, "modificationTimeUnixTimeInMs": 1672054127279}]
}

Crie entidades com separador

Descrição

Cria entidades e adiciona-as ao alerta.

Parâmetros

Parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Identificadores de entidades	String	N/A	Sim	Especifique a entidade ou as entidades a adicionar ao alerta.
Tipo de entidade	String	N/A	Sim	Especifique o tipo de entidade.
É interno	Caixa de verificação	Não selecionado	Não	Verifique se a entidade fornecida faz parte de uma rede interna.
Separador de entidades	String	,	Sim	Especifique o delimitador usado no campo de identificadores de entidades.
JSON de enriquecimento	Menu pendente	JSON	Não	Especifique os dados de enriquecimento no formato JSON.
PrefixForEnrichment	String	N/A	Não	Especifique o prefixo a adicionar aos dados de enriquecimento.

Exemplo

Neste cenário, estamos a criar três entidades de IP e a enriquecê-las com um campo denominado "is_suspicious".

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
ScriptResult	Verdadeiro/Falso	True

Resultado JSON

{
"created": ["0.0.0.0", "0.0.0.1", "0.0.0.2"], 
"enriched": ["0.0.0.0", "0.0.0.1", "0.0.0.2"],
"failed": []
}

Atualize a descrição do registo

Descrição

Atualiza a descrição de um registo.

Parâmetros

Parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Descrição do registo	String	N/A	Sim	Especifique a descrição atualizada.

Exemplo

Neste cenário, estamos a atualizar a descrição do registo para "Este registo está relacionado com inícios de sessão suspeitos".

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
ScriptResult	Verdadeiro/Falso	True

Normalizar o enriquecimento de entidades

Descrição

Recebe uma lista de chaves da entidade e substitui-as.

Parâmetros

Parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Dados de normalização	JSON	N/A	Sim	Especifique o JSON no seguinte exemplo de formato: [ { "entity_field_name": "AT_fields_Name", "new_name": "InternalEnrichment_Name" }, { "entity_field_name": "AT_fields_Direct-Manager", "new_name": "InternalEnrichment_DirectManager_Name" }, { "entity_field_name": "AT_Manager_fields_Work-Email", "new_name": "InternalEnrichment_DirectManager_Email" } ]

Exemplo

Neste cenário, estamos a substituir a chave da entidade "is_bad" por "malicious".

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
ScriptResult	Número de entidades enriquecidas	5

Anexar ao valor de contexto

Descrição

Anexa um valor a uma propriedade de contexto existente ou cria uma nova propriedade de contexto se não existir e adiciona o valor.

Parâmetros

Parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Chave	String	N/A	Sim	Especifique a chave da propriedade de contexto
Valor	String	N/A	Sim	Especifique o valor a anexar à propriedade de contexto
Delimitador	String	N/A	Sim	Especifique o delimitador usado no campo de valor.

Exemplo

Neste cenário, estamos a adicionar os valores "T1595" e "T1140" a uma chave de contexto existente de "MITRE".

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
ScriptResult	Valores de contexto	T1595 e T1140

Crie relações entre entidades

Descrição

Cria uma relação entre as entidades fornecidas e as entidades associadas. Se as entidades fornecidas não existirem, são criadas.

Parâmetros

Parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Identificadores de entidades	String	N/A	Sim	Crie novos identificadores de entidades ou use identificadores de entidades existentes, ou uma lista de identificadores separados por vírgulas.
Tipo de identificadores de entidades	Menu pendente	Nome de utilizador	Sim	Especifique o tipo de entidade.
Associar como	Menu pendente	Origem	Sim	Associe identificadores de entidades através de relações de origem, destino ou associadas aos identificadores de entidades de destino.
Tipo de entidade de destino	Menu pendente	Endereço	Sim	Especifique o tipo de entidade de destino para associar os identificadores de entidades.
Identificadores de entidades de destino	String	N/A	Não	Entidades nesta lista separada por vírgulas de o tipo de Target Entity Type, vai ser associado às entidades no parâmetro Entities Identifier(s).
JSON de enriquecimento	JSON	N/A	Não	Um objeto JSON opcional que contém a chave / pares de valor de atributos que podem ser adicionados às entidades criadas recentemente.
Caráter separador	String	N/A	Não	Especifique o caráter para separar a lista de entidades em identificadores de entidades e/ou identificadores de entidades de destino. A predefinição é a vírgula.

Exemplo

Neste cenário, estamos a criar uma relação entre um utilizador e um URL. Neste caso, Bola001 acedeu a um URL de example.com.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
ScriptResult	Verdadeiro/Falso	True

Resultado JSON

{
"Entity": "Bola001", "EntityResult": {}
}

Extrair domínio do URL

Descrição

Enriquece todas as entidades com um novo campo "siemplifytools_extracted_domain" que contém o domínio extraído do identificador da entidade. Se a entidade não tiver um domínio (por exemplo, o hash do ficheiro), não é devolvido nada. Além das entidades, o utilizador pode especificar uma lista de URLs como parâmetro e processá-los sem enriquecer, naturalmente.

Parâmetros

Parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Separador	String	,	Sim	Especifique a string separadora a usar para separar URLs.
URLs	String	N/A	Não	Especifique um ou mais URLs a partir dos quais extrair o domínio.
Extrair subdomínio	Caixa de verificação	N/A	Não	Especifique se também quer extrair o subdomínio.

Exemplo

Neste cenário, estamos a extrair o domínio do URL especificado.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
ScriptResult	Número de domínios extraídos	1

Resultado JSON

{
"Entity": "https://sample.google.com", "EntityResult": {"domain": "sample.google.com", "source_entity_type": "DestinationURL"}
}

Check List Subset

Descrição

Verifica se os valores numa lista existem noutra lista.

Parâmetros

Parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Original	String	N/A	Sim	Especifique a lista de itens a verificar. Lista JSON ou separada por vírgulas.
Subconjunto	Lista	N/A	Sim	Especifique a lista de subconjuntos. Lista JSON ou separada por vírgulas.

Exemplo

Neste cenário, estamos a verificar se os valores 1, 2 e 3 existem na lista original de 1, 2, 3, 4 e 5, o que resulta num valor de resultado verdadeiro.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
ScriptResult	Verdadeiro/Falso	True

Adicione informações de classificação de alertas

Descrição

Adiciona uma entrada à base de dados de pontuação de alertas. A pontuação de alerta baseia-se na relação: 5 baixo = 1 médio. 3 Médio = 1 Elevado. 2 Alta = 1 Crítica. Opcional etiqueta adicionada ao registo.

Parâmetros

Parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Nome	String	N/A	Sim	Especifique o nome da verificação que está a ser realizada no alerta.
Descrição	String	N/A	Sim	Especifique a descrição da verificação que está a ser realizada no alerta.
Gravidade	String	Informativas	Sim	Especifique a gravidade.
Categoria	String	N/A	Sim	Especifique a categoria da verificação que foi realizada.
Origem	String	N/A	Não	Especifique a parte do alerta a partir da qual a pontuação foi derivada. Exemplo: Ficheiros, utilizador, email.
Etiqueta do registo	String	N/A	Não	Especifique as etiquetas a adicionar ao registo.

Exemplo

Neste cenário, estamos a definir a pontuação do alerta como elevada devido a um resultado suspeito do VirusTotal.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
Alert_score	Informativo, baixo, médio, elevado, crítico	Alto

Resultado JSON

{
"category": "File Enrichment",
 "score_data": [{"score_name": "File Enrichment", "description": "VT has found a file to be suspicious", "severity": "High", "score": 3, "source": "VirusTotal"}],
 "category_score": 3
}

Get Siemplify Users

Descrição

Devolve uma lista de todos os utilizadores configurados no sistema.

Parâmetros

Parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Oculte utilizadores desativados	Caixa de verificação	Selecionado	Não	Especifique se quer ocultar os utilizadores desativados dos resultados.

Exemplo

Neste cenário, estamos a devolver todos os utilizadores no sistema, incluindo utilizadores desativados.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
ScriptResult	Verdadeiro/Falso	True

Resultado JSON

{
"siemplifyUsers": [{"permissionGroup": "Admins", "socRole": "@Administrator", "isDisabled": false, "loginIdentifier": "sample@domain.com", "firstName": "John", "lastName": "Doe", "permissionType": 0, "role": 0, "socRoleId": 1, "email": "sample@domain.com", "userName": "0b3423496fc2-0834302-42f33d-8523408-18c087d2347cf1e", "imageBase64": null, "userType": 1, "identityProvider": -1, "providerName": "Internal", "advancedReportsAccess": 0, "accountState": 2, "lastLoginTime": 1679831126656, "previousLoginTime": 1678950002044, "lastPasswordChangeTime": 0, "lastPasswordChangeNotificationTime": 0, "loginWrongPasswordCount": 0, "isDeleted": false, "deletionTimeUnixTimeInMs": 0, "environments": ["*"], "id": 245, "creationTimeUnixTimeInMs": 1675457504856, "modificationTimeUnixTimeInMs": 1674957504856
}

Verificar campos de entidades no texto

Descrição

Pesquise um campo específico de cada entidade no âmbito (ou vários campos usando regex) e compare-o com um ou mais valores. Os valores comparados também podem passar por regex. É encontrada uma correspondência se um dos valores regex de publicação do enriquecimento de entidades estiver em um ou mais valores pesquisados.

Parâmetros

Parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
SearchInData	JSON	[ { "Data": "[Event.from]", "RegEx": "(?<=@)[^.]+(?=\\.)" } ]	Sim	JSON que representa as strings nas quais quer pesquisar através deste formato: [ { "Data": "", "RegEx": "" } ]
FieldsInput	JSON	[ { "RegexForFieldName": "", "FieldName": "body", "RegexForFieldValue": "" }, { "RegexForFieldName": ".(_url_).", "FieldName": "", "RegexForFieldValue": "" }, { "RegexForFieldName": "", "FieldName": "body", "RegexForFieldValue": "HostName: (.*?)" } ]	Sim	Um JSON que descreve que campos devem ser testados para [ "RegexForFieldName": “”, "FieldName": "Nome do campo a pesquisar", "RegexForFieldValue": “”}]
ShouldEnrichEntity	String	domain_matched	Não	Se for definido como <VAL>, também coloca um valor de enriquecimento na entidade a ser reconhecida como "correspondente" ao valor. A chave vai ser <VAL>
IsCaseSensitive	Caixa de verificação	Não selecionado	Não	Especifique se o campo é sensível a maiúsculas e minúsculas.

Exemplo

Neste cenário, estamos a verificar se existe uma entidade com o nome do campo "malicioso" no texto especificado.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
ScriptResult	Número de resultados	0

Resultado JSON

{
"Entity": "EXL88765-AD", "EntityResult": [{"RegexForFieldName": "", "FieldName": "malicious", "RegexForFieldValue": "", "ResultsToSearch": {"val_to_search": [[]], "found_results": [], "num_of_results": 0}}]
}

Obtenha instâncias de integração

Descrição

Devolve todas as instâncias de integração de um ambiente.

Parâmetros

Nenhum parâmetro aplicável.

Exemplo

Neste cenário, são devolvidas todas as instâncias de integração em todos os ambientes.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
ScriptResult	Verdadeiro/Falso	True

Resultado JSON

{
"instances": [{"identifier": "27dee746-1857-41b7-a722-b99699b8d6c8", "integrationIdentifier": "Tools", "environmentIdentifier": "Default", "instanceName": "Tools_1", "instanceDescription": "test", "isConfigured": true, "isRemote": false, "isSystemDefault": false},{...........}]
}

Guia interativo de atrasos V2

Descrição

Interrompe temporariamente a conclusão de um manual durante um período especificado.

Parâmetros

Parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Segundos	Número inteiro	0	Não	Especifique o número de segundos de atraso do livro de jogadas.
Minutos	Número inteiro	1	Não	Especifique o número de minutos de atraso do manual de estratégias.
Horas	Número inteiro	0	Não	Especifique o número de horas para atrasar o livro de jogadas.
Dias	Número inteiro	0	Não	Especifique o número de dias de atraso do manual de procedimentos.
Expressão cron	String	N/A	Não	Determina quando o manual de soluções deve avançar através de uma expressão cron. Vai ter prioridade sobre os outros parâmetros.

Exemplo

Neste cenário, estamos a atrasar o manual em 12 horas e meia.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
ScriptResult	Verdadeiro/Falso	True

Get Original Alert Json

Descrição

Devolve o resultado JSON do alerta original (dados não processados).

Parâmetros

Nenhum parâmetro aplicável

Exemplo

Neste cenário, é devolvido o JSON não processado original do alerta.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
ScriptResult	Verdadeiro/Falso	True

Resultado JSON

{
"CreatorUserId": null, "Events": [{"_fields": {"BaseEventIds": "[]", "ParentEventId": -1, "deviceEventClassId": "IRC Connections", "DeviceProduct": "IPS_Product", "StartTime": "1667497096184", "EndTime": "1667497096184"}, "_rawDataFields": {"applicationProtocol": "TCP", "categoryOutcome": "blocked", "destinationAddress": "104.131.182.103", "destinationHostName": "www.ircnet.org", "destinationPort": "770", "destinationProcessName": "MrlCS.sob", "destinationUserName": "XWTTRYzNr1l@gmail.com", "deviceAddress": "0.0.0.0", "deviceEventClassId": "IRC Connections", "deviceHostName": "ckIYC2", "Field_24": "B0:E7:DF:6C:EF:71", "deviceProduct": "IPS_Product", "deviceVendor": "Vendor", "endTime": "1667497110906", "eventId": "0aa16009-57b4-41a3-91ed-81347442ca29", "managerReceiptTime": "1522058997000", "message": "Connection to IRC Server", "name": "IRC Connections", "severity": "8", "sourceAddress": "0.0.0.0", "sourceHostName": "jhon@domain.local", "startTime": "1667497110906", "sourcetype": "Connection to IRC Server"}, "Environment": null, "SourceSystemName": null, "Extensions": []}], "Environment": "Default", "SourceSystemName": "Arcsight", "TicketId": "fab1b5a1-637f-4aed-a94f-c63137307505", "Description": "IRC Connections", "DisplayId": "fab1b5a1-637f-4aed-a94f-c63137307505", "Reason": null, "Name": "IRC Connections", "DeviceVendor": "IPS", "DeviceProduct": "IPS_Product", "StartTime": 1667497110906, "EndTime": 1667497110906, "Type": 1, "Priority": -1, "RuleGenerator": "IRC Connections", "SourceGroupingIdentifier": null, "PlaybookTriggerKeywords": [], "Extensions": [], "Attachments": null, "IsTrimmed": false, "DataType": 1, "SourceType": 1, "SourceSystemUrl": null, "SourceRuleIdentifier": null
}

Get Current Time

Descrição

Devolve a data e a hora atuais.

Parâmetros

Parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Formato de data/hora	String	%d/%m/%Y %H:%M	Sim	Especifique o formato da data e hora.

Exemplo

Neste cenário, estamos a devolver um valor de data e hora com o seguinte formato: %d/%m/%Y %H:%M:%S

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
ScriptResult	Valor de data/hora	03/11/2022 20:33:43

Atualize a pontuação de alerta

Descrição

Atualiza a pontuação do alerta pelo valor indicado.

Parâmetros

Parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Entrada	Número inteiro	N/A	Sim	Especifique o valor pelo qual quer aumentar ou diminuir (número negativo).

Exemplo

Neste cenário, estamos a diminuir a pontuação de alerta em 20.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
ScriptResult	Valor de entrada	-20

Adicionar comentário ao registo de entidades

Descrição

Adiciona um comentário ao registo de entidades para cada entidade na pontuação no explorador de entidades.

Parâmetros

Parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Utilizador	Menu pendente	@Administrator	Sim	Especifique o utilizador que criou o comentário.
Comentário	String	N/A	Sim	Especifique o comentário que vai ser adicionado ao registo da entidade.

Exemplo

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
N/A	N/A	N/A

Voltar a anexar o guia interativo

Descrição

Remove um plano de ação de um registo, elimina todos os dados de resultados no registo desse plano de ação e volta a anexar o plano de ação para que seja executado novamente. Requer a instalação da integração do PostgreSQL, configurada para o ambiente partilhado com um nome de instância do Chronicle SOAR. Consulte o CSM / apoio técnico para ver detalhes adicionais.

Parâmetros

Parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Nome do guia interativo	Menu pendente	N/A	Sim	Especifique o guia interativo a voltar a anexar.

Exemplo

Neste cenário, estamos a voltar a anexar um guia interativo denominado attach_playbook_test

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
ScriptResult	Verdadeiro/Falso/Configure a instância do Chronicle SOAR da integração do PostgreSQL.	True

Playbook de bloqueio

Descrição

Pausa o livro de regras atual até que todos os livros de regras do alerta anterior sejam concluídos.

Parâmetros

Parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Tempo limite da ação assíncrona	Números inteiros	1 dia	Não	O limite de tempo para ações assíncronas define o tempo total permitido para esta ação (soma o tempo de execução de todas as iterações)
Intervalo de sondagem assíncrona	Números inteiros	1 hora	Não	Defina a duração entre cada tentativa de sondagem durante um tempo de execução de ação assíncrona.

Exemplo

Neste cenário , estamos a pausar o guia interativo atual e a verificar a cada 30 segundos se todos os guias interativos no alerta anterior no registo estão concluídos.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
ScriptResult	Verdadeiro/Falso	True

Find First Alert

Descrição

Devolve o identificador do primeiro alerta num determinado registo.

Parâmetros

Nenhum parâmetro aplicável.

Exemplo

Neste cenário, está a devolver o identificador do alerta do primeiro alerta no registo.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
ScriptResult	Valor do identificador de alerta	IRC CONNECTIONS9A33308C-AC62-4A41-8F73-20529895D567

Domínios semelhantes

Descrição

Compara as entidades de domínio com a lista de domínios definida para o ambiente. Se os domínios forem semelhantes, a entidade é marcada como suspeita e enriquecida com o domínio correspondente.

Parâmetros

Nenhum parâmetro aplicável

Exemplo

Neste cenário, verificamos se as entidades de domínio externas são semelhantes aos domínios configurados na lista de domínios nas definições.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
look_a_like_domain_found	Verdadeiro/Falso	True

Resultado JSON

{
"Entity" : {"EntityResult" : { "look_a_like_domains" : ["outlooks.com"]}}
}

Altere o nome do registo

Descrição

Altera o nome ou o título de um registo.

Parâmetros

Parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Novo nome	String	N/A	Não	Especifique o novo nome do registo.
Apenas se for o primeiro alerta	Caixa de verificação	Não selecionado	Não	Se esta opção estiver selecionada, só altera o nome do registo se a ação tiver sido executada no primeiro alerta do registo.

Exemplo

Neste cenário, o título de um registo é alterado para "Phishing - Email suspeito" apenas se for executado no primeiro alerta.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
ScriptResult	Verdadeiro/Falso	True

Spell Check String

Descrição

Verifique a ortografia da string de entrada. Vai gerar a percentagem de precisão, o total de palavras, a quantidade de palavras com erros ortográficos, a lista de cada palavra com erro ortográfico e a correção, bem como uma versão corrigida da string de entrada.

Parâmetros

Parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
String	String	N/A	Sim	Especifique a string que vai ser verificada quanto a erros ortográficos.

Exemplo

Neste cenário, estamos a verificar a ortografia da string de entrada "Testing if this is a mispelled wodr.".

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
accuracy_percentage	Valor percentual	71

Resultado JSON

{"input_string": "Testing if this is a mispelled wodr.", "total_words": 7, "total_misspelled_words": 2, "misspelled_words": [{"misspelled_word": "mispelled", "correction": "misspelled"}, {"misspelled_word": "wodr", "correction": "word"}], "accuracy": 71, "corrected_string": "Testing if this is a misspelled word."}

Pesquisar texto

Descrição

Pesquise o parâmetro "Search For" no texto de entrada ou percorra a lista "Search For Regex" e encontre correspondências no texto de entrada. Se existir uma correspondência, a ação devolve true.

Parâmetros

Parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Texto	String	N/A	Sim	Especifique o texto que vai ser pesquisado.
Pesquisar	String	N/A	Não	Especifique a string a pesquisar no campo "text" (texto).
Pesquisar por regex	String	N/A	Não	Lista de expressões regulares que vão ser usadas para pesquisar a string. O regex deve estar entre aspas duplas. Suporta listas delimitadas por vírgulas.
Sensível a maiúsculas e minúsculas	Caixa de verificação	N/A	Não	Especifique se a pesquisa deve ser sensível a maiúsculas e minúsculas.

Exemplo

Neste cenário, estamos a verificar se a palavra "malicioso" existe no valor do campo "Texto".

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
match_found	Verdadeiro/Falso	True

Resultado JSON

{
"matches": [{"search": "malicious", "input": "This IOC is malicious.", "match": true}]
}

Defina o valor do contexto

Descrição

Define uma chave e um valor num contexto específico. Esta ação é frequentemente usada com a ação "Obter valor do contexto" para obter o valor da chave.

Parâmetros

Parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Valor	String	N/A	Sim	Especifique o valor do contexto.
Chave	String	N/A	Sim	Especifique a chave de contexto.
Âmbito	Menu pendente	Alerta	Sim	Especifique o âmbito da atribuição de contexto (alerta, registo ou global).

Exemplo

Neste cenário, estamos a definir uma chave de contexto de "malicioso" para o valor "sim".

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
ScriptResult	Verdadeiro/Falso	True

Crie uma tarefa do Siemplify

Descrição

Atribui uma tarefa a um utilizador ou uma função. A tarefa vai estar relacionada com o registo no qual a ação foi executada.

Parâmetros

Parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Título da tarefa	String	N/A	Não	Especifique o título da tarefa.
ANS (em minutos)	Número inteiro	480	Sim	Especifique o tempo em minutos que o utilizador/função atribuído tem para responder à tarefa.
Conteúdo da tarefa	String	N/A	Sim	Especifique os detalhes da tarefa.
Atribuir a	Menu pendente	N/A	Sim	Especifique o utilizador ou a função à qual a tarefa vai ser atribuída.

Exemplo

Neste cenário, é criada uma tarefa que indica ao nível 3 para executar uma análise de vírus.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
ScriptResult	Verdadeiro/Falso	True

Assign Case To User

Descrição

Atribui um registo a um utilizador.

Parâmetros

Parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
ID do registo	String	N/A	Sim	Especifique o ID do registo. Use [Case.Id] para o registo de incidente atual.
Atribuir a	String	@Admin	Sim	Especifique o utilizador ao qual atribuir um registo. Este é o ID do utilizador. Use a ação "Get Siemplify Users" para obter o ID de um utilizador específico.
ID do alerta	String		Sim	Especifique o ID do alerta. Use [Alert.Identifier].

Exemplo

Neste cenário, estamos a atribuir o registo atual a um utilizador específico através do respetivo ID.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
ScriptResult	Verdadeiro/Falso	True

Obtenha dados de registos

Descrição

Obtém todos os dados de um registo e devolve um resultado JSON. O resultado inclui comentários, informações de entidades, estatísticas, manuais de procedimentos executados, informações de alertas e eventos.

Parâmetros

Parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
ID do registo	Número inteiro	N/A	Não	Especifique o ID do registo para consultar. Se for deixado em branco, é usado o caso atual.

Exemplo

Neste cenário, estamos a obter os detalhes do registo do registo atual.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
ScriptResult	Verdadeiro/Falso	True

Resultado JSON

{
"wallData": [{"commentForClient": null, "comment": null, "modificationTimeUnixTimeInMsForClient": 0, "creatorUserId": "8f8er8d6-ee8b-478e-9ee592-cc27e9addda13b", "id": 6357, "type": 5, "caseId": 36902, "isFavorite": false, "modificationTimeUnixTimeInMs": 1680717397165, "creationTimeUnixTimeInMs": 1680717397165, "alertIdentifier": "SUSPICIOUS ACTIVITY991C7837-1EE9-4EEA-AE7B-975366CA2EAE"}, {"actionTriggerType": 0, "integration": "Tools", "executingUser": null, "playbookName": "New Playbook", "playbookIsInDebugMode": true, "status": 5, "actionProvider": "Scripts", "actionIdentifier": "Tools_Get Case Data_1", "actionResult": "Action started", "alertIdentifiers": ["SUSPICIOUS ACTIVITY991C7837-1EE9-4EEA-AE7B-975366CA2EAE"], "creatorUserId": null, "id": 7677, "type": 3, "caseId": 0, "isFavorite": false, "modificationTimeUnixTimeInMs": 1680717397401, "creationTimeUnixTimeInMs": 1680717397401, "alertIdentifier": null}], "alerts": [{"ticketId": "d21ebvcxzb88-35vc35-46b4-9edd08-063696d7cc092", "status": 0, "identifier": "SUSPICIOUS ACTIVITY991C7837-1EE9-4EEA-AE7B-975366CA2EAE", "hasWorkflows": true, "workflowsStatus": 1, "sourceSystemName": "CrowdStrikeFalcon", "securityEventCards": [{"caseId": 36902, "eventId": "5fde7844-0099-4c5d-a562-63e2d0deb7e5", "alertIdentifier": "SUSPICIOUS ACTIVITY991C7837-1EE9-4EEA-AE7B-975366CA2EAE", "eventName": "CustomIOAWinLowest", "product": "Falcon", "sources": [{"isValid": true, "identifier": "172.30.202.229", "type": "ADDRESS"}, {"isValid": true, "identifier": "EXLAB2019-AD", "type": "HOSTNAME"}, {"isValid": true, "identifier": "E019-AD$", "type": "USERUNIQNAME"}], "destinations": [], "artificats": [{"isValid": true, "identifier": "MPCMDRUN.EXE", "type": "FILENAME"}, {"isValid": true, "identifier": "60D88450B376694DC55EB8F40B0F79580D1DF399A7BDF", "type": "FILEHASH"}], "port": null, "outcome": null, "time": "2023-03-01T19:51:00Z", "deviceEventClassId": "Indicator of Attack", "fields": [{"isHighlight": true, "groupName": "HIGHLIGHTED FIELDS", "hideOptions": false, "items": [{"originalName": "startTime", "name": "Start Time", "value": "1680615463369"}, {"originalName": "endTime", "name": "End Time", "value": "1680615463369"}]}, {"isHighlight": false, "groupName": "Default", "hideOptions": false, "items": [{"originalName": "cid", "name": "cid", "value": "27fe4e4760b8476b2b6650e5a74"}, {"originalName": "created_timestamp", "name": "created_timestamp", "value": "2023-03-01T19:51:11.387187948Z"}........................
}

Wait For Playbook to Complete

Descrição

Pausa o livro de regras atual até que outro livro de regras ou bloco, que esteja a ser executado no mesmo alerta, seja concluído.

Parâmetros

Parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Nome do guia interativo	String	N/A	Não	Especifique o nome do bloco ou do manual que quer concluir primeiro.

Exemplo

Neste cenário, estamos a pausar o manual atual até que o "bloqueio de investigação" que está a ser executado no mesmo alerta esteja concluído.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
ScriptResult	Verdadeiro/Falso	True

Converter em registo simulado

Descrição

Converte um registo numa ocorrência simulada que pode ser carregada na plataforma.

Parâmetros

Parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Envie para registos simulados	Caixa de verificação	Não selecionado	Não	Se selecionada, o registo é adicionado à lista de registos simulados disponíveis.
Guarde o JSON como ficheiro da base de dados de casos	Caixa de verificação	Selecionado	Não	Se selecionado, é guardado um ficheiro JSON que representa o registo na cronologia do registo para ser transferido.
Substituir nome do alerta	String	Vazio	Não	Especifique um novo nome de alerta a usar. Este parâmetro substitui o parâmetro Nome do caminho completo, se selecionado.
Nome do caminho completo	Caixa de verificação	Não selecionado	Não	Se selecionado, use o nome do alerta como `source_product_eventtype` —por exemplo, `QRadar_WinEventLog:Security_Remote fail login`. Este parâmetro é ignorado se a opção Substituir nome do alerta estiver definida.

Exemplo

Neste exemplo, um registo é convertido num registo simulado através de "Início de sessão arriscado" como nome do alerta, que é apresentado como um dos registos simulados disponíveis no ecrã principal.

Resultados da ação

Resultado do script

Nome do resultado do script Opções de valor Exemplo

ScriptResult Verdadeiro/Falso True

Resultado JSON

{
  "cases": [
    {
      "CreatorUserId": null,
      "Events": [
        {
          "_fields": {
            "BaseEventIds": "[]",
            "ParentEventId": -1,
            "DeviceProduct": "WinEventLog:Security",
            "StartTime": "1689266169689",
            "EndTime": "1689266169689"
          },
          "_rawDataFields": {
            "sourcetype": "Failed login",
            "starttime": "1689702001439",
            "endtime": "1689702001439"
          },
          "Environment": null,
          "SourceSystemName": null,
          "Extensions": []
        }
      ],
      "Environment": "default",
      "SourceSystemName": "QRadar",
      "TicketId": "de2e3913-e4d8-4060-ae2b-1c81ee64ba47",
      "Description": "This case created by SPLUNK query ",
      "DisplayId": "de2e3913-e4d8-4060-ae2b-1c81ee64ba47",
      "Reason": null,
      "Name": "Risky Sign On",
      "DeviceVendor": "WIN-24TBDNRMSVB",
      "DeviceProduct": "WinEventLog:Security",
      "StartTime": 1689702001439,
      "EndTime": 1689702001439,
      "Type": 1,
      "Priority": -1,
      "RuleGenerator": "Remote Failed login",
      "SourceGroupingIdentifier": null,
      "PlaybookTriggerKeywords": [],
      "Extensions": [
        {
          "Key": "KeyName",
          "Value": "TCS"
        }
      ],
      "Attachments": null,
      "IsTrimmed": false,
      "DataType": 1,
      "SourceType": 1,
      "SourceSystemUrl": null,
      "SourceRuleIdentifier": null,
      "SiemAlertId": null,
      "__CorrelationId": "7efd38feaea247ad9f5ea8d907e4387c"
    }
  ]
}

Empregos

Feche registos com base na pesquisa

Descrição

Esta tarefa fecha todos os registos com base numa consulta de pesquisa. A carga útil de pesquisa é a carga útil usada na chamada da API "CaseSearchEverything". Para ver um exemplo deste valor, aceda à Pesquisa na IU e abra as Ferramentas para programadores. Pesquise os registos a eliminar. Procure a chamada API "CaseSearchEverything" nas ferramentas de programador. Copie o payload JSON do pedido POST e cole-o em "Payload de pesquisa". O motivo do fecho deve ser 0 ou 1. 0 = malicioso 1 = não malicioso. O motivo principal vem de Definições -> Dados do registo -> Motivo principal do encerramento do registo.

Parâmetros

Parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Payload de pesquisa	JSON	N/A	Não	Especifique o payload JSON para pesquisar. Exemplo: {"tags":[],"ruleGenerator":[],"caseSource":[],"stage":[],"environments":[],"assignedUsers":[],"products":[],"ports":[],"categoryOutcomes":[],"status":[],"caseIds":[],"incident":[],"importance":[],"priorities":[],"pageSize":50,"isCaseClosed":false,"title":"","startTime":"2023-01-22T00:00:00.000Z","endTime":"2023-01-22T23:59:59.999Z","requestedPage":0,"timeRangeFilter":1}
Fechar comentário	String	N/A	Sim	Especifique um comentário de fecho.
Motivo do fecho	String	N/A	Sim	Especifique o motivo do encerramento. 0 = malicioso, 1 = não malicioso
Causa principal	Número inteiro	N/A	Sim	Especifique a causa principal. O motivo principal é proveniente de Definições -> Dados do registo -> Motivo principal do encerramento do registo.
Nome de utilizador do Chronicle SOAR	String	N/A	Sim	Especifique o nome de utilizador do Chronicle SOAR.
Palavra-passe do Chronicle SOAR	Palavra-passe	N/A	Sim	Especifique a palavra-passe do Chronicle SOAR.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.