此页面由 Cloud Translation API 翻译。

工具

支持的平台：

Google SecOps SOAR

概览

一组用于数据处理的实用程序操作，可增强 playbook 功能。

操作

DNS 查找

说明

使用指定的 DNS 解析器执行 DNS 查找。

参数

参数	类型	默认值	是必填字段	说明
DNS 服务器	IP 地址	不适用	是	指定单个或以英文逗号分隔的多个 DNS 服务器。

示例

在此场景中，我们使用 Google 的公共 DNS 地址 8.8.8.8 查找外部网域实体。

操作结果

脚本结果

脚本结果名称 值选项 示例

ScriptResult True/False 正确

JSON 结果

{
"Entity": "WWW.EXAMPLE.ORG",
 "EntityResult": [{"Type": "A", "Response": "176.9.157.114", "DNS Server": "8.8.8.8"}]
}

添加或更新提醒的其他数据

说明

在提醒附加数据中添加或更新字段。结果将显示在“提醒”概览中名为“OFFENSE_ID”的字段中。

参数

参数	类型	默认值	是必填字段	说明
JSON 字段	JSON	不适用	是	您可以输入自由文本（针对一个变量）、表示 JSON 字典的字符串（可以嵌套）

示例

在此方案中，我们将 MITRE 攻击详细信息添加到提醒中，这些信息将显示在提醒概览中。

操作结果

脚本结果

脚本结果名称 值选项 示例

ScriptResult 字典中的条目数 2

JSON 结果

{
"dict": {"mitre": " T1059"}, "list": []
}

将 playbook 附加到所有支持请求提醒

说明

将特定 playbook 或代码块附加到某个支持请求中的所有提醒。

参数

参数	类型	默认值	是必填字段	说明
playbook 名称	字符串	不适用	是	指定将添加到案例中所有提醒的 playbook 或块名称。

示例

在此场景中，我们将名为“Phishing playbook”的 playbook 附加到案例中的所有提醒。

操作结果

脚本结果

脚本结果名称 值选项 示例

ScriptResult True/False 正确

将 playbook 附加到提醒

说明

将特定 playbook 或区块附加到当前提醒。

参数

参数	类型	默认值	是必填字段	说明
playbook 名称	字符串	不适用	是	指定将添加到案例中所有提醒的 playbook 或块名称。

示例

在此场景中，我们将一个名为“Containment Block”的块附加到相应支持服务工单中的当前提醒。

操作结果

脚本结果

脚本结果名称 值选项 示例

ScriptResult True/False 正确

缓冲区

说明

将 JSON 输入转换为 JSON 对象。

参数

参数	类型	默认值	是必填字段	说明
ResultValue	字符串	不适用	否	将作为 ScriptResult 值返回的占位值。
JSON	JSON	不适用	否	将在表达式构建器中显示的 JSON。

示例

在此场景中，JSON 输入值将显示在 JSON 表达式构建器中，以用于后续操作。

操作结果

脚本结果

脚本结果名称 值选项 示例

ScriptResult ResultValue 参数输入值成功

JSON 结果

{
"domain" : "company.com",
"domain2" : "company2.com"
}

获取证书详细信息

说明

检索指定网址的证书详细信息。

参数

参数	类型	默认值	是必填字段	说明
要检查的网址	网址	expired.badssk.com	是	指定要从中检索证书详细信息的网址。

示例

在此场景中，我们从 expired.badssl.com 网站检索证书详细信息。

操作结果

脚本结果

脚本结果名称 值选项 示例

ScriptResult True/False 正确

JSON 结果

{
"hostname": "expired.badssl.com",
 "ip": "104.154.89.105", 
"commonName": "*.badssl.com",
 "is_self_signed": false, 
"SAN": [["*.badssl.com", "badssl.com"]], 
"is_expired": true, 
"issuer": "EXAMPLE CA", 
"not_valid_before": "04/09/2015", 
"not_valid_after": "04/12/2015", 
"days_to_expiration": -2762
}

获取上下文值

说明

检索案例或提醒中上下文键的值。

参数

参数	类型	默认值	是必填字段	说明
范围	下拉菜单	提醒	是	指定键值的范围，无论是支持请求、提醒还是全局。
键	字符串	不适用	是	指定密钥。

示例

在此场景中，我们从支持请求中的“影响”键检索上下文值。此操作与“设置上下文值”操作搭配使用，后者用于向支持请求或提醒添加键值对。

操作结果

脚本结果

脚本结果名称 值选项 示例

ScriptResult 上下文值高

获取电子邮件模板

说明

返回系统中的所有电子邮件模板。

参数

参数	类型	默认值	是必填字段	说明
模板类型	下拉菜单	标准	是	指定要返回的模板类型，是标准模板还是 HTML 模板。

示例

在此场景中，我们返回所有基于 HTML 的电子邮件模板。

操作结果

脚本结果

脚本结果名称	值选项	示例
ScriptResult	包含 HTML 代码的 JSON 结果	JSON 结果如下所示

JSON 结果

{
"templates": [{"type": 1, "name": "test 1", "content": "<html>\n    <head>\n    <style type=\"text/css\"> .title\n\n    { color: blue; text-decoration: bold; text-size: 1em; }\n    .author\n    { color: gray; }\n\n    </style>\n    </head>\n\n    <body>\n    <span class=\"title\">La super bonne</span>\n    {Text}\n    [Case.Id]\n    </h1> <br/>\n    </body>\n\n    </html>", "creatorUserName": "f00942-fa040-4422324-b2c43e-de40fdsff122b9c4", "forMigration": false, "environments": ["Default"], "id": 3, "creationTimeUnixTimeInMs": 1672054127271, "modificationTimeUnixTimeInMs": 1672054127279}]
}

创建带分隔符的实体

说明

创建实体并将其添加到提醒中。

参数

参数	类型	默认值	是必填字段	说明
实体标识符	字符串	不适用	是	指定要添加到提醒中的一个或多个实体。
实体类型	字符串	不适用	是	指定实体类型。
Is Internal	复选框	未选择	否	检查所提供的实体是否属于内部网络。
实体分隔符	字符串	、	是	指定实体标识符字段中使用的分隔符。
丰富化 JSON	下拉列表	JSON	否	以 JSON 格式指定丰富数据。
PrefixForEnrichment	字符串	不适用	否	指定要添加到丰富数据中的前缀。

示例

在此场景中，我们将创建三个 IP 实体，并使用名为“is_suspicious”的字段来扩充它们。

操作结果

脚本结果

脚本结果名称	值选项	示例
ScriptResult	True/False	正确

JSON 结果

{
"created": ["0.0.0.0", "0.0.0.1", "0.0.0.2"], 
"enriched": ["0.0.0.0", "0.0.0.1", "0.0.0.2"],
"failed": []
}

更新支持请求说明

说明

更新支持请求的说明。

参数

参数	类型	默认值	是必填字段	说明
案例说明	字符串	不适用	是	指定更新后的说明。

示例

在此场景中，我们将支持请求的说明更新为“此支持请求与可疑登录相关。”。

操作结果

脚本结果

脚本结果名称	值选项	示例
ScriptResult	True/False	正确

规范化实体丰富化

说明

从实体接收密钥列表并替换它们。

参数

参数	类型	默认值	是必填字段	说明
归一化数据	JSON	不适用	是	请按照以下 JSON 格式示例指定 JSON：[ { "entity_field_name": "AT_fields_Name", "new_name": "InternalEnrichment_Name" }, { "entity_field_name": "AT_fields_Direct-Manager", "new_name": "InternalEnrichment_DirectManager_Name" }, { "entity_field_name": "AT_Manager_fields_Work-Email", "new_name": "InternalEnrichment_DirectManager_Email" } ]

示例

在此场景中，我们将“is_bad”的实体键替换为“malicious”。

操作结果

脚本结果

脚本结果名称	值选项	示例
ScriptResult	已扩充的实体数量	5

附加到上下文值

说明

将值附加到现有上下文属性，或者在上下文属性不存在时创建新属性并添加值。

参数

参数	类型	默认值	是必填字段	说明
键	字符串	不适用	是	指定上下文属性键
值	字符串	不适用	是	指定要附加到上下文属性的值
分隔符	字符串	不适用	是	指定值字段中使用的分隔符。

示例

在此场景中，我们将值“T1595”和“T1140”添加到现有上下文键“MITRE”。

操作结果

脚本结果

脚本结果名称	值选项	示例
ScriptResult	上下文值	T1595、T1140

创建实体关系

说明

在所提供的实体与关联的实体之间创建关系。如果所提供的实体不存在，系统将创建这些实体。

参数

参数	类型	默认值	是必填字段	说明
实体标识符	字符串	不适用	是	创建新的或使用现有的实体标识符，或使用以英文逗号分隔的标识符列表。
实体标识符类型	下拉	用户名	是	指定实体类型。
连接方式	下拉	来源	是	使用来源、目的地或关联关系将实体标识符与目标实体标识符相关联。
目标实体类型	下拉	地址	是	指定要将实体标识符关联到的目标实体类型。
目标实体标识符	字符串	不适用	否	此英文逗号分隔列表中的实体， “目标实体类型”中的类型将与“实体标识符”参数中的实体相关联。
丰富化 JSON	JSON	不适用	否	一个可选的 JSON 对象，包含键/ 可添加到新创建的实体的属性值对。
分隔符	字符串	不适用	否	指定用于分隔“实体标识符”和/或“目标实体标识符”中的实体列表的字符。默认值为逗号。

示例

在此场景中，我们将创建用户与网址之间的关系。在本例中，Bola001 访问了 example.com 的网址。

操作结果

脚本结果

脚本结果名称	值选项	示例
ScriptResult	True/False	正确

JSON 结果

{
"Entity": "Bola001", "EntityResult": {}
}

提取网址网域

说明

使用新字段“siemplifytools_extracted_domain”丰富所有实体，该字段包含从实体标识符中提取的网域。如果实体没有网域（例如文件哈希），则不会返回任何内容。除了实体之外，用户还可以指定网址列表作为参数并对其进行处理，但不会进行丰富处理。

参数

参数	类型	默认值	是必填字段	说明
分词符	字符串	、	是	指定用于分隔网址的分隔符字符串。
网址	字符串	不适用	否	指定一个或多个要从中提取网域的网址。
提取子网域	复选框	不适用	否	指定是否也要提取子网域。

示例

在此场景中，我们将从指定网址中提取网域。

操作结果

脚本结果

脚本结果名称	值选项	示例
ScriptResult	提取的网域数量	1

JSON 结果

{
"Entity": "https://sample.google.com", "EntityResult": {"domain": "sample.google.com", "source_entity_type": "DestinationURL"}
}

检查列表子集

说明

检查一个列表中的值是否存在于另一个列表中。

参数

参数	类型	默认值	是必填字段	说明
原始模式	字符串	不适用	是	指定要对照检查的项目列表。JSON 列表或以英文逗号分隔的列表。
子集	列表	不适用	是	指定子集列表。JSON 列表或以英文逗号分隔的列表。

示例

在此场景中，我们检查值 1、2、3 是否存在于原始列表 1、2、3、4、5 中，结果值为 true。

操作结果

脚本结果

脚本结果名称	值选项	示例
ScriptResult	True/False	正确

添加提醒评分信息

说明

向提醒评分数据库添加条目。提醒得分基于以下比率：5 个低严重程度的提醒 = 1 个中等严重程度的提醒。3 个中等 = 1 个高。2 个高优先级问题 = 1 个严重问题。已向问题添加可选标记。

参数

参数	类型	默认值	是必填字段	说明
名称	字符串	不适用	是	指定对提醒执行的检查的名称。
说明	字符串	不适用	是	指定对提醒执行的检查的说明。
严重程度	字符串	信息	是	指定严重程度。
类别	字符串	不适用	是	指定所执行检查的类别。
来源	字符串	不适用	否	指定得分的来源。示例：文件、用户、电子邮件。
支持请求代码	字符串	不适用	否	指定要添加到支持请求的标记。

示例

在此场景中，由于 VirusTotal 提供的结果可疑，我们将提醒得分设置为“高”。

操作结果

脚本结果

脚本结果名称	值选项	示例
Alert_score	信息、低、中、高、严重	高

JSON 结果

{
"category": "File Enrichment",
 "score_data": [{"score_name": "File Enrichment", "description": "VT has found a file to be suspicious", "severity": "High", "score": 3, "source": "VirusTotal"}],
 "category_score": 3
}

获取 Siemplify 用户

说明

返回系统中配置的所有用户的列表。

参数

参数	类型	默认值	是必填字段	说明
隐藏已停用的用户	复选框	已选择	否	指定是否从结果中隐藏已停用的用户。

示例

在此场景中，我们将返回系统中的所有用户，包括已停用的用户。

操作结果

脚本结果

脚本结果名称	值选项	示例
ScriptResult	True/False	正确

JSON 结果

{
"siemplifyUsers": [{"permissionGroup": "Admins", "socRole": "@Administrator", "isDisabled": false, "loginIdentifier": "sample@domain.com", "firstName": "John", "lastName": "Doe", "permissionType": 0, "role": 0, "socRoleId": 1, "email": "sample@domain.com", "userName": "0b3423496fc2-0834302-42f33d-8523408-18c087d2347cf1e", "imageBase64": null, "userType": 1, "identityProvider": -1, "providerName": "Internal", "advancedReportsAccess": 0, "accountState": 2, "lastLoginTime": 1679831126656, "previousLoginTime": 1678950002044, "lastPasswordChangeTime": 0, "lastPasswordChangeNotificationTime": 0, "loginWrongPasswordCount": 0, "isDeleted": false, "deletionTimeUnixTimeInMs": 0, "environments": ["*"], "id": 245, "creationTimeUnixTimeInMs": 1675457504856, "modificationTimeUnixTimeInMs": 1674957504856
}

检查文本中的实体字段

说明

搜索范围内每个实体的特定字段（或使用正则表达式搜索多个字段），并将其与一个或多个值进行比较。比较的值也可以通过正则表达式进行处理。如果实体丰富中的某个后正则表达式值位于一个或多个搜索值中，则表示找到匹配项。

参数

参数	类型	默认值	是必填字段	说明
SearchInData	JSON	[ { "Data": "[Event.from]", "RegEx": "(?<=@)[^.]+(?=\\.)" } ]	是	JSON，用于表示您要搜索的字符串，格式如下：[ { "Data": "", "RegEx": "" } ]
FieldsInput	JSON	[ { "RegexForFieldName": "", "FieldName": "body", "RegexForFieldValue": "" }, { "RegexForFieldName": ".(_url_).", "FieldName": "", "RegexForFieldValue": "" }, { "RegexForFieldName": "", "FieldName": "body", "RegexForFieldValue": "HostName: (.*?)" } ]	是	一个 JSON，用于描述应测试哪些字段 [ "RegexForFieldName": “”, "FieldName": "要搜索的字段名称", "RegexForFieldValue": “”}]
ShouldEnrichEntity	字符串	domain_matched	否	如果设置为 <VAL>，还会将一个丰富值放在实体上，以便将该实体识别为与该值“匹配”。密钥将为 <VAL>
IsCaseSensitive	复选框	未选择	否	指定字段是否区分大小写。

示例

在此场景中，我们检查指定文本中是否存在字段名称为“恶意”的实体。

操作结果

脚本结果

脚本结果名称	值选项	示例
ScriptResult	发现结果数量	0

JSON 结果

{
"Entity": "EXL88765-AD", "EntityResult": [{"RegexForFieldName": "", "FieldName": "malicious", "RegexForFieldValue": "", "ResultsToSearch": {"val_to_search": [[]], "found_results": [], "num_of_results": 0}}]
}

获取集成实例

说明

返回环境的所有集成实例。

参数

无适用参数。

示例

在这种情况下，系统将返回所有环境中的所有集成实例。

操作结果

脚本结果

脚本结果名称	值选项	示例
ScriptResult	True/False	正确

JSON 结果

{
"instances": [{"identifier": "27dee746-1857-41b7-a722-b99699b8d6c8", "integrationIdentifier": "Tools", "environmentIdentifier": "Default", "instanceName": "Tools_1", "instanceDescription": "test", "isConfigured": true, "isRemote": false, "isSystemDefault": false},{...........}]
}

延迟剧本 V2

说明

暂时停止 playbook 在指定时间段内完成。

参数

参数	类型	默认值	是必填字段	说明
秒	整数	0	否	指定 playbook 的延迟时间（以秒为单位）。
分钟	整数	1	否	指定延迟 playbook 的分钟数。
小时	整数	0	否	指定延迟 playbook 的小时数。
天	整数	0	否	指定延迟 playbook 的天数。
Cron 表达式	字符串	不适用	否	使用 cron 表达式确定剧本应何时继续执行。优先级高于其他参数。

示例

在此场景中，我们将剧本延迟了 12 个半小时。

操作结果

脚本结果

脚本结果名称	值选项	示例
ScriptResult	True/False	正确

获取原始提醒 JSON

说明

返回原始提醒（原始数据）的 JSON 结果。

参数

无适用参数

示例

在此场景中，系统会返回提醒的原始 JSON。

操作结果

脚本结果

脚本结果名称	值选项	示例
ScriptResult	True/False	正确

JSON 结果

{
"CreatorUserId": null, "Events": [{"_fields": {"BaseEventIds": "[]", "ParentEventId": -1, "deviceEventClassId": "IRC Connections", "DeviceProduct": "IPS_Product", "StartTime": "1667497096184", "EndTime": "1667497096184"}, "_rawDataFields": {"applicationProtocol": "TCP", "categoryOutcome": "blocked", "destinationAddress": "104.131.182.103", "destinationHostName": "www.ircnet.org", "destinationPort": "770", "destinationProcessName": "MrlCS.sob", "destinationUserName": "XWTTRYzNr1l@gmail.com", "deviceAddress": "0.0.0.0", "deviceEventClassId": "IRC Connections", "deviceHostName": "ckIYC2", "Field_24": "B0:E7:DF:6C:EF:71", "deviceProduct": "IPS_Product", "deviceVendor": "Vendor", "endTime": "1667497110906", "eventId": "0aa16009-57b4-41a3-91ed-81347442ca29", "managerReceiptTime": "1522058997000", "message": "Connection to IRC Server", "name": "IRC Connections", "severity": "8", "sourceAddress": "0.0.0.0", "sourceHostName": "jhon@domain.local", "startTime": "1667497110906", "sourcetype": "Connection to IRC Server"}, "Environment": null, "SourceSystemName": null, "Extensions": []}], "Environment": "Default", "SourceSystemName": "Arcsight", "TicketId": "fab1b5a1-637f-4aed-a94f-c63137307505", "Description": "IRC Connections", "DisplayId": "fab1b5a1-637f-4aed-a94f-c63137307505", "Reason": null, "Name": "IRC Connections", "DeviceVendor": "IPS", "DeviceProduct": "IPS_Product", "StartTime": 1667497110906, "EndTime": 1667497110906, "Type": 1, "Priority": -1, "RuleGenerator": "IRC Connections", "SourceGroupingIdentifier": null, "PlaybookTriggerKeywords": [], "Extensions": [], "Attachments": null, "IsTrimmed": false, "DataType": 1, "SourceType": 1, "SourceSystemUrl": null, "SourceRuleIdentifier": null
}

获取当前时间

说明

返回当前日期和时间。

参数

参数	类型	默认值	是必填字段	说明
日期时间格式	字符串	%d/%m/%Y %H:%M	是	指定日期和时间的格式。

示例

在此示例中，我们返回的日期和时间值采用以下格式：%d/%m/%Y %H:%M:%S

操作结果

脚本结果

脚本结果名称	值选项	示例
ScriptResult	日期时间值	03/11/2022 20:33:43

更新提醒得分

说明

按提供的金额更新提醒得分。

参数

参数	类型	默认值	是必填字段	说明
输入	整数	不适用	是	指定要增加或减少（负数）的量。

示例

在此场景中，我们将提醒得分降低了 20。

操作结果

脚本结果

脚本结果名称	值选项	示例
ScriptResult	输入值	-20

向实体日志添加注释

说明

为实体探索器中得分的每个实体向实体日志添加注释。

参数

参数	类型	默认值	是必填字段	说明
用户	下拉列表	@Administrator	是	指定发表评论的用户。
评论	字符串	不适用	是	指定将添加到实体日志中的注释。

示例

操作结果

脚本结果

脚本结果名称	值选项	示例
不适用	不适用	不适用

重新附加 playbook

说明

从支持请求中移除 playbook，删除支持请求中来自相应 playbook 的所有结果数据，然后重新附加该 playbook，以便再次运行。需要安装 PostgreSQL 集成，并将其配置为具有 Chronicle SOAR 实例名称的共享环境。如需了解更多详情，请咨询客户成功经理 / 支持人员。

参数

参数	类型	默认值	是必填字段	说明
playbook 名称	下拉列表	不适用	是	指定要重新附加的 playbook。

示例

在此场景中，我们将重新附加一个名为 attach_playbook_test 的 playbook

操作结果

脚本结果

脚本结果名称	值选项	示例
ScriptResult	True/False/请配置 PostgreSQL 集成的 Chronicle SOAR 实例。	正确

锁定 Playbook

说明

暂停当前 playbook，直到之前提醒中的所有 playbook 完成为止。

参数

参数	类型	默认值	是必填字段	说明
异步操作超时	整数	1 天	否	异步操作超时定义执行相应操作允许花费的总时间（所有迭代运行时的总和）
异步轮询间隔	整数	1 小时	否	设置异步操作运行时期间两次轮询尝试间隔的时长。

示例

在此场景中，我们暂停当前 playbook，并每隔 30 秒检查一次，以查看相应支持请求中之前提醒中的所有 playbook 是否已完成。

操作结果

脚本结果

脚本结果名称	值选项	示例
ScriptResult	True/False	正确

查找 First Alert

说明

返回指定支持服务请求中第一个提醒的标识符。

参数

无适用参数。

示例

在此场景中，它会返回相应支持请求中第一个提醒的提醒标识符。

操作结果

脚本结果

脚本结果名称	值选项	示例
ScriptResult	提醒标识符值	IRC 连接 9A33308C-AC62-4A41-8F73-20529895D567

相似网域

说明

将网域实体与为环境定义的网域列表进行比较。如果网域相似，实体将被标记为可疑，并使用匹配的网域进行丰富。

参数

无适用参数

示例

在此场景中，我们将检查外部网域实体是否与设置中的网域列表内配置的网域类似。

操作结果

脚本结果

脚本结果名称	值选项	示例
look_a_like_domain_found	True/False	正确

JSON 结果

{
"Entity" : {"EntityResult" : { "look_a_like_domains" : ["outlooks.com"]}}
}

更改诉讼案名称

说明

更改支持请求名称或标题。

参数

参数	类型	默认值	是必填字段	说明
新建名称	字符串	不适用	否	指定新支持请求的名称。
仅限首次提醒	复选框	未选择	否	如果选中，则仅当对相应支持请求中的第一个提醒执行操作时，才会更改支持请求的名称。

示例

在此场景中，只有在第一个提醒中运行时，支持请求的标题才会更改为“网络钓鱼 - 可疑电子邮件”。

操作结果

脚本结果

脚本结果名称	值选项	示例
ScriptResult	True/False	正确

拼写检查字符串

说明

检查输入字符串的拼写。它将输出准确率百分比、总字数、拼错的字数、每个拼错的字及其更正的列表，以及输入字符串的更正版本。

参数

参数	类型	默认值	是必填字段	说明
字符串	字符串	不适用	是	指定要检查拼写错误的字符串。

示例

在此场景中，我们将对输入字符串“Testing if this is a mispelled wodr.”进行拼写检查。

操作结果

脚本结果

脚本结果名称	值选项	示例
accuracy_percentage	百分比值	71

JSON 结果

{"input_string": "Testing if this is a mispelled wodr.", "total_words": 7, "total_misspelled_words": 2, "misspelled_words": [{"misspelled_word": "mispelled", "correction": "misspelled"}, {"misspelled_word": "wodr", "correction": "word"}], "accuracy": 71, "corrected_string": "Testing if this is a misspelled word."}

搜索文本

说明

在输入文本中搜索“Search For”参数，或遍历“Search For Regex”列表并在输入文本中查找匹配项。如果存在匹配项，该操作将返回 true。

参数

参数	类型	默认值	是必填字段	说明
文本	字符串	不适用	是	指定要搜索的文本。
搜索	字符串	不适用	否	指定要在“text”字段中搜索的字符串。
搜索正则表达式	字符串	不适用	否	将用于搜索字符串的正则表达式列表。正则表达式应使用英文双引号括起来。支持以英文逗号分隔的列表。
区分大小写	复选框	不适用	否	指定搜索是否应区分大小写。

示例

在此场景中，我们检查“文本”字段值中是否存在“恶意”一词。

操作结果

脚本结果

脚本结果名称	值选项	示例
match_found	True/False	正确

JSON 结果

{
"matches": [{"search": "malicious", "input": "This IOC is malicious.", "match": true}]
}

设置上下文值

说明

在特定上下文中设置键和值。此操作通常与“获取上下文值”操作搭配使用，以检索键的值。

参数

参数	类型	默认值	是必填字段	说明
值	字符串	不适用	是	指定上下文值。
键	字符串	不适用	是	指定上下文键。
范围	下拉列表	提醒	是	指定上下文分配范围（提醒、支持请求、全局）。

示例

在此场景中，我们将“恶意”这一上下文键设置为“是”值。

操作结果

脚本结果

脚本结果名称	值选项	示例
ScriptResult	True/False	正确

创建 Siemplify 任务

说明

将任务分配给用户或角色。该任务将与运行操作的支持请求相关联。

参数

参数	类型	默认值	是必填字段	说明
任务标题	字符串	不适用	否	指定任务的标题。
SLA（以分钟为单位）	整数	480	是	指定分配的用户/角色必须在多长时间内（以分钟为单位）响应任务。
任务内容	字符串	不适用	是	指定任务的详细信息。
分配给	下拉	不适用	是	指定任务将分配给的用户或角色。

示例

在此场景中，系统创建了一项任务，指示第 3 级支持人员运行病毒扫描。

操作结果

脚本结果

脚本结果名称	值选项	示例
ScriptResult	True/False	正确

将支持请求分配给用户

说明

将支持请求分配给用户。

参数

参数	类型	默认值	是必填字段	说明
案例 ID	字符串	不适用	是	指定支持请求 ID。使用 [Case.Id] 表示当前支持请求。
分配给	字符串	@Admin	是	指定要将支持请求分配给的用户。这是用户的 ID。使用“获取 Siemplify 用户”操作检索特定用户的 ID。
提醒 ID	字符串		是	指定提醒 ID。使用 [Alert.Identifier]。

示例

在此场景中，我们使用特定用户的 ID 将当前支持请求分配给该用户。

操作结果

脚本结果

脚本结果名称	值选项	示例
ScriptResult	True/False	正确

获取支持请求数据

说明

从某个支持请求中检索所有数据，并返回 JSON 结果。结果包括评论、实体信息、数据分析、运行的剧本、提醒信息和事件。

参数

参数	类型	默认值	是必填字段	说明
案例 ID	整数	不适用	否	指定要查询的支持请求 ID。如果留空，则使用当前大小写。

示例

在此场景中，我们从当前支持请求中检索支持请求详情。

操作结果

脚本结果

脚本结果名称	值选项	示例
ScriptResult	True/False	正确

JSON 结果

{
"wallData": [{"commentForClient": null, "comment": null, "modificationTimeUnixTimeInMsForClient": 0, "creatorUserId": "8f8er8d6-ee8b-478e-9ee592-cc27e9addda13b", "id": 6357, "type": 5, "caseId": 36902, "isFavorite": false, "modificationTimeUnixTimeInMs": 1680717397165, "creationTimeUnixTimeInMs": 1680717397165, "alertIdentifier": "SUSPICIOUS ACTIVITY991C7837-1EE9-4EEA-AE7B-975366CA2EAE"}, {"actionTriggerType": 0, "integration": "Tools", "executingUser": null, "playbookName": "New Playbook", "playbookIsInDebugMode": true, "status": 5, "actionProvider": "Scripts", "actionIdentifier": "Tools_Get Case Data_1", "actionResult": "Action started", "alertIdentifiers": ["SUSPICIOUS ACTIVITY991C7837-1EE9-4EEA-AE7B-975366CA2EAE"], "creatorUserId": null, "id": 7677, "type": 3, "caseId": 0, "isFavorite": false, "modificationTimeUnixTimeInMs": 1680717397401, "creationTimeUnixTimeInMs": 1680717397401, "alertIdentifier": null}], "alerts": [{"ticketId": "d21ebvcxzb88-35vc35-46b4-9edd08-063696d7cc092", "status": 0, "identifier": "SUSPICIOUS ACTIVITY991C7837-1EE9-4EEA-AE7B-975366CA2EAE", "hasWorkflows": true, "workflowsStatus": 1, "sourceSystemName": "CrowdStrikeFalcon", "securityEventCards": [{"caseId": 36902, "eventId": "5fde7844-0099-4c5d-a562-63e2d0deb7e5", "alertIdentifier": "SUSPICIOUS ACTIVITY991C7837-1EE9-4EEA-AE7B-975366CA2EAE", "eventName": "CustomIOAWinLowest", "product": "Falcon", "sources": [{"isValid": true, "identifier": "172.30.202.229", "type": "ADDRESS"}, {"isValid": true, "identifier": "EXLAB2019-AD", "type": "HOSTNAME"}, {"isValid": true, "identifier": "E019-AD$", "type": "USERUNIQNAME"}], "destinations": [], "artificats": [{"isValid": true, "identifier": "MPCMDRUN.EXE", "type": "FILENAME"}, {"isValid": true, "identifier": "60D88450B376694DC55EB8F40B0F79580D1DF399A7BDF", "type": "FILEHASH"}], "port": null, "outcome": null, "time": "2023-03-01T19:51:00Z", "deviceEventClassId": "Indicator of Attack", "fields": [{"isHighlight": true, "groupName": "HIGHLIGHTED FIELDS", "hideOptions": false, "items": [{"originalName": "startTime", "name": "Start Time", "value": "1680615463369"}, {"originalName": "endTime", "name": "End Time", "value": "1680615463369"}]}, {"isHighlight": false, "groupName": "Default", "hideOptions": false, "items": [{"originalName": "cid", "name": "cid", "value": "27fe4e4760b8476b2b6650e5a74"}, {"originalName": "created_timestamp", "name": "created_timestamp", "value": "2023-03-01T19:51:11.387187948Z"}........................
}

等待 playbook 完成

说明

暂停当前 playbook，直到在同一提醒上运行的另一个 playbook 或块完成为止。

参数

参数	类型	默认值	是必填字段	说明
playbook 名称	字符串	不适用	否	指定您要先完成的模块或剧本的名称。

示例

在这种情况下，我们会暂停当前 playbook，直到针对同一提醒运行的“调查块”完成为止。

操作结果

脚本结果

脚本结果名称	值选项	示例
ScriptResult	True/False	正确

转换为模拟案例

说明

将支持请求转换为可加载到平台中的模拟支持请求。

参数

参数	类型	默认值	是必填字段	说明
推送到模拟场景	复选框	未选择	否	如果选中此复选框，相应支持请求会添加到可用的模拟支持请求列表中。
将 JSON 保存为 Case Wall 文件	复选框	已选择	否	如果选中此选项，系统会将表示支持请求的 JSON 文件保存到支持请求墙，以供下载。
替换提醒名称	字符串	空	否	指定要使用的新提醒名称。如果选择此参数，它将取代“完整路径名称”参数。
完整路径名称	复选框	未选择	否	如果选择此项，请使用 `source_product_eventtype` 作为提醒名称，例如 `QRadar_WinEventLog:Security_Remote fail login`。如果设置了 Override Alert Name，则系统会忽略此参数。

示例

在此示例中，系统会将一个支持服务工单转换为模拟支持服务工单，并使用“Risky Sign On”（有风险的登录）作为提醒名称，该名称将显示为首页上可用的模拟支持服务工单之一。

操作结果

脚本结果

脚本结果名称 值选项 示例

ScriptResult True/False 正确

JSON 结果

{
  "cases": [
    {
      "CreatorUserId": null,
      "Events": [
        {
          "_fields": {
            "BaseEventIds": "[]",
            "ParentEventId": -1,
            "DeviceProduct": "WinEventLog:Security",
            "StartTime": "1689266169689",
            "EndTime": "1689266169689"
          },
          "_rawDataFields": {
            "sourcetype": "Failed login",
            "starttime": "1689702001439",
            "endtime": "1689702001439"
          },
          "Environment": null,
          "SourceSystemName": null,
          "Extensions": []
        }
      ],
      "Environment": "default",
      "SourceSystemName": "QRadar",
      "TicketId": "de2e3913-e4d8-4060-ae2b-1c81ee64ba47",
      "Description": "This case created by SPLUNK query ",
      "DisplayId": "de2e3913-e4d8-4060-ae2b-1c81ee64ba47",
      "Reason": null,
      "Name": "Risky Sign On",
      "DeviceVendor": "WIN-24TBDNRMSVB",
      "DeviceProduct": "WinEventLog:Security",
      "StartTime": 1689702001439,
      "EndTime": 1689702001439,
      "Type": 1,
      "Priority": -1,
      "RuleGenerator": "Remote Failed login",
      "SourceGroupingIdentifier": null,
      "PlaybookTriggerKeywords": [],
      "Extensions": [
        {
          "Key": "KeyName",
          "Value": "TCS"
        }
      ],
      "Attachments": null,
      "IsTrimmed": false,
      "DataType": 1,
      "SourceType": 1,
      "SourceSystemUrl": null,
      "SourceRuleIdentifier": null,
      "SiemAlertId": null,
      "__CorrelationId": "7efd38feaea247ad9f5ea8d907e4387c"
    }
  ]
}

作业

根据搜索结果关闭支持请求

说明

此作业将关闭基于搜索查询的所有支持请求。搜索载荷是“CaseSearchEverything”API 调用中使用的载荷。如需获取此值的示例，请前往界面中的“搜索”并打开开发者工具。搜索要删除的病例。在开发者工具中查找“CaseSearchEverything”API 调用。复制 POST 请求的 JSON 载荷，然后粘贴到“搜索载荷”中。关闭原因应为 0 或 1。0 = 恶意；1 = 非恶意。根本原因来自“设置”>“支持请求数据”>“支持请求关闭根本原因”。

参数

参数	类型	默认值	是必填字段	说明
搜索载荷	JSON	不适用	否	指定要搜索的 JSON 载荷。示例： {"tags":[],"ruleGenerator":[],"caseSource":[],"stage":[],"environments":[],"assignedUsers":[],"products":[],"ports":[],"categoryOutcomes":[],"status":[],"caseIds":[],"incident":[],"importance":[],"priorities":[],"pageSize":50,"isCaseClosed":false,"title":"","startTime":"2023-01-22T00:00:00.000Z","endTime":"2023-01-22T23:59:59.999Z","requestedPage":0,"timeRangeFilter":1}
关闭评论	字符串	不适用	是	指定关闭评论。
关闭原因	字符串	不适用	是	指定关闭原因。0 = 恶意，1 = 非恶意
根本原因	整数	不适用	是	指定根本原因。根本原因来自“设置”->“支持请求数据”->“支持请求关闭根本原因”。
Chronicle SOAR 用户名	字符串	不适用	是	指定 Chronicle SOAR 用户名。
Chronicle SOAR 密码	密码	不适用	是	指定 Chronicle SOAR 密码。