本頁面由 Cloud Translation API 翻譯而成。

工具

支援的國家/地區：

Google SecOps SOAR

總覽

這組實用動作可處理資料，進而強化應對手冊功能。

動作

DNS 查詢

說明

使用指定的 DNS 解析器執行 DNS 查詢。

參數

參數	類型	預設值	是否為必要項目	說明
DNS 伺服器	IP 位址	不適用	是	指定單一或以半形逗號分隔的 DNS 伺服器。

示例

在本情境中，我們使用 Google 的公用 DNS 位址 8.8.8.8 查詢外部網域實體。

動作執行結果

指令碼執行結果

指令碼結果名稱 價值選項 示例

ScriptResult True/False 是

JSON 結果

{
"Entity": "WWW.EXAMPLE.ORG",
 "EntityResult": [{"Type": "A", "Response": "176.9.157.114", "DNS Server": "8.8.8.8"}]
}

新增或更新快訊額外資料

說明

在快訊額外資料中新增或更新欄位。結果會顯示在「快訊總覽」的「OFFENSE_ID」欄位中。

參數

參數	類型	預設值	是否為必要項目	說明
JSON 欄位	JSON	不適用	是	您可以輸入任意文字 (適用於一個變數)、代表 JSON 字典的字串 (可巢狀結構)

示例

在這個情境中，我們會在快訊中加入 MITRE 攻擊詳細資料，並顯示在快訊總覽中。

動作執行結果

指令碼執行結果

指令碼結果名稱 價值選項 示例

ScriptResult 字典中的項目數量 2

JSON 結果

{
"dict": {"mitre": " T1059"}, "list": []
}

將應對手冊附加至所有案件快訊

說明

將特定應對手冊或封鎖附加至案件中的所有快訊。

參數

參數	類型	預設值	是否為必要項目	說明
應對手冊名稱	字串	不適用	是	指定要新增至案件中所有快訊的應對手冊或封鎖名稱。

示例

在這個情境中，我們要將名為「網路釣魚應對手冊」的應對手冊，附加至案件中的所有警告。

動作執行結果

指令碼執行結果

指令碼結果名稱 價值選項 示例

ScriptResult True/False 是

將應對手冊附加至快訊

說明

將特定應對手冊或模塊附加至目前快訊。

參數

參數	類型	預設值	是否為必要項目	說明
應對手冊名稱	字串	不適用	是	指定要新增至案件中所有快訊的應對手冊或封鎖名稱。

示例

在這個情境中，我們將名為「Containment Block」的區塊附加至案件中的目前快訊。

動作執行結果

指令碼執行結果

指令碼結果名稱 價值選項 示例

ScriptResult True/False 是

緩衝區

說明

將 JSON 輸入內容轉換為 JSON 物件。

參數

參數	類型	預設值	是否為必要項目	說明
ResultValue	字串	不適用	否	系統會將這個預留位置值做為 ScriptResult 值傳回。
JSON	JSON	不適用	否	運算式製作工具中顯示的 JSON。

示例

在此情境中，JSON 輸入值會顯示在 JSON 運算式建構工具中，以供後續動作使用。

動作執行結果

指令碼執行結果

指令碼結果名稱	價值選項	示例
ScriptResult	ResultValue 參數輸入值	成功

JSON 結果

{
"domain" : "company.com",
"domain2" : "company2.com"
}

取得憑證詳細資料

說明

擷取指定網址的憑證詳細資料。

參數

參數	類型	預設值	是否為必要項目	說明
要檢查的網址	網址	expired.badssk.com	是	指定要從中擷取憑證詳細資料的網址。

示例

在這個情境中，我們要從 expired.badssl.com 網站擷取憑證詳細資料。

動作執行結果

指令碼執行結果

指令碼結果名稱 價值選項 示例

ScriptResult True/False 是

JSON 結果

{
"hostname": "expired.badssl.com",
 "ip": "104.154.89.105", 
"commonName": "*.badssl.com",
 "is_self_signed": false, 
"SAN": [["*.badssl.com", "badssl.com"]], 
"is_expired": true, 
"issuer": "EXAMPLE CA", 
"not_valid_before": "04/09/2015", 
"not_valid_after": "04/12/2015", 
"days_to_expiration": -2762
}

取得內容價值

說明

在案件或快訊中擷取內容鍵的值。

參數

參數	類型	預設值	是否為必要項目	說明
範圍	下拉式選單	快訊	是	指定鍵值的範圍，例如案件、快訊或全域。
鍵	字串	不適用	是	指定金鑰。

示例

在這個情境中，我們要從案件中名為「impact」的鍵擷取內容值。這項動作會與「設定內容值」動作搭配使用，將鍵/值組合新增至案件或快訊。

動作執行結果

指令碼執行結果

指令碼結果名稱 價值選項 示例

ScriptResult 背景資訊值高

取得電子郵件範本

說明

傳回系統中的所有電子郵件範本。

參數

參數	類型	預設值	是否為必要項目	說明
範本類型	下拉式選單	標準	是	指定要傳回標準或 HTML 範本。

示例

在這個情境中，我們傳回所有以 HTML 為基礎的電子郵件範本。

動作執行結果

指令碼執行結果

指令碼結果名稱	價值選項	示例
ScriptResult	包含 HTML 程式碼的 JSON 結果	JSON 結果如下所示

JSON 結果

{
"templates": [{"type": 1, "name": "test 1", "content": "<html>\n    <head>\n    <style type=\"text/css\"> .title\n\n    { color: blue; text-decoration: bold; text-size: 1em; }\n    .author\n    { color: gray; }\n\n    </style>\n    </head>\n\n    <body>\n    <span class=\"title\">La super bonne</span>\n    {Text}\n    [Case.Id]\n    </h1> <br/>\n    </body>\n\n    </html>", "creatorUserName": "f00942-fa040-4422324-b2c43e-de40fdsff122b9c4", "forMigration": false, "environments": ["Default"], "id": 3, "creationTimeUnixTimeInMs": 1672054127271, "modificationTimeUnixTimeInMs": 1672054127279}]
}

使用分隔符號建立實體

說明

建立實體並新增至快訊。

參數

參數	類型	預設值	是否為必要項目	說明
實體 ID	字串	不適用	是	指定要新增至快訊的一或多個實體。
實體類型	字串	不適用	是	指定實體類型。
為內部	核取方塊	未選取	否	檢查提供的實體是否屬於內部網路。
實體分隔符	字串	、	是	指定實體 ID 欄位中使用的分隔符號。
擴充功能 JSON	下拉式選單	JSON	否	以 JSON 格式指定擴充資料。
PrefixForEnrichment	字串	不適用	否	指定要新增至擴充資料的前置字串。

示例

在本情境中，我們將建立三個 IP 實體，並使用名為「is_suspicious」的欄位擴充這些實體。

動作執行結果

指令碼執行結果

指令碼結果名稱	價值選項	示例
ScriptResult	True/False	是

JSON 結果

{
"created": ["0.0.0.0", "0.0.0.1", "0.0.0.2"], 
"enriched": ["0.0.0.0", "0.0.0.1", "0.0.0.2"],
"failed": []
}

更新案件說明

說明

更新案件說明。

參數

參數	類型	預設值	是否為必要項目	說明
案件說明	字串	不適用	是	指定更新後的說明。

示例

在此情境中，我們會將案件說明更新為「This case is related to suspicious logins.」。

動作結果

指令碼執行結果

指令碼結果名稱	價值選項	示例
ScriptResult	True/False	是

正規化實體擴充功能

說明

接收實體的金鑰清單並加以取代。

參數

參數	類型	預設值	是否為必要項目	說明
正規化資料	JSON	不適用	是	請按照下列格式範例指定 JSON：[ { "entity_field_name": "AT_fields_Name", "new_name": "InternalEnrichment_Name" }, { "entity_field_name": "AT_fields_Direct-Manager", "new_name": "InternalEnrichment_DirectManager_Name" }, { "entity_field_name": "AT_Manager_fields_Work-Email", "new_name": "InternalEnrichment_DirectManager_Email" } ]

示例

在本情境中，我們將「is_bad」的實體鍵替換為「malicious」。

動作執行結果

指令碼執行結果

指令碼結果名稱	價值選項	示例
ScriptResult	已擴充的實體數量	5

附加至內容值

說明

將值附加至現有內容屬性，或建立新的內容屬性 (如果不存在)，然後新增值。

參數

參數	類型	預設值	是否為必要項目	說明
鍵	字串	不適用	是	指定內容屬性鍵
值	字串	不適用	是	指定要附加至內容屬性的值
分隔符號	字串	不適用	是	指定值欄位中使用的分隔符號。

示例

在本情境中，我們將「T1595」和「T1140」值新增至「MITRE」的現有內容鍵。

動作執行結果

指令碼執行結果

指令碼結果名稱	價值選項	示例
ScriptResult	內容值	T1595、T1140

建立實體關係

說明

在提供的實體和連結的實體之間建立關係。如果提供的實體不存在，系統會建立這些實體。

參數

參數	類型	預設值	是否為必要項目	說明
實體 ID	字串	不適用	是	建立新的實體 ID，或使用現有的實體 ID 或以半形逗號分隔的 ID 清單。
實體 ID 類型	Drop Down	使用者名稱	是	指定實體類型。
連線方式	Drop Down	來源	是	使用來源、目的地或連結關係，將實體 ID 連結至目標實體 ID。
目標實體類型	Drop Down	地址	是	指定要連結實體 ID 的目標實體類型。
目標實體 ID	字串	不適用	否	以半形逗號分隔的實體清單，目標實體類型中的類型會連結至實體 ID 參數中的實體。
擴充功能 JSON	JSON	不適用	否	選用 JSON 物件，內含金鑰/ 可新增至新建立實體的屬性值配對。
分隔字元	字串	不適用	否	指定用來分隔「實體 ID」和/或「目標實體 ID」中實體清單的字元。預設值為逗號。

示例

在本情境中，我們要在使用者和網址之間建立關係。在本例中，Bola001 已存取 example.com 的網址。

動作執行結果

指令碼執行結果

指令碼結果名稱	價值選項	示例
ScriptResult	True/False	是

JSON 結果

{
"Entity": "Bola001", "EntityResult": {}
}

擷取網址網域

說明

使用新欄位「siemplifytools_extracted_domain」擴充所有實體，其中包含從實體 ID 擷取的網域。如果實體沒有網域 (例如檔案雜湊)，系統就不會傳回任何內容。除了實體之外，使用者也可以指定網址清單做為參數並處理這些網址，當然不會進行擴充。

參數

參數	類型	預設值	是否為必要項目	說明
分隔符	字串	、	是	指定用於分隔網址的分隔符字串。
網址	字串	不適用	否	指定一或多個要從中擷取網域的網址。
擷取子網域	核取方塊	不適用	否	指定是否要一併擷取子網域。

示例

在本情境中，我們會從指定網址擷取網域。

動作執行結果

指令碼執行結果

指令碼結果名稱	價值選項	示例
ScriptResult	擷取的網域數量	1

JSON 結果

{
"Entity": "https://sample.google.com", "EntityResult": {"domain": "sample.google.com", "source_entity_type": "DestinationURL"}
}

檢查清單子集

說明

檢查一個清單中的值是否也存在於另一個清單中。

參數

參數	類型	預設值	是否為必要項目	說明
原始	字串	不適用	是	指定要檢查的項目清單。JSON 清單或以半形逗號分隔。
子集	清單	不適用	是	指定子集清單。JSON 清單或以半形逗號分隔。

示例

在這個情境中，我們要檢查原始清單 (1、2、3、4、5) 中是否包含值 1、2、3，結果為 true。

動作執行結果

指令碼執行結果

指令碼結果名稱	價值選項	示例
ScriptResult	True/False	是

新增快訊評分資訊

說明

將項目新增至快訊評分資料庫。快訊分數是根據比率計算：5 個低嚴重程度快訊 = 1 個中等嚴重程度快訊。3 個中等 = 1 個高。2 個「高」= 1 個「極高」。案件已新增選用標記。

參數

參數	類型	預設值	是否為必要項目	說明
名稱	字串	不適用	是	指定要在快訊上執行的檢查名稱。
說明	字串	不適用	是	指定對快訊執行的檢查說明。
嚴重性	字串	參考用	是	指定嚴重程度。
類別	字串	不適用	是	指定執行的檢查類別。
來源	字串	不適用	否	指定分數的計算依據。範例：檔案、使用者、電子郵件。
案件標記	字串	不適用	否	指定要新增至案件的標記。

示例

在這個情境中，由於 VirusTotal 傳回可疑結果，我們將快訊分數設為高分。

動作執行結果

指令碼執行結果

指令碼結果名稱	價值選項	示例
Alert_score	資訊、低、中、高、重大	高

JSON 結果

{
"category": "File Enrichment",
 "score_data": [{"score_name": "File Enrichment", "description": "VT has found a file to be suspicious", "severity": "High", "score": 3, "source": "VirusTotal"}],
 "category_score": 3
}

取得 Siemplify 使用者

說明

傳回系統中設定的所有使用者清單。

參數

參數	類型	預設值	是否為必要項目	說明
隱藏已停用的使用者	核取方塊	已選取	否	指定是否要從結果中隱藏已停用的使用者。

示例

在這個情境中，我們會傳回系統中的所有使用者，包括已停用的使用者。

動作執行結果

指令碼執行結果

指令碼結果名稱	價值選項	示例
ScriptResult	True/False	是

JSON 結果

{
"siemplifyUsers": [{"permissionGroup": "Admins", "socRole": "@Administrator", "isDisabled": false, "loginIdentifier": "sample@domain.com", "firstName": "John", "lastName": "Doe", "permissionType": 0, "role": 0, "socRoleId": 1, "email": "sample@domain.com", "userName": "0b3423496fc2-0834302-42f33d-8523408-18c087d2347cf1e", "imageBase64": null, "userType": 1, "identityProvider": -1, "providerName": "Internal", "advancedReportsAccess": 0, "accountState": 2, "lastLoginTime": 1679831126656, "previousLoginTime": 1678950002044, "lastPasswordChangeTime": 0, "lastPasswordChangeNotificationTime": 0, "loginWrongPasswordCount": 0, "isDeleted": false, "deletionTimeUnixTimeInMs": 0, "environments": ["*"], "id": 245, "creationTimeUnixTimeInMs": 1675457504856, "modificationTimeUnixTimeInMs": 1674957504856
}

Check Entities Fields In Text

說明

從範圍內的每個實體搜尋特定欄位 (或使用 regex 的多個欄位)，並與一或多個值進行比較。比較的值也可以透過規則運算式。如果實體擴充功能中的其中一個後置正則運算式值，與搜尋中的一或多個值相符，即為相符。

參數

參數	類型	預設值	是否為必要項目	說明
SearchInData	JSON	[ { "Data": "[Event.from]", "RegEx": "(?<=@)[^.]+(?=\\.)" } ]	是	JSON，代表您要搜尋的字串，格式如下：[ { "Data": "", "RegEx": "" } ]
FieldsInput	JSON	[ { "RegexForFieldName": "", "FieldName": "body", "RegexForFieldValue": "" }, { "RegexForFieldName": ".(_url_).", "FieldName": "", "RegexForFieldValue": "" }, { "RegexForFieldName": "", "FieldName": "body", "RegexForFieldValue": "HostName: (.*?)" } ]	是	JSON，說明應測試哪些欄位。格式為：[ "RegexForFieldName": “”, "FieldName": "Field name to search", "RegexForFieldValue": “”}]
ShouldEnrichEntity	字串	domain_matched	否	如果設為 <VAL>，也會在實體上放置擴充值，以識別為與該值「相符」。金鑰為 <VAL>
IsCaseSensitive	核取方塊	未選取	否	並指定欄位是否區分大小寫。

示例

在這個情境中，我們要檢查指定文字中是否有欄位名稱為「malicious」的實體。

動作結果

指令碼執行結果

指令碼結果名稱	價值選項	示例
ScriptResult	發現項目數量	0

JSON 結果

{
"Entity": "EXL88765-AD", "EntityResult": [{"RegexForFieldName": "", "FieldName": "malicious", "RegexForFieldValue": "", "ResultsToSearch": {"val_to_search": [[]], "found_results": [], "num_of_results": 0}}]
}

取得整合執行個體

說明

傳回環境的所有整合執行個體。

參數

沒有適用的參數。

示例

在這種情況下，系統會傳回所有環境中的所有整合執行個體。

動作執行結果

指令碼執行結果

指令碼結果名稱	價值選項	示例
ScriptResult	True/False	是

JSON 結果

{
"instances": [{"identifier": "27dee746-1857-41b7-a722-b99699b8d6c8", "integrationIdentifier": "Tools", "environmentIdentifier": "Default", "instanceName": "Tools_1", "instanceDescription": "test", "isConfigured": true, "isRemote": false, "isSystemDefault": false},{...........}]
}

延遲教戰手冊 V2

說明

暫時停止應對手冊在指定時間範圍內完成作業。

參數

參數	類型	預設值	是否為必要項目	說明
秒	整數	0	否	指定延遲劇本的秒數。
分鐘	整數	1	否	指定應對手冊延遲執行的分鐘數。
小時	整數	0	否	指定應對手冊的延遲時數。
天	整數	0	否	指定應對手冊的延遲天數。
Cron 運算式	字串	不適用	否	使用 Cron 運算式決定劇本的執行時間。優先於其他參數。

示例

在本情境中，我們將劇本延後 12.5 小時。

動作結果

指令碼執行結果

指令碼結果名稱	價值選項	示例
ScriptResult	True/False	是

取得原始快訊 JSON

說明

傳回原始快訊的 JSON 結果 (原始資料)。

參數

不適用任何參數

示例

在此情境中，系統會傳回原始的警報 JSON。

動作執行結果

指令碼執行結果

指令碼結果名稱	價值選項	示例
ScriptResult	True/False	是

JSON 結果

{
"CreatorUserId": null, "Events": [{"_fields": {"BaseEventIds": "[]", "ParentEventId": -1, "deviceEventClassId": "IRC Connections", "DeviceProduct": "IPS_Product", "StartTime": "1667497096184", "EndTime": "1667497096184"}, "_rawDataFields": {"applicationProtocol": "TCP", "categoryOutcome": "blocked", "destinationAddress": "104.131.182.103", "destinationHostName": "www.ircnet.org", "destinationPort": "770", "destinationProcessName": "MrlCS.sob", "destinationUserName": "XWTTRYzNr1l@gmail.com", "deviceAddress": "0.0.0.0", "deviceEventClassId": "IRC Connections", "deviceHostName": "ckIYC2", "Field_24": "B0:E7:DF:6C:EF:71", "deviceProduct": "IPS_Product", "deviceVendor": "Vendor", "endTime": "1667497110906", "eventId": "0aa16009-57b4-41a3-91ed-81347442ca29", "managerReceiptTime": "1522058997000", "message": "Connection to IRC Server", "name": "IRC Connections", "severity": "8", "sourceAddress": "0.0.0.0", "sourceHostName": "jhon@domain.local", "startTime": "1667497110906", "sourcetype": "Connection to IRC Server"}, "Environment": null, "SourceSystemName": null, "Extensions": []}], "Environment": "Default", "SourceSystemName": "Arcsight", "TicketId": "fab1b5a1-637f-4aed-a94f-c63137307505", "Description": "IRC Connections", "DisplayId": "fab1b5a1-637f-4aed-a94f-c63137307505", "Reason": null, "Name": "IRC Connections", "DeviceVendor": "IPS", "DeviceProduct": "IPS_Product", "StartTime": 1667497110906, "EndTime": 1667497110906, "Type": 1, "Priority": -1, "RuleGenerator": "IRC Connections", "SourceGroupingIdentifier": null, "PlaybookTriggerKeywords": [], "Extensions": [], "Attachments": null, "IsTrimmed": false, "DataType": 1, "SourceType": 1, "SourceSystemUrl": null, "SourceRuleIdentifier": null
}

取得目前時間

說明

傳回目前的日期和時間。

參數

參數	類型	預設值	是否為必要項目	說明
日期時間格式	字串	%d/%m/%Y %H:%M	是	指定日期和時間的格式。

示例

在本情境中，我們會使用下列格式傳回日期和時間值： %d/%m/%Y %H:%M:%S

動作執行結果

指令碼執行結果

指令碼結果名稱	價值選項	示例
ScriptResult	日期時間值	03/11/2022 20:33:43

更新快訊分數

說明

依據提供的金額更新快訊分數。

參數

參數	類型	預設值	是否為必要項目	說明
輸入	整數	不適用	是	指定要增加或減少的金額 (負數)。

示例

在這個情境中，我們將警報分數調降 20 分。

動作結果

指令碼執行結果

指令碼結果名稱	價值選項	示例
ScriptResult	輸入值	-20

在實體記錄中新增註解

說明

為實體探索工具中每個實體的分數，在實體記錄檔中新增註解。

參數

參數	類型	預設值	是否為必要項目	說明
使用者	下拉式選單	@Administrator	是	指定建立留言的使用者。
註解	字串	不適用	是	指定要新增至實體記錄的註解。

示例

動作執行結果

指令碼執行結果

指令碼結果名稱	價值選項	示例
不適用	不適用	不適用

重新附加手冊

說明

從案件中移除應對手冊、刪除案件中來自該應對手冊的所有結果資料，然後重新附加應對手冊，以便再次執行。必須安裝 PostgreSQL 整合功能，並設定為「共用環境」，執行個體名稱為 Chronicle SOAR。詳情請洽詢客戶成功經理 / 支援團隊。

參數

參數	類型	預設值	是否為必要項目	說明
應對手冊名稱	下拉式選單	不適用	是	指定要重新附加的應對手冊。

示例

在本情境中，我們要重新附加名為 attach_playbook_test 的應對手冊。

動作執行結果

指令碼執行結果

指令碼結果名稱	價值選項	示例
ScriptResult	True/False/Please configure the Chronicle SOAR instance of the PostgreSQL integration.	是

鎖定應對手冊

說明

暫停目前的應對手冊，直到前一個快訊的所有應對手冊完成為止。

參數

參數	類型	預設值	是否為必要項目	說明
非同步動作逾時	整數	1 天	否	非同步動作逾時定義了此動作可執行的總時間 (所有疊代執行階段的加總時間)
非同步輪詢間隔	整數	1 小時	否	設定每次輪詢嘗試之間的持續時間 (適用於非同步動作執行階段期間)。

示例

在這個情境中，我們會暫停目前的應對手冊，並每 30 秒檢查一次，看看案件中先前警報的所有應對手冊是否都已完成。

動作結果

指令碼執行結果

指令碼結果名稱	價值選項	示例
ScriptResult	True/False	是

尋找 First Alert

說明

傳回指定案件中第一個快訊的 ID。

參數

沒有適用的參數。

示例

在本例中，系統會傳回案件中第一個快訊的快訊 ID。

動作執行結果

指令碼執行結果

指令碼結果名稱	價值選項	示例
ScriptResult	快訊 ID 值	IRC CONNECTIONS9A33308C-AC62-4A41-8F73-20529895D567

相似網域

說明

比較網域實體與為環境定義的網域清單。如果網域相似，實體會標示為可疑，並以相符的網域擴充。

參數

沒有適用參數

示例

在這種情況下，我們會檢查外部網域實體是否與設定中的網域清單所設定的網域相似。

動作執行結果

指令碼執行結果

指令碼結果名稱	價值選項	示例
look_a_like_domain_found	True/False	是

JSON 結果

{
"Entity" : {"EntityResult" : { "look_a_like_domains" : ["outlooks.com"]}}
}

變更案件名稱

說明

變更案件名稱或標題。

參數

參數	類型	預設值	是否為必要項目	說明
新建名稱	字串	不適用	否	指定案件的新名稱。
僅限第一則快訊	核取方塊	未選取	否	如果選取這個選項，只有在案件的第一個快訊執行動作時，系統才會變更案件名稱。

示例

在這種情況下，只有在第一個快訊中執行時，案件標題才會變更為「網路釣魚 - 可疑電子郵件」。

動作執行結果

指令碼執行結果

指令碼結果名稱	價值選項	示例
ScriptResult	True/False	是

Spell Check String

說明

檢查輸入字串的拼字。輸出結果會顯示準確率、總字數、錯字數、每個錯字和修正方式的清單，以及修正後的輸入字串。

參數

參數	類型	預設值	是否為必要項目	說明
字串	字串	不適用	是	指定要檢查拼字錯誤的字串。

示例

在這個情境中，我們要對輸入字串「Testing if this is a mispelled wodr.」進行拼字檢查。

動作執行結果

指令碼執行結果

指令碼結果名稱	價值選項	示例
accuracy_percentage	百分比值	71

JSON 結果

{"input_string": "Testing if this is a mispelled wodr.", "total_words": 7, "total_misspelled_words": 2, "misspelled_words": [{"misspelled_word": "mispelled", "correction": "misspelled"}, {"misspelled_word": "wodr", "correction": "word"}], "accuracy": 71, "corrected_string": "Testing if this is a misspelled word."}

搜尋文字

說明

在輸入文字中搜尋「Search For」參數，或在「Search For Regex」清單中循環搜尋，找出輸入文字中的相符項目。如果相符，動作會傳回 true。

參數

參數	類型	預設值	是否為必要項目	說明
文字	字串	不適用	是	指定要搜尋的文字。
搜尋	字串	不適用	否	在「text」欄位中指定要搜尋的字串。
搜尋規則運算式	字串	不適用	否	用於搜尋字串的 RegEx 清單。Regex 應以雙引號括住。支援以半形逗號分隔的清單。
區分大小寫	核取方塊	不適用	否	指定搜尋是否要區分大小寫。

示例

在這個情境中，我們要檢查「Text」欄位值是否包含「malicious」一詞。

動作執行結果

指令碼執行結果

指令碼結果名稱	價值選項	示例
match_found	True/False	是

JSON 結果

{
"matches": [{"search": "malicious", "input": "This IOC is malicious.", "match": true}]
}

設定內容脈絡值

說明

在特定環境中設定鍵和值。這項動作通常會與「取得內容值」動作搭配使用，以擷取鍵的值。

參數

參數	類型	預設值	是否為必要項目	說明
值	字串	不適用	是	指定內容值。
鍵	字串	不適用	是	指定內容鍵。
範圍	下拉式選單	快訊	是	指定情境指派範圍 (快訊、案件、全域)。

示例

在本情境中，我們將「malicious」的內容鍵設為「yes」值。

動作執行結果

指令碼執行結果

指令碼結果名稱	價值選項	示例
ScriptResult	True/False	是

建立 Siemplify 工作

說明

將工作指派給使用者或角色。這項工作會與執行動作的案件相關。

參數

參數	類型	預設值	是否為必要項目	說明
工作標題	字串	不適用	否	指定工作名稱。
服務水準協議 (以分鐘為單位)	整數	480	是	以分鐘為單位指定指派的使用者/角色必須回應工作要求的時間長度。
工作內容	字串	不適用	是	指定工作詳細資料。
指派對象	Drop Down	不適用	是	指定要將工作指派給哪個使用者或角色。

示例

在這個情境中，系統會建立工作，指示第 3 層人員執行病毒掃描。

動作執行結果

指令碼執行結果

指令碼結果名稱	價值選項	示例
ScriptResult	True/False	是

將案件指派給使用者

說明

將案件指派給使用者。

參數

參數	類型	預設值	是否為必要項目	說明
案件 ID	字串	不適用	是	指定案件 ID。使用 [Case.Id] 代表目前案件。
指派對象	字串	@Admin	是	指定要將案件指派給哪位使用者。這是使用者的 ID。使用「Get Siemplify Users」動作，擷取特定使用者的 ID。
快訊 ID	字串		是	指定快訊 ID。使用 [Alert.Identifier]。

示例

在這個情境中，我們要使用 ID 將目前的案件指派給特定使用者。

動作執行結果

指令碼執行結果

指令碼結果名稱	價值選項	示例
ScriptResult	True/False	是

Get Case Data

說明

從案件中擷取所有資料，並傳回 JSON 結果。結果包括註解、實體資訊、深入分析、執行的劇本、快訊資訊和事件。

參數

參數	類型	預設值	是否為必要項目	說明
案件 ID	整數	不適用	否	指定要查詢的案件 ID。如果留空，系統會使用目前的案件。

示例

在這個情境中，我們會從目前的案件擷取案件詳細資料。

動作執行結果

指令碼執行結果

指令碼結果名稱	價值選項	示例
ScriptResult	True/False	是

JSON 結果

{
"wallData": [{"commentForClient": null, "comment": null, "modificationTimeUnixTimeInMsForClient": 0, "creatorUserId": "8f8er8d6-ee8b-478e-9ee592-cc27e9addda13b", "id": 6357, "type": 5, "caseId": 36902, "isFavorite": false, "modificationTimeUnixTimeInMs": 1680717397165, "creationTimeUnixTimeInMs": 1680717397165, "alertIdentifier": "SUSPICIOUS ACTIVITY991C7837-1EE9-4EEA-AE7B-975366CA2EAE"}, {"actionTriggerType": 0, "integration": "Tools", "executingUser": null, "playbookName": "New Playbook", "playbookIsInDebugMode": true, "status": 5, "actionProvider": "Scripts", "actionIdentifier": "Tools_Get Case Data_1", "actionResult": "Action started", "alertIdentifiers": ["SUSPICIOUS ACTIVITY991C7837-1EE9-4EEA-AE7B-975366CA2EAE"], "creatorUserId": null, "id": 7677, "type": 3, "caseId": 0, "isFavorite": false, "modificationTimeUnixTimeInMs": 1680717397401, "creationTimeUnixTimeInMs": 1680717397401, "alertIdentifier": null}], "alerts": [{"ticketId": "d21ebvcxzb88-35vc35-46b4-9edd08-063696d7cc092", "status": 0, "identifier": "SUSPICIOUS ACTIVITY991C7837-1EE9-4EEA-AE7B-975366CA2EAE", "hasWorkflows": true, "workflowsStatus": 1, "sourceSystemName": "CrowdStrikeFalcon", "securityEventCards": [{"caseId": 36902, "eventId": "5fde7844-0099-4c5d-a562-63e2d0deb7e5", "alertIdentifier": "SUSPICIOUS ACTIVITY991C7837-1EE9-4EEA-AE7B-975366CA2EAE", "eventName": "CustomIOAWinLowest", "product": "Falcon", "sources": [{"isValid": true, "identifier": "172.30.202.229", "type": "ADDRESS"}, {"isValid": true, "identifier": "EXLAB2019-AD", "type": "HOSTNAME"}, {"isValid": true, "identifier": "E019-AD$", "type": "USERUNIQNAME"}], "destinations": [], "artificats": [{"isValid": true, "identifier": "MPCMDRUN.EXE", "type": "FILENAME"}, {"isValid": true, "identifier": "60D88450B376694DC55EB8F40B0F79580D1DF399A7BDF", "type": "FILEHASH"}], "port": null, "outcome": null, "time": "2023-03-01T19:51:00Z", "deviceEventClassId": "Indicator of Attack", "fields": [{"isHighlight": true, "groupName": "HIGHLIGHTED FIELDS", "hideOptions": false, "items": [{"originalName": "startTime", "name": "Start Time", "value": "1680615463369"}, {"originalName": "endTime", "name": "End Time", "value": "1680615463369"}]}, {"isHighlight": false, "groupName": "Default", "hideOptions": false, "items": [{"originalName": "cid", "name": "cid", "value": "27fe4e4760b8476b2b6650e5a74"}, {"originalName": "created_timestamp", "name": "created_timestamp", "value": "2023-03-01T19:51:11.387187948Z"}........................
}

等待教戰手冊完成

說明

暫停目前的應對手冊，直到在同一項快訊上執行的其他應對手冊或模塊完成為止。

參數

參數	類型	預設值	是否為必要項目	說明
應對手冊名稱	字串	不適用	否	指定要先完成的區塊或劇本名稱。

示例

在這種情況下，我們會暫停目前的應對手冊，直到在相同快訊上執行的「調查封鎖」完成為止。

動作執行結果

指令碼執行結果

指令碼結果名稱	價值選項	示例
ScriptResult	True/False	是

轉換為模擬案件

說明

將案件轉換為可載入平台的模擬案件。

參數

參數	類型	預設值	必填	說明
推送至模擬案件	核取方塊	未選取	否	選取後，案件會新增至可用的模擬案件清單。
將 JSON 儲存為案件牆檔案	核取方塊	已選取	否	選取後，代表案件的 JSON 檔案會儲存至案件牆，供您下載。
覆寫快訊名稱	String	空白	否	指定要使用的新快訊名稱。如果選取這個參數，系統會取代「完整路徑名稱」參數。
完整路徑名稱	核取方塊	未選取	否	如果選取這個選項，請使用快訊名稱做為 `source_product_eventtype`，例如 `QRadar_WinEventLog:Security_Remote fail login`。如果已設定「覆寫快訊名稱」，系統會忽略這個參數。

範例

在本例中，系統會使用「Risky Sign On」做為快訊名稱，將案件轉換為模擬案件，並顯示在主畫面中。

動作執行結果

指令碼執行結果

指令碼結果名稱 價值選項 示例

ScriptResult True/False 是

JSON 結果

{
  "cases": [
    {
      "CreatorUserId": null,
      "Events": [
        {
          "_fields": {
            "BaseEventIds": "[]",
            "ParentEventId": -1,
            "DeviceProduct": "WinEventLog:Security",
            "StartTime": "1689266169689",
            "EndTime": "1689266169689"
          },
          "_rawDataFields": {
            "sourcetype": "Failed login",
            "starttime": "1689702001439",
            "endtime": "1689702001439"
          },
          "Environment": null,
          "SourceSystemName": null,
          "Extensions": []
        }
      ],
      "Environment": "default",
      "SourceSystemName": "QRadar",
      "TicketId": "de2e3913-e4d8-4060-ae2b-1c81ee64ba47",
      "Description": "This case created by SPLUNK query ",
      "DisplayId": "de2e3913-e4d8-4060-ae2b-1c81ee64ba47",
      "Reason": null,
      "Name": "Risky Sign On",
      "DeviceVendor": "WIN-24TBDNRMSVB",
      "DeviceProduct": "WinEventLog:Security",
      "StartTime": 1689702001439,
      "EndTime": 1689702001439,
      "Type": 1,
      "Priority": -1,
      "RuleGenerator": "Remote Failed login",
      "SourceGroupingIdentifier": null,
      "PlaybookTriggerKeywords": [],
      "Extensions": [
        {
          "Key": "KeyName",
          "Value": "TCS"
        }
      ],
      "Attachments": null,
      "IsTrimmed": false,
      "DataType": 1,
      "SourceType": 1,
      "SourceSystemUrl": null,
      "SourceRuleIdentifier": null,
      "SiemAlertId": null,
      "__CorrelationId": "7efd38feaea247ad9f5ea8d907e4387c"
    }
  ]
}

工作

根據搜尋結果結案

說明

這項工作會根據搜尋查詢關閉所有案件。搜尋有效負載是「CaseSearchEverything」API 呼叫中使用的有效負載。如要取得這個值的範例，請前往使用者介面中的「搜尋」並開啟開發人員工具。搜尋要刪除的案件。在開發人員工具中尋找「CaseSearchEverything」API 呼叫。複製 POST 要求的 JSON 酬載，並貼到「Search Payload」。「Close Reason」應為 0 或 1。0 = 惡意 1 = 非惡意。根本原因來自「設定」->「案件資料」->「案件關閉根本原因」。

參數

參數	類型	預設值	是否為必要項目	說明
搜尋酬載	JSON	不適用	否	指定要搜尋的 JSON 酬載。示例： {"tags":[],"ruleGenerator":[],"caseSource":[],"stage":[],"environments":[],"assignedUsers":[],"products":[],"ports":[],"categoryOutcomes":[],"status":[],"caseIds":[],"incident":[],"importance":[],"priorities":[],"pageSize":50,"isCaseClosed":false,"title":"","startTime":"2023-01-22T00:00:00.000Z","endTime":"2023-01-22T23:59:59.999Z","requestedPage":0,"timeRangeFilter":1}
關閉留言	字串	不適用	是	指定結尾註解。
關閉原因	字串	不適用	是	說明停業原因。0 = 惡意，1 = 非惡意
根本原因	整數	不適用	是	指定根本原因。根本原因來自「設定」->「案件資料」->「案件關閉根本原因」。
Chronicle SOAR 使用者名稱	字串	不適用	是	指定 Chronicle SOAR 使用者名稱。
Chronicle SOAR 密碼	密碼	不適用	是	指定 Chronicle SOAR 密碼。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。