Módulo SiemplifyAction
clase SiemplifyAction.SiemplifyAction
SiemplifyAction.SiemplifyAction(mock_stdin=None, get_source_file=False)
Bases: Siemplify
add_alert_entities_to_custom_list
add_alert_entities_to_custom_list(category_name)
Agrega las entidades de la alerta al registro de la lista personalizada con la categoría determinada.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| category_name | {string} | Categoría de la lista personalizada | "CustomList" | N/A |
Devoluciones
Lista {[CustomList]} de los objetos agregados.
Ejemplo
Entrada: Explícitamente, category_name. Implícitamente, las entidades que usan el alcance.
La ejecución de add_alert_entities_to_custom_list generará una lista de objetos "CustomList" y un cambio de configuración en los parámetros.
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
result = siemplify.add_alert_entities_to_custom_list("WhiteListed HOSTs")
Comportamiento del resultado
Agrega la categoría WhiteListed HOSTs.
Valor del resultado
[<SiemplifyDataModel.CustomList object at 0x0000000003476E10>, <SiemplifyDataModel.CustomList object at 0x0000000003476B00>]
add_attachment
add_attachment(file_path, case_id=None, alert_identifier=None, description=None, is_favorite=False)
Agrega un archivo adjunto al muro del caso.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| file_path | {string} | Ruta de acceso al archivo | "C:\Program Files (x86)\Google\Chrome\Application\chrome_proxy.exe" | N/A |
| case_id | {string} | Identificador del caso | 234 | N/A |
| alert_identifier | {string} | Identificador de alerta | 12345 | N/A |
| descripción | {string} | La descripción del archivo | N/A | N/A |
| is_favorite | booleano | N/A | Verdadero/Falso | N/A |
Devoluciones
{long} attachment_id
Ejemplo
Entrada: De forma explícita, ruta de acceso al archivo, descripción y is_favorite. Implícitamente, case_id y alert_identifier.
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
result = siemplify.add_attachment("C:\Program Files (x86)\Google\Chrome\Application\chrome_proxy.exe", case_id="234", alert_identifier=None, description=None, is_favorite=True)
Comportamiento del resultado
El archivo mencionado en la ruta de acceso se adjuntará al ID del caso 234 y se devolverá el ID del adjunto.
Valor del resultado
5 [El ID del archivo adjunto]
add_comment
add_comment(comment, case_id=None, alert_identifier=None)
Agrega un comentario nuevo a un caso específico.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| comentario | {string} | Comentario que se agregará al muro del caso | N/A | N/A |
| case_id | {string} | Identificador del caso | 234 | Si no se proporciona un case_id,se usará el caso actual.Ninguno de forma predeterminada (opcional) |
| alert_identifier | {string} | Identificador de alerta | 12345 | Si no se proporciona un alert_identifier,se usará la alerta actual.Ninguno de forma predeterminada (opcional) |
Devoluciones
NoneType
Ejemplo
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
comment = "Ran some tests on the hash and it seems fine"
siemplify.add_comment(comment=comment)
Comportamiento del resultado
El comentario especificado se agrega al caso actual.
Valor del resultado
Ninguno
add_entity_insight
add_entity_insight(domain_entity_info, message, triggered_by=None, original_requesting_user=None)
Agrega una sugerencia de entidad al caso en el que se usa.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| domain_entity_info | {DomainEntityInfo} | Es el objeto de entidad que representa una entidad para agregar estadísticas. | N/A | N/A |
| mensaje | {string} | Mensaje de la estadística | N/A | N/A |
| triggered_by | {string} | Nombre de la integración | N/A | Si no se proporciona un nombre de integración, se usará la integración seleccionada
para la acción. Ninguno de forma predeterminada (opcional) |
| original_requesting_user | {string} | Usuario solicitante | N/A | Ninguno de forma predeterminada (opcional) |
Devoluciones
{boolean} True si se completó correctamente. En caso contrario, False.
Ejemplo
Comportamiento del resultado
Valor del resultado
add_entity_to_case
add_entity_to_case(entity_identifier, entity_type, is_internal, is_suspicious, is_enriched, is_vulnerable, properties, case_id=None, alert_identifier=None, environment=None)
Agrega una entidad al caso actual.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| entity_identifier | {string} | Identificador de entidad | 192.0.2.1, example.com | N/A |
| entity_type | {string} | Tipo de entidad | "ADDRESS" | N/A |
| is_internal | {boolean} | N/A | Interno/externo | N/A |
| is_suspicious | {boolean} | N/A | Sospechoso/No sospechoso | N/A |
| is_enriched | {boolean} | N/A | Verdadero/Falso | Falso de forma predeterminada |
| is_vulnerable | {boolean} | N/A | Verdadero/Falso | Falso de forma predeterminada |
| del bucket | {dict} | {"Property1":"PropertyValue", "Property2":"PropertyValue2"} | N/A | N/A |
Devoluciones
NoneType
Si ya existe una entidad, aparece el siguiente error: /.
500 Server Error: Internal Server Error for url:https://localhost:8443/api/external/v1/sdk/CreateEntity?format=snake:\"ErrorMessage\":\"Cannot add entity [Identifier:Entities Identifies -Type:siemplify.parameters[] to alert [MONITORED MAILBOX<EXAMPLE@EXAMPLE.COM>_633997CB-D23B-4A2B-92F2-AD1D350284FF] in case [12345]because the entity already exists >there.\"
Ejemplo
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
siemplify.add_entity_to_case(entity_identifier, entity_type, is_internal, is_suspicious, is_enriched, is_vulnerable, properties, case_id, alert_identifier, environment)
Comportamiento del resultado
Esta función agregará una nueva entidad al caso si no está presente en él.
Valor del resultado
Ninguno
add_tag
add_tag(tag, case_id=None, alert_identifier=None)
Agrega una etiqueta nueva a un caso específico.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| etiqueta | {string} | Etiqueta que se agregará | Cualquier cadena que se usará como etiqueta | N/A |
| case_id | {string} | Identificador del caso | 12345 | Si no se proporciona un case_id,se usará el ID del caso actual. Ninguno de forma predeterminada (opcional) |
| alert_identifier | {string} | Identificador de alerta | 123 | Si no se proporciona un alert_identifier,se usará el ID de alerta actual. Ninguno de forma predeterminada(opcional) |
Devoluciones
NoneType
Ejemplo
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
tag_to_be_added = "MaliciousMail"
siemplify.add_tag(tag=tag_to_be_added)
Comportamiento del resultado
Se agrega la etiqueta "MaliciousMail" al caso actual.
Valor del resultado
Ninguno
any_alert_entities_in_custom_list
any_alert_entities_in_custom_list(category_name)
Verifica si alguna de las entidades de la alerta tiene un registro de lista personalizada con la categoría determinada.
Esta función obtiene un nombre de categoría de CustomLists y devuelve True (booleano)
si alguna de las entidades del alcance se encuentra en esa categoría. Una entidad se considera dentro de la categoría si su identificador aparece con esta categoría en la configuración de la tabla CustomLists.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| category_name | {string} | Nombre de la categoría de la lista personalizada | BlackListed IPs |
N/A |
Devoluciones
{boolean} True si hay una entidad en la categoría; de lo contrario, False.
Ejemplo 1
from SiemplifyAction import SiemplifyAction \
siemplify = SiemplifyAction() \
result = siemplify.any_entity_in_custom_list("BlackListed IPs")
Ejemplo 2
from SiemplifyAction import SiemplifyAction \
siemplify = SiemplifyAction() \
result = siemplify.any_entity_in_custom_list("Executive IPs")
Comportamiento del resultado
El resultado del código de muestra 1 es True. El resultado del código de muestra 2 es False.
Valor del resultado
Verdadero o falso
assign_case
assign_case(user, case_id=None, alert_identifier=None)
Asigna el caso al usuario.
Esta función trabaja con el ID de usuario o el rol del usuario.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| usuario | {string} | ID de usuario o rol de usuario | USER_ID, Admin, @Tier1 | N/A |
| case_id | {string} | Identificador del caso | 12345 | Si no se proporciona un case_id,se usará el ID del caso actual. Ninguno de forma predeterminada (opcional) |
| alert_identifier | {string} | Identificador de alerta | 123 | Si no se proporciona un alert_identifier,se usará el ID de alerta actual. Ninguno de forma predeterminada (opcional) |
Devoluciones
NoneType
Ejemplo
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
assigned_user= "Admin"
siemplify.assign_case(assigned_user)
Comportamiento del resultado
El caso se asigna al usuario administrador.
Valor del resultado
Ninguno
attach_workflow_to_case
attach_workflow_to_case(workflow_name, cyber_case_id=None, indicator_identifier=None)
Adjunta una guía a la alerta actual.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| workflow_name | {string} | Nombre del flujo de trabajo (guía) | N/A | N/A |
| cyber_case_id | {string} | Identificador del caso | 234 | Si no se proporciona ningún caso, se usa el caso actual. Ninguno de forma predeterminada (opcional) |
| indicator_identifier | {string} | Identificador de alerta | 12345 | Si no se proporciona un identificador de alerta, se usa la alerta actual. Ninguno de forma predeterminada (opcional) |
Devoluciones
NoneType
Ejemplo
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
siemplify.attach_workflow_to_case(workflow_name, cyber_case_id, indicator_identifier)
Comportamiento del resultado
Adjunta el flujo de trabajo determinado al caso para el identificador de indicador determinado.
Valor del resultado
Ninguno
Caso de property
change_case_priority
change_case_priority(priority, case_id=None, alert_identifier=None)
Cambiar la prioridad del caso
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| priority | {int} | La prioridad representada por cada número, respectivamente, es la siguiente: Baja, media, alta y crítica |
{"Low": 40, "Medium": 60, "High": 80, "Critical": 100} | N/A |
| case_id | {string} | Identificador del caso | 12345 | Si no se proporciona ningún caso, se usa el caso actual. |
| alert_identifier | {string} | Identificador de alerta | 123 | Si no se proporciona un identificador de alerta, se usa la alerta actual. |
Devoluciones
NoneType
Ejemplo
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
priority_to_change_to = 60
siemplify.change_case_priority(priority=priority_to_change_to )
Comportamiento del resultado
La prioridad del caso cambia a "Media".
Valor del resultado
Ninguno
change_case_stage
change_case_stage(stage, case_id=None, alert_identifier=None)
Cambiar etapa del caso
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| de este proceso, | {string} | La etapa debe coincidir exactamente con la cadena definida en la tabla de etapas del caso. | Incidente, Investigación |
N/A |
| case_id | {string} | Identificador del caso | 12345 | Si no se proporciona ningún caso, se usa el caso actual. |
| alert_identifier | {string} | Identificador de alerta | 123 | Si no se proporciona un identificador de alerta, se usa la alerta actual. |
Devoluciones
Ejemplo
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
stage_to_change_to = "Investigation"
siemplify.change_case_stage(stage=stage_to_change_to)
Comportamiento del resultado
El estado del caso cambia a "Investigación".
Valor del resultado
Ninguno
close_alert
close_alert(root_cause, comment, reason, case_id=None, alert_id=None)
Cierra la alerta actual.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| root_cause | {string} | Causa raíz del cierre del caso | Es una cadena extraída de la tabla "Causa raíz del cierre del caso" en la configuración. |
N/A |
| comentario | {string} | Comentario | Aquí se puede usar cualquier cadena. | El comentario debe describir el caso, pero no está restringido. |
| Reason | {ApiSyncAlertCloseReasonEnum} | Una de las tres cadenas predefinidas disponibles en el diálogo cuando se realiza de forma manual: "NotMalicious", "Malicious" y "Maintenance" |
Consulta SiemplifyDataModel.ApiSyncAlertCloseReasonEnum |
Devoluciones
{dict} resultado de la operación del servidor
Ejemplo
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
reason = "Maintenance"
root_cause = "Employee Error"
comment = "User accidentally activated a correlation before it was ready to be used and triggered this alert"
siemplify.close_alert(reason=reason, root_cause=root_cause, comment=comment)
Comportamiento del resultado
La alerta actual se transfiere a un caso nuevo y, luego, se cierra con la alerta.
Valor del resultado
Ninguno
close_case
close_case(root_cause, comment, reason, case_id=None, alert_identifier=None)
Cierra el caso.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| root_cause | {string} | Causa raíz del cierre del caso | N/A | N/A |
| comentario | {string} | Comentario | Aquí se puede usar cualquier cadena. | El comentario debe describir el caso, pero no está restringido. |
| Reason | {ApiSyncAlertCloseReasonEnum} | Motivo del cierre del caso | Una de las tres cadenas predefinidas disponibles en el diálogo cuando se realiza manualmente: "NotMalicious", "Malicious" y "Maintenance" | |
| case_id | {string} | Identificador del caso | 12345 | Si no se proporciona ningún caso, se usa el caso actual. |
| alert_identifier | {string} | Identificador de alerta | 123 | Si no se proporciona un identificador de alerta, se usa la alerta actual. |
Devoluciones
NoneType
Ejemplo
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
reason = "Maintenance"
root_cause = "Employee Error"
comment = "User accidentally activated a correlation before it was ready to be used and triggered this alert"
siemplify.close_case(reason=reason, root_cause=root_cause, comment=comment)
Comportamiento del resultado
El caso se cierra con el motivo, la causa raíz y el comentario especificados.
Valor del resultado
Ninguno
create_case_insight
create_case_insight(triggered_by, title, content, entity_identifier, severity, insight_type, additional_data=None, additional_data_type=None, additional_data_title=None)
Agrega una estadística al caso.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| triggered_by | {string} | Nombre de la integración | VirusTotal y XForce | N/A |
| título | {string} | Título de la estadística | Enriquecido por VirusTotal | N/A |
| contenido | {string} | Mensaje de la estadística | Mensaje de estadísticas | N/A |
| entity_identifier | {string} | Identificador de entidad | example.com | N/A |
| gravedad, | {int} | Nivel de gravedad | 0 = info, 1 = warning, 2 = error |
|
| insight_type | {int} | Tipo de estadística | 0 = general, 1 = entidad |
N/A |
| additional_data | {string} | Datos adicionales para la estadística | {"checked against": "VT", "malicious": "No"} | N/A |
| additional_data_type | {int} | Tipo de datos adicionales | "General"=0, "Entity"=1 |
N/A |
| additional_data_title | {string} | Título de los datos adicionales de la estadística | Verificación de VT | N/A |
Devoluciones
{boolean} True si se completó correctamente. En caso contrario, False.
Ejemplo
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
siemplify.create_case_insight(triggered_by, title, content, entity_identifier, severity, insight_type, additional_data, additional_data_type, additional_data_title)
Comportamiento del resultado
Crea la estadística de un caso con datos definidos.
True si se crea la estadística del caso. En caso contrario, False.
Valor del resultado
Verdadero o falso
property current_alert
dismiss_alert
dismiss_alert(alert_group_identifier, should_close_case_if_all_alerts_were_dismissed, case_id=None)
Entorno de propiedad
escalate_case
escalate_case(comment, case_id=None, alert_identifier=None)
Deriva el caso.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| comentario | {string} | Derivar comentario | N/A | N/A |
| case_id | {string} | Identificador del caso | 12345 | N/A |
| alert_identifier | {string} | Identificador de alerta | 123 | N/A |
extract_action_param
extract_action_param(param_name, default_value=None, input_type=<class 'str'>, is_mandatory=False, print_value=False)
Obtiene un parámetro de secuencia de comandos de acción.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| param_name | {string} | Nombre del parámetro | Cualquiera de los nombres de parámetros disponibles para la acción | N/A |
| default_value | {any} | El valor predeterminado del parámetro | Se devolverá el valor proporcionado si no se configuró el parámetro (si is_mandatory se establece en False). |
Si no se pasa el parámetro, usa este valor de forma predeterminada. Ninguno de forma predeterminada (opcional) |
| input_type | {obj} | Convertir el parámetro a un tipo diferente | int | cadena de forma predeterminada (opcional) |
| is_mandatory | {boolean} | Genera una excepción si el parámetro está vacío. | Verdadero/Falso | Falso de forma predeterminada |
| print_value | {boolean} | Imprime el valor en el registro | Verdadero/Falso | Falso de forma predeterminada |
Devoluciones
Valor del parámetro, {cadena} de forma predeterminada, a menos que se especifique input_type.
Ejemplo
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
param_value= siemplify.extract_action_param(
"Threshold",
default_value=-1,
input_type=int,
is_mandatory=False,
print_value=False)
Comportamiento del resultado
Se devolverá el valor del parámetro seleccionado, convertido al tipo seleccionado.
Valor del resultado
20
fetch_and_save_timestamp
fetch_and_save_timestamp(datetime_format=False, timezone=False, new_timestamp=1683033493671)
Recupera la marca de tiempo y guárdala en el contexto del caso.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| datetime_format | {boolean} | Formato de fecha y hora | Verdadero para obtener el formato de fecha y hora, falso para Unix | Falso de forma predeterminada (opcional) |
| Zona horaria | El parámetro ya no se admite | |||
| new_timestamp | {int} | Es la marca de tiempo que se guardará. | N/A | Tiempo de época Unix de forma predeterminada (opcional) |
Devoluciones
{int} datetime.
Ejemplo
from SiemplifyAction import SiemplifyAction
sa = SiemplifyAction()
sa.fetch_and_save_timestamp(self, datetime_format=False, new_timestamp=SiemplifyUtils.Unix_now())
Comportamiento del resultado
Se recupera la marca de tiempo más reciente y se guarda como un archivo TIMESTAMP en el directorio actual.
Valor del resultado
datetime.datetime(2019, 7, 16, 14, 26, 2, 26000)/1563276380
fetch_timestamp
fetch_timestamp(datetime_format=False, timezone=False)
Obtiene la marca de tiempo guardada con save_timestamp.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| datetime_format | {boolean} | Si es True, devuelve la marca de tiempo como fecha y hora. De lo contrario, se devuelve en formato Unix. | Verdadero/Falso | Falso de forma predeterminada (opcional) |
| Zona horaria | El parámetro ya no se admite | |||
Devoluciones
Fecha y hora y hora de época de Unix guardadas.
Ejemplo
from SiemplifyAction import SiemplifyAction
sa = SiemplifyAction()
result = sa.fetch_timestamp(datetime_format=True)
Comportamiento del resultado
Se recupera la marca de tiempo más reciente y se guarda como un archivo TIMESTAMP en el directorio actual.
Valor del resultado
datetime.datetime(2019, 7, 16, 14, 26, 2, 26000)/1563276380
get_alert_context_property
get_alert_context_property(property_key)
Obtiene la propiedad de contexto de la alerta actual.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| property_key | {string} | Es la clave de la propiedad solicitada. | N/A | N/A |
Devoluciones
{string} Es el valor de la propiedad.
get_alerts_ticket_ids_from_cases_closed_since_timestamp
get_alerts_ticket_ids_from_cases_closed_since_timestamp(timestamp_unix_ms, rule_generator)
Recibe alertas de los casos que se cerraron desde la marca de tiempo.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| timestamp_unix_ms | {long} | Marca de tiempo | 1550409785000L | N/A |
| rule_generator | {string} | N/A | Detector de correos electrónicos de phishing | N/A |
Devoluciones
Lista de IDs de alertas {[string]}
get_attachments
get_attachments(case_id=None)
Obtiene los archivos adjuntos de un caso.
Esta función obtiene una lista de elementos de lista personalizados de la categoría y la lista de entidades, y devuelve una lista de objetos de elementos de lista personalizados.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| case_id | {string} | Identificador del caso | 234 | Si no se proporciona ningún caso, se usará el caso actual (opcional). |
Devoluciones
{dict} archivos adjuntos
Ejemplo
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
result = siemplify.get_attachments(case_id="234")
Comportamiento del resultado
Se devolverá una lista de diccionarios de archivos adjuntos para el ID de caso 234.
Valor del resultado
[{u'is_favorite': False, u'description': u'test', u'type': u'.exe', u'id': 4, u'name': u'chrome_proxy'}]
get_case_comments
get_case_comments(case_id=None)
Obtener comentarios del caso
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| case_id | {string} | Identificador del caso | 234 | Si no se proporciona ningún caso, se usará el caso actual. |
Devoluciones
{[dict]} de comentarios del caso
Ejemplo
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
siemplify.get_case_comments(case_id)
Comportamiento del resultado
Se recuperarán todos los comentarios pertenecientes al caso.
Valor del resultado
[{'comment': u'this is a comment',
u'is_deleted': False,
u'last_editor_full_name': u'example user',
u'modification_time_unix_time_in_ms_for_client': 0,
u'creation_time_unix_time_in_ms': 1681904404087, u'id': 12,
u'modification_time_unix_time_in_ms': 1681904404087,
u'case_id': 234,
u'is_favorite': False,
u'alert_identifier': None,
u'creator_user_id': u'cd1c112a-0277-44a9-b68d-98ceef9b0399',
u'last_editor': u'cd1c112a-0277-44a9-b68d-98ceef9b0399',
u'type': 5,
u'comment_for_client': None,
u'creator_full_name': u'example user'}]
get_case_context_property
get_case_context_property(property_key)
Obtiene una propiedad de contexto del caso.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| property_key | {string} | La propiedad de clave solicitada | N/A | N/A |
Devoluciones
{string} el valor de la propiedad
get_configuration
get_configuration(provider, environment=None, integration_instance=None)
Obtiene la configuración de la integración.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| proveedor | {string} | Nombre de la integración | VirusTotal | |
| entorno | {string} | Configuración para un entorno específico o "todos" | Opcional. Si se proporcionan, las credenciales se recuperarán de la configuración del entorno correspondiente. Si no se especifica ningún entorno, se usa el entorno del caso de forma predeterminada. Si no hay configuración para el entorno específico, se devolverá la configuración predeterminada. |
|
| integration_instance | {string} | Es el identificador de la instancia de integración. | N/A | N/A |
Devoluciones
Detalles de configuración {dict}
get_similar_cases
get_similar_cases(consider_ports, consider_category_outcome, consider_rule_generator, consider_entity_identifiers, days_to_look_back, case_id=None, end_time_unix_ms=None)
Obtener casos similares
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| consider_ports | {boolean} | El parámetro configura si se debe usar un filtro de puertos o no. | Verdadero o falso | N/A |
| consider_category_outcome | {boolean} | Parámetro que configura si se debe tener en cuenta el resultado de la categoría de los eventos | Verdadero o falso | N/A |
| consider_rule_generator | {boolean} | El parámetro configura si se debe tener en cuenta el generador de reglas para las alertas. | Verdadero o falso | N/A |
| consider_entity_identifiers | {boolean} | El parámetro configura si se deben tener en cuenta los identificadores de entidades para las alertas. | Verdadero o falso | N/A |
| days_to_look_back | {int} | El parámetro configura la cantidad de días anteriores para buscar casos similares. | 365 | N/A |
Devoluciones
Lista de IDs de casos {[int]}
Ejemplo
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
result = siemplify.get_similar_cases(consider_ports=True,
consider_category_outcome=False,
consider_rule_generator=False,
consider_entity_identifiers=False,
days_to_look_back=30, case_id="234", end_time_unix_ms=None)
Comportamiento del resultado
Se mostrará una lista de IDs de casos similares al caso 234.
Valor del resultado
[4, 231]
get_ticket_ids_for_alerts_dismissed_since_timestamp
get_ticket_ids_for_alerts_dismissed_since_timestamp(timestamp_unix_ms)
property is_timeout_reached
load_case_data
load_case_data()
Esta función carga los datos del caso.
Parámetros
No se requieren parámetros.
Devoluciones
NoneType
Ejemplo
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
result = siemplify.load_case_data()
Comportamiento del resultado
Se cargan los datos del caso.
Valor del resultado
Ninguno
property log_location
mark_case_as_important
mark_case_as_important(case_id=None, alert_identifier=None)
Marcar el caso como importante
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| case_id | {string} | Identificador del caso | 234 | N/A |
| alert_identifier | {string} | Identificador de alerta | 12345 | N/A |
Devoluciones
NoneType
Ejemplo
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
siemplify.mark_case_as_important()
Comportamiento del resultado
El caso actual está marcado como importante.
Valor del resultado
Ninguno
raise_incident
raise_incident(case_id=None, alert_identifier=None)
Generar incidente
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| case_id | {string} | Identificador del caso | 234 | N/A |
| alert_identifier | {string} | Identificador de alerta | 12345 | N/A |
Devoluciones
NoneType
Ejemplo
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
siemplify.raise_incident(case_id, alert_identifier)
Comportamiento del resultado
El caso se elevó al estado de incidente.
Valor del resultado
Ninguno
remove_alert_entities_from_custom_list
remove_alert_entities_from_custom_list(category_name)
Quita las entidades de la alerta del registro de la lista personalizada con la categoría determinada.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| category_name | {string} | Categoría de la lista de clientes | `WhiteListed HOSTs` | N/A |
Devoluciones
Lista {[CustomList]} de los objetos CustomList quitados.
Ejemplo
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
result = siemplify.remove_alert_entities_from_custom_list("WhiteListed HOSTs")
Comportamiento del resultado
Se quitó WhiteListed HOSTS.
Valor del resultado
[<SiemplifyDataModel.CustomList object at 0x0000000003476E10>,
<SiemplifyDataModel.CustomList object at 0x0000000003476B00>]
save_timestamp
save_timestamp(datetime_format=False, timezone=False, new_timestamp=1683033493671)
Guarda la marca de tiempo en el contexto de la secuencia de comandos actual.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| datetime_format | {boolean} | N/A | Es verdadero para el formato de fecha y hora, y falso para Unix. | El valor predeterminado es False (opcional). |
| Zona horaria | El parámetro ya no se admite | |||
| new_timestamp | {long} | Marca de tiempo para guardar en el contexto | N/A | La marca de tiempo se establecerá de forma predeterminada en la marca de tiempo de Unix de la llamada al método. |
Devoluciones
NoneType
Ejemplo
from SiemplifyAction import SiemplifyAction
sa = SiemplifyAction()
sa.save_timestamp(self, datetime_format=False, new_timestamp=SiemplifyUtils.unix_now())
Comportamiento del resultado
La nueva marca de tiempo se guardará como un archivo TIMESTAMP en el directorio actual.
Valor del resultado
Ninguno
set_alert_context_property
set_alert_context_property(property_key, property_value)
Establece una propiedad de contexto de alerta por pares clave-valor.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| property_key | {string} | Es la clave de la propiedad que se almacenará en el contexto. | N/A | N/A |
| property_value | {string} | Valor de la propiedad que se almacenará en el contexto | N/A | N/A |
set_alert_sla
set_alert_sla(period_time, period_type, critical_period_time, critical_period_type, case_id=None, alert_id=None)
Establece el ANS del alert_identifier determinado de case_id. El SLA que se establece con esta API debe superar todos los demás tipos de SLA de alertas.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| period_time | {int/str} | El período total del ANS | N/A | period_time > 0 |
| period_type | {string} | Unidades de tiempo de period_time, representadas por ApiPeriodTypeEnum | N/A | N/A |
| critical_period_time | {int/str} | El período crítico del ANS | N/A | critical_period_time >= 0 El período crítico (después de ajustarse con sus unidades de tiempo) debe ser menor que el período total. |
| critical_period_type | {string} | las unidades de tiempo de critical_period_time, representadas por ApiPeriodTypeEnum |
||
| case_id | {long} | Identificador del caso | 234 | N/A |
| alert_id | {string} | Identificador de alerta | 12345 | N/A |
set_case_context_property
set_case_context_property(property_key, property_value)
Establece una propiedad de contexto del caso con el par clave-valor.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| property_key | {string} | Es la clave de la propiedad. | N/A | N/A |
| property_value | {string} | Valor de la propiedad | N/A | N/A |
set_case_sla
set_case_sla(period_time, period_type, critical_period_time, critical_period_type, case_id=None)
Establece el ANS del case_id determinado si se proporciona; de lo contrario, establece el ANS del caso actual. El SLA que se establece con esta API debe superar todos los demás tipos de SLA de casos.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| period_time | {int/str} | El período total del ANS | N/A | period_time > 0 |
| period_type | {string} | Unidades de tiempo de period_time, representadas por ApiPeriodTypeEnum | N/A | N/A |
| critical_period_time | {int/str} | El período crítico del ANS | N/A | critical_period_time > 0 El período crítico (después de ajustarlo con sus unidades de tiempo) debe ser menor que el período total. |
| critical_period_type | {string} | las unidades de tiempo de critical_period_time, representadas por ApiPeriodTypeEnum |
N/A | N/A |
| case_id | {long} | Identificador del caso | N/A | N/A |
signal_handler
signal_handler(sig, frame)
property target_entities
El objeto target_entities es una lista de objetos de entidad con los que se puede ejecutar la acción configurada. Cada objeto de entidad expone las siguientes propiedades y métodos:
Propiedades de la entidad
Los siguientes son atributos de retención de datos directos de un objeto de entidad:
| Propiedad | Tipo de datos | Descripción |
|---|---|---|
identifier |
string |
Es el identificador único (UUID) de la entidad. |
creation_time |
int |
Es la marca de tiempo de Unix de cuándo se creó la entidad. |
modification_time |
int |
Es la marca de tiempo de Unix que indica cuándo se modificó la entidad por última vez. |
additional_properties |
dict |
Es un diccionario que contiene detalles adicionales sobre la entidad. |
case_identifier |
string |
Es el ID del caso principal al que pertenece la entidad. |
alert_identifier |
string |
Es el ID de la alerta asociada a la entidad. |
entity_type |
string |
Es el tipo de entidad (por ejemplo, "HOSTNAME", "USERUNQNAME"). |
is_internal |
bool |
Indica si la entidad es un activo interno. |
is_suspicious |
bool |
Indica si la entidad está marcada como sospechosa. |
is_artifact |
bool |
Indica si la entidad es un artefacto. |
is_enriched |
bool |
Indica si la entidad se enriqueció. |
is_vulnerable |
bool |
Indica si la entidad está marcada como vulnerable. |
is_pivot |
bool |
Indica si la entidad es una entidad pivote. |
Métodos de entidades
Las siguientes son funciones ejecutables disponibles en un objeto de entidad:
| Método | Descripción |
|---|---|
to_dict() |
Convierte el objeto de entidad en un diccionario estándar de Python. |
try_set_alert_context_property
try_set_alert_context_property(property_key, property_value)
try_set_case_context_property
try_set_case_context_property(property_key, property_value)
update_alerts_additional_data
update_alerts_additional_data(alerts_additional_data, case_id=None)
Actualiza los datos adicionales de las alertas.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| case_id | {string} | Identificador del caso | 234 | N/A |
| alerts_additional_data | {string:string} | N/A | N/A | N/A |
Devoluciones
NoneType
Ejemplo
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
additional_data = {"testKey":"testValue"}
siemplify.update_alerts_additional_data(alerts_additional_data=additional_data, case_id=caseid)
Comportamiento del resultado
Actualiza la alerta con datos adicionales, como testKey:testValue.
Valor del resultado
Ninguno