מודול SiemplifyAction
class SiemplifyAction.SiemplifyAction
SiemplifyAction.SiemplifyAction(mock_stdin=None, get_source_file=False)
בסיסים: Siemplify
add_alert_entities_to_custom_list
add_alert_entities_to_custom_list(category_name)
מוסיפים את הישויות של ההתראה לרשומה של הרשימה המותאמת אישית עם הקטגוריה שצוינה.
פרמטרים
| שם הפרמטר | סוג הפרמטר | הגדרה | ערכים אפשריים | תגובות |
|---|---|---|---|---|
| category_name | {string} | קטגוריה של רשימת לקוחות | "CustomList" | לא רלוונטי |
מחזירה
רשימת האובייקטים שנוספו {[CustomList]}.
דוגמה
קלט: במפורש, category_name. באופן משתמע, ישויות באמצעות היקף.
הפעלת add_alert_entities_to_custom_list תוביל לרשימה של
אובייקטים מסוג CustomList ולשינוי בהגדרות.
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
result = siemplify.add_alert_entities_to_custom_list("WhiteListed HOSTs")
התנהגות התוצאה
הקטגוריה WhiteListed HOSTs נוספת.
ערך התוצאה
[<SiemplifyDataModel.CustomList object at 0x0000000003476E10>, <SiemplifyDataModel.CustomList object at 0x0000000003476B00>]
add_attachment
add_attachment(file_path, case_id=None, alert_identifier=None, description=None, is_favorite=False)
הוספת קובץ מצורף לקיר של בקשת התמיכה.
פרמטרים
| שם הפרמטר | סוג הפרמטר | הגדרה | ערכים אפשריים | תגובות |
|---|---|---|---|---|
| file_path | {string} | נתיב קובץ | "C:\Program Files (x86)\Google\Chrome\Application\chrome_proxy.exe" | לא רלוונטי |
| case_id | {string} | מזהה הפנייה | 234 | לא רלוונטי |
| alert_identifier | {string} | מזהה התראה | 12345 | לא רלוונטי |
| description | {string} | התיאור של הקובץ | לא רלוונטי | לא רלוונטי |
| is_favorite | בוליאני | לא רלוונטי | נכון/לא נכון | לא רלוונטי |
מחזירה
{long} attachment_id
דוגמה
קלט: באופן מפורש, נתיב קובץ, תיאור ו-is_favorite. באופן מרומז, case_id ו-alert_identifier.
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
result = siemplify.add_attachment("C:\Program Files (x86)\Google\Chrome\Application\chrome_proxy.exe", case_id="234", alert_identifier=None, description=None, is_favorite=True)
התנהגות התוצאה
הקובץ שצוין בנתיב יצורף לפנייה מספר 234, ומזהה הקובץ המצורף יוחזר.
ערך התוצאה
5 [מזהה הקובץ המצורף]
add_comment
add_comment(comment, case_id=None, alert_identifier=None)
הוספת תגובה חדשה לבקשת תמיכה ספציפית.
פרמטרים
| שם הפרמטר | סוג הפרמטר | הגדרה | ערכים אפשריים | תגובות |
|---|---|---|---|---|
| תגובה | {string} | התגובה שרוצים להוסיף לקיר של בקשת התמיכה | לא רלוונטי | לא רלוונטי |
| case_id | {string} | מזהה הפנייה | 234 | אם לא מציינים case_id,המערכת תשתמש בערך של הבעיה הנוכחית. case_id
ברירת המחדל היא None (אופציונלי) |
| alert_identifier | {string} | מזהה התראה | 12345 | אם לא מציינים alert_identifier,המערכת תשתמש בהתראה הנוכחית. אין ברירת מחדל (אופציונלי) |
מחזירה
NoneType
דוגמה
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
comment = "Ran some tests on the hash and it seems fine"
siemplify.add_comment(comment=comment)
התנהגות התוצאה
התגובה שצוינה נוספת לבקשת התמיכה הנוכחית.
ערך התוצאה
ללא
add_entity_insight
add_entity_insight(domain_entity_info, message, triggered_by=None, original_requesting_user=None)
להוסיף תובנה לגבי ישות לכרטיסייה שבה היא נמצאת בשימוש.
פרמטרים
| שם הפרמטר | סוג הפרמטר | הגדרה | ערכים אפשריים | תגובות |
|---|---|---|---|---|
| domain_entity_info | {DomainEntityInfo} | אובייקט הישות שמייצג ישות שרוצים להוסיף לה תובנה | לא רלוונטי | לא רלוונטי |
| הודעה | {string} | הודעת תובנה | לא רלוונטי | לא רלוונטי |
| triggered_by | {string} | שם השילוב | לא רלוונטי | אם לא מציינים שם של שילוב, המערכת תשתמש בשילוב שנבחר לפעולה. ברירת המחדל היא None (אופציונלי) |
| original_requesting_user | {string} | המשתמש ששולח את הבקשה | לא רלוונטי | אין ברירת מחדל (אופציונלי) |
מחזירה
{boolean} True אם הפעולה הצליחה. אחרת, False.
דוגמה
התנהגות התוצאה
ערך התוצאה
add_entity_to_case
add_entity_to_case(entity_identifier, entity_type, is_internal, is_suspicious, is_enriched, is_vulnerable, properties, case_id=None, alert_identifier=None, environment=None)
הוספת ישות לבקשת התמיכה הנוכחית.
פרמטרים
| שם הפרמטר | סוג הפרמטר | הגדרה | ערכים אפשריים | תגובות |
|---|---|---|---|---|
| entity_identifier | {string} | מזהה ישות | 192.0.2.1, example.com | לא רלוונטי |
| entity_type | {string} | סוג ישות | "ADDRESS" | לא רלוונטי |
| is_internal | {boolean} | לא רלוונטי | פנימי/חיצוני | לא רלוונטי |
| is_suspicious | {boolean} | לא רלוונטי | חשוד/לא חשוד | לא רלוונטי |
| is_enriched | {boolean} | לא רלוונטי | נכון/לא נכון | הערך שמוגדר כברירת מחדל הוא False |
| is_vulnerable | {boolean} | לא רלוונטי | נכון/לא נכון | הערך שמוגדר כברירת מחדל הוא False |
| נכסים | {dict} | {"Property1":"PropertyValue", "Property2":"PropertyValue2"} | לא רלוונטי | לא רלוונטי |
מחזירה
NoneType
אם קיימת ישות, מופיעה השגיאה הבאה: /
500 Server Error: Internal Server Error for url:https://localhost:8443/api/external/v1/sdk/CreateEntity?format=snake:\"ErrorMessage\":\"Cannot add entity [Identifier:Entities Identifies -Type:siemplify.parameters[] to alert [MONITORED MAILBOX<EXAMPLE@EXAMPLE.COM>_633997CB-D23B-4A2B-92F2-AD1D350284FF] in case [12345]because the entity already exists >there.\"
דוגמה
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
siemplify.add_entity_to_case(entity_identifier, entity_type, is_internal, is_suspicious, is_enriched, is_vulnerable, properties, case_id, alert_identifier, environment)
התנהגות התוצאה
הפונקציה הזו תוסיף ישות חדשה לתיק אם היא לא קיימת בתיק.
ערך התוצאה
ללא
add_tag
add_tag(tag, case_id=None, alert_identifier=None)
הוספת תג חדש לבקשת תמיכה ספציפית.
פרמטרים
| שם הפרמטר | סוג הפרמטר | הגדרה | ערכים אפשריים | תגובות |
|---|---|---|---|---|
| תג | {string} | התג להוספה | כל מחרוזת שרוצים להשתמש בה כתג | לא רלוונטי |
| case_id | {string} | מזהה הפנייה | 12345 | אם לא מציינים case_id,המערכת תשתמש במספר הפנייה הנוכחי. ברירת המחדל היא None (אופציונלי) |
| alert_identifier | {string} | מזהה התראה | 123 | אם לא מציינים alert_identifier,המערכת תשתמש במזהה ההתראה הנוכחי. ברירת המחדל היא None(אופציונלי) |
מחזירה
NoneType
דוגמה
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
tag_to_be_added = "MaliciousMail"
siemplify.add_tag(tag=tag_to_be_added)
התנהגות התוצאה
התג MaliciousMail נוסף לפנייה הנוכחית.
ערך התוצאה
ללא
any_alert_entities_in_custom_list
any_alert_entities_in_custom_list(category_name)
הפונקציה בודקת אם לאחת מהישויות בהתראה יש רשומה ברשימה מותאמת אישית עם הקטגוריה שצוינה.
הפונקציה מקבלת שם של קטגוריה מ-CustomLists ומחזירה True (ערך בוליאני) אם אחת מהישויות בהיקף שייכת לקטגוריה הזו. ישות נחשבת ככזו ששייכת לקטגוריה אם המזהה שלה מופיע עם הקטגוריה הזו בהגדרות בטבלה CustomLists.
פרמטרים
| שם הפרמטר | סוג הפרמטר | הגדרה | ערכים אפשריים | תגובות |
|---|---|---|---|---|
| category_name | {string} | השם של קטגוריית הרשימה בהתאמה אישית | BlackListed IPs |
לא רלוונטי |
מחזירה
{boolean} True אם יש ישות בקטגוריה, False אחרת.
דוגמה 1
from SiemplifyAction import SiemplifyAction \
siemplify = SiemplifyAction() \
result = siemplify.any_entity_in_custom_list("BlackListed IPs")
דוגמה 2
from SiemplifyAction import SiemplifyAction \
siemplify = SiemplifyAction() \
result = siemplify.any_entity_in_custom_list("Executive IPs")
התנהגות התוצאה
התוצאה של קוד לדוגמה 1 היא True. התוצאה של קוד לדוגמה 2 היא False.
ערך התוצאה
נכון או לא נכון
assign_case
assign_case(user, case_id=None, alert_identifier=None)
הקצאת פנייה למשתמש.
הפונקציה הזו פועלת עם מזהה המשתמש או תפקיד המשתמש.
פרמטרים
| שם הפרמטר | סוג הפרמטר | הגדרה | ערכים אפשריים | תגובות |
|---|---|---|---|---|
| משתמש | {string} | מזהה משתמש או תפקיד משתמש | USER_ID, אדמין, @Tier1 | לא רלוונטי |
| case_id | {string} | מזהה הפנייה | 12345 | אם לא מציינים case_id,המערכת תשתמש במספר הפנייה הנוכחי. ברירת המחדל היא None (אופציונלי) |
| alert_identifier | {string} | מזהה התראה | 123 | אם לא מציינים alert_identifier,המערכת תשתמש במזהה ההתראה הנוכחי. ברירת המחדל היא None (אופציונלי) |
מחזירה
NoneType
דוגמה
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
assigned_user= "Admin"
siemplify.assign_case(assigned_user)
התנהגות התוצאה
הבקשה מוקצית למשתמש האדמין.
ערך התוצאה
ללא
attach_workflow_to_case
attach_workflow_to_case(workflow_name, cyber_case_id=None, indicator_identifier=None)
מצרפים playbook להתראה הנוכחית.
פרמטרים
| שם הפרמטר | סוג הפרמטר | הגדרה | ערכים אפשריים | תגובות |
|---|---|---|---|---|
| workflow_name | {string} | שם תהליך העבודה (playbook) | לא רלוונטי | לא רלוונטי |
| cyber_case_id | {string} | מזהה הפנייה | 234 | אם לא מציינים מקרה, המערכת משתמשת במקרה הנוכחי. ברירת המחדל היא None (אופציונלי) |
| indicator_identifier | {string} | מזהה התראה | 12345 | אם לא מציינים מזהה התראה, נעשה שימוש בהתראה הנוכחית. ברירת מחדל: None (אופציונלי) |
מחזירה
NoneType
דוגמה
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
siemplify.attach_workflow_to_case(workflow_name, cyber_case_id, indicator_identifier)
התנהגות התוצאה
מצרף את תהליך העבודה שצוין לפנייה לפי מזהה האינדיקטור שצוין.
ערך התוצאה
ללא
נכס
change_case_priority
change_case_priority(priority, case_id=None, alert_identifier=None)
שינוי העדיפות של בקשת התמיכה.
פרמטרים
| שם הפרמטר | סוג הפרמטר | הגדרה | ערכים אפשריים | תגובות |
|---|---|---|---|---|
| עדיפות | {int} | העדיפות שמיוצגת על ידי כל מספר, בהתאמה, היא: נמוכה, בינונית, גבוהה וקריטית |
{"Low": 40, "Medium": 60, "High": 80, "Critical": 100} | לא רלוונטי |
| case_id | {string} | מזהה הפנייה | 12345 | אם לא מציינים מספר פנייה, המערכת משתמשת במספר הפנייה הנוכחי. |
| alert_identifier | {string} | מזהה התראה | 123 | אם לא מספקים מזהה התראה, נעשה שימוש בהתראה הנוכחית |
מחזירה
NoneType
דוגמה
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
priority_to_change_to = 60
siemplify.change_case_priority(priority=priority_to_change_to )
התנהגות התוצאה
רמת העדיפות של בקשת התמיכה משתנה ל'בינונית'.
ערך התוצאה
ללא
change_case_stage
change_case_stage(stage, case_id=None, alert_identifier=None)
שינוי השלב של הבקשה
פרמטרים
| שם הפרמטר | סוג הפרמטר | הגדרה | ערכים אפשריים | תגובות |
|---|---|---|---|---|
| לאחסן נתונים במחסן ביניים (Stage) | {string} | השלב צריך להיות זהה בדיוק למחרוזת שמוגדרת בטבלה case stages | אירוע, חקירה |
לא רלוונטי |
| case_id | {string} | מזהה הפנייה | 12345 | אם לא מציינים מספר פנייה, המערכת משתמשת במספר הפנייה הנוכחי. |
| alert_identifier | {string} | מזהה התראה | 123 | אם לא מספקים מזהה התראה, נעשה שימוש בהתראה הנוכחית |
מחזירה
דוגמה
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
stage_to_change_to = "Investigation"
siemplify.change_case_stage(stage=stage_to_change_to)
התנהגות התוצאה
מצב הפנייה משתנה ל'בבדיקה'.
ערך התוצאה
ללא
close_alert
close_alert(root_cause, comment, reason, case_id=None, alert_id=None)
סגירת ההתראה הנוכחית.
פרמטרים
| שם הפרמטר | סוג הפרמטר | הגדרה | ערכים אפשריים | תגובות |
|---|---|---|---|---|
| root_cause | {string} | סגירת בקשת התמיכה בנושא שורש הבעיה | מחרוזת שנלקחה מהטבלה 'הגורם הבסיסי לסגירת הפנייה' בהגדרות |
לא רלוונטי |
| תגובה | {string} | תגובה | אפשר להשתמש כאן בכל מחרוזת | ההערה צריכה לתאר את המקרה, אבל אין הגבלות על התוכן שלה |
| reason | {ApiSyncAlertCloseReasonEnum} | אחת משלוש מחרוזות מוגדרות מראש שזמינות בתיבת הדו-שיח כשמבצעים את הפעולה באופן ידני: NotMalicious, Malicious ו-Maintenance |
מידע נוסף זמין במאמר SiemplifyDataModel.ApiSyncAlertCloseReasonEnum |
מחזירה
{dict} תוצאה של פעולת שרת
דוגמה
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
reason = "Maintenance"
root_cause = "Employee Error"
comment = "User accidentally activated a correlation before it was ready to be used and triggered this alert"
siemplify.close_alert(reason=reason, root_cause=root_cause, comment=comment)
התנהגות התוצאה
ההתראה הנוכחית מועברת לכרטיס חדש ואז נסגרת עם ההתראה.
ערך התוצאה
ללא
close_case
close_case(root_cause, comment, reason, case_id=None, alert_identifier=None)
סגירת בקשת התמיכה.
פרמטרים
| שם הפרמטר | סוג הפרמטר | הגדרה | ערכים אפשריים | תגובות |
|---|---|---|---|---|
| root_cause | {string} | סגירת בקשת התמיכה בנושא שורש הבעיה | לא רלוונטי | לא רלוונטי |
| תגובה | {string} | תגובה | אפשר להשתמש כאן בכל מחרוזת | ההערה צריכה לתאר את המקרה, אבל אין הגבלות על התוכן שלה |
| reason | {ApiSyncAlertCloseReasonEnum} | הסיבה לסגירת בקשת התמיכה | אחת משלוש מחרוזות מוגדרות מראש שזמינות בתיבת הדו-שיח כשמבצעים את הפעולה באופן ידני: NotMalicious, Malicious ו-Maintenance | |
| case_id | {string} | מזהה הפנייה | 12345 | אם לא מציינים מספר פנייה, המערכת משתמשת במספר הפנייה הנוכחי. |
| alert_identifier | {string} | מזהה התראה | 123 | אם לא מספקים מזהה התראה, נעשה שימוש בהתראה הנוכחית |
מחזירה
NoneType
דוגמה
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
reason = "Maintenance"
root_cause = "Employee Error"
comment = "User accidentally activated a correlation before it was ready to be used and triggered this alert"
siemplify.close_case(reason=reason, root_cause=root_cause, comment=comment)
התנהגות התוצאה
בקשת התמיכה תיסגר עם הסיבה שצוינה, שורש הבעיה וההערה.
ערך התוצאה
ללא
create_case_insight
create_case_insight(triggered_by, title, content, entity_identifier, severity, insight_type, additional_data=None, additional_data_type=None, additional_data_title=None)
הוספת תובנה לבקשת התמיכה.
פרמטרים
| שם הפרמטר | סוג הפרמטר | הגדרה | ערכים אפשריים | תגובות |
|---|---|---|---|---|
| triggered_by | {string} | שם השילוב | VirusTotal, XForce | לא רלוונטי |
| כותרת | {string} | שם התובנה | מועשר על ידי VirusTotal | לא רלוונטי |
| תוכן | {string} | הודעת תובנה | הודעת תובנה | לא רלוונטי |
| entity_identifier | {string} | מזהה ישות | example.com | לא רלוונטי |
| severity | {int} | רמת החומרה | 0 = מידע, 1 = אזהרה, 2 = שגיאה |
|
| insight_type | {int} | סוג התובנה | 0 = כללי, 1 = ישות |
לא רלוונטי |
| additional_data | {string} | נתונים נוספים לתובנה | {"checked against": "VT", "malicious": "No"} | לא רלוונטי |
| additional_data_type | {int} | סוג הנתונים הנוספים | 'General'=0, 'Entity'=1 |
לא רלוונטי |
| additional_data_title | {string} | כותרת של נתונים נוספים לתובנה | בדיקת VT | לא רלוונטי |
מחזירה
{boolean} True אם הפעולה הצליחה. אחרת, False.
דוגמה
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
siemplify.create_case_insight(triggered_by, title, content, entity_identifier, severity, insight_type, additional_data, additional_data_type, additional_data_title)
התנהגות התוצאה
יוצר את התובנה לגבי פנייה עם נתונים מוגדרים.
True אם נוצרת תובנה לגבי הפנייה. אחרת, False.
ערך התוצאה
נכון או לא נכון
property current_alert
dismiss_alert
dismiss_alert(alert_group_identifier, should_close_case_if_all_alerts_were_dismissed, case_id=None)
סביבת הנכס
escalate_case
escalate_case(comment, case_id=None, alert_identifier=None)
העברת הבקשה לטיפול ברמה גבוהה יותר.
פרמטרים
| שם הפרמטר | סוג הפרמטר | הגדרה | ערכים אפשריים | תגובות |
|---|---|---|---|---|
| תגובה | {string} | העברת התגובה לטיפול ברמה גבוהה יותר | לא רלוונטי | לא רלוונטי |
| case_id | {string} | מזהה הפנייה | 12345 | לא רלוונטי |
| alert_identifier | {string} | מזהה התראה | 123 | לא רלוונטי |
extract_action_param
extract_action_param(param_name, default_value=None, input_type=<class 'str'>, is_mandatory=False, print_value=False)
קבלת פרמטר של סקריפט פעולה.
פרמטרים
| שם הפרמטר | סוג הפרמטר | הגדרה | ערכים אפשריים | תגובות |
|---|---|---|---|---|
| param_name | {string} | שם הפרמטר | כל אחד משמות הפרמטרים שזמינים לפעולה | לא רלוונטי |
| default_value | {any} | ערך ברירת המחדל של הפרמטר | הערך שצוין יוחזר אם הפרמטר לא הוגדר (אם is_mandatory מוגדר כ-False) |
אם הפרמטר לא מועבר, המערכת תשתמש בערך הזה כברירת מחדל. ברירת המחדל היא None (אופציונלי) |
| input_type | {obj} | המרת הפרמטר לסוג אחר | int | str כברירת מחדל (אופציונלי) |
| is_mandatory | {boolean} | העלאת חריגה אם הפרמטר ריק | נכון/לא נכון | הערך שמוגדר כברירת מחדל הוא False |
| print_value | {boolean} | הדפסת הערך ביומן | נכון/לא נכון | הערך שמוגדר כברירת מחדל הוא False |
מחזירה
ערך הפרמטר, {string} כברירת מחדל, אלא אם מציינים את input_type.
דוגמה
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
param_value= siemplify.extract_action_param(
"Threshold",
default_value=-1,
input_type=int,
is_mandatory=False,
print_value=False)
התנהגות התוצאה
הערך של הפרמטר שנבחר יוחזר, ויומר לסוג שנבחר.
ערך התוצאה
20
fetch_and_save_timestamp
fetch_and_save_timestamp(datetime_format=False, timezone=False, new_timestamp=1683033493671)
שליפת חותמת הזמן ושמירתה בהקשר של הכרטיס.
פרמטרים
| שם הפרמטר | סוג הפרמטר | הגדרה | ערכים אפשריים | תגובות |
|---|---|---|---|---|
| datetime_format | {boolean} | פורמט של תאריך ושעה | הערך True לציון פורמט של תאריך ושעה, הערך False לציון פורמט של Unix | False כברירת מחדל (אופציונלי) |
| אזור זמן | הפרמטר כבר לא נתמך | |||
| new_timestamp | {int} | חותמת הזמן לשמירה | לא רלוונטי | זמן ראשית זמן יוניקס כברירת מחדל (אופציונלי) |
מחזירה
{int} datetime.
דוגמה
from SiemplifyAction import SiemplifyAction
sa = SiemplifyAction()
sa.fetch_and_save_timestamp(self, datetime_format=False, new_timestamp=SiemplifyUtils.Unix_now())
התנהגות התוצאה
חותמת הזמן האחרונה מאוחזרת ונשמרת כקובץ TIMESTAMP בספרייה הנוכחית.
ערך התוצאה
datetime.datetime(2019, 7, 16, 14, 26, 2, 26000)/1563276380
fetch_timestamp
fetch_timestamp(datetime_format=False, timezone=False)
מקבלים את חותמת הזמן שנשמרה באמצעות save_timestamp.
פרמטרים
| שם הפרמטר | סוג הפרמטר | הגדרה | ערכים אפשריים | תגובות |
|---|---|---|---|---|
| datetime_format | {boolean} | אם הערך הוא True, מחזירה את חותמת הזמן כתאריך ושעה. אחרת, מחזירה את חותמת הזמן בפורמט Unix | נכון/לא נכון | False כברירת מחדל (אופציונלי) |
| אזור זמן | הפרמטר כבר לא נתמך | |||
מחזירה
חותמת הזמן של מערכת Unix והתאריך והשעה נשמרו.
דוגמה
from SiemplifyAction import SiemplifyAction
sa = SiemplifyAction()
result = sa.fetch_timestamp(datetime_format=True)
התנהגות התוצאה
חותמת הזמן האחרונה מאוחזרת ונשמרת כקובץ TIMESTAMP בספרייה הנוכחית.
ערך התוצאה
datetime.datetime(2019, 7, 16, 14, 26, 2, 26000)/1563276380
get_alert_context_property
get_alert_context_property(property_key)
קבלת מאפיין הקשר מההתראה הנוכחית.
פרמטרים
| שם הפרמטר | סוג הפרמטר | הגדרה | ערכים אפשריים | תגובות |
|---|---|---|---|---|
| property_key | {string} | המפתח של המאפיין המבוקש | לא רלוונטי | לא רלוונטי |
מחזירה
{string} ערך המאפיין
get_alerts_ticket_ids_from_cases_closed_since_timestamp
get_alerts_ticket_ids_from_cases_closed_since_timestamp(timestamp_unix_ms, rule_generator)
קבלת התראות מפניות שנסגרו מאז חותמת הזמן.
פרמטרים
| שם הפרמטר | סוג הפרמטר | הגדרה | ערכים אפשריים | תגובות |
|---|---|---|---|---|
| timestamp_unix_ms | {long} | חותמת הזמן | 1550409785000L | לא רלוונטי |
| rule_generator | {string} | לא רלוונטי | גלאי הודעות פישינג באימייל | לא רלוונטי |
מחזירה
{[string]} רשימה של מזהי התראות
get_attachments
get_attachments(case_id=None)
קבלת קבצים מצורפים מבקשת תמיכה.
הפונקציה הזו מקבלת רשימה של פריטים ברשימה בהתאמה אישית מקטגוריה ומרשימת ישויות, ומחזירה רשימה של אובייקטים של פריטים ברשימה בהתאמה אישית.
פרמטרים
| שם הפרמטר | סוג הפרמטר | הגדרה | ערכים אפשריים | תגובות |
|---|---|---|---|---|
| case_id | {string} | מזהה הפנייה | 234 | אם לא צוין מקרה, המערכת תשתמש במקרה הנוכחי (אופציונלי) |
מחזירה
{dict} קבצים מצורפים
דוגמה
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
result = siemplify.get_attachments(case_id="234")
התנהגות התוצאה
תחזור רשימה של מילונים של קבצים מצורפים למספר בקשת התמיכה 234.
ערך התוצאה
[{u'is_favorite': False, u'description': u'test', u'type': u'.exe', u'id': 4, u'name': u'chrome_proxy'}]
get_case_comments
get_case_comments(case_id=None)
קבלת תגובות לבקשת תמיכה.
פרמטרים
| שם הפרמטר | סוג הפרמטר | הגדרה | ערכים אפשריים | תגובות |
|---|---|---|---|---|
| case_id | {string} | מזהה הפנייה | 234 | אם לא צוין מקרה, ייעשה שימוש במקרה הנוכחי |
מחזירה
{[dict]} של הערות לבקשה
דוגמה
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
siemplify.get_case_comments(case_id)
התנהגות התוצאה
כל התגובות שמשויכות לפנייה יאוחזרו.
ערך התוצאה
[{'comment': u'this is a comment',
u'is_deleted': False,
u'last_editor_full_name': u'example user',
u'modification_time_unix_time_in_ms_for_client': 0,
u'creation_time_unix_time_in_ms': 1681904404087, u'id': 12,
u'modification_time_unix_time_in_ms': 1681904404087,
u'case_id': 234,
u'is_favorite': False,
u'alert_identifier': None,
u'creator_user_id': u'cd1c112a-0277-44a9-b68d-98ceef9b0399',
u'last_editor': u'cd1c112a-0277-44a9-b68d-98ceef9b0399',
u'type': 5,
u'comment_for_client': None,
u'creator_full_name': u'example user'}]
get_case_context_property
get_case_context_property(property_key)
קבלת מאפיין של הקשר של בקשת תמיכה.
פרמטרים
| שם הפרמטר | סוג הפרמטר | הגדרה | ערכים אפשריים | תגובות |
|---|---|---|---|---|
| property_key | {string} | מאפיין המפתח המבוקש | לא רלוונטי | לא רלוונטי |
מחזירה
{string} ערך המאפיין
get_configuration
get_configuration(provider, environment=None, integration_instance=None)
אחזור של הגדרת השילוב.
פרמטרים
| שם הפרמטר | סוג הפרמטר | הגדרה | ערכים אפשריים | תגובות |
|---|---|---|---|---|
| ספק | {string} | שם השילוב | VirusTotal | |
| environment | {string} | הגדרה לסביבה ספציפית או ל 'הכול' | זה שינוי אופציונלי. אם מסופקים פרטי הכניסה, הם יאוחזרו מהגדרות הסביבה המתאימות. אם לא מציינים סביבה, ברירת המחדל היא סביבת הטיפול בפנייה. אם אין הגדרה לסביבה הספציפית, ההגדרה שמוגדרת כברירת מחדל תוחזר. |
|
| integration_instance | {string} | המזהה של מופע השילוב | לא רלוונטי | לא רלוונטי |
מחזירה
פרטי ההגדרות האישיות של {dict}
get_similar_cases
get_similar_cases(consider_ports, consider_category_outcome, consider_rule_generator, consider_entity_identifiers, days_to_look_back, case_id=None, end_time_unix_ms=None)
קבלת בקשות תמיכה דומות.
פרמטרים
| שם הפרמטר | סוג הפרמטר | הגדרה | ערכים אפשריים | תגובות |
|---|---|---|---|---|
| consider_ports | {boolean} | הפרמטר קובע אם להשתמש במסנן יציאות או לא | נכון או לא נכון | לא רלוונטי |
| consider_category_outcome | {boolean} | הפרמטר מגדיר אם להתייחס לתוצאת הסיווג של האירועים | True/false | לא רלוונטי |
| consider_rule_generator | {boolean} | הפרמטר מגדיר אם להתייחס לגנרטור הכללים עבור ההתראות | True/false | לא רלוונטי |
| consider_entity_identifiers | {boolean} | הפרמטר קובע אם מזהי ישויות ייכללו בהתראות | נכון או לא נכון | לא רלוונטי |
| days_to_look_back | {int} | הפרמטר מגדיר את מספר הימים שלפני התאריך הנוכחי שבהם המערכת תחפש מקרים דומים | 365 | לא רלוונטי |
מחזירה
{[int]} רשימה של מספרי פניות
דוגמה
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
result = siemplify.get_similar_cases(consider_ports=True,
consider_category_outcome=False,
consider_rule_generator=False,
consider_entity_identifiers=False,
days_to_look_back=30, case_id="234", end_time_unix_ms=None)
התנהגות התוצאה
תוחזר רשימה של מספרי פניות שדומים לפנייה מספר 234.
ערך התוצאה
[4, 231]
get_ticket_ids_for_alerts_dismissed_since_timestamp
get_ticket_ids_for_alerts_dismissed_since_timestamp(timestamp_unix_ms)
property is_timeout_reached
load_case_data
load_case_data()
הפונקציה הזו טוענת את נתוני הפנייה.
פרמטרים
לא נדרשים פרמטרים.
מחזירה
NoneType
דוגמה
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
result = siemplify.load_case_data()
התנהגות התוצאה
נתוני הפנייה נטענים.
ערך התוצאה
ללא
property log_location
mark_case_as_important
mark_case_as_important(case_id=None, alert_identifier=None)
סימון בקשה כחשובה.
פרמטרים
| שם הפרמטר | סוג הפרמטר | הגדרה | ערכים אפשריים | תגובות |
|---|---|---|---|---|
| case_id | {string} | מזהה הפנייה | 234 | לא רלוונטי |
| alert_identifier | {string} | מזהה התראה | 12345 | לא רלוונטי |
מחזירה
NoneType
דוגמה
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
siemplify.mark_case_as_important()
התנהגות התוצאה
הפנייה הנוכחית מסומנת כחשובה.
ערך התוצאה
ללא
raise_incident
raise_incident(case_id=None, alert_identifier=None)
יצירת אירוע.
פרמטרים
| שם הפרמטר | סוג הפרמטר | הגדרה | ערכים אפשריים | תגובות |
|---|---|---|---|---|
| case_id | {string} | מזהה הפנייה | 234 | לא רלוונטי |
| alert_identifier | {string} | מזהה התראה | 12345 | לא רלוונטי |
מחזירה
NoneType
דוגמה
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
siemplify.raise_incident(case_id, alert_identifier)
התנהגות התוצאה
הפנייה הועברה לסטטוס 'אירוע'.
ערך התוצאה
ללא
remove_alert_entities_from_custom_list
remove_alert_entities_from_custom_list(category_name)
מסירים את הישויות של ההתראה מרשומה של רשימה מותאמת אישית עם הקטגוריה שצוינה.
פרמטרים
| שם הפרמטר | סוג הפרמטר | הגדרה | ערכים אפשריים | תגובות |
|---|---|---|---|---|
| category_name | {string} | הקטגוריה של הרשימה המותאמת אישית | `WhiteListed HOSTs` | לא רלוונטי |
מחזירה
רשימת האובייקטים שהוסרו {[CustomList]}CustomList
דוגמה
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
result = siemplify.remove_alert_entities_from_custom_list("WhiteListed HOSTs")
התנהגות התוצאה
הפריט WhiteListed HOSTS יוסר.
ערך התוצאה
[<SiemplifyDataModel.CustomList object at 0x0000000003476E10>,
<SiemplifyDataModel.CustomList object at 0x0000000003476B00>]
save_timestamp
save_timestamp(datetime_format=False, timezone=False, new_timestamp=1683033493671)
שמירת חותמת הזמן בהקשר הנוכחי של הסקריפט.
פרמטרים
| שם הפרמטר | סוג הפרמטר | הגדרה | ערכים אפשריים | תגובות |
|---|---|---|---|---|
| datetime_format | {boolean} | לא רלוונטי | True לפורמט תאריך ושעה, False לפורמט Unix | ברירת המחדל היא False (אופציונלי) |
| אזור זמן | הפרמטר כבר לא נתמך | |||
| new_timestamp | {long} | חותמת הזמן לשמירה בהקשר | לא רלוונטי | חותמת הזמן תוגדר כברירת מחדל לחותמת הזמן של מערכת Unix של קריאת השיטה |
מחזירה
NoneType
דוגמה
from SiemplifyAction import SiemplifyAction
sa = SiemplifyAction()
sa.save_timestamp(self, datetime_format=False, new_timestamp=SiemplifyUtils.unix_now())
התנהגות התוצאה
חותמת הזמן החדשה תינשמר כקובץ TIMESTAMP בספרייה הנוכחית.
ערך התוצאה
ללא
set_alert_context_property
set_alert_context_property(property_key, property_value)
הגדרה של מאפיין הקשר של ההתראה באמצעות צמדי מפתח/ערך.
פרמטרים
| שם הפרמטר | סוג הפרמטר | הגדרה | ערכים אפשריים | תגובות |
|---|---|---|---|---|
| property_key | {string} | המפתח של המאפיין לאחסון בהקשר | לא רלוונטי | לא רלוונטי |
| property_value | {string} | הערך של המאפיין שצריך לאחסן בהקשר | לא רלוונטי | לא רלוונטי |
set_alert_sla
set_alert_sla(period_time, period_type, critical_period_time, critical_period_type, case_id=None, alert_id=None)
מגדירים את הסכם רמת השירות של alert_identifier שצוין מתוך case_id. ה-SLA שמוגדר באמצעות ה-API הזה צריך להיות גבוה יותר מכל סוגי ה-SLA האחרים של ההתראות.
פרמטרים
| שם הפרמטר | סוג הפרמטר | הגדרה | ערכים אפשריים | תגובות |
|---|---|---|---|---|
| period_time | {int/str} | משך הזמן הכולל של הסכם רמת השירות | לא רלוונטי | period_time > 0 |
| period_type | {string} | יחידות הזמן של period_time, שמיוצגות על ידי ApiPeriodTypeEnum | לא רלוונטי | לא רלוונטי |
| critical_period_time | {int/str} | תקופת ה-SLA הקריטית | לא רלוונטי | critical_period_time >= 0 התקופה הקריטית (אחרי שינוי קנה המידה עם יחידות הזמן שלה) צריכה להיות קצרה מהתקופה הכוללת. |
| critical_period_type | {string} | יחידות הזמן של critical_period_time, מיוצגות על ידי ApiPeriodTypeEnum |
||
| case_id | {long} | מזהה הפנייה | 234 | לא רלוונטי |
| alert_id | {string} | מזהה התראה | 12345 | לא רלוונטי |
set_case_context_property
set_case_context_property(property_key, property_value)
מגדירים מאפיין של הקשר של ה-case באמצעות צמד מפתח/ערך.
פרמטרים
| שם הפרמטר | סוג הפרמטר | הגדרה | ערכים אפשריים | תגובות |
|---|---|---|---|---|
| property_key | {string} | המפתח של המאפיין | לא רלוונטי | לא רלוונטי |
| property_value | {string} | ערך המאפיין | לא רלוונטי | לא רלוונטי |
set_case_sla
set_case_sla(period_time, period_type, critical_period_time, critical_period_type, case_id=None)
מגדיר את ה-SLA של case_id שצוין, אם צוין, אחרת מגדיר את ה-SLA של הפנייה הנוכחית. ה-SLA שמוגדר באמצעות ה-API הזה צריך להיות גבוה יותר מכל סוגי ה-SLA האחרים של הפנייה.
פרמטרים
| שם הפרמטר | סוג הפרמטר | הגדרה | ערכים אפשריים | תגובות |
|---|---|---|---|---|
| period_time | {int/str} | משך הזמן הכולל של הסכם רמת השירות | לא רלוונטי | period_time > 0 |
| period_type | {string} | יחידות הזמן של period_time, שמיוצגות על ידי ApiPeriodTypeEnum | לא רלוונטי | לא רלוונטי |
| critical_period_time | {int/str} | תקופת ה-SLA הקריטית | לא רלוונטי | critical_period_time >0 תקופה קריטית (אחרי שינוי קנה מידה עם יחידות הזמן שלה) צריכה להיות קטנה מהתקופה הכוללת. |
| critical_period_type | {string} | יחידות הזמן של critical_period_time, מיוצגות על ידי ApiPeriodTypeEnum |
לא רלוונטי | לא רלוונטי |
| case_id | {long} | מזהה הפנייה | לא רלוונטי | לא רלוונטי |
signal_handler
signal_handler(sig, frame)
property target_entities
האובייקט target_entities הוא רשימה של אובייקטים של ישויות שהפעולה שהוגדרה יכולה לפעול עליהם. כל אובייקט של ישות חושף את המאפיינים והשיטות הבאים:
מאפייני הישות
אלה מאפיינים של אובייקט ישות שמכילים נתונים ישירות:
| מאפיין (property) | סוג הנתונים | תיאור |
|---|---|---|
identifier |
string |
המזהה הייחודי (UUID) של הישות. |
creation_time |
int |
חותמת הזמן של מערכת Unix שבה הישות נוצרה. |
modification_time |
int |
חותמת הזמן של מערכת Unix שבה היישות שונתה לאחרונה. |
additional_properties |
dict |
מילון שמכיל פרטים נוספים על הישות. |
case_identifier |
string |
המזהה של פניית ההורה שהישות שייכת אליה. |
alert_identifier |
string |
המזהה של ההתראה שמשויכת לישות. |
entity_type |
string |
סוג הישות (לדוגמה, HOSTNAME, USERUNQNAME). |
is_internal |
bool |
מציין אם הישות היא נכס פנימי. |
is_suspicious |
bool |
מציין אם הישות מסומנת כחשודה. |
is_artifact |
bool |
מציין אם הישות היא ארטיפקט. |
is_enriched |
bool |
השדה הזה מציין אם הישות עברה העשרה. |
is_vulnerable |
bool |
מציין אם הישות מסומנת כפגיעה. |
is_pivot |
bool |
מציין אם הישות היא ישות ציר. |
methods של ישויות
אלה הפונקציות שניתן להפעיל באובייקט של ישות:
| Method | תיאור |
|---|---|
to_dict() |
הפונקציה ממירה את אובייקט הישות למילון Python רגיל. |
try_set_alert_context_property
try_set_alert_context_property(property_key, property_value)
try_set_case_context_property
try_set_case_context_property(property_key, property_value)
update_alerts_additional_data
update_alerts_additional_data(alerts_additional_data, case_id=None)
עדכון נתונים נוספים בהתראות.
פרמטרים
| שם הפרמטר | סוג הפרמטר | הגדרה | ערכים אפשריים | תגובות |
|---|---|---|---|---|
| case_id | {string} | מזהה הפנייה | 234 | לא רלוונטי |
| alerts_additional_data | {string:string} | לא רלוונטי | לא רלוונטי | לא רלוונטי |
מחזירה
NoneType
דוגמה
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
additional_data = {"testKey":"testValue"}
siemplify.update_alerts_additional_data(alerts_additional_data=additional_data, case_id=caseid)
התנהגות התוצאה
התראה מתעדכנת עם נתונים נוספים, כמו testKey:testValue.
ערך התוצאה
ללא