Modul SiemplifyAction
class SiemplifyAction.SiemplifyAction
SiemplifyAction.SiemplifyAction(mock_stdin=None, get_source_file=False)
Dasar: Siemplify
add_alert_entities_to_custom_list
add_alert_entities_to_custom_list(category_name)
Tambahkan entitas pemberitahuan ke rekaman daftar kustom dengan kategori tertentu.
Parameter
| Nama parameter | Jenis parameter | Definisi | Nilai yang memungkinkan | Komentar |
|---|---|---|---|---|
| category_name | {string} | Kategori daftar kustom | "CustomList" | T/A |
Hasil
Daftar {[CustomList]} objek yang ditambahkan.
Contoh
Input: Secara eksplisit, category_name. Secara implisit, entitas menggunakan cakupan.
Menjalankan add_alert_entities_to_custom_list akan menghasilkan daftar objek
"CustomList" dan perubahan konfigurasi di setelan.
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
result = siemplify.add_alert_entities_to_custom_list("WhiteListed HOSTs")
Perilaku hasil
Menambahkan kategori WhiteListed HOSTs.
Nilai hasil
[<SiemplifyDataModel.CustomList object at 0x0000000003476E10>, <SiemplifyDataModel.CustomList object at 0x0000000003476B00>]
add_attachment
add_attachment(file_path, case_id=None, alert_identifier=None, description=None, is_favorite=False)
Menambahkan lampiran ke repositori kasus.
Parameter
| Nama parameter | Jenis parameter | Definisi | Nilai yang memungkinkan | Komentar |
|---|---|---|---|---|
| file_path | {string} | Jalur file | "C:\Program Files (x86)\Google\Chrome\Application\chrome_proxy.exe" | T/A |
| case_id | {string} | ID kasus | 234 | T/A |
| alert_identifier | {string} | ID notifikasi | 12345 | T/A |
| deskripsi | {string} | Deskripsi untuk file | T/A | T/A |
| is_favorite | boolean | T/A | Benar/Salah | T/A |
Hasil
{long} attachment_id
Contoh
Input: Secara eksplisit, Jalur file, deskripsi, dan is_favorite. Secara implisit,
case_id dan alert_identifier.
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
result = siemplify.add_attachment("C:\Program Files (x86)\Google\Chrome\Application\chrome_proxy.exe", case_id="234", alert_identifier=None, description=None, is_favorite=True)
Perilaku hasil
File yang disebutkan di jalur akan dilampirkan ke ID kasus 234 dan ID lampiran akan ditampilkan.
Nilai hasil
5 [ID lampiran]
add_comment
add_comment(comment, case_id=None, alert_identifier=None)
Menambahkan komentar baru ke kasus tertentu.
Parameter
| Nama parameter | Jenis parameter | Definisi | Nilai yang memungkinkan | Komentar |
|---|---|---|---|---|
| komentar | {string} | Komentar yang akan ditambahkan ke repositori kasus | T/A | T/A |
| case_id | {string} | ID kasus | 234 | Jika case_id tidak diberikan,kasus saat ini akan digunakan. Tidak ada secara default (opsional) |
| alert_identifier | {string} | ID notifikasi | 12345 | Jika alert_identifier tidak diberikan,pemberitahuan saat ini akan digunakan. Tidak ada secara default (opsional) |
Hasil
NoneType
Contoh
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
comment = "Ran some tests on the hash and it seems fine"
siemplify.add_comment(comment=comment)
Perilaku hasil
Komentar yang ditentukan ditambahkan ke kasus saat ini.
Nilai hasil
Tidak ada
add_entity_insight
add_entity_insight(domain_entity_info, message, triggered_by=None, original_requesting_user=None)
Menambahkan insight entitas ke kasus tempat entitas tersebut digunakan.
Parameter
| Nama parameter | Jenis parameter | Definisi | Nilai yang memungkinkan | Komentar |
|---|---|---|---|---|
| domain_entity_info | {DomainEntityInfo} | Objek entitas yang merepresentasikan entitas untuk menambahkan insight | T/A | T/A |
| pesan | {string} | Pesan insight | T/A | T/A |
| triggered_by | {string} | Nama integrasi | T/A | Jika tidak ada nama integrasi yang diberikan, integrasi yang dipilih
untuk tindakan akan digunakan. Tidak ada secara default (opsional) |
| original_requesting_user | {string} | Meminta pengguna | T/A | Tidak ada secara default (opsional) |
Hasil
{boolean} True jika berhasil. Jika tidak, False.
Contoh
Perilaku hasil
Nilai hasil
add_entity_to_case
add_entity_to_case(entity_identifier, entity_type, is_internal, is_suspicious, is_enriched, is_vulnerable, properties, case_id=None, alert_identifier=None, environment=None)
Menambahkan entitas ke kasus saat ini.
Parameter
| Nama parameter | Jenis parameter | Definisi | Nilai yang memungkinkan | Komentar |
|---|---|---|---|---|
| entity_identifier | {string} | ID entitas | 192.0.2.1, example.com | T/A |
| entity_type | {string} | Jenis entitas | "ADDRESS" | T/A |
| is_internal | {boolean} | T/A | Internal/Eksternal | T/A |
| is_suspicious | {boolean} | T/A | Mencurigakan/Tidak mencurigakan | T/A |
| is_enriched | {boolean} | T/A | Benar/Salah | Salah secara default |
| is_vulnerable | {boolean} | T/A | Benar/Salah | Salah secara default |
| properties | {dict} | {"Property1":"PropertyValue", "Property2":"PropertyValue2"} | T/A | T/A |
Hasil
NoneType
Jika sudah ada Entity, error berikut akan muncul: /
500 Server Error: Internal Server Error for url:https://localhost:8443/api/external/v1/sdk/CreateEntity?format=snake:\"ErrorMessage\":\"Cannot add entity [Identifier:Entities Identifies -Type:siemplify.parameters[] to alert [MONITORED MAILBOX<EXAMPLE@EXAMPLE.COM>_633997CB-D23B-4A2B-92F2-AD1D350284FF] in case [12345]because the entity already exists >there.\"
Contoh
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
siemplify.add_entity_to_case(entity_identifier, entity_type, is_internal, is_suspicious, is_enriched, is_vulnerable, properties, case_id, alert_identifier, environment)
Perilaku hasil
Fungsi ini akan menambahkan entitas baru ke kasus jika tidak ada dalam kasus.
Nilai hasil
Tidak ada
add_tag
add_tag(tag, case_id=None, alert_identifier=None)
Menambahkan tag baru ke kasus tertentu.
Parameter
| Nama parameter | Jenis parameter | Definisi | Nilai yang memungkinkan | Komentar |
|---|---|---|---|---|
| tag | {string} | Tag yang akan ditambahkan | String apa pun yang akan digunakan sebagai tag | T/A |
| case_id | {string} | ID kasus | 12345 | Jika case_id tidak diberikan,ID kasus saat ini akan digunakan. Tidak ada secara default (opsional) |
| alert_identifier | {string} | ID notifikasi | 123 | Jika alert_identifier tidak diberikan,ID pemberitahuan saat ini akan digunakan. Tidak ada secara default(opsional) |
Hasil
NoneType
Contoh
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
tag_to_be_added = "MaliciousMail"
siemplify.add_tag(tag=tag_to_be_added)
Perilaku hasil
Tag "MaliciousMail" ditambahkan ke kasus saat ini.
Nilai hasil
Tidak ada
any_alert_entities_in_custom_list
any_alert_entities_in_custom_list(category_name)
Periksa apakah ada entitas pemberitahuan yang memiliki catatan daftar kustom dengan kategori yang diberikan.
Fungsi ini mendapatkan nama kategori dari CustomLists dan menampilkan True (Boolean)
jika ada entity dalam cakupan yang berada dalam kategori tersebut. Entitas dianggap
berada dalam kategori jika ID-nya tercantum dalam kategori ini di setelan
dalam tabel CustomLists.
Parameter
| Nama parameter | Jenis parameter | Definisi | Nilai yang memungkinkan | Komentar |
|---|---|---|---|---|
| category_name | {string} | Nama kategori daftar kustom | BlackListed IPs |
T/A |
Hasil
{boolean} True jika ada entity dalam kategori, False jika tidak.
Contoh 1
from SiemplifyAction import SiemplifyAction \
siemplify = SiemplifyAction() \
result = siemplify.any_entity_in_custom_list("BlackListed IPs")
Contoh 2
from SiemplifyAction import SiemplifyAction \
siemplify = SiemplifyAction() \
result = siemplify.any_entity_in_custom_list("Executive IPs")
Perilaku hasil
Hasil Sample Code 1 adalah True. Hasil Sample Code 2 adalah False.
Nilai hasil
Benar atau Salah
assign_case
assign_case(user, case_id=None, alert_identifier=None)
Menetapkan kasus kepada pengguna.
Fungsi ini berfungsi dengan ID pengguna atau peran pengguna.
Parameter
| Nama parameter | Jenis parameter | Definisi | Nilai yang memungkinkan | Komentar |
|---|---|---|---|---|
| pengguna | {string} | ID pengguna atau peran pengguna | USER_ID, Admin, @Tier1 | T/A |
| case_id | {string} | ID kasus | 12345 | Jika case_id tidak diberikan,ID kasus saat ini akan digunakan. Tidak ada secara default (opsional) |
| alert_identifier | {string} | ID notifikasi | 123 | Jika alert_identifier tidak diberikan,ID pemberitahuan saat ini akan digunakan. Tidak ada secara default (opsional) |
Hasil
NoneType
Contoh
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
assigned_user= "Admin"
siemplify.assign_case(assigned_user)
Perilaku hasil
Kasus akan ditetapkan ke pengguna Admin.
Nilai hasil
Tidak ada
attach_workflow_to_case
attach_workflow_to_case(workflow_name, cyber_case_id=None, indicator_identifier=None)
Lampirkan playbook ke pemberitahuan saat ini.
Parameter
| Nama parameter | Jenis parameter | Definisi | Nilai yang memungkinkan | Komentar |
|---|---|---|---|---|
| workflow_name | {string} | Nama alur kerja (playbook) | T/A | T/A |
| cyber_case_id | {string} | ID kasus | 234 | Jika tidak ada kasus yang diberikan, kasus saat ini akan digunakan. Tidak ada secara default (opsional) |
| indicator_identifier | {string} | ID notifikasi | 12345 | Jika tidak ada ID pemberitahuan yang diberikan, pemberitahuan saat ini akan digunakan. Tidak ada secara default (opsional) |
Hasil
NoneType
Contoh
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
siemplify.attach_workflow_to_case(workflow_name, cyber_case_id, indicator_identifier)
Perilaku hasil
Melampirkan alur kerja yang diberikan ke kasus untuk ID indikator yang diberikan.
Nilai hasil
Tidak ada
Kasus properti
change_case_priority
change_case_priority(priority, case_id=None, alert_identifier=None)
Ubah prioritas kasus.
Parameter
| Nama parameter | Jenis parameter | Definisi | Nilai yang memungkinkan | Komentar |
|---|---|---|---|---|
| priority | {int} | Prioritas yang diwakili oleh setiap angka, masing-masing adalah: Rendah, Sedang, Tinggi, dan Kritis |
{"Low": 40, "Medium": 60, "High": 80, "Critical": 100} | T/A |
| case_id | {string} | ID kasus | 12345 | Jika tidak ada kasus yang diberikan, kasus saat ini akan digunakan |
| alert_identifier | {string} | ID notifikasi | 123 | Jika tidak ada ID pemberitahuan yang diberikan, pemberitahuan saat ini akan digunakan |
Hasil
NoneType
Contoh
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
priority_to_change_to = 60
siemplify.change_case_priority(priority=priority_to_change_to )
Perilaku hasil
Prioritas kasus diubah menjadi "Sedang".
Nilai hasil
Tidak ada
change_case_stage
change_case_stage(stage, case_id=None, alert_identifier=None)
Mengubah tahap kasus
Parameter
| Nama parameter | Jenis parameter | Definisi | Nilai yang memungkinkan | Komentar |
|---|---|---|---|---|
| tahap | {string} | Tahap harus sama persis dengan string yang ditentukan dalam tabel tahap kasus | Insiden, Investigasi |
T/A |
| case_id | {string} | ID kasus | 12345 | Jika tidak ada kasus yang diberikan, kasus saat ini akan digunakan |
| alert_identifier | {string} | ID notifikasi | 123 | Jika tidak ada ID pemberitahuan yang diberikan, pemberitahuan saat ini akan digunakan |
Hasil
Contoh
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
stage_to_change_to = "Investigation"
siemplify.change_case_stage(stage=stage_to_change_to)
Perilaku hasil
Status kasus diubah menjadi "investigasi".
Nilai hasil
Tidak ada
close_alert
close_alert(root_cause, comment, reason, case_id=None, alert_id=None)
Tutup pemberitahuan saat ini.
Parameter
| Nama parameter | Jenis parameter | Definisi | Nilai yang memungkinkan | Komentar |
|---|---|---|---|---|
| root_cause | {string} | Penyebab utama penutupan kasus | String yang diambil dari tabel "Penyebab utama penutupan kasus" di setelan |
T/A |
| komentar | {string} | Komentar | String apa pun dapat digunakan di sini | Komentar harus mendeskripsikan kasus, tetapi tidak dibatasi |
| alasan | {ApiSyncAlertCloseReasonEnum} | Salah satu dari tiga string standar yang tersedia dalam dialog jika dilakukan secara manual: "NotMalicious", "Malicious", dan "Maintenance" |
Lihat SiemplifyDataModel.ApiSyncAlertCloseReasonEnum |
Hasil
{dict} hasil operasi server
Contoh
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
reason = "Maintenance"
root_cause = "Employee Error"
comment = "User accidentally activated a correlation before it was ready to be used and triggered this alert"
siemplify.close_alert(reason=reason, root_cause=root_cause, comment=comment)
Perilaku hasil
Pemberitahuan saat ini dipindahkan ke kasus baru dan selanjutnya ditutup dengan pemberitahuan.
Nilai hasil
Tidak ada
close_case
close_case(root_cause, comment, reason, case_id=None, alert_identifier=None)
Tutup kasus.
Parameter
| Nama parameter | Jenis parameter | Definisi | Nilai yang memungkinkan | Komentar |
|---|---|---|---|---|
| root_cause | {string} | Penyebab utama penutupan kasus | T/A | T/A |
| komentar | {string} | Komentar | String apa pun dapat digunakan di sini | Komentar harus mendeskripsikan kasus, tetapi tidak dibatasi |
| alasan | {ApiSyncAlertCloseReasonEnum} | Alasan penutupan kasus | Salah satu dari tiga string standar yang tersedia dalam dialog jika dilakukan secara manual: "NotMalicious", "Malicious", dan "Maintenance" | |
| case_id | {string} | ID kasus | 12345 | Jika tidak ada kasus yang diberikan, kasus saat ini akan digunakan |
| alert_identifier | {string} | ID notifikasi | 123 | Jika tidak ada ID pemberitahuan yang diberikan, pemberitahuan saat ini akan digunakan |
Hasil
NoneType
Contoh
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
reason = "Maintenance"
root_cause = "Employee Error"
comment = "User accidentally activated a correlation before it was ready to be used and triggered this alert"
siemplify.close_case(reason=reason, root_cause=root_cause, comment=comment)
Perilaku hasil
Kasus ditutup dengan alasan, penyebab utama, dan komentar yang ditentukan.
Nilai hasil
Tidak ada
create_case_insight
create_case_insight(triggered_by, title, content, entity_identifier, severity, insight_type, additional_data=None, additional_data_type=None, additional_data_title=None)
Menambahkan insight ke kasus.
Parameter
| Nama parameter | Jenis parameter | Definisi | Nilai yang memungkinkan | Komentar |
|---|---|---|---|---|
| triggered_by | {string} | Nama integrasi | VirusTotal, XForce | T/A |
| title | {string} | Judul insight | Diperkaya oleh VirusTotal | T/A |
| konten | {string} | Pesan insight | Pesan Insight | T/A |
| entity_identifier | {string} | ID entitas | example.com | T/A |
| tingkat keseriusan, | {int} | Tingkat keparahan | 0 = info, 1 = peringatan, 2 = error |
|
| insight_type | {int} | Jenis insight | 0 = umum, 1 = entitas |
T/A |
| additional_data | {string} | Data tambahan untuk insight | {"checked against": "VT", "malicious": "No"} | T/A |
| additional_data_type | {int} | Jenis data tambahan | 'General'=0, 'Entity'=1 |
T/A |
| additional_data_title | {string} | Judul data tambahan untuk insight | Pemeriksaan VT | T/A |
Hasil
{boolean} True jika berhasil. Jika tidak, False.
Contoh
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
siemplify.create_case_insight(triggered_by, title, content, entity_identifier, severity, insight_type, additional_data, additional_data_type, additional_data_title)
Perilaku hasil
Membuat insight untuk kasus dengan data yang ditentukan.
True jika insight kasus dibuat. Jika tidak, False.
Nilai hasil
Benar atau Salah
property current_alert
dismiss_alert
dismiss_alert(alert_group_identifier, should_close_case_if_all_alerts_were_dismissed, case_id=None)
Lingkungan properti
escalate_case
escalate_case(comment, case_id=None, alert_identifier=None)
Eskalasikan kasus.
Parameter
| Nama parameter | Jenis parameter | Definisi | Nilai yang memungkinkan | Komentar |
|---|---|---|---|---|
| komentar | {string} | Mengirimkan komentar ke eskalasi | T/A | T/A |
| case_id | {string} | ID kasus | 12345 | T/A |
| alert_identifier | {string} | ID notifikasi | 123 | T/A |
extract_action_param
extract_action_param(param_name, default_value=None, input_type=<class 'str'>, is_mandatory=False, print_value=False)
Mendapatkan parameter skrip tindakan.
Parameter
| Nama parameter | Jenis parameter | Definisi | Nilai yang memungkinkan | Komentar |
|---|---|---|---|---|
| param_name | {string} | Nama parameter | Nama parameter yang tersedia untuk tindakan | T/A |
| default_value | {any} | Nilai default parameter | Nilai yang diberikan akan ditampilkan jika parameter tidak ditetapkan (jika is_mandatory ditetapkan ke False) |
Jika parameter tidak diteruskan, gunakan nilai ini secara default. Tidak ada secara default (opsional) |
| input_type | {obj} | Mentransmisikan parameter ke jenis yang berbeda | int | str secara default (opsional) |
| is_mandatory | {boolean} | Memunculkan pengecualian jika parameter kosong | Benar/Salah | Salah secara default |
| print_value | {boolean} | Mencetak nilai ke log | Benar/Salah | Salah secara default |
Hasil
Nilai parameter, {string} secara default, kecuali jika input_type ditentukan.
Contoh
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
param_value= siemplify.extract_action_param(
"Threshold",
default_value=-1,
input_type=int,
is_mandatory=False,
print_value=False)
Perilaku hasil
Nilai parameter yang dipilih akan ditampilkan, ditransmisikan ke jenis yang dipilih.
Nilai hasil
20
fetch_and_save_timestamp
fetch_and_save_timestamp(datetime_format=False, timezone=False, new_timestamp=1683033493671)
Ambil stempel waktu dan simpan ke konteks kasus.
Parameter
| Nama parameter | Jenis parameter | Definisi | Nilai yang memungkinkan | Komentar |
|---|---|---|---|---|
| datetime_format | {boolean} | Format untuk tanggal/waktu | Benar untuk mendapatkan format tanggal dan waktu, Salah untuk Unix | Salah secara default (opsional) |
| zona waktu | Parameter tidak didukung lagi | |||
| new_timestamp | {int} | Stempel waktu yang akan disimpan | T/A | Waktu epoch Unix secara default (opsional) |
Hasil
{int} datetime.
Contoh
from SiemplifyAction import SiemplifyAction
sa = SiemplifyAction()
sa.fetch_and_save_timestamp(self, datetime_format=False, new_timestamp=SiemplifyUtils.Unix_now())
Perilaku hasil
Stempel waktu terbaru diambil dan disimpan sebagai file TIMESTAMP di direktori saat ini.
Nilai hasil
datetime.datetime(2019, 7, 16, 14, 26, 2, 26000)/1563276380
fetch_timestamp
fetch_timestamp(datetime_format=False, timezone=False)
Dapatkan stempel waktu yang disimpan dengan save_timestamp.
Parameter
| Nama parameter | Jenis parameter | Definisi | Nilai yang memungkinkan | Komentar |
|---|---|---|---|---|
| datetime_format | {boolean} | Jika Benar (True), menampilkan stempel waktu sebagai datetime. Jika tidak, tampilkan dalam Unix | Benar/Salah | Salah secara default (opsional) |
| zona waktu | Parameter tidak didukung lagi | |||
Hasil
Menyimpan waktu epoch Unix dan tanggal waktu.
Contoh
from SiemplifyAction import SiemplifyAction
sa = SiemplifyAction()
result = sa.fetch_timestamp(datetime_format=True)
Perilaku hasil
Stempel waktu terbaru diambil dan disimpan sebagai file TIMESTAMP di direktori saat ini.
Nilai hasil
datetime.datetime(2019, 7, 16, 14, 26, 2, 26000)/1563276380
get_alert_context_property
get_alert_context_property(property_key)
Mendapatkan properti konteks dari pemberitahuan saat ini.
Parameter
| Nama parameter | Jenis parameter | Definisi | Nilai yang memungkinkan | Komentar |
|---|---|---|---|---|
| property_key | {string} | Kunci properti yang diminta | T/A | T/A |
Hasil
{string} Nilai properti
get_alerts_ticket_ids_from_cases_closed_since_timestamp
get_alerts_ticket_ids_from_cases_closed_since_timestamp(timestamp_unix_ms, rule_generator)
Mendapatkan pemberitahuan dari kasus yang ditutup sejak stempel waktu.
Parameter
| Nama parameter | Jenis parameter | Definisi | Nilai yang memungkinkan | Komentar |
|---|---|---|---|---|
| timestamp_unix_ms | {long} | Stempel waktu | 1550409785000L | T/A |
| rule_generator | {string} | T/A | Detektor email phishing | T/A |
Hasil
Daftar ID notifikasi {[string]}
get_attachments
get_attachments(case_id=None)
Mendapatkan lampiran dari kasus.
Fungsi ini mendapatkan daftar item daftar kustom dari daftar kategori dan entitas
serta menampilkan daftar objek item daftar kustom.
Parameter
| Nama parameter | Jenis parameter | Definisi | Nilai yang memungkinkan | Komentar |
|---|---|---|---|---|
| case_id | {string} | ID kasus | 234 | Jika tidak ada kasus yang diberikan, kasus saat ini akan digunakan (opsional) |
Hasil
{dict} lampiran
Contoh
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
result = siemplify.get_attachments(case_id="234")
Perilaku hasil
Daftar kamus lampiran akan ditampilkan untuk ID kasus 234.
Nilai hasil
[{u'is_favorite': False, u'description': u'test', u'type': u'.exe', u'id': 4, u'name': u'chrome_proxy'}]
get_case_comments
get_case_comments(case_id=None)
Mendapatkan komentar kasus.
Parameter
| Nama parameter | Jenis parameter | Definisi | Nilai yang memungkinkan | Komentar |
|---|---|---|---|---|
| case_id | {string} | ID kasus | 234 | Jika tidak ada kasus yang diberikan, kasus saat ini akan digunakan |
Hasil
{[dict]} komentar kasus
Contoh
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
siemplify.get_case_comments(case_id)
Perilaku hasil
Semua komentar yang termasuk dalam kasus akan diambil.
Nilai hasil
[{'comment': u'this is a comment',
u'is_deleted': False,
u'last_editor_full_name': u'example user',
u'modification_time_unix_time_in_ms_for_client': 0,
u'creation_time_unix_time_in_ms': 1681904404087, u'id': 12,
u'modification_time_unix_time_in_ms': 1681904404087,
u'case_id': 234,
u'is_favorite': False,
u'alert_identifier': None,
u'creator_user_id': u'cd1c112a-0277-44a9-b68d-98ceef9b0399',
u'last_editor': u'cd1c112a-0277-44a9-b68d-98ceef9b0399',
u'type': 5,
u'comment_for_client': None,
u'creator_full_name': u'example user'}]
get_case_context_property
get_case_context_property(property_key)
Mendapatkan properti konteks kasus.
Parameter
| Nama parameter | Jenis parameter | Definisi | Nilai yang memungkinkan | Komentar |
|---|---|---|---|---|
| property_key | {string} | Properti kunci yang diminta | T/A | T/A |
Hasil
{string} nilai properti
get_configuration
get_configuration(provider, environment=None, integration_instance=None)
Mendapatkan konfigurasi integrasi.
Parameter
| Nama parameter | Jenis parameter | Definisi | Nilai yang memungkinkan | Komentar |
|---|---|---|---|---|
| penyedia | {string} | Nama integrasi | VirusTotal | |
| lingkungan | {string} | Konfigurasi untuk lingkungan tertentu atau 'semua' | Opsional. Jika disediakan, kredensial akan diambil dari konfigurasi lingkungan yang sesuai. Jika tidak ada lingkungan yang ditentukan, lingkungan kasus akan digunakan secara default. Jika tidak ada konfigurasi untuk lingkungan tertentu, konfigurasi default akan ditampilkan. |
|
| integration_instance | {string} | ID instance integrasi | T/A | T/A |
Hasil
Detail konfigurasi {dict}
get_similar_cases
get_similar_cases(consider_ports, consider_category_outcome, consider_rule_generator, consider_entity_identifiers, days_to_look_back, case_id=None, end_time_unix_ms=None)
Mendapatkan kasus serupa.
Parameter
| Nama parameter | Jenis parameter | Definisi | Nilai yang memungkinkan | Komentar |
|---|---|---|---|---|
| consider_ports | {boolean} | Parameter mengonfigurasi apakah akan menggunakan filter port atau tidak | Benar/salah | T/A |
| consider_category_outcome | {boolean} | Parameter mengonfigurasi apakah akan mempertimbangkan hasil kategori peristiwa | Benar/salah | T/A |
| consider_rule_generator | {boolean} | Parameter mengonfigurasi apakah akan mempertimbangkan generator aturan untuk pemberitahuan | Benar/salah | T/A |
| consider_entity_identifiers | {boolean} | Parameter mengonfigurasi apakah akan mempertimbangkan ID entity untuk pemberitahuan | Benar/salah | T/A |
| days_to_look_back | {int} | Parameter mengonfigurasi jumlah hari sebelum mencari kasus serupa | 365 | T/A |
Hasil
Daftar ID kasus {[int]}
Contoh
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
result = siemplify.get_similar_cases(consider_ports=True,
consider_category_outcome=False,
consider_rule_generator=False,
consider_entity_identifiers=False,
days_to_look_back=30, case_id="234", end_time_unix_ms=None)
Perilaku hasil
Daftar ID kasus yang serupa dengan kasus 234 akan ditampilkan.
Nilai hasil
[4.231]
get_ticket_ids_for_alerts_dismissed_since_timestamp
get_ticket_ids_for_alerts_dismissed_since_timestamp(timestamp_unix_ms)
property is_timeout_reached
load_case_data
load_case_data()
Fungsi ini memuat data kasus.
Parameter
Tidak perlu parameter.
Hasil
NoneType
Contoh
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
result = siemplify.load_case_data()
Perilaku hasil
Data kasus dimuat.
Nilai hasil
Tidak ada
property log_location
mark_case_as_important
mark_case_as_important(case_id=None, alert_identifier=None)
Tandai kasus sebagai penting.
Parameter
| Nama parameter | Jenis parameter | Definisi | Nilai yang memungkinkan | Komentar |
|---|---|---|---|---|
| case_id | {string} | ID kasus | 234 | T/A |
| alert_identifier | {string} | ID notifikasi | 12345 | T/A |
Hasil
NoneType
Contoh
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
siemplify.mark_case_as_important()
Perilaku hasil
Kasus saat ini ditandai sebagai penting.
Nilai hasil
Tidak ada
raise_incident
raise_incident(case_id=None, alert_identifier=None)
Laporkan insiden.
Parameter
| Nama parameter | Jenis parameter | Definisi | Nilai yang memungkinkan | Komentar |
|---|---|---|---|---|
| case_id | {string} | ID kasus | 234 | T/A |
| alert_identifier | {string} | ID notifikasi | 12345 | T/A |
Hasil
NoneType
Contoh
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
siemplify.raise_incident(case_id, alert_identifier)
Perilaku hasil
Kasus diubah menjadi status Insiden.
Nilai hasil
Tidak ada
remove_alert_entities_from_custom_list
remove_alert_entities_from_custom_list(category_name)
Menghapus entitas pemberitahuan ke rekaman daftar kustom dengan kategori yang diberikan.
Parameter
| Nama parameter | Jenis parameter | Definisi | Nilai yang memungkinkan | Komentar |
|---|---|---|---|---|
| category_name | {string} | Kategori daftar kustom | `WhiteListed HOSTs` | T/A |
Hasil
Daftar {[CustomList]} objek CustomList yang dihapus.
Contoh
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
result = siemplify.remove_alert_entities_from_custom_list("WhiteListed HOSTs")
Perilaku hasil
WhiteListed HOSTS dihapus.
Nilai hasil
[<SiemplifyDataModel.CustomList object at 0x0000000003476E10>,
<SiemplifyDataModel.CustomList object at 0x0000000003476B00>]
save_timestamp
save_timestamp(datetime_format=False, timezone=False, new_timestamp=1683033493671)
Simpan stempel waktu ke konteks skrip saat ini.
Parameter
| Nama parameter | Jenis parameter | Definisi | Nilai yang memungkinkan | Komentar |
|---|---|---|---|---|
| datetime_format | {boolean} | T/A | Benar untuk format tanggal dan waktu, Salah untuk Unix | Defaultnya adalah False (opsional) |
| zona waktu | Parameter tidak didukung lagi | |||
| new_timestamp | {long} | Stempel waktu untuk disimpan ke konteks | T/A | Stempel waktu akan menggunakan stempel waktu Unix secara default saat memanggil metode |
Hasil
NoneType
Contoh
from SiemplifyAction import SiemplifyAction
sa = SiemplifyAction()
sa.save_timestamp(self, datetime_format=False, new_timestamp=SiemplifyUtils.unix_now())
Perilaku hasil
Stempel waktu baru akan disimpan sebagai file TIMESTAMP di direktori saat ini.
Nilai hasil
Tidak ada
set_alert_context_property
set_alert_context_property(property_key, property_value)
Tetapkan properti konteks pemberitahuan berdasarkan pasangan nilai kunci.
Parameter
| Nama parameter | Jenis parameter | Definisi | Nilai yang memungkinkan | Komentar |
|---|---|---|---|---|
| property_key | {string} | Kunci properti yang akan disimpan ke konteks | T/A | T/A |
| property_value | {string} | Nilai properti yang akan disimpan ke konteks | T/A | T/A |
set_alert_sla
set_alert_sla(period_time, period_type, critical_period_time, critical_period_type, case_id=None, alert_id=None)
Menetapkan SLA alert_identifier case_id yang diberikan. SLA yang ditetapkan menggunakan
API ini harus melampaui semua jenis SLA pemberitahuan lainnya.
Parameter
| Nama parameter | Jenis parameter | Definisi | Nilai yang memungkinkan | Komentar |
|---|---|---|---|---|
| period_time | {int/str} | Total periode SLA | T/A | period_time > 0 |
| period_type | {string} | Satuan waktu period_time, yang diwakili oleh ApiPeriodTypeEnum | T/A | T/A |
| critical_period_time | {int/str} | Periode SLA penting | T/A | critical_period_time >= 0 Periode penting (setelah penskalaan dengan unit waktunya) harus lebih kecil dari total periode. |
| critical_period_type | {string} | unit waktu critical_period_time, yang diwakili oleh ApiPeriodTypeEnum |
||
| case_id | {long} | ID kasus | 234 | T/A |
| alert_id | {string} | ID notifikasi | 12345 | T/A |
set_case_context_property
set_case_context_property(property_key, property_value)
Tetapkan properti konteks kasus menggunakan key-value pair.
Parameter
| Nama parameter | Jenis parameter | Definisi | Nilai yang memungkinkan | Komentar |
|---|---|---|---|---|
| property_key | {string} | Kunci properti | T/A | T/A |
| property_value | {string} | Nilai properti | T/A | T/A |
set_case_sla
set_case_sla(period_time, period_type, critical_period_time, critical_period_type, case_id=None)
Menetapkan SLA case_id yang diberikan jika diberikan, atau menetapkan SLA
kasus saat ini. SLA yang ditetapkan menggunakan API ini harus melampaui semua jenis SLA kasus lainnya.
Parameter
| Nama parameter | Jenis parameter | Definisi | Nilai yang memungkinkan | Komentar |
|---|---|---|---|---|
| period_time | {int/str} | Total periode SLA | T/A | period_time > 0 |
| period_type | {string} | Satuan waktu period_time, yang diwakili oleh ApiPeriodTypeEnum | T/A | T/A |
| critical_period_time | {int/str} | Periode SLA penting | T/A | critical_period_time >0 Periode kritis (setelah penskalaan dengan unit waktunya) harus lebih kecil dari total periode. |
| critical_period_type | {string} | unit waktu critical_period_time, yang diwakili oleh ApiPeriodTypeEnum |
T/A | T/A |
| case_id | {long} | ID kasus | T/A | T/A |
signal_handler
signal_handler(sig, frame)
property target_entities
Objek target_entities adalah daftar objek entitas yang dapat dijalankan oleh tindakan yang dikonfigurasi. Setiap objek entity mengekspos properti dan metode berikut:
Properti entitas
Berikut adalah atribut penampung data langsung dari objek entity:
| Properti | Jenis Data | Deskripsi |
|---|---|---|
identifier |
string |
ID unik (UUID) entitas. |
creation_time |
int |
Stempel waktu Unix saat entity dibuat. |
modification_time |
int |
Stempel waktu Unix saat entitas terakhir diubah. |
additional_properties |
dict |
Kamus yang berisi detail tambahan tentang entitas. |
case_identifier |
string |
ID kasus induk tempat entitas berada. |
alert_identifier |
string |
ID pemberitahuan yang terkait dengan entitas. |
entity_type |
string |
Jenis entity (misalnya, 'HOSTNAME', 'USERUNQNAME'). |
is_internal |
bool |
Menunjukkan apakah entitas adalah aset internal. |
is_suspicious |
bool |
Menunjukkan apakah entitas ditandai sebagai mencurigakan. |
is_artifact |
bool |
Menunjukkan apakah entitas adalah artefak. |
is_enriched |
bool |
Menunjukkan apakah entitas telah di-enrich. |
is_vulnerable |
bool |
Menunjukkan apakah entitas ditandai sebagai rentan. |
is_pivot |
bool |
Menunjukkan apakah entitas adalah entitas poros. |
Metode entity
Berikut adalah fungsi yang dapat dieksekusi yang tersedia pada objek entity:
| Metode | Deskripsi |
|---|---|
to_dict() |
Mengonversi objek entity menjadi kamus Python standar. |
try_set_alert_context_property
try_set_alert_context_property(property_key, property_value)
try_set_case_context_property
try_set_case_context_property(property_key, property_value)
update_alerts_additional_data
update_alerts_additional_data(alerts_additional_data, case_id=None)
Memperbarui data tambahan pemberitahuan.
Parameter
| Nama parameter | Jenis parameter | Definisi | Nilai yang memungkinkan | Komentar |
|---|---|---|---|---|
| case_id | {string} | ID kasus | 234 | T/A |
| alerts_additional_data | {string:string} | T/A | T/A | T/A |
Hasil
NoneType
Contoh
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
additional_data = {"testKey":"testValue"}
siemplify.update_alerts_additional_data(alerts_additional_data=additional_data, case_id=caseid)
Perilaku hasil
Memperbarui pemberitahuan dengan data tambahan, seperti testKey:testValue.
Nilai hasil
Tidak ada