SiemplifyAction モジュール
クラス SiemplifyAction.SiemplifyAction
SiemplifyAction.SiemplifyAction(mock_stdin=None, get_source_file=False)
ベース: Siemplify
add_alert_entities_to_custom_list
add_alert_entities_to_custom_list(category_name)
指定されたカテゴリで、アラートのエンティティをカスタムリスト レコードに追加します。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| category_name | {string} | カスタムリストのカテゴリ | 「CustomList」 | なし |
戻り値
{[CustomList]} 追加されたオブジェクトのリスト。
例
入力: 明示的に category_name。スコープを使用するエンティティ(暗黙的)。
add_alert_entities_to_custom_list を実行すると、設定で「CustomList」オブジェクトのリストと構成の変更が生成されます。
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
result = siemplify.add_alert_entities_to_custom_list("WhiteListed HOSTs")
結果の動作
WhiteListed HOSTs カテゴリを追加します。
結果値
[<SiemplifyDataModel.CustomList object at 0x0000000003476E10>, <SiemplifyDataModel.CustomList object at 0x0000000003476B00>]
add_attachment
add_attachment(file_path, case_id=None, alert_identifier=None, description=None, is_favorite=False)
ケースウォールに添付ファイルを追加します。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| file_path | {string} | ファイルパス | "C:\Program Files (x86)\Google\Chrome\Application\chrome_proxy.exe" | なし |
| case_id | {string} | ケース ID | 234 | なし |
| alert_identifier | {string} | アラート ID | 12345 | なし |
| 説明 | {string} | ファイルの説明 | なし | なし |
| is_favorite | ブール値 | なし | True/False | なし |
戻り値
{long} attachment_id
例
入力: 明示的に、ファイルパス、説明、is_favorite。暗黙的に case_id と alert_identifier。
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
result = siemplify.add_attachment("C:\Program Files (x86)\Google\Chrome\Application\chrome_proxy.exe", case_id="234", alert_identifier=None, description=None, is_favorite=True)
結果の動作
パスで指定されたファイルがケース ID 234 に添付され、添付ファイル ID が返されます。
結果値
5 [添付ファイル ID]
add_comment
add_comment(comment, case_id=None, alert_identifier=None)
特定のケースに新しいコメントを追加します。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| コメント | {string} | ケースウォールに追加するコメント | なし | なし |
| case_id | {string} | ケース ID | 234 | case_id が指定されていない場合は、現在のケースが使用されます。デフォルトでなし(省略可) |
| alert_identifier | {string} | アラート ID | 12345 | alert_identifier が指定されていない場合は、現在のアラートが使用されます。デフォルトでなし(省略可) |
戻り値
NoneType
例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
comment = "Ran some tests on the hash and it seems fine"
siemplify.add_comment(comment=comment)
結果の動作
指定したコメントが現在のケースに追加されます。
結果値
なし
add_entity_insight
add_entity_insight(domain_entity_info, message, triggered_by=None, original_requesting_user=None)
使用されているケースにエンティティ分析情報を追加します。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| domain_entity_info | {DomainEntityInfo} | 分析情報を追加するエンティティを表すエンティティ オブジェクト | なし | なし |
| メッセージ | {string} | 分析情報のメッセージ | なし | なし |
| triggered_by | {string} | 連携名 | なし | 統合名が指定されていない場合は、アクション用に選択された統合が使用されます。 デフォルトではなし(省略可) |
| original_requesting_user | {string} | リクエストしているユーザー | なし | デフォルトでなし(省略可) |
戻り値
{boolean} True 成功時。それ以外の場合は、False。
例
結果の動作
結果値
add_entity_to_case
add_entity_to_case(entity_identifier, entity_type, is_internal, is_suspicious, is_enriched, is_vulnerable, properties, case_id=None, alert_identifier=None, environment=None)
現在のケースにエンティティを追加します。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| entity_identifier | {string} | エンティティ ID | 192.0.2.1、example.com | なし |
| entity_type | {string} | エンティティ タイプ | "ADDRESS" | なし |
| is_internal | {boolean} | なし | 内部 / 外部 | なし |
| is_suspicious | {boolean} | なし | 不審/不審でない | なし |
| is_enriched | {boolean} | なし | True/False | デフォルトは False |
| is_vulnerable | {boolean} | なし | True/False | デフォルトは False |
| プロパティ | (dict) | {"Property1":"PropertyValue", "Property2":"PropertyValue2"} | なし | なし |
戻り値
NoneType
既存のエンティティがある場合は、次のエラーが表示されます。
500 Server Error: Internal Server Error for url:https://localhost:8443/api/external/v1/sdk/CreateEntity?format=snake:\"ErrorMessage\":\"Cannot add entity [Identifier:Entities Identifies -Type:siemplify.parameters[] to alert [MONITORED MAILBOX<EXAMPLE@EXAMPLE.COM>_633997CB-D23B-4A2B-92F2-AD1D350284FF] in case [12345]because the entity already exists >there.\"
例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
siemplify.add_entity_to_case(entity_identifier, entity_type, is_internal, is_suspicious, is_enriched, is_vulnerable, properties, case_id, alert_identifier, environment)
結果の動作
この関数は、ケースに存在しない場合に、新しいエンティティをケースに追加します。
結果値
なし
add_tag
add_tag(tag, case_id=None, alert_identifier=None)
特定のケースに新しいタグを追加します。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| タグ | {string} | 追加するタグ | タグとして使用する任意の文字列 | なし |
| case_id | {string} | ケース ID | 12345 | case_id が指定されていない場合は、現在のケース ID が使用されます。デフォルトでなし(省略可) |
| alert_identifier | {string} | アラート ID | 123 | alert_identifier が指定されていない場合、現在のアラート ID が使用されます。デフォルトでなし(省略可) |
戻り値
NoneType
例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
tag_to_be_added = "MaliciousMail"
siemplify.add_tag(tag=tag_to_be_added)
結果の動作
現在のケースに「MaliciousMail」タグが追加されます。
結果値
なし
any_alert_entities_in_custom_list
any_alert_entities_in_custom_list(category_name)
アラートのエンティティのいずれかに、指定されたカテゴリのカスタムリスト レコードがあるかどうかを確認します。
この関数は、CustomLists からカテゴリ名を取得し、スコープ内のエンティティのいずれかがそのカテゴリに属している場合は True(ブール値)を返します。エンティティの ID が CustomLists テーブルの設定でこのカテゴリとともにリストされている場合、そのエンティティはこのカテゴリに属すると見なされます。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| category_name | {string} | カスタムリストのカテゴリ名 | BlackListed IPs |
なし |
戻り値
{boolean} カテゴリにエンティティがある場合は True、それ以外の場合は False。
例 1
from SiemplifyAction import SiemplifyAction \
siemplify = SiemplifyAction() \
result = siemplify.any_entity_in_custom_list("BlackListed IPs")
例 2
from SiemplifyAction import SiemplifyAction \
siemplify = SiemplifyAction() \
result = siemplify.any_entity_in_custom_list("Executive IPs")
結果の動作
サンプルコード 1 の結果は True です。サンプルコード 2 の結果は False です。
結果値
正誤問題
assign_case
assign_case(user, case_id=None, alert_identifier=None)
ケースをユーザーに割り当てます。
この関数は、ユーザー ID またはユーザーロールで動作します。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| ユーザー | {string} | ユーザー ID またはユーザーロール | USER_ID、管理者、@Tier1 | なし |
| case_id | {string} | ケース ID | 12345 | case_id が指定されていない場合は、現在のケース ID が使用されます。デフォルトでなし(省略可) |
| alert_identifier | {string} | アラート ID | 123 | alert_identifier が指定されていない場合、現在のアラート ID が使用されます。デフォルトでなし(省略可) |
戻り値
NoneType
例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
assigned_user= "Admin"
siemplify.assign_case(assigned_user)
結果の動作
ケースが管理者ユーザーに割り当てられます。
結果値
なし
attach_workflow_to_case
attach_workflow_to_case(workflow_name, cyber_case_id=None, indicator_identifier=None)
現在のアラートにハンドブックをアタッチします。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| workflow_name | {string} | ワークフロー(ハンドブック)名 | なし | なし |
| cyber_case_id | {string} | ケース ID | 234 | ケースが指定されていない場合は、現在のケースが使用されます。 デフォルトでなし(省略可) |
| indicator_identifier | {string} | アラート ID | 12345 | アラート識別子が指定されていない場合は、 現在のアラートが使用されます。 デフォルトでなし(省略可) |
戻り値
NoneType
例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
siemplify.attach_workflow_to_case(workflow_name, cyber_case_id, indicator_identifier)
結果の動作
指定されたワークフローを、指定されたインジケーター識別子のケースに関連付けます。
結果値
なし
property のケース
change_case_priority
change_case_priority(priority, case_id=None, alert_identifier=None)
ケースの優先度を変更します。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| priority | {int} | 各番号で表される優先度は、それぞれ次のとおりです。 低、中、高、重大 |
{"Low": 40, "Medium": 60, "High": 80, "Critical": 100} | なし |
| case_id | {string} | ケース ID | 12345 | ケースが指定されていない場合は、現在のケースが使用されます |
| alert_identifier | {string} | アラート ID | 123 | アラート識別子が指定されていない場合は、現在のアラートが使用されます。 |
戻り値
NoneType
例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
priority_to_change_to = 60
siemplify.change_case_priority(priority=priority_to_change_to )
結果の動作
ケースの優先度が [中] に変更されます。
結果値
なし
change_case_stage
change_case_stage(stage, case_id=None, alert_identifier=None)
ケースのステージを変更する
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| 各段階で | {string} | ステージは、ケースのステージ テーブルで定義されている文字列と完全に一致している必要があります | インシデント、 調査 |
なし |
| case_id | {string} | ケース ID | 12345 | ケースが指定されていない場合は、現在のケースが使用されます |
| alert_identifier | {string} | アラート ID | 123 | アラート識別子が指定されていない場合は、現在のアラートが使用されます。 |
戻り値
例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
stage_to_change_to = "Investigation"
siemplify.change_case_stage(stage=stage_to_change_to)
結果の動作
ケースのステータスが [調査中] に変更されます。
結果値
なし
close_alert
close_alert(root_cause, comment, reason, case_id=None, alert_id=None)
現在のアラートを閉じます。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| root_cause | {string} | ケースのクローズに至った根本原因 | 設定の [Case close root cause](ケースのクローズに至った根本原因) テーブルから取得された文字列 |
なし |
| コメント | {string} | コメント | 任意の文字列を使用できます | コメントはケースを説明する必要がありますが、制限はありません。 |
| reason | {ApiSyncAlertCloseReasonEnum} | 手動で実行する場合、ダイアログ で使用できる 3 つの事前定義された文字列(「NotMalicious」、「Malicious」、「Maintenance」)のいずれか |
SiemplifyDataModel.ApiSyncAlertCloseReasonEnum を参照してください。 |
戻り値
{dict} サーバー オペレーションの結果
例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
reason = "Maintenance"
root_cause = "Employee Error"
comment = "User accidentally activated a correlation before it was ready to be used and triggered this alert"
siemplify.close_alert(reason=reason, root_cause=root_cause, comment=comment)
結果の動作
現在のアラートが新しいケースに移動され、アラートとともにクローズされます。
結果値
なし
close_case
close_case(root_cause, comment, reason, case_id=None, alert_identifier=None)
ケースを閉じます。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| root_cause | {string} | ケースのクローズに至った根本原因 | なし | なし |
| コメント | {string} | コメント | 任意の文字列を使用できます | コメントはケースを説明するものである必要がありますが、制限はありません |
| reason | {ApiSyncAlertCloseReasonEnum} | ケースのクローズ理由 | 手動で実行する場合にダイアログで使用できる 3 つの事前定義された文字列(「NotMalicious」、「Malicious」、「Maintenance」)のいずれか | |
| case_id | {string} | ケース ID | 12345 | ケースが指定されていない場合は、現在のケースが使用されます |
| alert_identifier | {string} | アラート ID | 123 | アラート識別子が指定されていない場合は、現在のアラートが使用されます。 |
戻り値
NoneType
例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
reason = "Maintenance"
root_cause = "Employee Error"
comment = "User accidentally activated a correlation before it was ready to be used and triggered this alert"
siemplify.close_case(reason=reason, root_cause=root_cause, comment=comment)
結果の動作
ケースは、指定された理由、根本原因、コメントとともにクローズされます。
結果値
なし
create_case_insight
create_case_insight(triggered_by, title, content, entity_identifier, severity, insight_type, additional_data=None, additional_data_type=None, additional_data_title=None)
ケースに分析情報を追加します。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| triggered_by | {string} | 連携名 | VirusTotal、XForce | なし |
| title | {string} | 分析情報のタイトル | VirusTotal によって拡充されました | なし |
| コンテンツ | {string} | 分析情報のメッセージ | 分析情報のメッセージ | なし |
| entity_identifier | {string} | エンティティ ID | example.com | なし |
| 重要度 | {int} | 重大度 | 0 = 情報、 1 = 警告、 2 = エラー |
|
| insight_type | {int} | 分析情報の種類 | 0 = 一般、 1 = エンティティ |
なし |
| additional_data | {string} | 分析情報の追加データ | {"checked against": "VT", "malicious": "No"} | なし |
| additional_data_type | {int} | 追加データのタイプ | 'General'=0, 'Entity'=1 |
なし |
| additional_data_title | {string} | 分析情報の追加データのタイトル | VT チェック | なし |
戻り値
{boolean} True 成功時。それ以外の場合は、False。
例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
siemplify.create_case_insight(triggered_by, title, content, entity_identifier, severity, insight_type, additional_data, additional_data_type, additional_data_title)
結果の動作
定義されたデータを使用してケースの分析情報を生成します。ケースの分析情報が作成された場合は
True。それ以外の場合は False です。
結果値
正誤問題
プロパティ current_alert
dismiss_alert
dismiss_alert(alert_group_identifier, should_close_case_if_all_alerts_were_dismissed, case_id=None)
property 環境
escalate_case
escalate_case(comment, case_id=None, alert_identifier=None)
ケースをエスカレーションします。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| コメント | {string} | コメントをエスカレーションする | なし | なし |
| case_id | {string} | ケース ID | 12345 | なし |
| alert_identifier | {string} | アラート ID | 123 | なし |
extract_action_param
extract_action_param(param_name, default_value=None, input_type=<class 'str'>, is_mandatory=False, print_value=False)
アクション スクリプト パラメータを取得します。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| param_name | {string} | パラメータの名前 | アクションで使用できるパラメータ名 | なし |
| default_value | {any} | パラメータのデフォルト値 | パラメータが設定されていない場合、指定された値が返されます ( is_mandatory が False に設定されている場合) |
パラメータが渡されない場合は、デフォルトでこの値を使用します。 デフォルトでなし(省略可) |
| input_type | {obj} | パラメータを別の型にキャストする | 整数 | デフォルトでは str(省略可) |
| is_mandatory | {boolean} | パラメータが空の場合に例外を発生させる | True/False | デフォルトは False |
| print_value | {boolean} | 値をログに出力する | True/False | デフォルトは False |
戻り値
パラメータ値。input_type が指定されていない場合は、デフォルトで {string}。
例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
param_value= siemplify.extract_action_param(
"Threshold",
default_value=-1,
input_type=int,
is_mandatory=False,
print_value=False)
結果の動作
選択したパラメータの値が、選択した型にキャストされて返されます。
結果値
20
fetch_and_save_timestamp
fetch_and_save_timestamp(datetime_format=False, timezone=False, new_timestamp=1683033493671)
タイムスタンプを取得してケース コンテキストに保存します。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| datetime_format | {boolean} | 日付/時刻の形式 | 日付時刻形式で取得する場合は True、Unix 形式で取得する場合は False | デフォルトは False(省略可) |
| タイムゾーン | パラメータのサポートが終了しました | |||
| new_timestamp | {int} | 保存するタイムスタンプ | なし | デフォルトでは Unix エポック時間(省略可) |
戻り値
{int} datetime。
例
from SiemplifyAction import SiemplifyAction
sa = SiemplifyAction()
sa.fetch_and_save_timestamp(self, datetime_format=False, new_timestamp=SiemplifyUtils.Unix_now())
結果の動作
最新のタイムスタンプが取得され、現在のディレクトリに TIMESTAMP ファイルとして保存されます。
結果値
datetime.datetime(2019, 7, 16, 14, 26, 2, 26000)/1563276380
fetch_timestamp
fetch_timestamp(datetime_format=False, timezone=False)
save_timestamp で保存されたタイムスタンプを取得します。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| datetime_format | {boolean} | True の場合、タイムスタンプを datetime として返します。それ以外の場合は、Unix で返します。 | True/False | デフォルトは False(省略可) |
| タイムゾーン | パラメータのサポートが終了しました | |||
戻り値
保存された Unix エポック時刻と日時。
例
from SiemplifyAction import SiemplifyAction
sa = SiemplifyAction()
result = sa.fetch_timestamp(datetime_format=True)
結果の動作
最新のタイムスタンプが取得され、現在のディレクトリに TIMESTAMP ファイルとして保存されます。
結果値
datetime.datetime(2019, 7, 16, 14, 26, 2, 26000)/1563276380
get_alert_context_property
get_alert_context_property(property_key)
現在のアラートからコンテキスト プロパティを取得します。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| property_key | {string} | リクエストされたプロパティのキー | なし | なし |
戻り値
{string} プロパティ値
get_alerts_ticket_ids_from_cases_closed_since_timestamp
get_alerts_ticket_ids_from_cases_closed_since_timestamp(timestamp_unix_ms, rule_generator)
タイムスタンプ以降にクローズされたケースからアラートを受け取ります。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| timestamp_unix_ms | {long} | タイムスタンプ | 1550409785000L | なし |
| rule_generator | {string} | なし | フィッシング メール検出 | なし |
戻り値
アラート ID の {[string]} リスト
get_attachments
get_attachments(case_id=None)
ケースから添付ファイルを取得します。
この関数は、カテゴリとエンティティのリストからカスタムリスト アイテムのリストを取得し、カスタムリスト アイテム オブジェクトのリストを返します。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| case_id | {string} | ケース ID | 234 | ケースが指定されていない場合、現在のケースが使用されます(省略可) |
戻り値
{dict} 個の添付ファイル
例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
result = siemplify.get_attachments(case_id="234")
結果の動作
ケース ID 234 の添付ファイルの辞書のリストが返されます。
結果値
[{u'is_favorite': False, u'description': u'test', u'type': u'.exe', u'id': 4, u'name': u'chrome_proxy'}]
get_case_comments
get_case_comments(case_id=None)
ケースのコメントを取得します。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| case_id | {string} | ケース ID | 234 | ケースが指定されていない場合は、現在のケースが使用されます |
戻り値
ケースのコメントの {[dict]}
例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
siemplify.get_case_comments(case_id)
結果の動作
ケースに属するすべてのコメントが取得されます。
結果値
[{'comment': u'this is a comment',
u'is_deleted': False,
u'last_editor_full_name': u'example user',
u'modification_time_unix_time_in_ms_for_client': 0,
u'creation_time_unix_time_in_ms': 1681904404087, u'id': 12,
u'modification_time_unix_time_in_ms': 1681904404087,
u'case_id': 234,
u'is_favorite': False,
u'alert_identifier': None,
u'creator_user_id': u'cd1c112a-0277-44a9-b68d-98ceef9b0399',
u'last_editor': u'cd1c112a-0277-44a9-b68d-98ceef9b0399',
u'type': 5,
u'comment_for_client': None,
u'creator_full_name': u'example user'}]
get_case_context_property
get_case_context_property(property_key)
ケース コンテキスト プロパティを取得します。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| property_key | {string} | リクエストされたキー プロパティ | なし | なし |
戻り値
{string} プロパティ値
get_configuration
get_configuration(provider, environment=None, integration_instance=None)
統合構成を取得します。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| provider | {string} | 連携名 | VirusTotal | |
| 環境 | {string} | 特定の環境または「すべて」の構成 | 省略可。 指定された場合、認証情報は対応する 環境構成から取得されます。環境が指定されていない場合は、デフォルトでケース環境が使用されます。 特定の環境の構成がない場合、 デフォルトの構成が返されます。 |
|
| integration_instance | {string} | 統合インスタンスの識別子 | なし | なし |
戻り値
{dict} 構成の詳細
get_similar_cases
get_similar_cases(consider_ports, consider_category_outcome, consider_rule_generator, consider_entity_identifiers, days_to_look_back, case_id=None, end_time_unix_ms=None)
同様のケースを取得します。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| consider_ports | {boolean} | パラメータは、ポート フィルタを使用するかどうかを構成します | True/false | なし |
| consider_category_outcome | {boolean} | イベントのカテゴリ結果を考慮するかどうかを構成するパラメータ | True/false | なし |
| consider_rule_generator | {boolean} | アラートのルール ジェネレータを考慮するかどうかを構成するパラメータ | True/false | なし |
| consider_entity_identifiers | {boolean} | アラートでエンティティ ID を考慮するかどうかを構成するパラメータ | True/false | なし |
| days_to_look_back | {int} | パラメータは、類似したケースを探す日数を構成します | 365 | なし |
戻り値
{[int]} ケース ID のリスト
例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
result = siemplify.get_similar_cases(consider_ports=True,
consider_category_outcome=False,
consider_rule_generator=False,
consider_entity_identifiers=False,
days_to_look_back=30, case_id="234", end_time_unix_ms=None)
結果の動作
ケース 234 に類似したケース ID のリストが返されます。
結果値
[4, 231]
get_ticket_ids_for_alerts_dismissed_since_timestamp
get_ticket_ids_for_alerts_dismissed_since_timestamp(timestamp_unix_ms)
property is_timeout_reached
load_case_data
load_case_data()
この関数はケースデータを読み込みます。
パラメータ
パラメータは必要ありません。
戻り値
NoneType
例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
result = siemplify.load_case_data()
結果の動作
ケースデータが読み込まれます。
結果値
なし
property log_location
mark_case_as_important
mark_case_as_important(case_id=None, alert_identifier=None)
ケースに重要マークを付けます。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| case_id | {string} | ケース ID | 234 | なし |
| alert_identifier | {string} | アラート ID | 12345 | なし |
戻り値
NoneType
例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
siemplify.mark_case_as_important()
結果の動作
現在のケースに重要マークが付いています。
結果値
なし
raise_incident
raise_incident(case_id=None, alert_identifier=None)
インシデントを提起します。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| case_id | {string} | ケース ID | 234 | なし |
| alert_identifier | {string} | アラート ID | 12345 | なし |
戻り値
NoneType
例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
siemplify.raise_incident(case_id, alert_identifier)
結果の動作
ケースがインシデント ステータスに引き上げられました。
結果値
なし
remove_alert_entities_from_custom_list
remove_alert_entities_from_custom_list(category_name)
指定されたカテゴリのカスタムリスト レコードからアラートのエンティティを削除します。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| category_name | {string} | カスタムリストのカテゴリ | `WhiteListed HOSTs` | なし |
戻り値
{[CustomList]} 削除された CustomList オブジェクトの リスト。
例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
result = siemplify.remove_alert_entities_from_custom_list("WhiteListed HOSTs")
結果の動作
WhiteListed HOSTS が削除されます。
結果値
[<SiemplifyDataModel.CustomList object at 0x0000000003476E10>,
<SiemplifyDataModel.CustomList object at 0x0000000003476B00>]
save_timestamp
save_timestamp(datetime_format=False, timezone=False, new_timestamp=1683033493671)
タイムスタンプを現在のスクリプト コンテキストに保存します。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| datetime_format | {boolean} | なし | 日時形式の場合は True、Unix の場合は False | デフォルトは False(省略可) |
| タイムゾーン | パラメータのサポートが終了しました | |||
| new_timestamp | {long} | コンテキストに保存するタイムスタンプ | なし | タイムスタンプは、メソッドを呼び出したときの Unix タイムスタンプにデフォルト設定されます |
戻り値
NoneType
例
from SiemplifyAction import SiemplifyAction
sa = SiemplifyAction()
sa.save_timestamp(self, datetime_format=False, new_timestamp=SiemplifyUtils.unix_now())
結果の動作
新しいタイムスタンプは、現在のディレクトリに TIMESTAMP ファイルとして保存されます。
結果値
なし
set_alert_context_property
set_alert_context_property(property_key, property_value)
Key-Value ペアでアラート コンテキスト プロパティを設定します。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| property_key | {string} | コンテキストに保存するプロパティのキー | なし | なし |
| property_value | {string} | コンテキストに保存するプロパティの値 | なし | なし |
set_alert_sla
set_alert_sla(period_time, period_type, critical_period_time, critical_period_type, case_id=None, alert_id=None)
指定された case_id の alert_identifier の SLA を設定します。この API を使用して設定された SLA は、他のすべてのアラート SLA タイプよりも優先されます。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| period_time | {int/str} | SLA の合計期間 | なし | period_time > 0 |
| period_type | {string} | period_time の時間単位。ApiPeriodTypeEnum で表されます | なし | なし |
| critical_period_time | {int/str} | クリティカルな SLA 期間 | なし | critical_period_time >= 0 クリティカル期間(時間単位でスケーリングした後)は 合計期間よりも小さくする必要があります。 |
| critical_period_type | {string} | critical_period_time の時間単位、 ApiPeriodTypeEnum で表される |
||
| case_id | {long} | ケース ID | 234 | なし |
| alert_id | {string} | アラート ID | 12345 | なし |
set_case_context_property
set_case_context_property(property_key, property_value)
Key-Value ペアを使用してケース コンテキスト プロパティを設定します。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| property_key | {string} | プロパティのキー | なし | なし |
| property_value | {string} | プロパティの値 | なし | なし |
set_case_sla
set_case_sla(period_time, period_type, critical_period_time, critical_period_type, case_id=None)
指定された case_id の SLA を設定します(指定されている場合)。指定されていない場合は、現在のケースの SLA を設定します。この API を使用して設定された SLA は、他のすべてのケース SLA タイプよりも優先されます。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| period_time | {int/str} | SLA の合計期間 | なし | period_time > 0 |
| period_type | {string} | period_time の時間単位。ApiPeriodTypeEnum で表されます | なし | なし |
| critical_period_time | {int/str} | クリティカルな SLA 期間 | なし | critical_period_time >0 クリティカル期間(時間単位でスケーリングした後)は 合計期間よりも小さくする必要があります。 |
| critical_period_type | {string} | critical_period_time の時間単位、 ApiPeriodTypeEnum で表される |
なし | なし |
| case_id | {long} | ケース ID | なし | なし |
signal_handler
signal_handler(sig, frame)
property target_entities
target_entities オブジェクトは、構成されたアクションを実行できるエンティティ オブジェクトのリストです。各エンティティ オブジェクトは、次のプロパティとメソッドを公開します。
エンティティのプロパティ
エンティティ オブジェクトの直接データ保持属性は次のとおりです。
| プロパティ | データ型 | 説明 |
|---|---|---|
identifier |
string |
エンティティの固有識別子(UUID)。 |
creation_time |
int |
エンティティが作成されたときの Unix タイムスタンプ。 |
modification_time |
int |
エンティティが最後に変更されたときの Unix タイムスタンプ。 |
additional_properties |
dict |
エンティティに関する追加の詳細情報を含むディクショナリ。 |
case_identifier |
string |
エンティティが属する親ケースの ID。 |
alert_identifier |
string |
エンティティに関連付けられたアラートの ID。 |
entity_type |
string |
エンティティ タイプ(「HOSTNAME」、「USERUNQNAME」など)。 |
is_internal |
bool |
エンティティが内部アセットかどうかを示します。 |
is_suspicious |
bool |
エンティティが不審としてフラグ設定されているかどうかを示します。 |
is_artifact |
bool |
エンティティがアーティファクトかどうかを示します。 |
is_enriched |
bool |
エンティティが拡充されているかどうかを示します。 |
is_vulnerable |
bool |
エンティティが脆弱性ありとしてフラグ設定されているかどうかを示します。 |
is_pivot |
bool |
エンティティがピボット エンティティかどうかを示します。 |
エンティティ メソッド
エンティティ オブジェクトで使用できる実行可能な関数は次のとおりです。
| メソッド | 説明 |
|---|---|
to_dict() |
エンティティ オブジェクトを標準の Python 辞書に変換します。 |
try_set_alert_context_property
try_set_alert_context_property(property_key, property_value)
try_set_case_context_property
try_set_case_context_property(property_key, property_value)
update_alerts_additional_data
update_alerts_additional_data(alerts_additional_data, case_id=None)
アラートの追加データを更新します。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| case_id | {string} | ケース ID | 234 | なし |
| alerts_additional_data | {string:string} | なし | なし | なし |
戻り値
NoneType
例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
additional_data = {"testKey":"testValue"}
siemplify.update_alerts_additional_data(alerts_additional_data=additional_data, case_id=caseid)
結果の動作
testKey:testValue などの追加データでアラートを更新します。
結果値
なし