Siemplify-Modul
class Siemplify.Siemplify
Basiert auf: SiemplifyBase
Endpunkte: external/v1/sdk/CaseFullDetails
add_agent_connector_logs
add_agent_connector_logs(agent_id, connector_id, logs_package)
Fügen Sie Logs des connector_id-Connectors des Remote-Agents hinzu.
Parameter
| Parametername | Parametertyp | Definition | Mögliche Werte | Kommentare |
|---|---|---|---|---|
| agent_id | {string} | ID des Kundenservicemitarbeiters | – | – |
| connector_id | {string} | Connector-Instanz-ID | – | – |
| logs_package | {dict} | ConnectorLogPackage | – | – |
add_attachment
add_attachment(file_path, case_id, alert_identifier, description=None, is_favorite=False)
Mit dieser Funktion wird der Fallwand ein Eintrag mit einer Dateianlage hinzugefügt, die dann vom Client auf den lokalen Computer des Nutzers heruntergeladen werden kann. Die Funktion macht im Grunde dasselbe wie das Hinzufügen von Beweismitteln (unten auf dem Bildschirm mit der Fallübersicht).
Parameter
| Parametername | Parametertyp | Definition | Mögliche Werte | Kommentare |
|---|---|---|---|---|
| file_path | {string} | Pfad für die Datei | Beliebiger zugänglicher Pfad | Ein Pfad kann auch ein entfernter Ort sein. Sie benötigen Leseberechtigungen für diese Datei |
| case_id | {string} | Fall-ID | Eine Fall-ID, um den Anhang dem entsprechenden Fall-Repository hinzuzufügen | Standardwert ist die aktuelle Anfrage |
| alert_identifier | {string} | Benachrichtigungs-ID | String mit der Benachrichtigungs-ID der Benachrichtigung, der Sie den Anhang zuordnen möchten | Standardmäßig wird die aktuelle Benachrichtigung angezeigt. |
| Beschreibung | {string} | Beschreibung des Anhangs | Beliebiger String | Standardmäßig keiner. Optionaler Parameter. |
| is_favorite | {boolean} | Anhang als Favorit | Wahr/falsch | False standardmäßig.Optionaler Parameter. |
Gibt Folgendes zurück:
{long} attachment_id
Beispiel
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
siemplify.add_attachment(r'C:/temp/investigation.txt', description='Deep investigation report by TIER3 team', is_favorite=True)
Verhalten bei Ergebnissen
In diesem Beispiel laden wir die Datei investigation.txt aus C:/temp auf dem lokalen Computer (dem Server selbst) in die Fallwand hoch. Dem Eintrag in der Fallübersicht wird ein Kommentar mit dem String in der Beschreibung hinzugefügt. Das Flag is_favorite wurde auf True gesetzt. Der neue Eintrag wird daher ebenfalls mit einem Sternchen markiert (als Favorit).
add_comment
add_comment(comment, case_id, alert_identifier)
Fügen Sie dem jeweiligen Fall einen neuen Kommentar hinzu.
Parameter
| Parametername | Parametertyp | Definition | Mögliche Werte | Kommentare |
|---|---|---|---|---|
| Kommentar | {string} | Kommentar, der einem Fall‑Repository hinzugefügt werden soll | „Die Ereignisse in dieser Benachrichtigung sehen verdächtig aus“ | Kommentare zum Fall |
| case_id | {string} | Fall-ID | 234 | – |
| alert_identifier | {string} | Benachrichtigungs-ID | ad6879f1-b72d-419f-990c-011a2526b16d | – |
Gibt Folgendes zurück:
NoneType
Beispiel
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
add_comment = "This alert is important"
alert_identifier = "ad6879f1-b72d-419f-990c-011a2526b16d"
case_id = "234"
siemplify.add_comment(comment, case_id, alert_identifier)
Verhalten bei Ergebnissen
Der angegebene Kommentar wird dem Fall 234 hinzugefügt.
Ergebniswert
Keine
add_entities_to_custom_list
add_entities_to_custom_list(custom_list_items)
Fügen Sie die benutzerdefinierte Liste mit den hinzugefügten Einheiten der benutzerdefinierten Liste hinzu.
Parameter
| Parametername | Parametertyp | Definition | Mögliche Werte | Kommentare |
|---|---|---|---|---|
| custom_list_items | {string} | Eine Liste mit benutzerdefinierten Listenelementen | – | – |
Gibt Folgendes zurück:
{[CustomList]} ist eine Liste mit dem hinzugefügten benutzerdefinierten Listenelement.
Verhalten bei Ergebnissen
Das Element wird einer benutzerdefinierten Listenkategorie hinzugefügt.
add_entity_insight
add_entity_insight(domain_entity_info, message, case_id, alert_id)
Fügen Sie einen Objekt-Insight hinzu.
Parameter
| Parametername | Parametertyp | Definition | Mögliche Werte | Kommentare |
|---|---|---|---|---|
| domain_entity_info | {string} | Entitäts-ID | „192.0.2.1“ | {DomainEntityInfo} |
| Nachricht | {string} | Insight-Mitteilung | Dies ist ein Beispiel-DNS | – |
| case_id | {string} | Fall-ID, die einem Entity-Insight hinzugefügt werden soll | 234 | – |
| alert_id | {string} | Benachrichtigungs-ID, die einem Entitäts-Insight hinzugefügt werden soll | ad6879f1-b72d-419f-990c-011a2526b16d | – |
Gibt Folgendes zurück:
{boolean} True, wenn erfolgreich
Beispiel
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
entity = "192.0.2.1"
alert_identifier = "ad6879f1-b72d-419f-990c-011a2526b16d"
case_id = "234"
siemplify.add_entity_insight(domain_entity_info=entity, message=message, case_id=case_id, alert_id=alert_identifier)
Verhalten bei Ergebnissen
Die angegebene Nachricht wird als Insight für die Entität 192.0.2.1 des angegebenen Warnungsbezeichners im Fall 234 hinzugefügt.
Ergebniswert
Richtig.
„False“, wenn der Insight nicht hinzugefügt wird.
add_entity_to_case
add_entity_to_case(case_id, alert_identifier, entity_identifier, entity_type, is_internal, is_suspicious, is_enriched, is_vulnerable, properties, environment)
Fügen Sie dem Fall eine Entität hinzu.
Parameter
| Parametername | Parametertyp | Definition | Mögliche Werte | Kommentare |
|---|---|---|---|---|
| case_id | {string} | Fall-ID | 234 | – |
| alert_identifier | {string} | Benachrichtigungs-ID | ad6879f1-b72d-419f-990c-011a2526b16d | – |
| entity_identifier | {string} | Entitäts-ID | 192.0.2.1, beispiel.de | – |
| entity_type | {string} | Entitätstyp der Entitäts-ID | „ADDRESS“ | – |
| is_internal | {boolean} | – | Wahr/falsch | – |
| is_suspicious | {boolean} | – | Wahr/falsch | |
| is_enriched | {boolean} | – | Wahr/falsch | Standardmäßig „false“ |
| is_vulnerable | {boolean} | – | Wahr/falsch | Standardmäßig „false“ |
| properties | {dict} | Attribut der Einheit | {"property":"value"} | – |
| Umgebung | {string} | Eine der definierten Umgebungen | Beispielumgebung | – |
Gibt Folgendes zurück:
NoneType
Beispiel
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
case_id = "234"
alert_identifier = "ad6879f1-b72d-419f-990c-011a2526b16d"
entity = "192.0.2.1"
entity_type = "ADDRESS"
properties = {"property": "value"}
siemplify.add_entity_to_case(case_id=case_id,
alert_identifier = alert_identifier,
entity_identifier = entity,
entity_type = entity_type,
is_internal = True,
is_suspicious = False,
is_enriched = False,
is_vulnerable = False,
properties = properties,
environment=None)
Verhalten bei Ergebnissen
Die Einheit mit den bereitgestellten Informationen wird der angegebenen Benachrichtigung im Fall 234 hinzugefügt.
Ergebniswert
Keine
add_or_update_case_task
add_or_update_case_task(task)
Aufgabe hinzufügen oder aktualisieren: Aktualisieren, wenn eine Aufgaben-ID vorhanden ist, andernfalls hinzufügen (erstellen).
Parameter
| Parametername | Parametertyp | Definition | Mögliche Werte | Kommentare |
|---|---|---|---|---|
| task | {Task} | Das Aufgabenobjekt, das dem Fall hinzugefügt oder aktualisiert werden soll | – | – |
Gibt Folgendes zurück:
{int}: Die ID der neuen oder aktualisierten Aufgabe.
add_tag
add_tag(tag, case_id, alert_identifier)
Fügt einem bestimmten Fall ein neues Tag hinzu.
Parameter
| Parametername | Parametertyp | Definition | Mögliche Werte | Kommentare |
|---|---|---|---|---|
| Tag | {string} | Hinzuzufügendes Tag | – | – |
| case_id | {string} | Fall-ID | 234 | – |
| alert_identifier | {string} | Benachrichtigungs-ID | ad6879f1-b72d-419f-990c-011a2526b16d | – |
any_entity_in_custom_list
any_entity_in_custom_list(custom_list_items)
Prüfen Sie, ob es in der angegebenen Liste eine Entität gibt, die einen benutzerdefinierten Listeneintrag mit der angegebenen Kategorie hat.
Parameter
| Parametername | Parametertyp | Definition | Mögliche Werte | Kommentare |
|---|---|---|---|---|
| custom_list_items | {[CustomList]} | Eine Liste mit benutzerdefinierten Listenelementen, nach denen nach Entitäten gesucht werden soll | – | – |
Gibt Folgendes zurück:
{boolean} True, wenn eine Entität gefunden wurde, andernfalls False.
Ergebniswert
True oder False
assign_case
assign_case(user, case_id, alert_identifier)
Mit dieser Funktion wird der aktuelle Fall dem Nutzer zugewiesen.
Parameter
| Parametername | Parametertyp | Definition | Mögliche Werte | Kommentare |
|---|---|---|---|---|
| Nutzer | {string} | Nutzer/Rolle | Administrator, @Tier1 | – |
| case_id | {string} | Fall-ID zum Zuweisen des Nutzers | 234 | – |
| alert_identifier | {string} | Benachrichtigungs-ID zum Zuweisen des Nutzers | ad6879f1-b72d-419f-990c-011a2526b16d | Dieser Wert wird während der Laufzeit der Aktion abgerufen. |
Gibt Folgendes zurück:
NoneType
Verhalten bei Ergebnissen
Der Fall wird dem angegebenen Nutzer zugewiesen.
Ergebniswert
Keine
attach_workflow_to_case
attach_workflow_to_case(workflow_name, cyber_case_id, indicator_identifier)
Hängen Sie ein Playbook an den Fall an.
Parameter
| Parametername | Parametertyp | Definition | Mögliche Werte | Kommentare |
|---|---|---|---|---|
| workflow_name | {string} | Workflowname | – | – |
| cyber_case_id | {string} | Fall-ID | 234 | – |
| indicator_identifier | {string} | Benachrichtigungs-ID | ad6879f1-b72d-419f-990c-011a2526b16d | – |
Gibt Folgendes zurück:
{string} Statuscode des Servervorgangs
Beispiel
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
alert_identifier = "ad6879f1-b72d-419f-990c-011a2526b16d"
case_id = "234"
workflow_name = "Workflow 234"
siemplify.attach_workflow_to_case(workflow_name=workflow_name, cyber_case_id=case_id, indicator_identifier=alert_identifier)
Verhalten bei Ergebnissen
Workflow 234 wird an Fall 234 angehängt.
Ergebniswert
Keine
batch_update_case_id_matches
batch_update_case_id_matches(case_id_matches)
Batch-Update von Kundenservicetickets mit den entsprechenden externen Kundenserviceticket-IDs.
Parameter
| Parametername | Parametertyp | Definition | Mögliche Werte | Kommentare |
|---|---|---|---|---|
| case_id_matches | {list} | Liste der SyncCaseIdMatch-Objekte |
Gibt Folgendes zurück:
{list} Liste der Fall-IDs, die aktualisiert wurden.
change_case_priority
change_case_priority(priority, case_id, alert_identifier)
Fallpriorität ändern
Parameter
| Parametername | Parametertyp | Definition | Mögliche Werte | Kommentare |
|---|---|---|---|---|
| Priorität | {int} | Zu ändernde Fallpriorität | 40/60/80/100 | Siehe ApiSyncCasePriorityEnum. Die Prioritätszuordnung: {"Low": 40, "Medium": 60, "High": 80, "Critical": 100} |
| case_id | {string} | Fall-ID | 234 | – |
| alert_identifier | {string} | Benachrichtigungs-ID | ad6879f1-b72d-419f-990c-011a2526b16d | – |
Gibt Folgendes zurück:
NoneType
Beispiel
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
priority = 40
alert_identifier = "ad6879f1-b72d-419f-990c-011a2526b16d"
case_id = "234"
siemplify.change_case_priority(priority=priority, case_id=case_id, alert_identifier=alert_identifier)
Verhalten bei Ergebnissen
Die Priorität des Falls 234 wird in 40 geändert, was „niedrig“ entspricht.
Ergebniswert
Keine
change_case_stage
change_case_stage(stage, case_id, alert_identifier)
Fallphase ändern
Parameter
| Parametername | Parametertyp | Definition | Mögliche Werte | Kommentare |
|---|---|---|---|---|
| Phase | {string} | Die aktuelle Phase des Falls. | Vorfall | – |
| case_id | {string} | Fall-ID | – | – |
| alert_identifier | {string} | Benachrichtigungs-ID | ad6879f1-b72d-419f-990c-011a2526b16d | – |
check_marketplace_status
check_marketplace_status()
Marktplatzstatus prüfen
Wenn kein Fehler auftritt, gibt die Funktion none zurück. Andernfalls wird eine Ausnahme zurückgegeben.
Parameter
–
Gibt Folgendes zurück:
Keine
close_alert
close_alert(root_cause, comment, reason, case_id, alert_id)
Diese Funktion schließt die aktuelle Benachrichtigung. Das ist dasselbe, als würden Sie die Benachrichtigung manuell über die Fallübersicht schließen. Für die Funktion sind der Grund für das Schließen, eine Hauptursache und ein Kommentar erforderlich, genau wie für die Benachrichtigung zum Schließen des Falls.
Wenn Sie eine Benachrichtigung schließen, wird der neue Fall mit nur einer Benachrichtigung geschlossen.
Parameter
| Parametername | Parametertyp | Definition | Mögliche Werte | Kommentare |
|---|---|---|---|---|
| root_cause | {string} | Ursache für Schließen des Falls | – | – |
| Kommentar | {string} | Einen Kommentar | – | – |
| reason | {ApiSyncAlertCloseReasonEnum} | – | – | Weitere Informationen finden Sie unter SiemplifyDataModel.ApiSyncAlertCloseReasonEnum. |
| case_id | {string} | Fall-ID, in der sich die Benachrichtigung befindet | 234 | – |
| alert_id | {string} | Benachrichtigungs-ID zum Schließen | ad6879f1-b72d-419f-990c-011a2526b16d | – |
Gibt Folgendes zurück:
{dict} Ergebnis des Servervorgangs
close_case
close_case(root_cause, comment, reason, case_id, alert_identifier)
Fall schließen
Parameter
| Parametername | Parametertyp | Definition | Mögliche Werte | Kommentare |
|---|---|---|---|---|
| root_cause | {string} | Die Ursache für das Schließen eines Falls | – | – |
| Kommentar | {string} | Einen Kommentar | – | – |
| reason | {ApiSyncAlertCloseReasonEnum} | Grund für Schließen des Falls | Weitere Informationen finden Sie unter SiemplifyDataModel.ApiSyncAlertCloseReasonEnum. | |
| case_id | {string} | Fall-ID | 234 | – |
| alert_id | {string} | Benachrichtigungs-ID | ad6879f1-b72d-419f-990c-011a2526b16d | – |
create_case
create_case(case_info)
Mit dieser Funktion wird ein Fall mit den Benachrichtigungen und Ereignissen erstellt, die im case_info-Dictionary enthalten sind.
Parameter
| Parametername | Parametertyp | Definition | Mögliche Werte | Kommentare |
|---|---|---|---|---|
| case_info | {CaseInfo} | Fallinformationsobjekt | – | SiemplifyConnectorsDataModel.CaseInfo ansehen |
Gibt Folgendes zurück:
NoneType
Verhalten bei Ergebnissen
Der Fall mit den angegebenen Falldaten wird erstellt.
Ergebniswert
Keine
create_case_insight_internal
create_case_insight_internal(case_id, alert_identifier, triggered_by, title, content, entity_identifier, severity, insight_type, additional_data=None, additional_data_type=None, additional_data_title=None, original_requesting_user=None, entity_type=None)
Fügen Sie ein Insight hinzu.
Parameter
| Parametername | Parametertyp | Definition | Mögliche Werte | Kommentare |
|---|---|---|---|---|
| case_id | {string} | Fall-ID | 234 | – |
| alert_identifier | {string} | Benachrichtigungs-ID | ad6879f1-b72d-419f-990c-011a2526b16d | – |
| triggered_by | {string} | Name der Integration | – | – |
| Titel | {string} | Titel der Statistik | – | – |
| content | {string} | Insight-Mitteilung | – | – |
| entity_identifier | {string} | Entitäts-ID | – | – |
| die Ausprägung | {int} | Schweregrad-Kennung | 0 = Info, 1 = Warnung, 2 = Fehler |
– |
| insight_type | {int} | Statistiktyp | 0 = allgemein, 1 = Entität |
– |
| additional_data | – | – | – | – |
| additional_data_type | – | – | – | – |
| additional_data_title | – | – | – | – |
| original_requesting_user | – | – | – | – |
| entity_type | {string} | Entitätstyp | „ADDRESS“ | – |
Gibt Folgendes zurück:
{boolean} True bei Erfolg.
create_connector_package
create_connector_package(connector_package)
Erstellen Sie ein Connector-Paket im System.
Parameter
| Parametername | Parametertyp | Definition | Mögliche Werte | Kommentare |
|---|---|---|---|---|
| connector_package | {string} | Connector-Paket als JSON | – | – |
dismiss_alert
dismiss_alert(alert_group_identifier, should_close_case_if_all_alerts_were_dismissed, case_id)
Ende
end(message, result_value, execution_state=0)
Beenden Sie das Skript.
Nach der Ausführung der Funktion end() wird kein anderer Code ausgeführt.
Parameter
| Parametername | Parametertyp | Definition | Mögliche Werte | Kommentare |
|---|---|---|---|---|
| Nachricht | {string} | Ausgabemeldung, die dem Kunden angezeigt werden soll | Aktion abgeschlossen | – |
| result_value | {int/string/dict} | Rückgabewert | – | – |
| execution_state | {int} | Anzeige für den Status der aktuellen Aktion. Wird hauptsächlich in asynchronen Aktionen verwendet, um anzugeben, ob die Aktion abgeschlossen ist oder nicht. | 0 (EXECUTION_STATE_COMPLETED), 1 (EXECUTION_STATE_INPROGRESS), 2 (EXECUTION_STATE_FAILED), 3 (EXECUTION_STATE_TIMEDOUT) |
Der Standardwert ist 0. |
Gibt Folgendes zurück:
Rückgabe der Ergebnisdaten an den Hostprozess.
end_script
end_script()
escalate_case
escalate_case(comment, case_id, alert_identifier)
Einen Fall eskalieren
Parameter
| Parametername | Parametertyp | Definition | Mögliche Werte | Kommentare |
|---|---|---|---|---|
| Kommentar | {string} | Kommentar eskalieren | – | – |
| case_id | {string} | Fall-ID | 234 | – |
| alert_identifier | {string} | Benachrichtigungs-ID | ad6879f1-b72d-419f-990c-011a2526b16d | – |
extract_configuration_param
extract_configuration_param(provider_name, param_name, default_value=None, input_type=<class 'str'>, is_mandatory=False, print_value=False)
Konfigurationsparameter aus der Integrationsinstanz abrufen.
Parameter
| Parametername | Parametertyp | Definition | Mögliche Werte | Kommentare |
|---|---|---|---|---|
| provider_name | {string} | Name der Integration | – | – |
| param_name | {string} | Name des Parameters | – | – |
| default_value | {any} | Wenn der Parameter nicht übergeben wird, verwenden Sie diesen Wert standardmäßig. | – | Standardmäßig keines (optional) |
| input_type | {obj} | Parameter in einen anderen Typ umwandeln | – | Beispiel: int. str (optional) |
| is_mandatory | {bool} | Ausnahme auslösen, wenn der Parameter leer ist | – | Standardmäßig False (optional) |
| print_value | {bool} | Wert im Log ausgeben | – | Standardmäßig False (optional) |
Gibt Folgendes zurück:
Der Parameterwert (standardmäßig ein String), sofern input_type nicht angegeben ist.
static generate_serialized_object
generate_serialized_object(object_filter)
get_agent_by_id
get_agent_by_id(agent_id)
Ruft die Agentendetails anhand der ID ab.
Parameter
| Parametername | Parametertyp | Definition | Mögliche Werte | Kommentare |
|---|---|---|---|---|
| agent_id | {str} | Die ID des Kundenservicemitarbeiters | – | – |
Gibt Folgendes zurück:
{dict} Die Publisher-Details
get_alerts_ticket_ids_from_cases_closed_since_timestamp
get_alerts_ticket_ids_from_cases_closed_since_timestamp(timestamp_unix_ms, rule_generator)
Benachrichtigungen zu Fällen erhalten, die seit dem Zeitstempel geschlossen wurden.
Parameter
| Parametername | Parametertyp | Definition | Mögliche Werte | Kommentare |
|---|---|---|---|---|
| timestamp_unix_ms | {long} | Zeitstempel | 1550409785000L | – |
| rule_generator | {string} | – | „Phishing-E‑Mail-Erkennung“ | – |
Gibt Folgendes zurück:
{list}-Benachrichtigungen
get_attachment
get_attachment(attachment_id)
Anhangdaten anhand der Kennung abrufen.
Parameter
| Parametername | Parametertyp | Definition | Mögliche Werte | Kommentare |
|---|---|---|---|---|
| attachment_id | {string} | Anhangs-ID | – | – |
Gibt Folgendes zurück:
{BytesIO}-Anhangsdaten
get_attachments
get_attachments(case_id)
Anhänge aus dem Fall abrufen
Parameter
| Parametername | Parametertyp | Definition | Mögliche Werte | Kommentare |
|---|---|---|---|---|
| case_id | {string} | Fall-ID | 234 | – |
Gibt Folgendes zurück:
{dict} Anhänge
Ergebniswert
[{"is_favorite": False, "description": "", "type": ".txt", "id": 1, "name":
"test.py"}]
get_case_by_id
get_case_by_id(case_id)
Rufen Sie einen Fall anhand seiner Fall-ID ab.
Diese Funktion interagiert mit dem folgenden Endpunkt:
external/v1/sdk/CaseFullDetails
Parameter
| Parametername | Parametertyp | Definition | Mögliche Werte | Kommentare |
|---|---|---|---|---|
| case_id | {[string]} | Fall-ID | – | – |
Gibt Folgendes zurück:
{dict} Falldaten.
get_case_closure_details
get_case_closure_details(case_id_list)
Details zum Schließen von Anfragen abrufen
Parameter
| Parametername | Parametertyp | Definition | Mögliche Werte | Kommentare |
|---|---|---|---|---|
| case_id_list | {[string]} | Liste der Fall-IDs | – | – |
Gibt Folgendes zurück:
{[dict]} Liste mit Dictionaries, die Details zum Schließen des Falls enthalten.
Ergebniswert
[{'case_closed_action_type': 1, 'reason': NotMalicious', 'root_cause':
'Other'}]
Für den Parameter case_closed_action_type sind die folgenden Werte möglich:
- 0 = Automatisch
- 1 = Manuell
get_case_comments
get_case_comments(case_id)
Diese Funktion ruft die Kommentare aus dem angegebenen Fall ab.
Parameter
| Parametername | Parametertyp | Definition | Mögliche Werte | Kommentare |
|---|---|---|---|---|
| case_id | {string} | Fall-ID | 234 | – |
Gibt Folgendes zurück:
Liste
Beispiel
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
siemplify.get_case_comments(case_id)
Verhalten bei Ergebnissen
Alle Kommentare, die zum Fall gehören, werden abgerufen.
Ergebniswert
[
{
u 'comment': u 'Test',
u 'case_id': 10085,
u 'is_favorite': False,
u 'alert_identifier': None,
u 'creator_user_id': u 'Admin',
u 'type': 5,
u 'id': 1,
u 'modification_time_unix_time_in_ms': 1563272078332L
}, {
u 'comment': u 'jhfksdh',
u 'case_id': 10085,
u 'is_favorite': False,
u 'alert_identifier': None,
u 'creator_user_id': u 'Admin',
u 'type': 5,
u 'id': 2,
u 'modification_time_unix_time_in_ms': 1563272079941L
}, {
u 'comment': u 'kjfhsdm',
u 'case_id': 10085,
u 'is_favorite': False,
u 'alert_identifier': None,
u 'creator_user_id': u 'Admin',
u 'type': 5,
u 'id': 3,
u 'modification_time_unix_time_in_ms': 1563272080598L
}
]
get_case_tasks
get_case_tasks(case_id)
Alle Aufgaben nach Fall-ID abrufen
Parameter
| Parametername | Parametertyp | Definition | Mögliche Werte | Kommentare |
|---|---|---|---|---|
| case_id | {int/str} | Fall-ID | 234 | Die Funktion kann entweder „int“ oder „str“ empfangen. |
Gibt Folgendes zurück:
{[Task]} die Liste der Aufgabenobjekte, die zum Fall gehören.
Weitere Informationen finden Sie unter SiemplifyDataModel.Task.
get_cases_by_filter
get_cases_by_filter(environments=None, analysts=None, statuses=None, case_names=None, tags=None, priorities=None, stages=None, case_types=None, products=None, networks=None, ticked_ids_free_search='', case_ids_free_search='', wall_data_free_search='', entities_free_search='', start_time_unix_time_in_ms=-1, end_time_unix_time_in_ms=-1)
Ruft Fälle anhand der angeforderten Filter ab.
*caseFilterValue* object - { 'Title':'Merged Case', 'Value': 'Merged', 'Title':'Involved Suspicious Entity', 'Value': 'InvolvedSuspiciousEntity', 'Title':'Manual', 'Value': 'Manual', 'Title':'Simulated Alerts', 'Value': 'Simulated',}
Parameter
| Parametername | Parametertyp | Definition | Mögliche Werte | Kommentare |
|---|---|---|---|---|
| environments | {[string]} | Liste der Umgebungsnamen (environment) | – | Wenn keine Umgebungen angegeben sind, wird None verwendet (optional). |
| Analysten | {[string]} | Liste der Namen der Analysten (dem Fall zugewiesener Nutzer/Rolle), | – | Wenn kein Analyst angegeben ist, wird None verwendet (optional). |
| Status | {[int]} | Liste der Status, nach denen gefiltert werden soll | – | Weitere Informationen finden Sie unter ApiSyncCaseStatusEnum. Wenn keine Status angegeben sind, wird None verwendet (optional). |
| case_names | {[string]} | Liste der Fallnamen | – | Wenn keine case_names angegeben sind, wird None verwendet (optional). |
| Tags | {[string]} | Liste der Fall-Tags | – | Wenn keine Tags angegeben sind, wird None verwendet (optional). |
| Prioritäten | {[int]} | Liste der Prioritäten | Weitere Informationen finden Sie unter ApiSyncAlertPriorityEnum. Wenn keine Prioritäten angegeben sind, wird None verwendet (optional). |
|
| Phasen | {list} | Liste der Phasen (caseFilterValue-Objekt) | – | Wenn keine Phasen angegeben sind, wird None verwendet (optional). |
| case_types | {list} | Liste der Objekttypen (caseFilterValue-Objekt) | – | Gültige Werte für
Wenn keine |
| Produkte | {list} | Liste der Produkte (caseFilterValue-Objekt) | – | Wenn keine Produkte angegeben sind, wird None verwendet (optional). |
| Netzwerke | {list} | Liste der Netzwerke (caseFilterValue-Objekt) | – | Wenn keine Netzwerke angegeben sind, wird None verwendet (optional). |
| ticked_ids_free_search | {string} | Ticket-ID | – | Wenn nicht angegeben, ist der Standardwert „“ (optional). |
| case_ids_free_search | {string} | Fall-ID | – | Wenn nicht angegeben, ist der Standardwert „“ (optional). |
| wall_data_free_search | {string} | Zu durchsuchender String | – | Wenn nicht angegeben, ist der Standardwert „“ (optional). |
| entities_free_search | {string} | Entitäts-ID | – | Wenn nicht angegeben, ist der Standardwert „“ (optional). |
| start_time_unix_time_in_ms | {long} | – | – | Standardwert –1 (optional) |
| end_time_unix_time_in_ms | {long} | – | – | Standardwert –1 (optional) |
Gibt Folgendes zurück:
Case_ids ''
get_cases_by_ticket_id
get_cases_by_ticket_id(ticket_id)
Einen Fall anhand der Ticket-ID abrufen
Parameter
| Parametername | Parametertyp | Definition | Mögliche Werte | Kommentare |
|---|---|---|---|---|
| ticket_id | {string} | Ticket-ID | – | – |
Gibt Folgendes zurück:
{[int]} Liste der Fall-IDs.
get_cases_ids_by_filter
get_cases_ids_by_filter(status, start_time_from_unix_time_in_ms=None, start_time_to_unix_time_in_ms=None, close_time_from_unix_time_in_ms=None, close_time_to_unix_time_in_ms=None, update_time_from_unix_time_in_ms=None, update_time_to_unix_time_in_ms=None, operator=None, sort_by='START_TIME', sort_order='DESC', max_results=1000)
Fall-IDs nach Filter abrufen
Parameter
| Parametername | Parametertyp | Definition | Mögliche Werte | Kommentare |
|---|---|---|---|---|
| Status | {str} | Abzurufender Fallstatus | 'OPEN', 'CLOSE', 'BOTH' | – |
| start_time_from_unix_time_in_ms | {int} | Beginn des Zeitbereichs für den Fallbeginn (einschließlich) | – | Standardmäßig 30 Tage vor dem Ereignis (optional) |
| start_time_to_unix_time_in_ms | {int} | Ende des Zeitbereichs für den Fallbeginn (einschließlich) | – | Standardwert ist die aktuelle Uhrzeit (optional) |
| close_time_from_unix_time_in_ms | {int} | Inklusiver Startbereich für die Schließungszeit des Falls | – | Standardmäßig 30 Tage vor dem Ereignis (optional) |
| close_time_to_unix_time_in_ms | {int} | Ende des Zeitbereichs für das Schließen von Fällen (einschließlich). | – | Standardwert ist die aktuelle Uhrzeit (optional) |
| update_time_from_unix_time_in_ms | {int} | Inklusiver Startbereich für den Änderungszeitpunkt des Falls | – | Standardmäßig ist die Startzeit festgelegt (optional). |
| update_time_to_unix_time_in_ms | {int} | Ende des Zeitbereichs für die Änderungszeit des Falls (einschließlich) | – | Standardwert ist die aktuelle Uhrzeit (optional) |
| Operator | {str} | Operator für Zeitfilter | ODER, UND | Optional |
| sort_by | {str} | Ergebnisse nach Zeit sortieren | START_TIME, UPDATE_TIME, CLOSE_TIME | Optional |
| sort_order | {str} | Sortierreihenfolge | ASC, DESC | Standardwert ist absteigende Reihenfolge (optional) |
| max_results | {int} | Maximale Anzahl zurückzugebender Ergebnisse | – | Der Standardwert ist 1.000 und der Höchstwert 10.000 (optional). |
get_configuration
get_configuration(provider, environment, integration_instance)
Integrationskonfiguration abrufen.
Parameter
| Parametername | Parametertyp | Definition | Mögliche Werte | Kommentare |
|---|---|---|---|---|
| Anbieter | {string} | Name der Integration | „VirusTotal“ | – |
| Umgebung | {string} | Konfiguration für eine bestimmte Umgebung oder „all“ | – | – |
| integration_instance | {string} | Kennung der Integrationsinstanz | – | – |
Gibt Folgendes zurück:
{dict}-Konfigurationsdetails.
get_configuration_by_provider
get_configuration_by_provider(identifier)
Integrationskonfiguration abrufen.
Parameter
| Parametername | Parametertyp | Definition | Mögliche Werte | Kommentare |
|---|---|---|---|---|
| Anbieter | {string} | Name der Integration | „VirusTotal“ | – |
Gibt Folgendes zurück:
{dict} Konfigurationsdetails
get_existing_custom_list_categories
get_existing_custom_list_categories()
Alle vorhandenen benutzerdefinierten Listenkategorien abrufen.
Diese Funktion gibt ein Listenobjekt aller Kategorien in den CustomList-Einstellungen unabhängig von den Umgebungen zurück.
Parameter
–
Gibt Folgendes zurück:
{[unicode]} Liste vom Typ „Unicode“ mit vorhandenen Kategorien.
Beispiel
from SiemplifyAction import SiemplifyAction siemplify = SiemplifyAction() result = siemplify.get_existing_custom_list_categories()
Verhalten bei Ergebnissen
Es wird eine Liste aller vorhandenen benutzerdefinierten Listen zurückgegeben.
Ergebniswert
["DenyListed IPs", "AllowListed HOSTs"]
get_external_configuration
get_external_configuration(config_provider, config_name)
Konfiguration der externen Integration abrufen.
Parameter
| Parametername | Parametertyp | Definition | Mögliche Werte | Kommentare |
|---|---|---|---|---|
| config_provider | {string} | – | – | – |
| config_name | {string} | – | – | – |
get_integration_version
get_integration_version(integration_identifier)
Integrationsversion abrufen
Parameter
| Parametername | Parametertyp | Definition | Mögliche Werte | Kommentare |
|---|---|---|---|---|
| integration_identifier | {string} | Integrations-ID | – | – |
Gibt Folgendes zurück:
Integrationsversion {float}
get_publisher_by_id
get_publisher_by_id(publisher_id)
Publisher-Details nach ID abrufen.
Parameter
| Parametername | Parametertyp | Definition | Mögliche Werte | Kommentare |
|---|---|---|---|---|
| publisher_id | {string} | Die ID des Publishers | – | – |
Gibt Folgendes zurück:
{dict} Die Publisher-Details
get_remote_connector_keys_map
get_remote_connector_keys_map(publisher_id)
Verschlüsselungsschlüssel für Remote-Connectors nach Publisher-ID abrufen.
Parameter
| Parametername | Parametertyp | Definition | Mögliche Werte | Kommentare |
|---|---|---|---|---|
| publisher_id | {string} | Die ID des Publishers | – | – |
Gibt Folgendes zurück:
{dict} Die Schlüsselzuordnung
get_similar_cases
get_similar_cases(case_id, ports_filter, category_outcome_filter, rule_generator_filter, entity_identifiers_filter, start_time_unix_ms, end_time_unix_ms)
Ähnliche Anfragen ansehen
Parameter
| Parametername | Parametertyp | Definition | Mögliche Werte | Kommentare |
|---|---|---|---|---|
| case_id | {string} | Fall-ID | 234 | – |
| ports_filter | {boolean} | Wahr/Falsch-Filter für die Verwendung von Ports | Wahr/falsch | – |
| category_outcome_filter | {boolean} | „Wahr“/„Falsch“ – Filter „category_outcome“ verwenden | Wahr/falsch | – |
| rule_generator_filter | {boolean} | „True“/„False“-Regelgeneratorfilter verwenden | Wahr/falsch | – |
| entity_identifiers_filter | {boolean} | „True“/„False“ mit dem Filter „entity_identifiers“ verwenden | Wahr/falsch | – |
| start_time_unix_ms | – | – | – | – |
| end_time_unix_ms | – | – | – | – |
Gibt Folgendes zurück:
{dict}
get_sync_alerts
get_sync_alerts(alert_group_ids)
Rufen Sie Informationen zu Benachrichtigungen ab, die für die Systemsynchronisierung erforderlich sind.
Parameter
| Parametername | Parametertyp | Definition | Mögliche Werte | Kommentare |
|---|---|---|---|---|
| alert_group_ids | {list} | Eine Liste der abzurufenden Warnmeldungs-Gruppen-IDs | – | – |
Gibt Folgendes zurück:
{[SyncAlert]} Liste der SyncAlert-Objekte.
get_sync_cases
get_sync_cases(case_ids)
Rufen Sie die für die Systemsynchronisierung erforderlichen Fallinformationen ab.
Parameter
| Parametername | Parametertyp | Definition | Mögliche Werte | Kommentare |
|---|---|---|---|---|
| case_ids | {list} | Eine Liste der abzurufenden Fall-IDs | – | – |
Gibt Folgendes zurück:
{[SyncCase]} Eine Liste mit SyncCase-Objekten.
get_system_info
get_system_info(start_time_unixtime_ms)
get_system_version
get_system_version()
Rufen Sie die aktuelle Version von Google Security Operations SOAR ab.
Parameter
–
Gibt Folgendes zurück:
{string} aktuelle Google Security Operations SOAR-Version
get_temp_folder_path
get_temp_folder_path()
Ruft den Pfad zum temporären Ordner ab.
Parameter
–
Gibt Folgendes zurück:
{string} Pfad zum temporären Ordner
get_ticket_ids_for_alerts_dismissed_since_timestamp
get_ticket_ids_for_alerts_dismissed_since_timestamp(timestamp_unix_ms)
get_updated_sync_alerts_metadata
get_updated_sync_alerts_metadata(start_timestamp_unix_ms, count, allowed_environments=None, vendor=None)
Aktualisierte Metadaten für verfolgte Benachrichtigungen abrufen.
Parameter
| Parametername | Parametertyp | Definition | Mögliche Werte | Kommentare |
|---|---|---|---|---|
| start_timestamp_unix_ms | {long} | Suche nach aktualisierten Benachrichtigungen ab dem start_timestamp_unix_ms oder später |
– | Wenn end_timestamp_unix_ms None ist,ist die Endzeit der Zeitpunkt der Anfrage. |
| Anzahl | {int} | Maximale Anzahl der abzurufenden Benachrichtigungsgruppen-IDs | – | – |
| allowed_environments | {[string]} | Zu durchsuchende Umgebungen | – | Wenn allowed_environments „None“ ist,wird in allen Umgebungen gesucht. |
| vendor | {string} | Benachrichtigungen nach Anbieter filtern | – | – |
Gibt Folgendes zurück:
{[SyncAlertMetadata]} Liste mit SyncAlertMetadata-Objekten, sortiert nach SyncAlertMetadata.tracking_time.
get_updated_sync_cases_metadata
get_updated_sync_cases_metadata(start_timestamp_unix_ms, count, allowed_environments=None, vendor=None)
Aktualisierte Metadaten für verfolgte Fälle abrufen.
Parameter
| Parametername | Parametertyp | Definition | Mögliche Werte | Kommentare |
|---|---|---|---|---|
| start_timestamp_unix_ms | {long} | Nach aktualisierten Anfragen suchen, die am start_timestamp_unix_ms oder später erstellt wurden |
– | Wenn end_timestamp_unix_ms „None“ ist,ist die Endzeit die Zeit der Anfrage. |
| Anzahl | {int} | Maximale Anzahl der abzurufenden Fall-IDs | – | – |
| allowed_environments | {[string]} | Zu durchsuchende Umgebungen | – | Wenn allowed_environments „None“ ist,wird in allen Umgebungen gesucht. |
| vendor | {string} | Nur Fälle mit Benachrichtigungen zurückgeben, die in vendor ausgelöst wurden |
– | – |
Gibt Folgendes zurück:
{[SyncCaseMetadata]} Liste mit SyncCaseMetadata-Objekten, sortiert nach SyncCaseMetadata.tracking_time.
init_proxy_settings
init_proxy_settings()
Parameter
–
is_existing_category
is_existing_category(category)
Prüft, ob die angegebene Kategorie vorhanden ist.
Bei einem bestimmten Kategorienamen gibt diese Funktion True (boolescher Wert) zurück, wenn der String Kategoriename als Kategorie in den CustomList-Einstellungen definiert ist.
Diese Funktion ignoriert die Umgebung und gibt True zurück, wenn das Element vorhanden ist. Andernfalls wird False zurückgegeben.
Parameter
| Parametername | Parametertyp | Definition | Mögliche Werte | Kommentare |
|---|---|---|---|---|
| Kategorie | {string} | Die Kategorie, deren Existenz geprüft werden soll | „DenyListed IPs“ | – |
Gibt Folgendes zurück:
{bool} „True“, wenn die Kategorie vorhanden ist, andernfalls „False“.
Beispiel 1
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
result = siemplify.is_existing_category("WhiteListed HOSTs")
Beispiel 2
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
result = siemplify.is_existing_category("SpecialHosts")
Verhalten bei Ergebnissen
Das Ergebnis in Beispielcode 1 ist True und das Ergebnis in Beispielcode 2 ist False.
Ergebniswert
True oder False
mark_case_as_important
mark_case_as_important(case_id, alert_identifier)
Mit dieser Funktion wird der aktuelle Fall mit der angegebenen Benachrichtigungskennung als wichtig markiert.
Parameter
| Parametername | Parametertyp | Definition | Mögliche Werte | Kommentare |
|---|---|---|---|---|
| case_id | {string} | Fall-ID | 234 | – |
| alert_identifier | {string} | Benachrichtigungs-ID | ad6879f1-b72d-419f-990c-011a2526b16d | – |
Gibt Folgendes zurück:
NoneType
Beispiel
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
alert_identifier = "ad6879f1-b72d-419f-990c-011a2526b16d"
case_id = "234"
siemplify.mark_case_as_important(case_id=case_id, alert_identifier=alert_identifier)
Verhalten bei Ergebnissen
Der Fall mit der angegebenen Warnungs-ID ist als wichtig markiert.
Ergebniswert
Keine
raise_incident
raise_incident(case_id, alert_identifier)
Diese Funktion eskaliert den aktuellen Fall mit der Benachrichtigungs-ID als Vorfall.
Parameter
| Parametername | Parametertyp | Definition | Mögliche Werte | Kommentare |
|---|---|---|---|---|
| case_id | {string} | Fall-ID | 234 | – |
| alert_identifier | {string} | Benachrichtigungs-ID | ad6879f1-b72d-419f-990c-011a2526b16d | – |
Gibt Folgendes zurück:
NoneType
Beispiel
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
alert_identifier = "ad6879f1-b72d-419f-990c-011a2526b16d"
case_id = "234"
siemplify.raise_incident(case_id=case_id, alert_identifier=alert_identifier)
Verhalten bei Ergebnissen
Der Fall 234 wird als Vorfall gemeldet.
Ergebniswert
Keine
remove_entities_from_custom_list
remove_entities_from_custom_list(custom_list_items)
Entfernen Sie die Entitäten aus der benutzerdefinierten Liste mit der angegebenen Kategorie.
Parameter
| Parametername | Parametertyp | Definition | Mögliche Werte | Kommentare |
|---|---|---|---|---|
| custom_list_items | {[CustomList]} | Eine Liste mit benutzerdefinierten Listenelementen | – | – |
Gibt Folgendes zurück:
{[CustomList]} Liste der entfernten CustomList-Objekte.
remove_temp_folder
remove_temp_folder()
Löscht den temporären Ordner und seine Unterordner.
Parameter
–
Property-Ergebnis
send_system_notification
send_system_notification(message, message_id='SDK_CUSTOM_NOTIFICATION')
Systembenachrichtigung mit optionaler Nachrichten-ID senden.
Parameter
| Parametername | Parametertyp | Definition | Mögliche Werte | Kommentare |
|---|---|---|---|---|
| Nachricht | {string} | Benachrichtigungstext | – | – |
| message_id | {string} | ID der Benachrichtigung | – | – |
send_system_notification_message
send_system_notification_message(message, message_id)
Beispiel
Verhalten bei Ergebnissen
Ergebniswert
set_alert_sla
set_alert_sla(period_time, period_type, critical_period_time, critical_period_type, case_id, alert_identifier)
Legt das SLA für die angegebene alert_identifier von case_id fest. Die mit dieser API festgelegte SLA sollte alle anderen SLA-Typen für Benachrichtigungen übertreffen.
Parameter
| Parametername | Parametertyp | Definition | Mögliche Werte | Kommentare |
|---|---|---|---|---|
| period_time | {int/str} | Stellt den gesamten SLA-Zeitraum dar. | – | period_time > 0 |
| period_type | {str} | Zeiteinheiten von „period_time“, dargestellt durch ApiPeriodTypeEnum |
– | – |
| critical_period_time | {int/str} | Stellt den kritischen SLA-Zeitraum dar. | – | critical_period_time >= 0 Der kritische Zeitraum (nach der Skalierung mit den zugehörigen Zeiteinheiten) sollte kürzer als der Gesamtzeitraum sein. |
| critical_period_type | {str} | Zeiteinheiten von „critical_period_time“, dargestellt durch ApiPeriodTypeEnum |
– | – |
| case_id | {long} | Fall-ID | – | – |
| alert_identifier | {str} | Benachrichtigungs-ID | – | – |
set_case_sla
set_case_sla(period_time, period_type, critical_period_time, critical_period_type, case_id)
Legt das SLA für die angegebene case_id fest. Das mit dieser API festgelegte SLA sollte alle anderen SLA-Typen für Anfragen übertreffen.
Parameter
| Parametername | Parametertyp | Definition | Mögliche Werte | Kommentare |
|---|---|---|---|---|
| period_time | {int/string} | Stellt den gesamten SLA-Zeitraum dar. | – | period_time > 0 |
| period_type | {string} | Zeiteinheiten von „period_time“, dargestellt durch ApiPeriodTypeEnum |
– | N/A |
| critical_period_time | {int/string} | Stellt den kritischen SLA-Zeitraum dar. | – | critical_period_time >= 0 Der kritische Zeitraum (nach der Skalierung mit den zugehörigen Zeiteinheiten) sollte kürzer als der Gesamtzeitraum sein. |
| critical_period_type | {string} | Zeiteinheiten von „critical_period_time“, dargestellt durch ApiPeriodTypeEnum |
– | – |
| case_id | {long} | Fall-ID | 234 | – |
update_alerts_additional_data
update_alerts_additional_data(case_id, alerts_additional_data)
Zusätzliche Daten für Benachrichtigungen aktualisieren
Parameter
| Parametername | Parametertyp | Definition | Mögliche Werte | Kommentare |
|---|---|---|---|---|
| case_id | {string} | Fall-ID | 234 | – |
| alerts_additional_data | {dict} | Zusätzliche Daten der Benachrichtigung | – | – |
update_entities
update_entities(updated_entities)
Mit dieser Funktion werden Entitäten aktualisiert.
Parameter
| Parametername | Parametertyp | Definition | Mögliche Werte | Kommentare |
|---|---|---|---|---|
| updated_entities | {[{string:string}]} | – | – | – |
Gibt Folgendes zurück:
NoneType
Verhalten bei Ergebnissen
Mit dem Bereich werden dem ausgewählten Alert neue Elemente hinzugefügt, sofern sie noch nicht vorhanden sind.
Ergebniswert
Keine