Módulo de Siemplify
clase Siemplify.Siemplify
Bases: SiemplifyBase
Puntos finales: external/v1/sdk/CaseFullDetails
add_agent_connector_logs
add_agent_connector_logs(agent_id, connector_id, logs_package)
Añade los registros del conector connector_id del agente remoto.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Posibles valores | Comentarios |
|---|---|---|---|---|
| agent_id | {string} | Identificador del agente | N/A | N/A |
| connector_id | {string} | Identificador de instancia de conector | N/A | N/A |
| logs_package | {dict} | ConnectorLogPackage | N/A | N/A |
add_attachment
add_attachment(file_path, case_id, alert_identifier, description=None, is_favorite=False)
Esta función añade una entrada al muro del caso con un archivo adjunto (que se puede descargar del cliente al equipo local del usuario). Esta función hace prácticamente lo mismo que añadir pruebas (en la parte inferior de la pantalla de resumen del caso).
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Posibles valores | Comentarios |
|---|---|---|---|---|
| file_path | {string} | Ruta del archivo | Cualquier ruta accesible | Una ruta también puede ser una ubicación remota. Necesitas permisos de lectura para ese archivo |
| case_id | {string} | Identificador de asistencia | Un ID de asistencia para añadir el archivo adjunto a su panel de casos | El valor predeterminado es el caso actual. |
| alert_identifier | {string} | Identificador de alerta | Cadena de identificador de la alerta a la que quieres asociar el archivo adjunto | El valor predeterminado es la alerta que se está ejecutando. |
| description | {string} | Descripción del archivo adjunto | Cualquier cadena | Ninguno de forma predeterminada. Parámetro opcional. |
| is_favorite | {boolean} | Adjunto favorito | Verdadero/Falso | False de forma predeterminada.Parámetro opcional. |
Devoluciones
{long} attachment_id
Ejemplo
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
siemplify.add_attachment(r'C:/temp/investigation.txt', description='Deep investigation report by TIER3 team', is_favorite=True)
Comportamiento resultante
En este ejemplo, subiremos el archivo investigation.txt de C:/temp en el equipo local (el propio servidor) al muro del caso. Se añadirá un comentario a esa entrada en el muro del caso, con la cadena en la descripción. La marca is_favorite se ha definido como True, por lo que esta nueva entrada también se marcará como favorita.
add_comment
add_comment(comment, case_id, alert_identifier)
Añade un comentario al caso específico.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Posibles valores | Comentarios |
|---|---|---|---|---|
| comentario | {string} | Comentario que se añadirá al panel de un caso | "Los eventos de esta alerta parecen sospechosos" | Comentarios relacionados con el caso |
| case_id | {string} | Identificador de asistencia | 234 | N/A |
| alert_identifier | {string} | Identificador de alerta | ad6879f1-b72d-419f-990c-011a2526b16d | N/A |
Devoluciones
NoneType
Ejemplo
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
add_comment = "This alert is important"
alert_identifier = "ad6879f1-b72d-419f-990c-011a2526b16d"
case_id = "234"
siemplify.add_comment(comment, case_id, alert_identifier)
Comportamiento resultante
El comentario proporcionado se añade al caso 234.
Valor de resultado
Ninguno
add_entities_to_custom_list
add_entities_to_custom_list(custom_list_items)
Añade a la lista personalizada la lista personalizada que se proporciona con las entidades añadidas.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Posibles valores | Comentarios |
|---|---|---|---|---|
| custom_list_items | {string} | Una lista de elementos de lista personalizada | N/A | N/A |
Devoluciones
{[CustomList]} una lista con el elemento de lista personalizada añadido.
Comportamiento resultante
La entidad se añade a una categoría de lista personalizada.
add_entity_insight
add_entity_insight(domain_entity_info, message, case_id, alert_id)
Añade una estadística de una entidad.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Posibles valores | Comentarios |
|---|---|---|---|---|
| domain_entity_info | {string} | Identificador de entidad | "192.0.2.1" | {DomainEntityInfo} |
| mensaje | {string} | Mensaje de estadísticas | Este es el DNS de ejemplo | N/A |
| case_id | {string} | Identificador del caso que se va a añadir a una estadística de una entidad. | 234 | N/A |
| alert_id | {string} | Identificador de alerta que se va a añadir a una estadística de una entidad | ad6879f1-b72d-419f-990c-011a2526b16d | N/A |
Devoluciones
{boolean} True si se ha completado correctamente
Ejemplo
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
entity = "192.0.2.1"
alert_identifier = "ad6879f1-b72d-419f-990c-011a2526b16d"
case_id = "234"
siemplify.add_entity_insight(domain_entity_info=entity, message=message, case_id=case_id, alert_id=alert_identifier)
Comportamiento resultante
El mensaje proporcionado se añade como información valiosa a la entidad 192.0.2.1 del identificador de alerta proporcionado en el caso 234.
Valor de resultado
Es cierto.
Devuelve "false" si no se añade la estadística.
add_entity_to_case
add_entity_to_case(case_id, alert_identifier, entity_identifier, entity_type, is_internal, is_suspicious, is_enriched, is_vulnerable, properties, environment)
Añadir entidad a la incidencia.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Posibles valores | Comentarios |
|---|---|---|---|---|
| case_id | {string} | Identificador de asistencia | 234 | N/A |
| alert_identifier | {string} | Identificador de alerta | ad6879f1-b72d-419f-990c-011a2526b16d | N/A |
| entity_identifier | {string} | Identificador de entidad | 192.0.2.1, example.com | N/A |
| entity_type | {string} | Tipo de entidad del identificador de entidad | "ADDRESS" | N/A |
| is_internal | {boolean} | N/A | Verdadero/Falso | N/A |
| is_suspicious | {boolean} | N/A | Verdadero/Falso | |
| is_enriched | {boolean} | N/A | Verdadero/Falso | Falso de forma predeterminada |
| is_vulnerable | {boolean} | N/A | Verdadero/Falso | Falso de forma predeterminada |
| properties | {dict} | Propiedad de la entidad | {"property":"value"} | N/A |
| entorno | {string} | Uno de los entornos definidos | Entorno de ejemplo | N/A |
Devoluciones
NoneType
Ejemplo
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
case_id = "234"
alert_identifier = "ad6879f1-b72d-419f-990c-011a2526b16d"
entity = "192.0.2.1"
entity_type = "ADDRESS"
properties = {"property": "value"}
siemplify.add_entity_to_case(case_id=case_id,
alert_identifier = alert_identifier,
entity_identifier = entity,
entity_type = entity_type,
is_internal = True,
is_suspicious = False,
is_enriched = False,
is_vulnerable = False,
properties = properties,
environment=None)
Comportamiento resultante
La entidad con la información proporcionada se añadirá a la alerta indicada en el caso 234.
Valor de resultado
Ninguno
add_or_update_case_task
add_or_update_case_task(task)
Añade o actualiza un caso de tarea: actualiza si hay un ID de tarea, añade (crea) si no lo hay.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Posibles valores | Comentarios |
|---|---|---|---|---|
| tarea | {Task} | Objeto de tarea que se debe añadir al caso o actualizar. | N/A | N/A |
Devoluciones
{int} es el ID de la tarea nueva o actualizada.
add_tag
add_tag(tag, case_id, alert_identifier)
Añadir una etiqueta nueva a un caso específico.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Posibles valores | Comentarios |
|---|---|---|---|---|
| etiqueta | {string} | Etiqueta que se va a añadir | N/A | N/A |
| case_id | {string} | Identificador de asistencia | 234 | N/A |
| alert_identifier | {string} | Identificador de alerta | ad6879f1-b72d-419f-990c-011a2526b16d | N/A |
any_entity_in_custom_list
any_entity_in_custom_list(custom_list_items)
Comprueba si hay alguna entidad de la lista dada que tenga un registro de lista personalizada con la categoría dada.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Posibles valores | Comentarios |
|---|---|---|---|---|
| custom_list_items | {[CustomList]} | Lista de elementos de lista personalizada para comprobar si hay entidades | N/A | N/A |
Devoluciones
{boolean} True si se ha encontrado una entidad; de lo contrario, False.
Valor de resultado
Verdadero o falso
assign_case
assign_case(user, case_id, alert_identifier)
Esta función asigna el caso actual al usuario.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Posibles valores | Comentarios |
|---|---|---|---|---|
| usuario | {string} | Usuario o rol | Administrador, @Tier1 | N/A |
| case_id | {string} | Identificador de caso para asignar al usuario | 234 | N/A |
| alert_identifier | {string} | Identificador de alerta para asignar al usuario | ad6879f1-b72d-419f-990c-011a2526b16d | Este valor se obtiene durante el tiempo de ejecución de la acción. |
Devoluciones
NoneType
Comportamiento resultante
El caso se asigna al usuario especificado.
Valor de resultado
Ninguno
attach_workflow_to_case
attach_workflow_to_case(workflow_name, cyber_case_id, indicator_identifier)
Adjunta una guía a la incidencia.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Posibles valores | Comentarios |
|---|---|---|---|---|
| workflow_name | {string} | Nombre del flujo de trabajo | N/A | N/A |
| cyber_case_id | {string} | Identificador de asistencia | 234 | N/A |
| indicator_identifier | {string} | Identificador de alerta | ad6879f1-b72d-419f-990c-011a2526b16d | N/A |
Devoluciones
{string} código de estado de la operación del servidor
Ejemplo
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
alert_identifier = "ad6879f1-b72d-419f-990c-011a2526b16d"
case_id = "234"
workflow_name = "Workflow 234"
siemplify.attach_workflow_to_case(workflow_name=workflow_name, cyber_case_id=case_id, indicator_identifier=alert_identifier)
Comportamiento resultante
El flujo de trabajo 234 se adjuntará al caso 234.
Valor de resultado
Ninguno
batch_update_case_id_matches
batch_update_case_id_matches(case_id_matches)
Actualización por lotes de las incidencias con los IDs de incidencia externos adecuados.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Posibles valores | Comentarios |
|---|---|---|---|---|
| case_id_matches | {list} | Lista de objetos SyncCaseIdMatch |
Devoluciones
{list} Lista de IDs de casos que se han actualizado correctamente.
change_case_priority
change_case_priority(priority, case_id, alert_identifier)
Cambiar la prioridad del caso.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Posibles valores | Comentarios |
|---|---|---|---|---|
| prioridad | {int} | Prioridad del caso que se va a cambiar | 40/60/80/100 | Consulta ApiSyncCasePriorityEnum. Asignación de prioridades: {"Low": 40, "Medium": 60, "High": 80, "Critical": 100} |
| case_id | {string} | Identificador de asistencia | 234 | N/A |
| alert_identifier | {string} | Identificador de alerta | ad6879f1-b72d-419f-990c-011a2526b16d | N/A |
Devoluciones
NoneType
Ejemplo
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
priority = 40
alert_identifier = "ad6879f1-b72d-419f-990c-011a2526b16d"
case_id = "234"
siemplify.change_case_priority(priority=priority, case_id=case_id, alert_identifier=alert_identifier)
Comportamiento resultante
La prioridad del caso 234 cambia a 40, que se asigna a baja.
Valor de resultado
Ninguno
change_case_stage
change_case_stage(stage, case_id, alert_identifier)
Cambiar la fase del caso.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Posibles valores | Comentarios |
|---|---|---|---|---|
| fase | {string} | La fase actual del caso. | Incidente | N/A |
| case_id | {string} | Identificador de asistencia | N/A | N/A |
| alert_identifier | {string} | Identificador de alerta | ad6879f1-b72d-419f-990c-011a2526b16d | N/A |
check_marketplace_status
check_marketplace_status()
Comprueba el estado del mercado.
Si no hay ningún error, la función devuelve none. De lo contrario, se devuelve una excepción.
Parámetros
N/A
Devoluciones
Ninguno
close_alert
close_alert(root_cause, comment, reason, case_id, alert_id)
Esta función cierra la alerta actual. Es lo mismo que cerrar manualmente la alerta desde el resumen del caso. La función requiere el motivo del cierre, una causa principal y un comentario, al igual que la alerta de cierre del caso.
Si cierras una alerta, se cerrará el caso nuevo que solo tiene una alerta.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Posibles valores | Comentarios |
|---|---|---|---|---|
| root_cause | {string} | Motivo principal del cierre del caso | N/A | N/A |
| comentario | {string} | Un comentario | N/A | N/A |
| reason | {ApiSyncAlertCloseReasonEnum} | N/A | N/A | Consulta SiemplifyDataModel.ApiSyncAlertCloseReasonEnum. |
| case_id | {string} | Identificador del caso en el que se encuentra la alerta. | 234 | N/A |
| alert_id | {string} | Identificador de la alerta que se va a cerrar | ad6879f1-b72d-419f-990c-011a2526b16d | N/A |
Devoluciones
{dict} resultado de la operación del servidor
close_case
close_case(root_cause, comment, reason, case_id, alert_identifier)
Cerrar un caso.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Posibles valores | Comentarios |
|---|---|---|---|---|
| root_cause | {string} | La causa principal del cierre de un caso | N/A | N/A |
| comentario | {string} | Un comentario | N/A | N/A |
| reason | {ApiSyncAlertCloseReasonEnum} | Motivo del cierre del caso | Consulta SiemplifyDataModel.ApiSyncAlertCloseReasonEnum. | |
| case_id | {string} | Identificador de asistencia | 234 | N/A |
| alert_id | {string} | Identificador de alerta | ad6879f1-b72d-419f-990c-011a2526b16d | N/A |
create_case
create_case(case_info)
Esta función crea un caso con las alertas y los eventos contenidos en el diccionario case_info.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Posibles valores | Comentarios |
|---|---|---|---|---|
| case_info | {CaseInfo} | Objeto de información del caso | N/A | Ver SiemplifyConnectorsDataModel.CaseInfo |
Devoluciones
NoneType
Comportamiento resultante
Se crea el caso con los datos proporcionados.
Valor de resultado
Ninguno
create_case_insight_internal
create_case_insight_internal(case_id, alert_identifier, triggered_by, title, content, entity_identifier, severity, insight_type, additional_data=None, additional_data_type=None, additional_data_title=None, original_requesting_user=None, entity_type=None)
Añadir estadísticas.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Posibles valores | Comentarios |
|---|---|---|---|---|
| case_id | {string} | Identificador de asistencia | 234 | N/A |
| alert_identifier | {string} | Identificador de alerta | ad6879f1-b72d-419f-990c-011a2526b16d | N/A |
| triggered_by | {string} | Nombre de la integración | N/A | N/A |
| title | {string} | Título de la estadística | N/A | N/A |
| contenido | {string} | Mensaje de estadísticas | N/A | N/A |
| entity_identifier | {string} | Identificador de entidad | N/A | N/A |
| gravedad | {int} | Identificador de gravedad | 0 = información, 1 = advertencia, 2 = error |
N/A |
| insight_type | {int} | Tipo de información valiosa | 0 = general, 1 = entidad |
N/A |
| additional_data | N/A | N/A | N/A | N/A |
| additional_data_type | N/A | N/A | N/A | N/A |
| additional_data_title | N/A | N/A | N/A | N/A |
| original_requesting_user | N/A | N/A | N/A | N/A |
| entity_type | {string} | Tipo de entidad | "ADDRESS" | N/A |
Devoluciones
{boolean} True si se ha completado correctamente.
create_connector_package
create_connector_package(connector_package)
Crea un paquete de conectores en el sistema.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Posibles valores | Comentarios |
|---|---|---|---|---|
| connector_package | {string} | Paquete de conectores como JSON | N/A | N/A |
dismiss_alert
dismiss_alert(alert_group_identifier, should_close_case_if_all_alerts_were_dismissed, case_id)
fin
end(message, result_value, execution_state=0)
Finaliza la secuencia de comandos.
No se ejecuta ningún otro código después de la función end().
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Posibles valores | Comentarios |
|---|---|---|---|---|
| mensaje | {string} | Mensaje de salida que se mostrará al cliente | Acción completada | N/A |
| result_value | {int/string/dict} | Valor devuelto | N/A | N/A |
| execution_state | {int} | Indicador del estado de la acción actual. Se usa principalmente en acciones asíncronas para marcar si la acción se ha completado o no. | 0 (EXECUTION_STATE_COMPLETED), 1 (EXECUTION_STATE_INPROGRESS), 2 (EXECUTION_STATE_FAILED), 3 (EXECUTION_STATE_TIMEDOUT) |
El valor predeterminado es 0. |
Devoluciones
Devuelve los datos de los resultados al proceso host.
end_script
end_script()
escalate_case
escalate_case(comment, case_id, alert_identifier)
Derivar un caso.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Posibles valores | Comentarios |
|---|---|---|---|---|
| comentario | {string} | Derivar comentario | N/A | N/A |
| case_id | {string} | Identificador de asistencia | 234 | N/A |
| alert_identifier | {string} | Identificador de alerta | ad6879f1-b72d-419f-990c-011a2526b16d | N/A |
extract_configuration_param
extract_configuration_param(provider_name, param_name, default_value=None, input_type=<class 'str'>, is_mandatory=False, print_value=False)
Obtiene un parámetro de configuración de la instancia de integración.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Posibles valores | Comentarios |
|---|---|---|---|---|
| provider_name | {string} | Nombre de la integración | N/A | N/A |
| param_name | {string} | Nombre del parámetro | N/A | N/A |
| default_value | {any} | Si no se envía el parámetro, usa este valor de forma predeterminada. | N/A | Ninguna de forma predeterminada (opcional) |
| input_type | {obj} | Convertir el parámetro a otro tipo | N/A | Por ejemplo, int. str de forma predeterminada (opcional) |
| is_mandatory | {bool} | Genera una excepción si el parámetro está vacío. | N/A | False de forma predeterminada (opcional) |
| print_value | {bool} | Imprime el valor en el registro. | N/A | False de forma predeterminada (opcional) |
Devoluciones
El valor del parámetro (cadena de forma predeterminada), a menos que se especifique input_type.
static generate_serialized_object
generate_serialized_object(object_filter)
get_agent_by_id
get_agent_by_id(agent_id)
Obtiene los detalles del agente por ID.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Posibles valores | Comentarios |
|---|---|---|---|---|
| agent_id | {str} | El ID del agente | N/A | N/A |
Devoluciones
{dict} Los detalles del editor
get_alerts_ticket_ids_from_cases_closed_since_timestamp
get_alerts_ticket_ids_from_cases_closed_since_timestamp(timestamp_unix_ms, rule_generator)
Obtiene alertas de las incidencias que se han cerrado desde la marca de tiempo.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Posibles valores | Comentarios |
|---|---|---|---|---|
| timestamp_unix_ms | {long} | Marca de tiempo | 1550409785000L | N/A |
| rule_generator | {string} | N/A | "Detector de correos de phishing" | N/A |
Devoluciones
{list} alertas
get_attachment
get_attachment(attachment_id)
Obtiene los datos de un archivo adjunto por identificador.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Posibles valores | Comentarios |
|---|---|---|---|---|
| attachment_id | {string} | Identificador de archivo adjunto | N/A | N/A |
Devoluciones
Datos de archivos adjuntos de {BytesIO}
get_attachments
get_attachments(case_id)
Obtener archivos adjuntos del caso.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Posibles valores | Comentarios |
|---|---|---|---|---|
| case_id | {string} | Identificador de asistencia | 234 | N/A |
Devoluciones
{dict} archivos adjuntos
Valor de resultado
[{"is_favorite": False, "description": "", "type": ".txt", "id": 1, "name":
"test.py"}]
get_case_by_id
get_case_by_id(case_id)
Obtiene un caso a partir de su ID.
Esta función interactúa con el siguiente endpoint:
external/v1/sdk/CaseFullDetails
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Posibles valores | Comentarios |
|---|---|---|---|---|
| case_id | {[string]} | ID de caso | N/A | N/A |
Devoluciones
Datos de caso de {dict}.
get_case_closure_details
get_case_closure_details(case_id_list)
Obtener los detalles del cierre del caso.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Posibles valores | Comentarios |
|---|---|---|---|---|
| case_id_list | {[string]} | Lista de IDs de casos | N/A | N/A |
Devoluciones
Lista {[dict]} de diccionarios que contiene los detalles del cierre del caso.
Valor de resultado
[{'case_closed_action_type': 1, 'reason': NotMalicious', 'root_cause':
'Other'}]
En el caso del parámetro case_closed_action_type, los valores posibles son los siguientes:
- 0 = Automático
- 1 = Manual
get_case_comments
get_case_comments(case_id)
Esta función obtiene los comentarios del caso proporcionado.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Posibles valores | Comentarios |
|---|---|---|---|---|
| case_id | {string} | Identificador de asistencia | 234 | N/A |
Devoluciones
Lista
Ejemplo
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
siemplify.get_case_comments(case_id)
Comportamiento resultante
Se obtendrán todos los comentarios del caso.
Valor de resultado
[
{
u 'comment': u 'Test',
u 'case_id': 10085,
u 'is_favorite': False,
u 'alert_identifier': None,
u 'creator_user_id': u 'Admin',
u 'type': 5,
u 'id': 1,
u 'modification_time_unix_time_in_ms': 1563272078332L
}, {
u 'comment': u 'jhfksdh',
u 'case_id': 10085,
u 'is_favorite': False,
u 'alert_identifier': None,
u 'creator_user_id': u 'Admin',
u 'type': 5,
u 'id': 2,
u 'modification_time_unix_time_in_ms': 1563272079941L
}, {
u 'comment': u 'kjfhsdm',
u 'case_id': 10085,
u 'is_favorite': False,
u 'alert_identifier': None,
u 'creator_user_id': u 'Admin',
u 'type': 5,
u 'id': 3,
u 'modification_time_unix_time_in_ms': 1563272080598L
}
]
get_case_tasks
get_case_tasks(case_id)
Recupera todas las tareas por ID de asistencia.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Posibles valores | Comentarios |
|---|---|---|---|---|
| case_id | {int/str} | ID de caso | 234 | La función puede recibir int o str |
Devoluciones
{[Task]} la lista de objetos de tareas que pertenecen al caso.
Consulta SiemplifyDataModel.Task.
get_cases_by_filter
get_cases_by_filter(environments=None, analysts=None, statuses=None, case_names=None, tags=None, priorities=None, stages=None, case_types=None, products=None, networks=None, ticked_ids_free_search='', case_ids_free_search='', wall_data_free_search='', entities_free_search='', start_time_unix_time_in_ms=-1, end_time_unix_time_in_ms=-1)
Obtener casos por filtros solicitados.
*caseFilterValue* object - { 'Title':'Merged Case', 'Value': 'Merged', 'Title':'Involved Suspicious Entity', 'Value': 'InvolvedSuspiciousEntity', 'Title':'Manual', 'Value': 'Manual', 'Title':'Simulated Alerts', 'Value': 'Simulated',}
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Posibles valores | Comentarios |
|---|---|---|---|---|
| environments | {[string]} | Lista de nombres de entornos (entorno) | N/A | Si no se proporciona ningún entorno, se usa None (opcional). |
| analistas | {[string]} | Lista de nombres de analistas (usuario o rol asignado al caso) | N/A | Si no se proporciona ningún analista, se usa None (opcional). |
| statuses | {[int]} | Lista de estados por los que filtrar | N/A | Consulta ApiSyncCaseStatusEnum. Si no se proporciona ningún estado, se usa None (opcional). |
| case_names | {[string]} | Lista de nombres de casos | N/A | Si no se proporciona ningún case_names, se usa None (opcional). |
| etiquetas | {[string]} | Lista de etiquetas de casos | N/A | Si no se proporcionan etiquetas, se usa None (opcional). |
| prioridades | {[int]} | Lista de prioridades | Consulta ApiSyncAlertPriorityEnum. Si no se proporciona ninguna prioridad, se usa None (opcional) |
|
| fases | {list} | Lista de fases (objeto caseFilterValue) | N/A | Si no se proporcionan fases, se usa None (opcional). |
| case_types | {list} | Lista de tipos de objeto (objeto caseFilterValue) | N/A | Los valores
Si no se proporciona ningún |
| productos | {list} | Lista de productos (objeto caseFilterValue) | N/A | Si no se proporciona ningún producto, se utiliza None (opcional). |
| redes | {list} | Lista de redes (objeto caseFilterValue) | N/A | Si no se proporciona ninguna red, se usa None (opcional). |
| ticked_ids_free_search | {string} | Identificador de incidencia | N/A | Si no se proporciona, el valor predeterminado es "" (opcional). |
| case_ids_free_search | {string} | Identificador de asistencia | N/A | Si no se proporciona, el valor predeterminado es "" (opcional). |
| wall_data_free_search | {string} | Cadena de búsqueda | N/A | Si no se proporciona, el valor predeterminado es "" (opcional). |
| entities_free_search | {string} | Identificador de entidad | N/A | Si no se proporciona, el valor predeterminado es "" (opcional). |
| start_time_unix_time_in_ms | {long} | N/A | N/A | Valor predeterminado: -1 (opcional) |
| end_time_unix_time_in_ms | {long} | N/A | N/A | Valor predeterminado: -1 (opcional) |
Devoluciones
Case_ids ''
get_cases_by_ticket_id
get_cases_by_ticket_id(ticket_id)
Obtener un caso por identificador de ticket.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Posibles valores | Comentarios |
|---|---|---|---|---|
| ticket_id | {string} | Identificador de incidencia | N/A | N/A |
Devoluciones
Lista {[int]} de IDs de asistencia.
get_cases_ids_by_filter
get_cases_ids_by_filter(status, start_time_from_unix_time_in_ms=None, start_time_to_unix_time_in_ms=None, close_time_from_unix_time_in_ms=None, close_time_to_unix_time_in_ms=None, update_time_from_unix_time_in_ms=None, update_time_to_unix_time_in_ms=None, operator=None, sort_by='START_TIME', sort_order='DESC', max_results=1000)
Obtener IDs de asistencia por filtro.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Posibles valores | Comentarios |
|---|---|---|---|---|
| status | {str} | Estado del caso que se va a obtener | 'OPEN' ("ABIERTO"), 'CLOSE' ("CERRADO") y 'BOTH' ("AMBOS") | N/A |
| start_time_from_unix_time_in_ms | {int} | Intervalo de inicio de la hora de inicio del caso (inclusive) | N/A | El valor predeterminado es 30 días antes (opcional). |
| start_time_to_unix_time_in_ms | {int} | Intervalo de finalización de la hora de inicio del caso (inclusive) | N/A | El valor predeterminado es la hora actual (opcional). |
| close_time_from_unix_time_in_ms | {int} | Intervalo de inicio de la hora de cierre del caso (inclusive) | N/A | El valor predeterminado es 30 días antes (opcional). |
| close_time_to_unix_time_in_ms | {int} | Intervalo de tiempo de cierre del caso (inclusive). | N/A | El valor predeterminado es la hora actual (opcional). |
| update_time_from_unix_time_in_ms | {int} | Intervalo de inicio de la hora de modificación del caso (inclusive) | N/A | El valor predeterminado es la hora de inicio (opcional). |
| update_time_to_unix_time_in_ms | {int} | Intervalo de finalización de la hora de modificación del caso (inclusive) | N/A | El valor predeterminado es la hora actual (opcional). |
| operator | {str} | Operador de filtros de tiempo | OR, AND | Opcional |
| sort_by | {str} | Ordenar los resultados por hora | START_TIME, UPDATE_TIME, CLOSE_TIME | Opcional |
| sort_order | {str} | Ordenar por | ASC, DESC | El valor predeterminado es el orden descendente (opcional). |
| max_results | {int} | Número máximo de resultados que se devolverán | N/A | El valor predeterminado es 1000 y el máximo es 10.000 (opcional). |
get_configuration
get_configuration(provider, environment, integration_instance)
Obtener la configuración de la integración.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Posibles valores | Comentarios |
|---|---|---|---|---|
| proveedor | {string} | Nombre de la integración | "VirusTotal" | N/A |
| entorno | {string} | Configuración de un entorno específico o de todos | N/A | N/A |
| integration_instance | {string} | Identificador de la instancia de integración | N/A | N/A |
Devoluciones
Detalles de configuración de {dict}.
get_configuration_by_provider
get_configuration_by_provider(identifier)
Obtener la configuración de la integración.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Posibles valores | Comentarios |
|---|---|---|---|---|
| proveedor | {string} | Nombre de la integración | "VirusTotal" | N/A |
Devoluciones
Detalles de configuración de {dict}
get_existing_custom_list_categories
get_existing_custom_list_categories()
Obtiene todas las categorías de listas personalizadas.
Esta función devuelve un objeto de lista de todas las categorías de la configuración de CustomList
independientemente de los entornos.
Parámetros
N/A
Devoluciones
Lista {[unicode]} de tipo unicode con categorías.
Ejemplo
from SiemplifyAction import SiemplifyAction siemplify = SiemplifyAction() result = siemplify.get_existing_custom_list_categories()
Comportamiento resultante
Se devuelve una lista con todas las listas personalizadas.
Valor de resultado
["DenyListed IPs", "AllowListed HOSTs"]
get_external_configuration
get_external_configuration(config_provider, config_name)
Obtener la configuración de la integración externa.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Posibles valores | Comentarios |
|---|---|---|---|---|
| config_provider | {string} | N/A | N/A | N/A |
| config_name | {string} | N/A | N/A | N/A |
get_integration_version
get_integration_version(integration_identifier)
Obtener una versión de integración.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Posibles valores | Comentarios |
|---|---|---|---|---|
| integration_identifier | {string} | Identificador de integración | N/A | N/A |
Devoluciones
Versión de integración {float}
get_publisher_by_id
get_publisher_by_id(publisher_id)
Obtiene los detalles de un editor por su ID.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Posibles valores | Comentarios |
|---|---|---|---|---|
| publisher_id | {string} | ID del editor | N/A | N/A |
Devoluciones
{dict} Los detalles del editor
get_remote_connector_keys_map
get_remote_connector_keys_map(publisher_id)
Obtener claves de cifrado de conectores remotos por ID de editor.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Posibles valores | Comentarios |
|---|---|---|---|---|
| publisher_id | {string} | ID del editor | N/A | N/A |
Devoluciones
{dict} El mapa de claves
get_similar_cases
get_similar_cases(case_id, ports_filter, category_outcome_filter, rule_generator_filter, entity_identifiers_filter, start_time_unix_ms, end_time_unix_ms)
Obtener casos similares.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Posibles valores | Comentarios |
|---|---|---|---|---|
| case_id | {string} | Identificador de asistencia | 234 | N/A |
| ports_filter | {boolean} | Usar filtro de puerto (verdadero o falso) | Verdadero/Falso | N/A |
| category_outcome_filter | {boolean} | Usa el filtro category_outcome True/False | Verdadero/Falso | N/A |
| rule_generator_filter | {boolean} | Regla de uso True/False del filtro rule_generator | Verdadero/Falso | N/A |
| entity_identifiers_filter | {boolean} | Usa el filtro True/False entity_identifiers | Verdadero/Falso | N/A |
| start_time_unix_ms | N/A | N/A | N/A | N/A |
| end_time_unix_ms | N/A | N/A | N/A | N/A |
Devoluciones
{dict}
get_sync_alerts
get_sync_alerts(alert_group_ids)
Recupera la información de las alertas necesaria para sincronizar los sistemas.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Posibles valores | Comentarios |
|---|---|---|---|---|
| alert_group_ids | {list} | Lista de IDs de grupos de alertas que se van a obtener | N/A | N/A |
Devoluciones
Lista {[SyncAlert]} de objetos SyncAlert.
get_sync_cases
get_sync_cases(case_ids)
Recupera la información del caso necesaria para la sincronización de sistemas.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Posibles valores | Comentarios |
|---|---|---|---|---|
| case_ids | {list} | Lista de IDs de casos que se van a obtener | N/A | N/A |
Devoluciones
{[SyncCase]} Lista de objetos SyncCase.
get_system_info
get_system_info(start_time_unixtime_ms)
get_system_version
get_system_version()
Obtener la versión actual de Google Security Operations SOAR.
Parámetros
N/A
Devoluciones
{string} versión actual de Google Security Operations SOAR
get_temp_folder_path
get_temp_folder_path()
Obtiene la ruta a la carpeta temporal.
Parámetros
N/A
Devoluciones
{string} ruta a la carpeta temporal
get_ticket_ids_for_alerts_dismissed_since_timestamp
get_ticket_ids_for_alerts_dismissed_since_timestamp(timestamp_unix_ms)
get_updated_sync_alerts_metadata
get_updated_sync_alerts_metadata(start_timestamp_unix_ms, count, allowed_environments=None, vendor=None)
Recupera los metadatos actualizados de las alertas monitorizadas.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Posibles valores | Comentarios |
|---|---|---|---|---|
| start_timestamp_unix_ms | {long} | Buscar alertas actualizadas a partir del start_timestamp_unix_ms o una fecha posterior |
N/A | Si end_timestamp_unix_ms es None,la hora de finalización es la hora de la solicitud. |
| recuento | {int} | Número máximo de IDs de grupos de alertas que se van a obtener. | N/A | N/A |
| allowed_environments | {[string]} | Entornos en los que buscar | N/A | Si allowed_environments es None,busca en todos los entornos |
| vendor | {string} | Filtrar alertas por proveedor | N/A | N/A |
Devoluciones
{[SyncAlertMetadata]} Lista de objetos SyncAlertMetadata, ordenada por
SyncAlertMetadata.tracking_time.
get_updated_sync_cases_metadata
get_updated_sync_cases_metadata(start_timestamp_unix_ms, count, allowed_environments=None, vendor=None)
Recupera los metadatos actualizados de los casos monitorizados.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Posibles valores | Comentarios |
|---|---|---|---|---|
| start_timestamp_unix_ms | {long} | Busca casos actualizados a partir del start_timestamp_unix_ms o una fecha posterior. |
N/A | Si end_timestamp_unix_ms es None,la hora de finalización será la hora de la solicitud. |
| recuento | {int} | Número máximo de IDs de casos que se pueden obtener | N/A | N/A |
| allowed_environments | {[string]} | Entornos en los que buscar | N/A | Si allowed_environments es None,busca en todos los entornos |
| vendor | {string} | Devuelve solo los casos con alertas originadas en vendor |
N/A | N/A |
Devoluciones
{[SyncCaseMetadata]} Lista de objetos SyncCaseMetadata, ordenada por
SyncCaseMetadata.tracking_time.
init_proxy_settings
init_proxy_settings()
Parámetros
N/A
is_existing_category
is_existing_category(category)
Comprueba si existe la categoría dada.
Dada una categoría, esta función devuelve True (booleano) si la cadena del nombre de la categoría se ha definido como categoría en los ajustes de CustomList.
Esta función ignora el entorno y devuelve True si el elemento existe.
De lo contrario, devuelve False.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Posibles valores | Comentarios |
|---|---|---|---|---|
| category | {string} | La categoría para comprobar si existe | "IPs de la lista de denegación" | N/A |
Devoluciones
{bool} True si la categoría existe; de lo contrario, False.
Ejemplo 1
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
result = siemplify.is_existing_category("WhiteListed HOSTs")
Ejemplo 2
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
result = siemplify.is_existing_category("SpecialHosts")
Comportamiento resultante
El resultado del código de ejemplo 1 es True y el del código de ejemplo 2 es False.
Valor de resultado
Verdadero o falso
mark_case_as_important
mark_case_as_important(case_id, alert_identifier)
Esta función marca el caso actual con el identificador de alerta proporcionado como importante.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Posibles valores | Comentarios |
|---|---|---|---|---|
| case_id | {string} | Identificador de asistencia | 234 | N/A |
| alert_identifier | {string} | Identificador de alerta | ad6879f1-b72d-419f-990c-011a2526b16d | N/A |
Devoluciones
NoneType
Ejemplo
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
alert_identifier = "ad6879f1-b72d-419f-990c-011a2526b16d"
case_id = "234"
siemplify.mark_case_as_important(case_id=case_id, alert_identifier=alert_identifier)
Comportamiento resultante
El caso con el identificador de alerta proporcionado se marca como importante.
Valor de resultado
Ninguno
raise_incident
raise_incident(case_id, alert_identifier)
Esta función eleva el caso actual con el identificador de alerta como incidente.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Posibles valores | Comentarios |
|---|---|---|---|---|
| case_id | {string} | Identificador de asistencia | 234 | N/A |
| alert_identifier | {string} | Identificador de alerta | ad6879f1-b72d-419f-990c-011a2526b16d | N/A |
Devoluciones
NoneType
Ejemplo
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
alert_identifier = "ad6879f1-b72d-419f-990c-011a2526b16d"
case_id = "234"
siemplify.raise_incident(case_id=case_id, alert_identifier=alert_identifier)
Comportamiento resultante
El caso 234 se registrará como un incidente.
Valor de resultado
Ninguno
remove_entities_from_custom_list
remove_entities_from_custom_list(custom_list_items)
Elimina las entidades de la lista personalizada con la categoría indicada.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Posibles valores | Comentarios |
|---|---|---|---|---|
| custom_list_items | {[CustomList]} | Una lista de elementos de lista personalizada | N/A | N/A |
Devoluciones
Lista {[CustomList]} de objetos CustomList eliminados.
remove_temp_folder
remove_temp_folder()
Elimina la carpeta temporal y sus subcarpetas.
Parámetros
N/A
Resultado de propiedad
send_system_notification
send_system_notification(message, message_id='SDK_CUSTOM_NOTIFICATION')
Envía una notificación del sistema con un ID de mensaje opcional.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Posibles valores | Comentarios |
|---|---|---|---|---|
| mensaje | {string} | Mensaje de notificación | N/A | N/A |
| message_id | {string} | Identificador del mensaje de notificación | N/A | N/A |
send_system_notification_message
send_system_notification_message(message, message_id)
Ejemplo
Comportamiento resultante
Valor de resultado
set_alert_sla
set_alert_sla(period_time, period_type, critical_period_time, critical_period_type, case_id, alert_identifier)
Define el SLA del alert_identifier de case_id especificado. El SLA definido mediante esta API debe superar a todos los demás tipos de SLA de alertas.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Posibles valores | Comentarios |
|---|---|---|---|---|
| period_time | {int/str} | Representa el periodo total del ANS. | N/A | period_time > 0 |
| period_type | {str} | Unidades de tiempo de period_time, representadas por ApiPeriodTypeEnum |
N/A | N/A |
| critical_period_time | {int/str} | Representa el periodo crítico del SLA. | N/A | critical_period_time >= 0 El periodo crítico (después de escalarlo con sus unidades de tiempo) debe ser inferior al periodo total |
| critical_period_type | {str} | Unidades de tiempo de critical_period_time, representadas por ApiPeriodTypeEnum |
N/A | N/A |
| case_id | {long} | Identificador de asistencia | N/A | N/A |
| alert_identifier | {str} | Identificador de alerta | N/A | N/A |
set_case_sla
set_case_sla(period_time, period_type, critical_period_time, critical_period_type, case_id)
Define el ANS del case_id especificado. El SLA que se defina con esta API debe superar a todos los demás tipos de SLA de casos.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Posibles valores | Comentarios |
|---|---|---|---|---|
| period_time | {int/string} | Representa el periodo total del ANS. | N/A | period_time > 0 |
| period_type | {string} | Unidades de tiempo de period_time, representadas por ApiPeriodTypeEnum |
N/A | N/A |
| critical_period_time | {int/string} | Representa el periodo crítico del SLA. | N/A | critical_period_time >= 0 El periodo crítico (después de escalarlo con sus unidades de tiempo) debe ser inferior al periodo total |
| critical_period_type | {string} | Unidades de tiempo de critical_period_time, representadas por ApiPeriodTypeEnum |
N/A | N/A |
| case_id | {long} | Identificador de asistencia | 234 | N/A |
update_alerts_additional_data
update_alerts_additional_data(case_id, alerts_additional_data)
Actualiza los datos adicionales de las alertas.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Posibles valores | Comentarios |
|---|---|---|---|---|
| case_id | {string} | Identificador de asistencia | 234 | N/A |
| alerts_additional_data | {dict} | Cualquier dato adicional de la alerta | N/A | N/A |
update_entities
update_entities(updated_entities)
Esta función actualiza entidades.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Posibles valores | Comentarios |
|---|---|---|---|---|
| updated_entities | {[{string:string}]} | N/A | N/A | N/A |
Devoluciones
NoneType
Comportamiento resultante
Con el ámbito, la alerta seleccionada añade nuevas entidades si aún no están presentes.
Valor de resultado
Ninguno