Módulo de Siemplify
clase Siemplify.Siemplify
Bases: SiemplifyBase
Endpoints: external/v1/sdk/CaseFullDetails
add_agent_connector_logs
add_agent_connector_logs(agent_id, connector_id, logs_package)
Agrega registros del conector connector_id del agente remoto.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| agent_id | {string} | Identificador del agente | N/A | N/A |
| connector_id | {string} | Identificador de instancia del conector | N/A | N/A |
| logs_package | {dict} | ConnectorLogPackage | N/A | N/A |
add_attachment
add_attachment(file_path, case_id, alert_identifier, description=None, is_favorite=False)
Esta función agrega una entrada al muro del caso con un archivo adjunto (que luego se puede descargar del cliente a la máquina local del usuario). La función hace básicamente lo mismo que agregar evidencia (en la parte inferior de la pantalla de resumen del caso).
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| file_path | {string} | Ruta de acceso al archivo | Cualquier ruta accesible | Una ruta también puede ser una ubicación remota. Necesitas permisos de lectura para ese archivo |
| case_id | {string} | Identificador del caso | Es un ID de caso para agregar el archivo adjunto a su muro de casos. | El valor predeterminado es el caso actual. |
| alert_identifier | {string} | Identificador de alerta | Es la cadena del identificador de la alerta con la que deseas asociar el adjunto. | El valor predeterminado es la alerta en ejecución actual. |
| descripción | {string} | Descripción del archivo adjunto | Cualquier cadena | Ninguno de forma predeterminada. Parámetro opcional. |
| is_favorite | {boolean} | Favorito de archivo adjunto | Verdadero/Falso | False de forma predeterminada.Parámetro opcional. |
Devoluciones
{long} attachment_id
Ejemplo
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
siemplify.add_attachment(r'C:/temp/investigation.txt', description='Deep investigation report by TIER3 team', is_favorite=True)
Comportamiento del resultado
En este ejemplo, subiremos el archivo investigation.txt de C:/temp en la máquina local (el servidor en sí) al muro del caso. Se agregará un comentario a esa entrada en el muro del caso, con la cadena en la descripción. La marca is_favorite se estableció en True, por lo que esta nueva entrada también se marcará con una estrella (favorita).
add_comment
add_comment(comment, case_id, alert_identifier)
Agrega un comentario nuevo al caso específico.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| comentario | {string} | Comentario que se agregará a un muro de casos | "Los eventos de esta alerta parecen sospechosos" | Comentarios relacionados con el caso |
| case_id | {string} | Identificador del caso | 234 | N/A |
| alert_identifier | {string} | Identificador de alerta | ad6879f1-b72d-419f-990c-011a2526b16d | N/A |
Devoluciones
NoneType
Ejemplo
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
add_comment = "This alert is important"
alert_identifier = "ad6879f1-b72d-419f-990c-011a2526b16d"
case_id = "234"
siemplify.add_comment(comment, case_id, alert_identifier)
Comportamiento del resultado
El comentario proporcionado se agrega al caso 234.
Valor del resultado
Ninguno
add_entities_to_custom_list
add_entities_to_custom_list(custom_list_items)
Agrega la lista personalizada proporcionada con las entidades agregadas a la lista personalizada.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| custom_list_items | {string} | Es una lista de elementos de la lista personalizada. | N/A | N/A |
Devoluciones
{[CustomList]} una lista con el elemento de lista personalizado agregado.
Comportamiento del resultado
La entidad se agregó a una categoría de lista personalizada.
add_entity_insight
add_entity_insight(domain_entity_info, message, case_id, alert_id)
Agrega una estadística de entidad.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| domain_entity_info | {string} | Identificador de entidad | "192.0.2.1" | {DomainEntityInfo} |
| mensaje | {string} | Mensaje de la estadística | Este es un ejemplo de DNS | N/A |
| case_id | {string} | Es el identificador del caso que se agregará a una estadística de la entidad. | 234 | N/A |
| alert_id | {string} | Es el identificador de alerta que se agregará a una estadística de la entidad. | ad6879f1-b72d-419f-990c-011a2526b16d | N/A |
Devoluciones
{boolean} True si se completó correctamente
Ejemplo
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
entity = "192.0.2.1"
alert_identifier = "ad6879f1-b72d-419f-990c-011a2526b16d"
case_id = "234"
siemplify.add_entity_insight(domain_entity_info=entity, message=message, case_id=case_id, alert_id=alert_identifier)
Comportamiento del resultado
El mensaje determinado se agrega como una estadística a la entidad 192.0.2.1 del identificador de alerta determinado en el caso 234.
Valor del resultado
Verdadero
Es falso si no se agrega la sugerencia.
add_entity_to_case
add_entity_to_case(case_id, alert_identifier, entity_identifier, entity_type, is_internal, is_suspicious, is_enriched, is_vulnerable, properties, environment)
Agrega la entidad al caso.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| case_id | {string} | Identificador del caso | 234 | N/A |
| alert_identifier | {string} | Identificador de alerta | ad6879f1-b72d-419f-990c-011a2526b16d | N/A |
| entity_identifier | {string} | Identificador de entidad | 192.0.2.1, example.com | N/A |
| entity_type | {string} | Tipo de entidad del identificador de entidad | "ADDRESS" | N/A |
| is_internal | {boolean} | N/A | Verdadero/Falso | N/A |
| is_suspicious | {boolean} | N/A | Verdadero/Falso | |
| is_enriched | {boolean} | N/A | Verdadero/Falso | Falso de forma predeterminada |
| is_vulnerable | {boolean} | N/A | Verdadero/Falso | Falso de forma predeterminada |
| del bucket | {dict} | Propiedad de la entidad | {"property":"value"} | N/A |
| entorno | {string} | Uno de los entornos definidos | Entorno de ejemplo | N/A |
Devoluciones
NoneType
Ejemplo
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
case_id = "234"
alert_identifier = "ad6879f1-b72d-419f-990c-011a2526b16d"
entity = "192.0.2.1"
entity_type = "ADDRESS"
properties = {"property": "value"}
siemplify.add_entity_to_case(case_id=case_id,
alert_identifier = alert_identifier,
entity_identifier = entity,
entity_type = entity_type,
is_internal = True,
is_suspicious = False,
is_enriched = False,
is_vulnerable = False,
properties = properties,
environment=None)
Comportamiento del resultado
La entidad con la información proporcionada se agregará a la alerta determinada dentro del caso 234.
Valor del resultado
Ninguno
add_or_update_case_task
add_or_update_case_task(task)
Agrega o actualiza un caso de tarea: actualiza si hay un ID de tarea o agrega (crea) si no lo hay.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| tarea | {Task} | Es el objeto de la tarea que se debe agregar al caso o actualizar. | N/A | N/A |
Devoluciones
{int} ID de la tarea nueva o actualizada.
add_tag
add_tag(tag, case_id, alert_identifier)
Agrega una etiqueta nueva a un caso específico.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| etiqueta | {string} | Etiqueta que se agregará | N/A | N/A |
| case_id | {string} | Identificador del caso | 234 | N/A |
| alert_identifier | {string} | Identificador de alerta | ad6879f1-b72d-419f-990c-011a2526b16d | N/A |
any_entity_in_custom_list
any_entity_in_custom_list(custom_list_items)
Verifica si hay alguna entidad de la lista proporcionada que tenga un registro de lista personalizado con la categoría proporcionada.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| custom_list_items | {[CustomList]} | Lista de elementos de lista personalizados para verificar entidades | N/A | N/A |
Devoluciones
{boolean} True si se encuentra una entidad; de lo contrario, False.
Valor del resultado
Verdadero o falso
assign_case
assign_case(user, case_id, alert_identifier)
Esta función asigna el caso actual al usuario.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| usuario | {string} | Usuario/rol | Administrador, @Nivel1 | N/A |
| case_id | {string} | Identificador del caso para asignar al usuario | 234 | N/A |
| alert_identifier | {string} | Identificador de alerta para asignar al usuario | ad6879f1-b72d-419f-990c-011a2526b16d | Este valor se recupera durante el tiempo de ejecución de la acción. |
Devoluciones
NoneType
Comportamiento del resultado
El caso se asigna al usuario especificado.
Valor del resultado
Ninguno
attach_workflow_to_case
attach_workflow_to_case(workflow_name, cyber_case_id, indicator_identifier)
Adjunta una guía al caso.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| workflow_name | {string} | Nombre del flujo de trabajo | N/A | N/A |
| cyber_case_id | {string} | Identificador del caso | 234 | N/A |
| indicator_identifier | {string} | Identificador de alerta | ad6879f1-b72d-419f-990c-011a2526b16d | N/A |
Devoluciones
{string} Código de estado de la operación del servidor
Ejemplo
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
alert_identifier = "ad6879f1-b72d-419f-990c-011a2526b16d"
case_id = "234"
workflow_name = "Workflow 234"
siemplify.attach_workflow_to_case(workflow_name=workflow_name, cyber_case_id=case_id, indicator_identifier=alert_identifier)
Comportamiento del resultado
El flujo de trabajo 234 se adjuntará al caso 234.
Valor del resultado
Ninguno
batch_update_case_id_matches
batch_update_case_id_matches(case_id_matches)
Actualización por lotes de casos con los IDs de casos externos adecuados.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| case_id_matches | {list} | Lista de objetos SyncCaseIdMatch |
Devoluciones
{list} Es la lista de IDs de casos que se actualizaron correctamente.
change_case_priority
change_case_priority(priority, case_id, alert_identifier)
Cambiar la prioridad del caso
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| priority | {int} | Prioridad del caso que se cambiará | 40/60/80/100 | Consulta ApiSyncCasePriorityEnum. La asignación de prioridad: {"Low": 40, "Medium": 60, "High": 80, "Critical": 100} |
| case_id | {string} | Identificador del caso | 234 | N/A |
| alert_identifier | {string} | Identificador de alerta | ad6879f1-b72d-419f-990c-011a2526b16d | N/A |
Devoluciones
NoneType
Ejemplo
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
priority = 40
alert_identifier = "ad6879f1-b72d-419f-990c-011a2526b16d"
case_id = "234"
siemplify.change_case_priority(priority=priority, case_id=case_id, alert_identifier=alert_identifier)
Comportamiento del resultado
La prioridad del caso 234 cambia a 40, que se asigna a baja.
Valor del resultado
Ninguno
change_case_stage
change_case_stage(stage, case_id, alert_identifier)
Cambia la etapa del caso.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| de este proceso, | {string} | Es la etapa actual del caso. | Incidente | N/A |
| case_id | {string} | Identificador del caso | N/A | N/A |
| alert_identifier | {string} | Identificador de alerta | ad6879f1-b72d-419f-990c-011a2526b16d | N/A |
check_marketplace_status
check_marketplace_status()
Verifica el estado del mercado.
Si no hay errores, la función devuelve none. De lo contrario, se devuelve una excepción.
Parámetros
N/A
Devoluciones
Ninguno
close_alert
close_alert(root_cause, comment, reason, case_id, alert_id)
Esta función cierra la alerta actual. Es lo mismo que cerrar manualmente la alerta desde el resumen del caso. La función requiere el motivo del cierre, una causa raíz y un comentario, al igual que la alerta de cierre del caso.
Cerrar una alerta cierra el caso nuevo con una sola alerta.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| root_cause | {string} | Causa raíz del cierre del caso | N/A | N/A |
| comentario | {string} | Un comentario | N/A | N/A |
| Reason | {ApiSyncAlertCloseReasonEnum} | N/A | N/A | Consulta SiemplifyDataModel.ApiSyncAlertCloseReasonEnum |
| case_id | {string} | Es el identificador del caso en el que se encuentra la alerta. | 234 | N/A |
| alert_id | {string} | Identificador de la alerta que se cerrará | ad6879f1-b72d-419f-990c-011a2526b16d | N/A |
Devoluciones
{dict} resultado de la operación del servidor
close_case
close_case(root_cause, comment, reason, case_id, alert_identifier)
Cerrar un caso
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| root_cause | {string} | La causa raíz del cierre de un caso | N/A | N/A |
| comentario | {string} | Un comentario | N/A | N/A |
| Reason | {ApiSyncAlertCloseReasonEnum} | Motivo del cierre del caso | Consulta SiemplifyDataModel.ApiSyncAlertCloseReasonEnum | |
| case_id | {string} | Identificador del caso | 234 | N/A |
| alert_id | {string} | Identificador de alerta | ad6879f1-b72d-419f-990c-011a2526b16d | N/A |
create_case
create_case(case_info)
Esta función crea un caso con las alertas y los eventos que se incluyen en el diccionario case_info.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| case_info | {CaseInfo} | Objeto de información del caso | N/A | Ver SiemplifyConnectorsDataModel.CaseInfo |
Devoluciones
NoneType
Comportamiento del resultado
Se crea el caso con los datos proporcionados.
Valor del resultado
Ninguno
create_case_insight_internal
create_case_insight_internal(case_id, alert_identifier, triggered_by, title, content, entity_identifier, severity, insight_type, additional_data=None, additional_data_type=None, additional_data_title=None, original_requesting_user=None, entity_type=None)
Agrega una estadística.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| case_id | {string} | Identificador del caso | 234 | N/A |
| alert_identifier | {string} | Identificador de alerta | ad6879f1-b72d-419f-990c-011a2526b16d | N/A |
| triggered_by | {string} | Nombre de la integración | N/A | N/A |
| título | {string} | Título de la estadística | N/A | N/A |
| contenido | {string} | Mensaje de la estadística | N/A | N/A |
| entity_identifier | {string} | Identificador de entidad | N/A | N/A |
| gravedad, | {int} | Identificador de gravedad | 0 = info, 1 = warning, 2 = error |
N/A |
| insight_type | {int} | Tipo de estadística | 0 = general, 1 = entidad |
N/A |
| additional_data | N/A | N/A | N/A | N/A |
| additional_data_type | N/A | N/A | N/A | N/A |
| additional_data_title | N/A | N/A | N/A | N/A |
| original_requesting_user | N/A | N/A | N/A | N/A |
| entity_type | {string} | Tipo de entidad | "ADDRESS" | N/A |
Devoluciones
{boolean} True si se completó correctamente.
create_connector_package
create_connector_package(connector_package)
Crea un paquete de conector en el sistema.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| connector_package | {string} | Paquete del conector como un JSON | N/A | N/A |
dismiss_alert
dismiss_alert(alert_group_identifier, should_close_case_if_all_alerts_were_dismissed, case_id)
end
end(message, result_value, execution_state=0)
Finaliza el script.
No se ejecuta ningún otro código después de la función end().
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| mensaje | {string} | Mensaje de salida que se mostrará al cliente | Se completó la acción | N/A |
| result_value | {int/string/dict} | Valor que se muestra | N/A | N/A |
| execution_state | {int} | Indicador del estado de la acción actual. Se usa principalmente en acciones asíncronas para marcar si la acción se completó o no. | 0 (EXECUTION_STATE_COMPLETED), 1 (EXECUTION_STATE_INPROGRESS), 2 (EXECUTION_STATE_FAILED), 3 (EXECUTION_STATE_TIMEDOUT) |
El valor predeterminado es 0. |
Devoluciones
Devuelve los datos del resultado al proceso host.
end_script
end_script()
escalate_case
escalate_case(comment, case_id, alert_identifier)
Derivar un caso
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| comentario | {string} | Derivar comentario | N/A | N/A |
| case_id | {string} | Identificador del caso | 234 | N/A |
| alert_identifier | {string} | Identificador de alerta | ad6879f1-b72d-419f-990c-011a2526b16d | N/A |
extract_configuration_param
extract_configuration_param(provider_name, param_name, default_value=None, input_type=<class 'str'>, is_mandatory=False, print_value=False)
Obtiene un parámetro de configuración de la instancia de integración.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| provider_name | {string} | Nombre de la integración | N/A | N/A |
| param_name | {string} | Nombre del parámetro | N/A | N/A |
| default_value | {any} | Si no se pasa el parámetro, usa este valor de forma predeterminada. | N/A | Ninguno de forma predeterminada (opcional) |
| input_type | {obj} | Convertir el parámetro a un tipo diferente | N/A | Por ejemplo, int. str de forma predeterminada (opcional) |
| is_mandatory | {bool} | Genera una excepción si el parámetro está vacío. | N/A | False de forma predeterminada (opcional) |
| print_value | {bool} | Imprime el valor en el registro | N/A | False de forma predeterminada (opcional) |
Devoluciones
Valor del parámetro (cadena de forma predeterminada), a menos que se especifique input_type.
static generate_serialized_object
generate_serialized_object(object_filter)
get_agent_by_id
get_agent_by_id(agent_id)
Obtiene los detalles del agente por ID.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| agent_id | {str} | ID del agente | N/A | N/A |
Devoluciones
{dict} Detalles del publicador
get_alerts_ticket_ids_from_cases_closed_since_timestamp
get_alerts_ticket_ids_from_cases_closed_since_timestamp(timestamp_unix_ms, rule_generator)
Recibe alertas de los casos que se cerraron desde la marca de tiempo.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| timestamp_unix_ms | {long} | Marca de tiempo | 1550409785000L | N/A |
| rule_generator | {string} | N/A | "Detector de correos electrónicos de phishing" | N/A |
Devoluciones
{list} alertas
get_attachment
get_attachment(attachment_id)
Obtiene datos adjuntos por identificador.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| attachment_id | {string} | Identificador del archivo adjunto | N/A | N/A |
Devoluciones
Datos adjuntos de {BytesIO}
get_attachments
get_attachments(case_id)
Obtén los archivos adjuntos del caso.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| case_id | {string} | Identificador del caso | 234 | N/A |
Devoluciones
{dict} archivos adjuntos
Valor del resultado
[{"is_favorite": False, "description": "", "type": ".txt", "id": 1, "name":
"test.py"}]
get_case_by_id
get_case_by_id(case_id)
Obtén un caso con su ID.
Esta función interactúa con el siguiente endpoint:
external/v1/sdk/CaseFullDetails
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| case_id | {[string]} | ID del caso | N/A | N/A |
Devoluciones
Datos del caso de {dict}.
get_case_closure_details
get_case_closure_details(case_id_list)
Obtén detalles sobre el cierre del caso.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| case_id_list | {[string]} | Lista de IDs de casos | N/A | N/A |
Devoluciones
Lista {[dict]} de diccionarios que contiene detalles sobre el cierre del caso.
Valor del resultado
[{'case_closed_action_type': 1, 'reason': NotMalicious', 'root_cause':
'Other'}]
Para el parámetro case_closed_action_type, los valores posibles son los siguientes:
- 0 = Automático
- 1 = Manual
get_case_comments
get_case_comments(case_id)
Esta función obtiene los comentarios del caso proporcionado.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| case_id | {string} | Identificador del caso | 234 | N/A |
Devoluciones
Lista
Ejemplo
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
siemplify.get_case_comments(case_id)
Comportamiento del resultado
Se recuperarán todos los comentarios pertenecientes al caso.
Valor del resultado
[
{
u 'comment': u 'Test',
u 'case_id': 10085,
u 'is_favorite': False,
u 'alert_identifier': None,
u 'creator_user_id': u 'Admin',
u 'type': 5,
u 'id': 1,
u 'modification_time_unix_time_in_ms': 1563272078332L
}, {
u 'comment': u 'jhfksdh',
u 'case_id': 10085,
u 'is_favorite': False,
u 'alert_identifier': None,
u 'creator_user_id': u 'Admin',
u 'type': 5,
u 'id': 2,
u 'modification_time_unix_time_in_ms': 1563272079941L
}, {
u 'comment': u 'kjfhsdm',
u 'case_id': 10085,
u 'is_favorite': False,
u 'alert_identifier': None,
u 'creator_user_id': u 'Admin',
u 'type': 5,
u 'id': 3,
u 'modification_time_unix_time_in_ms': 1563272080598L
}
]
get_case_tasks
get_case_tasks(case_id)
Recupera todas las tareas por ID de caso.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| case_id | {int/str} | ID del caso | 234 | La función puede recibir int o str. |
Devoluciones
{[Task]} la lista de objetos de tareas que pertenecen al caso.
Consulta SiemplifyDataModel.Task.
get_cases_by_filter
get_cases_by_filter(environments=None, analysts=None, statuses=None, case_names=None, tags=None, priorities=None, stages=None, case_types=None, products=None, networks=None, ticked_ids_free_search='', case_ids_free_search='', wall_data_free_search='', entities_free_search='', start_time_unix_time_in_ms=-1, end_time_unix_time_in_ms=-1)
Obtiene casos según los filtros solicitados.
*caseFilterValue* object - { 'Title':'Merged Case', 'Value': 'Merged', 'Title':'Involved Suspicious Entity', 'Value': 'InvolvedSuspiciousEntity', 'Title':'Manual', 'Value': 'Manual', 'Title':'Simulated Alerts', 'Value': 'Simulated',}
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| entornos | {[string]} | Lista de nombres de entornos (entorno) | N/A | Si no se proporcionan entornos, se usa None (opcional). |
| analistas | {[string]} | Lista de nombres de los analistas (usuario o rol asignado al caso) | N/A | Si no se proporciona ningún analista, se usa None (opcional). |
| estados | {[int]} | Lista de estados por los que se puede filtrar | N/A | Consulta ApiSyncCaseStatusEnum. Si no se proporcionan estados, se usa None (opcional). |
| case_names | {[string]} | Lista de nombres de casos | N/A | Si no se proporciona ningún case_names, se usa None (opcional). |
| etiquetas | {[string]} | Lista de etiquetas de casos | N/A | Si no se proporcionan etiquetas, se usa None (opcional). |
| prioridades | {[int]} | Lista de prioridades | Consulta ApiSyncAlertPriorityEnum. Si no se proporciona ninguna prioridad, se usa None (opcional). |
|
| etapas | {list} | Lista de etapas (objeto caseFilterValue) | N/A | Si no se proporcionan etapas, se usa None (opcional). |
| case_types | {list} | Lista de tipos de objetos (objeto caseFilterValue) | N/A | Estos son los valores válidos: de
Si no se proporciona ningún |
| productos | {list} | Lista de productos (objeto caseFilterValue) | N/A | Si no se proporcionan productos, se usa None (opcional). |
| redes | {list} | Lista de redes (objeto caseFilterValue) | N/A | Si no se proporcionan redes, se usa None (opcional). |
| ticked_ids_free_search | {string} | Identificador del ticket | N/A | Si no se proporciona, el valor predeterminado es "" (opcional). |
| case_ids_free_search | {string} | Identificador del caso | N/A | Si no se proporciona, el valor predeterminado es "" (opcional). |
| wall_data_free_search | {string} | Cadena de búsqueda | N/A | Si no se proporciona, el valor predeterminado es "" (opcional). |
| entities_free_search | {string} | Identificador de entidad | N/A | Si no se proporciona, el valor predeterminado es "" (opcional). |
| start_time_unix_time_in_ms | {long} | N/A | N/A | Valor predeterminado -1 (opcional) |
| end_time_unix_time_in_ms | {long} | N/A | N/A | Valor predeterminado -1 (opcional) |
Devoluciones
Case_ids ''
get_cases_by_ticket_id
get_cases_by_ticket_id(ticket_id)
Obtiene un caso por identificador de ticket.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| ticket_id | {string} | Identificador del ticket | N/A | N/A |
Devoluciones
Lista de IDs de casos {[int]}.
get_cases_ids_by_filter
get_cases_ids_by_filter(status, start_time_from_unix_time_in_ms=None, start_time_to_unix_time_in_ms=None, close_time_from_unix_time_in_ms=None, close_time_to_unix_time_in_ms=None, update_time_from_unix_time_in_ms=None, update_time_to_unix_time_in_ms=None, operator=None, sort_by='START_TIME', sort_order='DESC', max_results=1000)
Obtiene los IDs de los casos por filtro.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| estado | {str} | Estado del caso que se recuperará | 'OPEN', 'CLOSE', 'BOTH' | N/A |
| start_time_from_unix_time_in_ms | {int} | Rango inclusivo de la fecha y hora de inicio del caso | N/A | El valor predeterminado es 30 días antes (opcional). |
| start_time_to_unix_time_in_ms | {int} | Rango inclusivo de la fecha y hora de finalización del caso | N/A | El valor predeterminado es la hora actual (opcional). |
| close_time_from_unix_time_in_ms | {int} | Intervalo de inicio de la hora de cierre del caso (inclusive) | N/A | El valor predeterminado es 30 días antes (opcional). |
| close_time_to_unix_time_in_ms | {int} | Es el rango inclusivo de la fecha y hora de cierre del caso. | N/A | El valor predeterminado es la hora actual (opcional). |
| update_time_from_unix_time_in_ms | {int} | Es el rango de inicio de la hora de modificación del caso, inclusive. | N/A | La opción predeterminada es la hora de inicio (opcional). |
| update_time_to_unix_time_in_ms | {int} | Intervalo de fecha y hora de finalización de la modificación del caso (inclusive) | N/A | El valor predeterminado es la hora actual (opcional). |
| operador | {str} | Operador para filtros de tiempo | OR, AND | Opcional |
| sort_by | {str} | Cómo ordenar los resultados por hora | START_TIME, UPDATE_TIME, CLOSE_TIME | Opcional |
| sort_order | {str} | Ordenar por | ASC, DESC | El orden predeterminado es descendente (opcional). |
| max_results | {int} | Cantidad máxima de resultados que se devolverán | N/A | El valor predeterminado es 1,000 y el valor máximo es 10,000 (opcional). |
get_configuration
get_configuration(provider, environment, integration_instance)
Obtiene la configuración de la integración.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| proveedor | {string} | Nombre de la integración | "VirusTotal" | N/A |
| entorno | {string} | Configuración para un entorno específico o "todos" | N/A | N/A |
| integration_instance | {string} | Identificador de la instancia de integración | N/A | N/A |
Devoluciones
Son los detalles de configuración de {dict}.
get_configuration_by_provider
get_configuration_by_provider(identifier)
Obtiene la configuración de la integración.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| proveedor | {string} | Nombre de la integración | "VirusTotal" | N/A |
Devoluciones
Detalles de configuración {dict}
get_existing_custom_list_categories
get_existing_custom_list_categories()
Obtén todas las categorías de listas personalizadas existentes.
Esta función devuelve un objeto de lista de todas las categorías en la configuración de CustomList, independientemente de los entornos.
Parámetros
N/A
Devoluciones
Lista {[unicode]} de tipo Unicode con categorías existentes.
Ejemplo
from SiemplifyAction import SiemplifyAction siemplify = SiemplifyAction() result = siemplify.get_existing_custom_list_categories()
Comportamiento del resultado
Se muestra una lista de todas las listas personalizadas existentes.
Valor del resultado
["DenyListed IPs", "AllowListed HOSTs"]
get_external_configuration
get_external_configuration(config_provider, config_name)
Obtiene la configuración de la integración externa.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| config_provider | {string} | N/A | N/A | N/A |
| config_name | {string} | N/A | N/A | N/A |
get_integration_version
get_integration_version(integration_identifier)
Obtiene una versión de integración.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| integration_identifier | {string} | Identificador de integración | N/A | N/A |
Devoluciones
Versión de integración {float}
get_publisher_by_id
get_publisher_by_id(publisher_id)
Obtiene los detalles del publicador por ID.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| publisher_id | {string} | ID del publicador | N/A | N/A |
Devoluciones
{dict} Detalles del publicador
get_remote_connector_keys_map
get_remote_connector_keys_map(publisher_id)
Obtiene las claves de encriptación de los conectores remotos por ID de publicador.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| publisher_id | {string} | ID del publicador | N/A | N/A |
Devoluciones
{dict} Mapa de claves
get_similar_cases
get_similar_cases(case_id, ports_filter, category_outcome_filter, rule_generator_filter, entity_identifiers_filter, start_time_unix_ms, end_time_unix_ms)
Obtener casos similares
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| case_id | {string} | Identificador del caso | 234 | N/A |
| ports_filter | {boolean} | Filtro de puerto de uso verdadero/falso | Verdadero/Falso | N/A |
| category_outcome_filter | {boolean} | Filtro de categoría de uso verdadero/falso | Verdadero/Falso | N/A |
| rule_generator_filter | {boolean} | Filtro True/False use rule_generator | Verdadero/Falso | N/A |
| entity_identifiers_filter | {boolean} | Uso de True/False del filtro entity_identifiers | Verdadero/Falso | N/A |
| start_time_unix_ms | N/A | N/A | N/A | N/A |
| end_time_unix_ms | N/A | N/A | N/A | N/A |
Devoluciones
{dict}
get_sync_alerts
get_sync_alerts(alert_group_ids)
Recupera la información de las alertas necesaria para la sincronización de los sistemas.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| alert_group_ids | {list} | Lista de IDs de grupos de alertas que se recuperarán | N/A | N/A |
Devoluciones
Lista {[SyncAlert]} de objetos SyncAlert.
get_sync_cases
get_sync_cases(case_ids)
Recupera la información del caso necesaria para la sincronización de sistemas.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| case_ids | {list} | Lista de IDs de casos que se recuperarán | N/A | N/A |
Devoluciones
{[SyncCase]} Es una lista de objetos SyncCase.
get_system_info
get_system_info(start_time_unixtime_ms)
get_system_version
get_system_version()
Obtiene la versión actual de Google Security Operations SOAR.
Parámetros
N/A
Devoluciones
{string} Versión actual de Google Security Operations SOAR
get_temp_folder_path
get_temp_folder_path()
Obtiene la ruta de acceso a la carpeta temporal.
Parámetros
N/A
Devoluciones
{string} Ruta de acceso a la carpeta temporal
get_ticket_ids_for_alerts_dismissed_since_timestamp
get_ticket_ids_for_alerts_dismissed_since_timestamp(timestamp_unix_ms)
get_updated_sync_alerts_metadata
get_updated_sync_alerts_metadata(start_timestamp_unix_ms, count, allowed_environments=None, vendor=None)
Recupera los metadatos actualizados de las alertas supervisadas.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| start_timestamp_unix_ms | {long} | Buscar alertas actualizadas a partir delstart_timestamp_unix_ms o posterior |
N/A | Si end_timestamp_unix_ms es None,la hora de finalización es la hora de la solicitud. |
| count | {int} | Es la cantidad máxima de IDs de grupos de alertas que se pueden recuperar. | N/A | N/A |
| allowed_environments | {[string]} | Entornos en los que se realizará la búsqueda | N/A | Si allowed_environments es None,busca en todos los entornos |
| vendor | {string} | Cómo filtrar las alertas por proveedor | N/A | N/A |
Devoluciones
{[SyncAlertMetadata]} Lista de objetos SyncAlertMetadata, ordenados por SyncAlertMetadata.tracking_time.
get_updated_sync_cases_metadata
get_updated_sync_cases_metadata(start_timestamp_unix_ms, count, allowed_environments=None, vendor=None)
Recupera los metadatos actualizados de los casos supervisados.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| start_timestamp_unix_ms | {long} | Buscar casos actualizados a partir delstart_timestamp_unix_ms o posterior |
N/A | Si end_timestamp_unix_ms es None,la hora de finalización será la hora de la solicitud. |
| count | {int} | Cantidad máxima de IDs de casos para recuperar | N/A | N/A |
| allowed_environments | {[string]} | Entornos en los que se realizará la búsqueda | N/A | Si allowed_environments es None,busca en todos los entornos |
| vendor | {string} | Devuelve solo los casos con alertas originadas en vendor |
N/A | N/A |
Devoluciones
{[SyncCaseMetadata]} Lista de objetos SyncCaseMetadata, ordenados por SyncCaseMetadata.tracking_time.
init_proxy_settings
init_proxy_settings()
Parámetros
N/A
is_existing_category
is_existing_category(category)
Comprueba si existe la categoría especificada.
Dado un nombre de categoría, esta función devuelve True (booleano) si la cadena del nombre de categoría exacto se define como una categoría en la configuración de CustomList.
Esta función ignora el entorno y devuelve True si el elemento existe; de lo contrario, devuelve False.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| category | {string} | Categoría para verificar si existe | "IPs en la lista de bloqueo" | N/A |
Devoluciones
{bool} Es verdadero si la categoría existe y falso en caso contrario.
Ejemplo 1
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
result = siemplify.is_existing_category("WhiteListed HOSTs")
Ejemplo 2
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
result = siemplify.is_existing_category("SpecialHosts")
Comportamiento del resultado
El resultado del código de ejemplo 1 devuelve True, y el resultado del código de ejemplo 2 devuelve False.
Valor del resultado
Verdadero o falso
mark_case_as_important
mark_case_as_important(case_id, alert_identifier)
Esta función marca el caso actual con el identificador de alerta determinado como importante.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| case_id | {string} | Identificador del caso | 234 | N/A |
| alert_identifier | {string} | Identificador de alerta | ad6879f1-b72d-419f-990c-011a2526b16d | N/A |
Devoluciones
NoneType
Ejemplo
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
alert_identifier = "ad6879f1-b72d-419f-990c-011a2526b16d"
case_id = "234"
siemplify.mark_case_as_important(case_id=case_id, alert_identifier=alert_identifier)
Comportamiento del resultado
El caso con el identificador de alerta proporcionado se marca como importante.
Valor del resultado
Ninguno
raise_incident
raise_incident(case_id, alert_identifier)
Esta función genera el caso actual con el identificador de alerta como incidente.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| case_id | {string} | Identificador del caso | 234 | N/A |
| alert_identifier | {string} | Identificador de alerta | ad6879f1-b72d-419f-990c-011a2526b16d | N/A |
Devoluciones
NoneType
Ejemplo
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
alert_identifier = "ad6879f1-b72d-419f-990c-011a2526b16d"
case_id = "234"
siemplify.raise_incident(case_id=case_id, alert_identifier=alert_identifier)
Comportamiento del resultado
El caso 234 se registrará como incidente.
Valor del resultado
Ninguno
remove_entities_from_custom_list
remove_entities_from_custom_list(custom_list_items)
Quita las entidades de la lista personalizada con la categoría determinada.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| custom_list_items | {[CustomList]} | Es una lista de elementos de la lista personalizada. | N/A | N/A |
Devoluciones
Lista {[CustomList]} de objetos CustomList quitados.
remove_temp_folder
remove_temp_folder()
Borra la carpeta temporal y sus subcarpetas.
Parámetros
N/A
Resultado de propiedad
send_system_notification
send_system_notification(message, message_id='SDK_CUSTOM_NOTIFICATION')
Envía una notificación del sistema con un ID de mensaje opcional.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| mensaje | {string} | Mensaje de notificación | N/A | N/A |
| message_id | {string} | Identificador del mensaje de notificación | N/A | N/A |
send_system_notification_message
send_system_notification_message(message, message_id)
Ejemplo
Comportamiento del resultado
Valor del resultado
set_alert_sla
set_alert_sla(period_time, period_type, critical_period_time, critical_period_type, case_id, alert_identifier)
Establece el ANS del alert_identifier determinado de case_id. El SLA que se establece con esta API debe superar todos los demás tipos de SLA de alertas.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| period_time | {int/str} | Representa el período total del ANS. | N/A | period_time > 0 |
| period_type | {str} | Unidades de tiempo de period_time, representadas por ApiPeriodTypeEnum |
N/A | N/A |
| critical_period_time | {int/str} | Representa el período crítico del ANS. | N/A | critical_period_time >= 0 El período crítico (después de ajustarlo con sus unidades de tiempo) debe ser menor que el período total. |
| critical_period_type | {str} | Unidades de tiempo de critical_period_time, representadas por ApiPeriodTypeEnum |
N/A | N/A |
| case_id | {long} | Identificador del caso | N/A | N/A |
| alert_identifier | {str} | Identificador de alerta | N/A | N/A |
set_case_sla
set_case_sla(period_time, period_type, critical_period_time, critical_period_type, case_id)
Establece el ANS del case_id determinado. El SLA que se establece con esta API debe superar todos los demás tipos de SLA de casos.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| period_time | {int/string} | Representa el período total del ANS. | N/A | period_time > 0 |
| period_type | {string} | Unidades de tiempo de period_time, representadas por ApiPeriodTypeEnum |
N/A | N/A |
| critical_period_time | {int/string} | Representa el período crítico del ANS. | N/A | critical_period_time >= 0 El período crítico (después de ajustarlo con sus unidades de tiempo) debe ser menor que el período total. |
| critical_period_type | {string} | Unidades de tiempo de critical_period_time, representadas por ApiPeriodTypeEnum |
N/A | N/A |
| case_id | {long} | Identificador del caso | 234 | N/A |
update_alerts_additional_data
update_alerts_additional_data(case_id, alerts_additional_data)
Actualiza los datos adicionales de las alertas.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| case_id | {string} | Identificador del caso | 234 | N/A |
| alerts_additional_data | {dict} | Datos adicionales de la alerta | N/A | N/A |
update_entities
update_entities(updated_entities)
Esta función actualiza entidades.
Parámetros
| Nombre del parámetro | Tipo de parámetro | Definición | Valores posibles | Comentarios |
|---|---|---|---|---|
| updated_entities | {[{string:string}]} | N/A | N/A | N/A |
Devoluciones
NoneType
Comportamiento del resultado
Con el alcance, la alerta seleccionada agrega entidades nuevas si aún no están presentes.
Valor del resultado
Ninguno