Module Siemplify
class Siemplify.Siemplify
Bases : SiemplifyBase
Points de terminaison : external/v1/sdk/CaseFullDetails
add_agent_connector_logs
add_agent_connector_logs(agent_id, connector_id, logs_package)
Ajoutez les journaux du connecteur connector_id de l'agent distant.
Paramètres
| Nom du paramètre | Type de paramètre | Définition | Valeurs possibles | Commentaires |
|---|---|---|---|---|
| agent_id | {string} | Identifiant de l'agent | N/A | N/A |
| connector_id | {string} | Identifiant de l'instance de connecteur | N/A | N/A |
| logs_package | {dict} | ConnectorLogPackage | N/A | N/A |
add_attachment
add_attachment(file_path, case_id, alert_identifier, description=None, is_favorite=False)
Cette fonction ajoute une entrée au mur de la fiche avec une pièce jointe (qui peut ensuite être téléchargée depuis le client sur l'ordinateur local de l'utilisateur). Cette fonction est essentiellement la même que celle permettant d'ajouter des pièces justificatives (en bas de l'écran "Aperçu de la demande").
Paramètres
| Nom du paramètre | Type de paramètre | Définition | Valeurs possibles | Commentaires |
|---|---|---|---|---|
| file_path | {string} | Chemin d'accès au fichier | Tout chemin accessible | Un chemin d'accès peut également être un emplacement distant. Vous devez disposer des autorisations de lecture pour ce fichier |
| case_id | {string} | Identifiant de la demande | ID d'une demande à laquelle ajouter la pièce jointe sur son mur | La valeur par défaut est la demande en cours. |
| alert_identifier | {string} | Identifiant de l'alerte | Chaîne d'identifiant de l'alerte à laquelle vous souhaitez associer la pièce jointe | La valeur par défaut est l'alerte en cours d'exécution. |
| description | {string} | Description de la pièce jointe | N'importe quelle chaîne | Aucune par défaut. Paramètre facultatif. |
| is_favorite | {boolean} | Pièce jointe ajoutée aux favoris | Vrai/Faux | False par défaut.Paramètre facultatif. |
Renvoie
{long} attachment_id
Exemple
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
siemplify.add_attachment(r'C:/temp/investigation.txt', description='Deep investigation report by TIER3 team', is_favorite=True)
Comportement des résultats
Dans cet exemple, nous allons importer le fichier investigation.txt depuis C:/temp sur la machine locale (le serveur lui-même) vers le mur de la demande. Un commentaire sera ajouté à cette entrée sur le mur de la demande, avec la chaîne dans la description. L'option is_favorite était définie sur True. Cette nouvelle entrée sera donc également marquée comme favorite.
add_comment
add_comment(comment, case_id, alert_identifier)
Ajoutez un commentaire à la demande spécifique.
Paramètres
| Nom du paramètre | Type de paramètre | Définition | Valeurs possibles | Commentaires |
|---|---|---|---|---|
| commentaire | {string} | Commentaire à ajouter à un mur de cas | "Les événements de cette alerte semblent suspects" | Commentaires liés à la demande |
| case_id | {string} | Identifiant de la demande | 234 | ND |
| alert_identifier | {string} | Identifiant de l'alerte | ad6879f1-b72d-419f-990c-011a2526b16d | ND |
Renvoie
NoneType
Exemple
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
add_comment = "This alert is important"
alert_identifier = "ad6879f1-b72d-419f-990c-011a2526b16d"
case_id = "234"
siemplify.add_comment(comment, case_id, alert_identifier)
Comportement des résultats
Le commentaire fourni est ajouté à la demande 234.
Result value
Aucun
add_entities_to_custom_list
add_entities_to_custom_list(custom_list_items)
Ajoutez la liste personnalisée fournie avec les entités ajoutées à la liste personnalisée.
Paramètres
| Nom du paramètre | Type de paramètre | Définition | Valeurs possibles | Commentaires |
|---|---|---|---|---|
| custom_list_items | {string} | Liste d'éléments de liste personnalisés | N/A | N/A |
Renvoie
{[CustomList]} une liste avec l'élément de liste personnalisé ajouté.
Comportement des résultats
L'entité est ajoutée à une catégorie de liste personnalisée.
add_entity_insight
add_entity_insight(domain_entity_info, message, case_id, alert_id)
Ajoutez un insight d'entité.
Paramètres
| Nom du paramètre | Type de paramètre | Définition | Valeurs possibles | Commentaires |
|---|---|---|---|---|
| domain_entity_info | {string} | Identifiant d'entité | "192.0.2.1" | {DomainEntityInfo} |
| message | {string} | Message d'insight | Ceci est un exemple de DNS | N/A |
| case_id | {string} | Identifiant de la demande à ajouter à un insight sur une entité | 234 | N/A |
| alert_id | {string} | Identifiant de l'alerte à ajouter à un insight sur une entité | ad6879f1-b72d-419f-990c-011a2526b16d | N/A |
Renvoie
{boolean} True en cas de réussite
Exemple
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
entity = "192.0.2.1"
alert_identifier = "ad6879f1-b72d-419f-990c-011a2526b16d"
case_id = "234"
siemplify.add_entity_insight(domain_entity_info=entity, message=message, case_id=case_id, alert_id=alert_identifier)
Comportement des résultats
Le message donné est ajouté en tant qu'insight à l'entité 192.0.2.1 de l'identifiant d'alerte donné dans la demande 234.
Result value
Vrai.
"False" si l'insight n'est pas ajouté.
add_entity_to_case
add_entity_to_case(case_id, alert_identifier, entity_identifier, entity_type, is_internal, is_suspicious, is_enriched, is_vulnerable, properties, environment)
Ajoutez une entité à la demande.
Paramètres
| Nom du paramètre | Type de paramètre | Définition | Valeurs possibles | Commentaires |
|---|---|---|---|---|
| case_id | {string} | Identifiant de la demande | 234 | N/A |
| alert_identifier | {string} | Identifiant de l'alerte | ad6879f1-b72d-419f-990c-011a2526b16d | N/A |
| entity_identifier | {string} | Identifiant d'entité | 192.0.2.1, example.com | N/A |
| entity_type | {string} | Type d'entité de l'identifiant d'entité | "ADDRESS" | N/A |
| is_internal | {boolean} | N/A | Vrai/Faux | N/A |
| is_suspicious | {boolean} | N/A | Vrai/Faux | |
| is_enriched | {boolean} | N/A | Vrai/Faux | Faux par défaut |
| is_vulnerable | {boolean} | N/A | Vrai/Faux | Faux par défaut |
| du bucket | {dict} | Propriété de l'entité | {"property":"value"} | N/A |
| de test | {string} | L'un des environnements définis | Exemple d'environnement | N/A |
Renvoie
NoneType
Exemple
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
case_id = "234"
alert_identifier = "ad6879f1-b72d-419f-990c-011a2526b16d"
entity = "192.0.2.1"
entity_type = "ADDRESS"
properties = {"property": "value"}
siemplify.add_entity_to_case(case_id=case_id,
alert_identifier = alert_identifier,
entity_identifier = entity,
entity_type = entity_type,
is_internal = True,
is_suspicious = False,
is_enriched = False,
is_vulnerable = False,
properties = properties,
environment=None)
Comportement des résultats
L'entité avec les informations fournies sera ajoutée à l'alerte donnée dans la demande 234.
Result value
Aucun
add_or_update_case_task
add_or_update_case_task(task)
Ajoutez ou mettez à jour une demande de tâche : mettez-la à jour si un ID de tâche existe, ajoutez-la (créez-la) dans le cas contraire.
Paramètres
| Nom du paramètre | Type de paramètre | Définition | Valeurs possibles | Commentaires |
|---|---|---|---|---|
| opération | {Task} | Objet de tâche à ajouter à la demande ou à mettre à jour | N/A | N/A |
Renvoie
{int} : ID de la tâche créée ou modifiée.
add_tag
add_tag(tag, case_id, alert_identifier)
Ajoutez un tag à une demande spécifique.
Paramètres
| Nom du paramètre | Type de paramètre | Définition | Valeurs possibles | Commentaires |
|---|---|---|---|---|
| tag | {string} | Tag à ajouter | N/A | N/A |
| case_id | {string} | Identifiant de la demande | 234 | N/A |
| alert_identifier | {string} | Identifiant de l'alerte | ad6879f1-b72d-419f-990c-011a2526b16d | N/A |
any_entity_in_custom_list
any_entity_in_custom_list(custom_list_items)
Vérifiez si une entité de la liste donnée possède un enregistrement de liste personnalisée avec la catégorie donnée.
Paramètres
| Nom du paramètre | Type de paramètre | Définition | Valeurs possibles | Commentaires |
|---|---|---|---|---|
| custom_list_items | {[CustomList]} | Liste des éléments de liste personnalisés à vérifier pour les entités | N/A | N/A |
Renvoie
{boolean} True si une entité est trouvée, False sinon.
Result value
Vrai ou faux
assign_case
assign_case(user, case_id, alert_identifier)
Cette fonction attribue la demande en cours à l'utilisateur.
Paramètres
| Nom du paramètre | Type de paramètre | Définition | Valeurs possibles | Commentaires |
|---|---|---|---|---|
| utilisateur | {string} | Utilisateur/Rôle | Admin, @Tier1 | N/A |
| case_id | {string} | Identifiant de la demande pour attribuer l'utilisateur | 234 | N/A |
| alert_identifier | {string} | Identifiant de l'alerte à attribuer à l'utilisateur | ad6879f1-b72d-419f-990c-011a2526b16d | Cette valeur est récupérée lors de l'exécution de l'action. |
Renvoie
NoneType
Comportement des résultats
La demande est attribuée à l'utilisateur spécifié.
Result value
Aucun
attach_workflow_to_case
attach_workflow_to_case(workflow_name, cyber_case_id, indicator_identifier)
Joignez un playbook à la demande.
Paramètres
| Nom du paramètre | Type de paramètre | Définition | Valeurs possibles | Commentaires |
|---|---|---|---|---|
| workflow_name | {string} | Nom du workflow | N/A | N/A |
| cyber_case_id | {string} | Identifiant de la demande | 234 | N/A |
| indicator_identifier | {string} | Identifiant de l'alerte | ad6879f1-b72d-419f-990c-011a2526b16d | N/A |
Renvoie
Code d'état {string} de l'opération du serveur
Exemple
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
alert_identifier = "ad6879f1-b72d-419f-990c-011a2526b16d"
case_id = "234"
workflow_name = "Workflow 234"
siemplify.attach_workflow_to_case(workflow_name=workflow_name, cyber_case_id=case_id, indicator_identifier=alert_identifier)
Comportement des résultats
Le workflow 234 sera associé à la demande 234.
Result value
Aucun
batch_update_case_id_matches
batch_update_case_id_matches(case_id_matches)
Mise à jour groupée des demandes avec les ID de demande externes appropriés.
Paramètres
| Nom du paramètre | Type de paramètre | Définition | Valeurs possibles | Commentaires |
|---|---|---|---|---|
| case_id_matches | {list} | Liste d'objets SyncCaseIdMatch |
Renvoie
{list} Liste des numéros de demande qui ont été modifiés avec succès.
change_case_priority
change_case_priority(priority, case_id, alert_identifier)
Modifier la priorité d'une demande.
Paramètres
| Nom du paramètre | Type de paramètre | Définition | Valeurs possibles | Commentaires |
|---|---|---|---|---|
| priorité | {int} | Priorité de la demande à modifier | 40/60/80/100 | Consultez ApiSyncCasePriorityEnum. The priority mapping: {"Low": 40, "Medium": 60, "High": 80, "Critical": 100} |
| case_id | {string} | Identifiant de la demande | 234 | N/A |
| alert_identifier | {string} | Identifiant de l'alerte | ad6879f1-b72d-419f-990c-011a2526b16d | N/A |
Renvoie
NoneType
Exemple
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
priority = 40
alert_identifier = "ad6879f1-b72d-419f-990c-011a2526b16d"
case_id = "234"
siemplify.change_case_priority(priority=priority, case_id=case_id, alert_identifier=alert_identifier)
Comportement des résultats
La priorité de la demande 234 est remplacée par la valeur 40, qui correspond à une priorité basse.
Result value
Aucun
change_case_stage
change_case_stage(stage, case_id, alert_identifier)
Modifier l'étape de traitement de la demande.
Paramètres
| Nom du paramètre | Type de paramètre | Définition | Valeurs possibles | Commentaires |
|---|---|---|---|---|
| étape | {string} | État actuel de la demande. | Incident | N/A |
| case_id | {string} | Identifiant de la demande | N/A | N/A |
| alert_identifier | {string} | Identifiant de l'alerte | ad6879f1-b72d-419f-990c-011a2526b16d | N/A |
check_marketplace_status
check_marketplace_status()
Vérifiez l'état de la place de marché.
Si aucune erreur n'est détectée, la fonction renvoie none. Dans le cas contraire, une exception est renvoyée.
Paramètres
N/A
Renvoie
Aucun
close_alert
close_alert(root_cause, comment, reason, case_id, alert_id)
Cette fonction ferme l'alerte actuelle. Cela revient à fermer manuellement l'alerte dans la vue d'ensemble des cas. La fonction nécessite la raison de la clôture, une cause première et un commentaire, tout comme l'alerte de clôture de la demande.
Fermer une alerte ferme la nouvelle demande qui ne comporte qu'une seule alerte.
Paramètres
| Nom du paramètre | Type de paramètre | Définition | Valeurs possibles | Commentaires |
|---|---|---|---|---|
| root_cause | {string} | Cause de la clôture du cas | N/A | N/A |
| commentaire | {string} | Un commentaire | N/A | N/A |
| reason | {ApiSyncAlertCloseReasonEnum} | N/A | N/A | Consultez SiemplifyDataModel.ApiSyncAlertCloseReasonEnum. |
| case_id | {string} | Identifiant de la demande à laquelle l'alerte est associée | 234 | N/A |
| alert_id | {string} | Identifiant de l'alerte à fermer | ad6879f1-b72d-419f-990c-011a2526b16d | N/A |
Renvoie
{dict} résultat de l'opération du serveur
close_case
close_case(root_cause, comment, reason, case_id, alert_identifier)
Clôturez une demande.
Paramètres
| Nom du paramètre | Type de paramètre | Définition | Valeurs possibles | Commentaires |
|---|---|---|---|---|
| root_cause | {string} | La cause racine de la clôture d'une demande | N/A | N/A |
| commentaire | {string} | Un commentaire | N/A | N/A |
| reason | {ApiSyncAlertCloseReasonEnum} | Motif de clôture de la demande | Consultez SiemplifyDataModel.ApiSyncAlertCloseReasonEnum. | |
| case_id | {string} | Identifiant de la demande | 234 | N/A |
| alert_id | {string} | Identifiant de l'alerte | ad6879f1-b72d-419f-990c-011a2526b16d | N/A |
create_case
create_case(case_info)
Cette fonction crée une demande avec les alertes et les événements contenus dans le dictionnaire case_info.
Paramètres
| Nom du paramètre | Type de paramètre | Définition | Valeurs possibles | Commentaires |
|---|---|---|---|---|
| case_info | {CaseInfo} | Objet d'informations sur la demande | N/A | Voir SiemplifyConnectorsDataModel.CaseInfo |
Renvoie
NoneType
Comportement des résultats
La demande est créée avec les données fournies.
Result value
Aucun
create_case_insight_internal
create_case_insight_internal(case_id, alert_identifier, triggered_by, title, content, entity_identifier, severity, insight_type, additional_data=None, additional_data_type=None, additional_data_title=None, original_requesting_user=None, entity_type=None)
Ajoutez un insight.
Paramètres
| Nom du paramètre | Type de paramètre | Définition | Valeurs possibles | Commentaires |
|---|---|---|---|---|
| case_id | {string} | Identifiant de la demande | 234 | N/A |
| alert_identifier | {string} | Identifiant de l'alerte | ad6879f1-b72d-419f-990c-011a2526b16d | N/A |
| triggered_by | {string} | Nom de l'intégration | N/A | N/A |
| titre | {string} | Titre de l'insight | N/A | N/A |
| contenu | {string} | Message d'insight | N/A | N/A |
| entity_identifier | {string} | Identifiant d'entité | N/A | N/A |
| de gravité, | {int} | Identifiant de gravité | 0 = info, 1 = avertissement, 2 = erreur |
N/A |
| insight_type | {int} | Type de statistiques | 0 = général, 1 = entité |
N/A |
| additional_data | N/A | N/A | N/A | N/A |
| additional_data_type | N/A | N/A | N/A | N/A |
| additional_data_title | N/A | N/A | N/A | N/A |
| original_requesting_user | N/A | N/A | N/A | N/A |
| entity_type | {string} | Type d'entité | "ADDRESS" | N/A |
Renvoie
{boolean} True en cas de réussite.
create_connector_package
create_connector_package(connector_package)
Créez un package de connecteur dans le système.
Paramètres
| Nom du paramètre | Type de paramètre | Définition | Valeurs possibles | Commentaires |
|---|---|---|---|---|
| connector_package | {string} | Package de connecteur au format JSON | N/A | N/A |
dismiss_alert
dismiss_alert(alert_group_identifier, should_close_case_if_all_alerts_were_dismissed, case_id)
end
end(message, result_value, execution_state=0)
Mettez fin au script.
Aucun autre code n'est exécuté après la fonction end().
Paramètres
| Nom du paramètre | Type de paramètre | Définition | Valeurs possibles | Commentaires |
|---|---|---|---|---|
| message | {string} | Message de sortie à afficher au client | Action terminée | N/A |
| result_value | {int/string/dict} | Valeur renvoyée | N/A | N/A |
| execution_state | {int} | Indicateur de l'état de l'action en cours. Principalement utilisé dans les actions asynchrones pour indiquer si l'action est terminée ou non. | 0 (EXECUTION_STATE_COMPLETED), 1 (EXECUTION_STATE_INPROGRESS), 2 (EXECUTION_STATE_FAILED), 3 (EXECUTION_STATE_TIMEDOUT) |
La valeur par défaut est "0". |
Renvoie
Renvoie les données de résultat au processus hôte.
end_script
end_script()
escalate_case
escalate_case(comment, case_id, alert_identifier)
Escalader une demande.
Paramètres
| Nom du paramètre | Type de paramètre | Définition | Valeurs possibles | Commentaires |
|---|---|---|---|---|
| commentaire | {string} | Transmettre un commentaire | N/A | N/A |
| case_id | {string} | Identifiant de la demande | 234 | N/A |
| alert_identifier | {string} | Identifiant de l'alerte | ad6879f1-b72d-419f-990c-011a2526b16d | N/A |
extract_configuration_param
extract_configuration_param(provider_name, param_name, default_value=None, input_type=<class 'str'>, is_mandatory=False, print_value=False)
Obtenez un paramètre de configuration à partir de l'instance d'intégration.
Paramètres
| Nom du paramètre | Type de paramètre | Définition | Valeurs possibles | Commentaires |
|---|---|---|---|---|
| provider_name | {string} | Nom de l'intégration | N/A | N/A |
| param_name | {string} | Nom du paramètre | N/A | N/A |
| default_value | {any} | Si le paramètre n'est pas transmis, utilisez cette valeur par défaut. | N/A | Aucun par défaut (facultatif) |
| input_type | {obj} | Convertissez le paramètre en un autre type | N/A | Par exemple, int. str par défaut (facultatif) |
| is_mandatory | {bool} | Générer une exception si le paramètre est vide | N/A | False par défaut (facultatif) |
| print_value | {bool} | Imprimer la valeur dans le journal | N/A | False par défaut (facultatif) |
Renvoie
Valeur du paramètre (chaîne par défaut), sauf si input_type est spécifié.
static generate_serialized_object
generate_serialized_object(object_filter)
get_agent_by_id
get_agent_by_id(agent_id)
Récupère les détails de l'agent par ID.
Paramètres
| Nom du paramètre | Type de paramètre | Définition | Valeurs possibles | Commentaires |
|---|---|---|---|---|
| agent_id | {str} | ID de l'agent | N/A | N/A |
Renvoie
{dict} : informations sur l'éditeur
get_alerts_ticket_ids_from_cases_closed_since_timestamp
get_alerts_ticket_ids_from_cases_closed_since_timestamp(timestamp_unix_ms, rule_generator)
Obtenez des alertes concernant les demandes clôturées depuis l'horodatage.
Paramètres
| Nom du paramètre | Type de paramètre | Définition | Valeurs possibles | Commentaires |
|---|---|---|---|---|
| timestamp_unix_ms | {long} | Horodatage | 1550409785000L | N/A |
| rule_generator | {string} | N/A | Détecteur d'e-mails d'hameçonnage | N/A |
Renvoie
{list} alertes
get_attachment
get_attachment(attachment_id)
Obtenez les données de la pièce jointe par identifiant.
Paramètres
| Nom du paramètre | Type de paramètre | Définition | Valeurs possibles | Commentaires |
|---|---|---|---|---|
| attachment_id | {string} | Identifiant de la pièce jointe | N/A | N/A |
Renvoie
Données de pièce jointe {BytesIO}
get_attachments
get_attachments(case_id)
Récupérez les pièces jointes de la demande.
Paramètres
| Nom du paramètre | Type de paramètre | Définition | Valeurs possibles | Commentaires |
|---|---|---|---|---|
| case_id | {string} | Identifiant de la demande | 234 | N/A |
Renvoie
{dict} pièces jointes
Result value
[{"is_favorite": False, "description": "", "type": ".txt", "id": 1, "name":
"test.py"}]
get_case_by_id
get_case_by_id(case_id)
Obtenez une demande à l'aide de son ID.
Cette fonction interagit avec le point de terminaison suivant :
external/v1/sdk/CaseFullDetails
Paramètres
| Nom du paramètre | Type de paramètre | Définition | Valeurs possibles | Commentaires |
|---|---|---|---|---|
| case_id | {[string]} | Numéro de demande | N/A | N/A |
Renvoie
Données de la demande {dict}.
get_case_closure_details
get_case_closure_details(case_id_list)
Obtenez des informations sur la clôture d'une demande.
Paramètres
| Nom du paramètre | Type de paramètre | Définition | Valeurs possibles | Commentaires |
|---|---|---|---|---|
| case_id_list | {[string]} | Liste des numéros de demande | N/A | N/A |
Renvoie
{[dict]} Liste de dict contenant des informations sur la clôture de la demande.
Result value
[{'case_closed_action_type': 1, 'reason': NotMalicious', 'root_cause':
'Other'}]
Pour le paramètre case_closed_action_type, les valeurs possibles sont les suivantes :
- 0 = Automatique
- 1 = Manuel
get_case_comments
get_case_comments(case_id)
Cette fonction récupère les commentaires de la demande fournie.
Paramètres
| Nom du paramètre | Type de paramètre | Définition | Valeurs possibles | Commentaires |
|---|---|---|---|---|
| case_id | {string} | Identifiant de la demande | 234 | N/A |
Renvoie
Liste
Exemple
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
siemplify.get_case_comments(case_id)
Comportement des résultats
Tous les commentaires associés à la demande seront récupérés.
Result value
[
{
u 'comment': u 'Test',
u 'case_id': 10085,
u 'is_favorite': False,
u 'alert_identifier': None,
u 'creator_user_id': u 'Admin',
u 'type': 5,
u 'id': 1,
u 'modification_time_unix_time_in_ms': 1563272078332L
}, {
u 'comment': u 'jhfksdh',
u 'case_id': 10085,
u 'is_favorite': False,
u 'alert_identifier': None,
u 'creator_user_id': u 'Admin',
u 'type': 5,
u 'id': 2,
u 'modification_time_unix_time_in_ms': 1563272079941L
}, {
u 'comment': u 'kjfhsdm',
u 'case_id': 10085,
u 'is_favorite': False,
u 'alert_identifier': None,
u 'creator_user_id': u 'Admin',
u 'type': 5,
u 'id': 3,
u 'modification_time_unix_time_in_ms': 1563272080598L
}
]
get_case_tasks
get_case_tasks(case_id)
Récupérez toutes les tâches par numéro de demande.
Paramètres
| Nom du paramètre | Type de paramètre | Définition | Valeurs possibles | Commentaires |
|---|---|---|---|---|
| case_id | {int/str} | Numéro de demande | 234 | La fonction peut recevoir un int ou un str. |
Renvoie
{[Task]} : liste des objets de tâches appartenant à la demande.
Consultez SiemplifyDataModel.Task.
get_cases_by_filter
get_cases_by_filter(environments=None, analysts=None, statuses=None, case_names=None, tags=None, priorities=None, stages=None, case_types=None, products=None, networks=None, ticked_ids_free_search='', case_ids_free_search='', wall_data_free_search='', entities_free_search='', start_time_unix_time_in_ms=-1, end_time_unix_time_in_ms=-1)
Obtenez les cas en fonction des filtres demandés.
*caseFilterValue* object - { 'Title':'Merged Case', 'Value': 'Merged', 'Title':'Involved Suspicious Entity', 'Value': 'InvolvedSuspiciousEntity', 'Title':'Manual', 'Value': 'Manual', 'Title':'Simulated Alerts', 'Value': 'Simulated',}
Paramètres
| Nom du paramètre | Type de paramètre | Définition | Valeurs possibles | Commentaires |
|---|---|---|---|---|
| environments | {[string]} | Liste des noms d'environnement (environment) | N/A | Si aucun environnement n'est fourni, None est utilisé (facultatif). |
| d'analystes | {[string]} | Liste des noms des analystes (utilisateur/rôle attribué à la demande) | N/A | Si aucun analyste n'est fourni, None est utilisé (facultatif). |
| états | {[int]} | Liste des états à filtrer | N/A | Consultez ApiSyncCaseStatusEnum. Si aucun état n'est fourni, None est utilisé (facultatif). |
| case_names | {[string]} | Liste des noms de demandes | N/A | Si aucun case_names n'est fourni, None est utilisé (facultatif). |
| tags | {[string]} | Liste des tags de demandes | N/A | Si aucun tag n'est fourni, None est utilisé (facultatif). |
| priorités | {[int]} | Liste des priorités | Consultez ApiSyncAlertPriorityEnum. Si aucune priorité n'est fournie, None est utilisé (facultatif). |
|
| étapes | {list} | Liste des étapes (objet caseFilterValue) | N/A | Si aucune étape n'est fournie, None est utilisé (facultatif). |
| case_types | {list} | Liste des types d'objets (objet caseFilterValue) | N/A | Les valeurs
Si aucun |
| products | {list} | Liste des produits (objet caseFilterValue) | N/A | Si aucun produit n'est fourni, None est utilisé (facultatif). |
| réseaux | {list} | Liste des réseaux (objet caseFilterValue) | N/A | Si aucun réseau n'est fourni, None est utilisé (facultatif). |
| ticked_ids_free_search | {string} | Identifiant de la demande | N/A | Si aucune valeur n'est fournie, la valeur par défaut est "" (facultatif). |
| case_ids_free_search | {string} | Identifiant de la demande | N/A | Si aucune valeur n'est fournie, la valeur par défaut est "" (facultatif). |
| wall_data_free_search | {string} | Chaîne à rechercher | N/A | Si aucune valeur n'est fournie, la valeur par défaut est "" (facultatif). |
| entities_free_search | {string} | Identifiant d'entité | N/A | Si aucune valeur n'est fournie, la valeur par défaut est "" (facultatif). |
| start_time_unix_time_in_ms | {long} | N/A | N/A | Valeur par défaut : -1 (facultatif) |
| end_time_unix_time_in_ms | {long} | N/A | N/A | Valeur par défaut : -1 (facultatif) |
Renvoie
Case_ids ''
get_cases_by_ticket_id
get_cases_by_ticket_id(ticket_id)
Obtenez une demande à partir de son identifiant.
Paramètres
| Nom du paramètre | Type de paramètre | Définition | Valeurs possibles | Commentaires |
|---|---|---|---|---|
| ticket_id | {string} | Identifiant de la demande | N/A | N/A |
Renvoie
{[int]} : liste des numéros de demande.
get_cases_ids_by_filter
get_cases_ids_by_filter(status, start_time_from_unix_time_in_ms=None, start_time_to_unix_time_in_ms=None, close_time_from_unix_time_in_ms=None, close_time_to_unix_time_in_ms=None, update_time_from_unix_time_in_ms=None, update_time_to_unix_time_in_ms=None, operator=None, sort_by='START_TIME', sort_order='DESC', max_results=1000)
Obtenez les numéros de demande par filtre.
Paramètres
| Nom du paramètre | Type de paramètre | Définition | Valeurs possibles | Commentaires |
|---|---|---|---|---|
| état | {str} | État de la demande à récupérer | "OPEN", "CLOSE", "BOTH" (OUVRIR, FERMER, LES DEUX) | N/A |
| start_time_from_unix_time_in_ms | {int} | Heure de début de la plage de début de la demande (incluse) | N/A | Par défaut, 30 jours avant (facultatif) |
| start_time_to_unix_time_in_ms | {int} | Heure de début de la période de clôture de la demande (incluse) | N/A | La valeur par défaut est l'heure actuelle (facultatif). |
| close_time_from_unix_time_in_ms | {int} | Plage de début de l'heure de clôture de la demande (inclus) | N/A | Par défaut, 30 jours avant (facultatif) |
| close_time_to_unix_time_in_ms | {int} | Heure de clôture de la plage de cas (incluse). | N/A | La valeur par défaut est l'heure actuelle (facultatif). |
| update_time_from_unix_time_in_ms | {int} | Heure de début de la période de modification de la demande (incluse) | N/A | La valeur par défaut est l'heure de début (facultatif). |
| update_time_to_unix_time_in_ms | {int} | Plage de dates et heures de modification des demandes (borne de fin incluse) | N/A | La valeur par défaut est l'heure actuelle (facultatif). |
| opérateur | {str} | Opérateur pour les filtres temporels | OU, ET | Facultatif |
| sort_by | {str} | Trier les résultats par heure | START_TIME, UPDATE_TIME, CLOSE_TIME | Facultatif |
| sort_order | {str} | Ordre de tri | ASC, DESC | Ordre décroissant par défaut (facultatif) |
| max_results | {int} | Nombre maximal de résultats à renvoyer | N/A | La valeur par défaut est 1 000 et la valeur maximale est 10 000 (facultatif). |
get_configuration
get_configuration(provider, environment, integration_instance)
Obtenir la configuration de l'intégration.
Paramètres
| Nom du paramètre | Type de paramètre | Définition | Valeurs possibles | Commentaires |
|---|---|---|---|---|
| fournisseur | {string} | Nom de l'intégration | "VirusTotal" | N/A |
| de test | {string} | Configuration pour un environnement spécifique ou pour "tous" | N/A | N/A |
| integration_instance | {string} | Identifiant de l'instance d'intégration | N/A | N/A |
Renvoie
Détails de la configuration {dict}.
get_configuration_by_provider
get_configuration_by_provider(identifier)
Obtenir la configuration de l'intégration.
Paramètres
| Nom du paramètre | Type de paramètre | Définition | Valeurs possibles | Commentaires |
|---|---|---|---|---|
| fournisseur | {string} | Nom de l'intégration | "VirusTotal" | N/A |
Renvoie
Détails de la configuration {dict}
get_existing_custom_list_categories
get_existing_custom_list_categories()
Obtenez toutes les catégories de listes personnalisées existantes.
Cette fonction renvoie un objet de liste de toutes les catégories dans les paramètres CustomList, quels que soient les environnements.
Paramètres
N/A
Renvoie
{[unicode]} Liste de type Unicode avec les catégories existantes.
Exemple
from SiemplifyAction import SiemplifyAction siemplify = SiemplifyAction() result = siemplify.get_existing_custom_list_categories()
Comportement des résultats
Une liste de toutes les listes personnalisées existantes est renvoyée.
Result value
["DenyListed IPs", "AllowListed HOSTs"]
get_external_configuration
get_external_configuration(config_provider, config_name)
Obtenez la configuration de l'intégration externe.
Paramètres
| Nom du paramètre | Type de paramètre | Définition | Valeurs possibles | Commentaires |
|---|---|---|---|---|
| config_provider | {string} | N/A | N/A | N/A |
| config_name | {string} | N/A | N/A | N/A |
get_integration_version
get_integration_version(integration_identifier)
Obtenez une version d'intégration.
Paramètres
| Nom du paramètre | Type de paramètre | Définition | Valeurs possibles | Commentaires |
|---|---|---|---|---|
| integration_identifier | {string} | Identifiant de l'intégration | N/A | N/A |
Renvoie
Version d'intégration {float}
get_publisher_by_id
get_publisher_by_id(publisher_id)
Obtenez les détails d'un éditeur par ID.
Paramètres
| Nom du paramètre | Type de paramètre | Définition | Valeurs possibles | Commentaires |
|---|---|---|---|---|
| publisher_id | {string} | ID de l'éditeur | N/A | N/A |
Renvoie
{dict} : informations sur l'éditeur
get_remote_connector_keys_map
get_remote_connector_keys_map(publisher_id)
Obtenez les clés de chiffrement des connecteurs à distance par ID d'éditeur.
Paramètres
| Nom du paramètre | Type de paramètre | Définition | Valeurs possibles | Commentaires |
|---|---|---|---|---|
| publisher_id | {string} | ID de l'éditeur | N/A | N/A |
Renvoie
{dict} : mappage des clés
get_similar_cases
get_similar_cases(case_id, ports_filter, category_outcome_filter, rule_generator_filter, entity_identifiers_filter, start_time_unix_ms, end_time_unix_ms)
Obtenez des cas similaires.
Paramètres
| Nom du paramètre | Type de paramètre | Définition | Valeurs possibles | Commentaires |
|---|---|---|---|---|
| case_id | {string} | Identifiant de la demande | 234 | N/A |
| ports_filter | {boolean} | Filtre de port Vrai/Faux | Vrai/Faux | N/A |
| category_outcome_filter | {boolean} | Utiliser le filtre "category_outcome" (Vrai/Faux) | Vrai/Faux | N/A |
| rule_generator_filter | {boolean} | Vrai/Faux : utiliser le filtre rule_generator | Vrai/Faux | N/A |
| entity_identifiers_filter | {boolean} | Vrai/Faux : utiliser le filtre entity_identifiers | Vrai/Faux | N/A |
| start_time_unix_ms | N/A | N/A | N/A | N/A |
| end_time_unix_ms | N/A | N/A | N/A | N/A |
Renvoie
{dict}
get_sync_alerts
get_sync_alerts(alert_group_ids)
Récupérez les informations sur les alertes nécessaires à la synchronisation des systèmes.
Paramètres
| Nom du paramètre | Type de paramètre | Définition | Valeurs possibles | Commentaires |
|---|---|---|---|---|
| alert_group_ids | {list} | Liste des ID de groupes d'alertes à récupérer | N/A | N/A |
Renvoie
Liste des objets SyncAlert {[SyncAlert]}.
get_sync_cases
get_sync_cases(case_ids)
Récupérez les informations sur la demande nécessaires à la synchronisation des systèmes.
Paramètres
| Nom du paramètre | Type de paramètre | Définition | Valeurs possibles | Commentaires |
|---|---|---|---|---|
| case_ids | {list} | Liste des numéros de demande à récupérer | N/A | N/A |
Renvoie
{[SyncCase]} Liste d'objets SyncCase.
get_system_info
get_system_info(start_time_unixtime_ms)
get_system_version
get_system_version()
Obtenez la version actuelle de Google Security Operations SOAR.
Paramètres
N/A
Renvoie
{string} version actuelle de Google Security Operations SOAR
get_temp_folder_path
get_temp_folder_path()
Obtient le chemin d'accès au dossier temporaire.
Paramètres
N/A
Renvoie
{string} chemin d'accès au dossier temporaire
get_ticket_ids_for_alerts_dismissed_since_timestamp
get_ticket_ids_for_alerts_dismissed_since_timestamp(timestamp_unix_ms)
get_updated_sync_alerts_metadata
get_updated_sync_alerts_metadata(start_timestamp_unix_ms, count, allowed_environments=None, vendor=None)
Récupérez les métadonnées mises à jour des alertes suivies.
Paramètres
| Nom du paramètre | Type de paramètre | Définition | Valeurs possibles | Commentaires |
|---|---|---|---|---|
| start_timestamp_unix_ms | {long} | Rechercher les alertes mises à jour à partir du start_timestamp_unix_ms ou d'une date ultérieure |
N/A | Si end_timestamp_unix_ms est None, , l'heure de fin correspond à l'heure de la requête. |
| nombre | {int} | Nombre maximal d'ID de groupe d'alertes à récupérer | N/A | N/A |
| allowed_environments | {[string]} | Environnements dans lesquels effectuer la recherche | N/A | Si allowed_environments est défini sur "None",la recherche s'effectue dans tous les environnements. |
| vendor | {string} | Filtrer les alertes par fournisseur | N/A | N/A |
Renvoie
{[SyncAlertMetadata]} Liste des objets SyncAlertMetadata, triés par SyncAlertMetadata.tracking_time.
get_updated_sync_cases_metadata
get_updated_sync_cases_metadata(start_timestamp_unix_ms, count, allowed_environments=None, vendor=None)
Récupérer les métadonnées mises à jour des cas suivis.
Paramètres
| Nom du paramètre | Type de paramètre | Définition | Valeurs possibles | Commentaires |
|---|---|---|---|---|
| start_timestamp_unix_ms | {long} | Rechercher les demandes mises à jour à partir dustart_timestamp_unix_ms ou d'une date ultérieure |
N/A | Si end_timestamp_unix_ms est défini sur "None",l'heure de fin correspondra à l'heure de la requête. |
| nombre | {int} | Nombre maximal d'ID de cas à récupérer | N/A | N/A |
| allowed_environments | {[string]} | Environnements dans lesquels effectuer la recherche | N/A | Si allowed_environments est défini sur "None",la recherche s'effectue dans tous les environnements. |
| vendor | {string} | Renvoie uniquement les demandes avec des alertes provenant de vendor |
N/A | N/A |
Renvoie
{[SyncCaseMetadata]} : liste d'objets SyncCaseMetadata, triés par SyncCaseMetadata.tracking_time.
init_proxy_settings
init_proxy_settings()
Paramètres
N/A
is_existing_category
is_existing_category(category)
Vérifie si la catégorie donnée existe.
Étant donné un nom de catégorie, cette fonction renvoie True (booléen) si la chaîne nom de catégorie exacte est définie comme catégorie dans les paramètres CustomList.
Cette fonction ignore l'environnement et renvoie True si l'élément existe, ou False dans le cas contraire.
Paramètres
| Nom du paramètre | Type de paramètre | Définition | Valeurs possibles | Commentaires |
|---|---|---|---|---|
| category | {string} | Catégorie à vérifier si elle existe | "DenyListed IPs" (Refuser les adresses IP listées) | N/A |
Renvoie
{bool} "True" si la catégorie existe, "False" dans le cas contraire.
Exemple 1
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
result = siemplify.is_existing_category("WhiteListed HOSTs")
Exemple 2
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
result = siemplify.is_existing_category("SpecialHosts")
Comportement des résultats
Le résultat de l'exemple de code 1 renvoie True, et celui de l'exemple de code 2 renvoie False.
Result value
Vrai ou faux
mark_case_as_important
mark_case_as_important(case_id, alert_identifier)
Cette fonction marque la requête actuelle avec l'identifiant d'alerte donné comme important.
Paramètres
| Nom du paramètre | Type de paramètre | Définition | Valeurs possibles | Commentaires |
|---|---|---|---|---|
| case_id | {string} | Identifiant de la demande | 234 | N/A |
| alert_identifier | {string} | Identifiant de l'alerte | ad6879f1-b72d-419f-990c-011a2526b16d | N/A |
Renvoie
NoneType
Exemple
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
alert_identifier = "ad6879f1-b72d-419f-990c-011a2526b16d"
case_id = "234"
siemplify.mark_case_as_important(case_id=case_id, alert_identifier=alert_identifier)
Comportement des résultats
La demande associée à l'identifiant d'alerte fourni est marquée comme importante.
Result value
Aucun
raise_incident
raise_incident(case_id, alert_identifier)
Cette fonction signale le problème actuel avec l'identifiant d'alerte comme incident.
Paramètres
| Nom du paramètre | Type de paramètre | Définition | Valeurs possibles | Commentaires |
|---|---|---|---|---|
| case_id | {string} | Identifiant de la demande | 234 | N/A |
| alert_identifier | {string} | Identifiant de l'alerte | ad6879f1-b72d-419f-990c-011a2526b16d | N/A |
Renvoie
NoneType
Exemple
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
alert_identifier = "ad6879f1-b72d-419f-990c-011a2526b16d"
case_id = "234"
siemplify.raise_incident(case_id=case_id, alert_identifier=alert_identifier)
Comportement des résultats
La demande 234 sera traitée comme un incident.
Result value
Aucun
remove_entities_from_custom_list
remove_entities_from_custom_list(custom_list_items)
Supprime les entités de la liste personnalisée avec la catégorie donnée.
Paramètres
| Nom du paramètre | Type de paramètre | Définition | Valeurs possibles | Commentaires |
|---|---|---|---|---|
| custom_list_items | {[CustomList]} | Liste d'éléments de liste personnalisés | N/A | N/A |
Renvoie
Liste {[CustomList]} des objets CustomList supprimés.
remove_temp_folder
remove_temp_folder()
Supprime le dossier temporaire et ses sous-dossiers.
Paramètres
N/A
Résultat property
send_system_notification
send_system_notification(message, message_id='SDK_CUSTOM_NOTIFICATION')
Envoyez une notification système avec un ID de message facultatif.
Paramètres
| Nom du paramètre | Type de paramètre | Définition | Valeurs possibles | Commentaires |
|---|---|---|---|---|
| message | {string} | Message de notification | N/A | N/A |
| message_id | {string} | Identifiant du message de notification | N/A | N/A |
send_system_notification_message
send_system_notification_message(message, message_id)
Exemple
Comportement des résultats
Result value
set_alert_sla
set_alert_sla(period_time, period_type, critical_period_time, critical_period_type, case_id, alert_identifier)
Définit le SLA du alert_identifier donné de case_id. Le SLA défini à l'aide de cette API doit dépasser tous les autres types de SLA d'alerte.
Paramètres
| Nom du paramètre | Type de paramètre | Définition | Valeurs possibles | Commentaires |
|---|---|---|---|---|
| period_time | {int/str} | Représente la période totale du SLA. | N/A | period_time > 0 |
| period_type | {str} | Unités de temps de period_time, représentées par ApiPeriodTypeEnum |
N/A | N/A |
| critical_period_time | {int/str} | Représente la période critique du SLA | N/A | critical_period_time >= 0 La période critique (après mise à l'échelle avec ses unités de temps) doit être inférieure à la période totale. |
| critical_period_type | {str} | Unités de temps de critical_period_time, représentées par ApiPeriodTypeEnum |
N/A | N/A |
| case_id | {long} | Identifiant de la demande | N/A | N/A |
| alert_identifier | {str} | Identifiant de l'alerte | N/A | N/A |
set_case_sla
set_case_sla(period_time, period_type, critical_period_time, critical_period_type, case_id)
Définit le SLA de l'case_id donné. Le SLA défini à l'aide de cette API doit dépasser tous les autres types de SLA pour les demandes.
Paramètres
| Nom du paramètre | Type de paramètre | Définition | Valeurs possibles | Commentaires |
|---|---|---|---|---|
| period_time | {int/string} | Représente la période totale du SLA. | N/A | period_time > 0 |
| period_type | {string} | Unités de temps de period_time, représentées par ApiPeriodTypeEnum |
N/A | Non disponible |
| critical_period_time | {int/string} | Représente la période critique du SLA | N/A | critical_period_time >= 0 La période critique (après mise à l'échelle avec ses unités de temps) doit être inférieure à la période totale. |
| critical_period_type | {string} | Unités de temps de critical_period_time, représentées par ApiPeriodTypeEnum |
N/A | N/A |
| case_id | {long} | Identifiant de la demande | 234 | N/A |
update_alerts_additional_data
update_alerts_additional_data(case_id, alerts_additional_data)
Mettre à jour les données supplémentaires des alertes.
Paramètres
| Nom du paramètre | Type de paramètre | Définition | Valeurs possibles | Commentaires |
|---|---|---|---|---|
| case_id | {string} | Identifiant de la demande | 234 | N/A |
| alerts_additional_data | {dict} | Toutes les données supplémentaires de l'alerte | N/A | N/A |
update_entities
update_entities(updated_entities)
Cette fonction met à jour les entités.
Paramètres
| Nom du paramètre | Type de paramètre | Définition | Valeurs possibles | Commentaires |
|---|---|---|---|---|
| updated_entities | {[{string:string}]} | N/A | N/A | N/A |
Renvoie
NoneType
Comportement des résultats
À l'aide du champ "Étendue", l'alerte sélectionnée ajoute de nouvelles entités si elles ne sont pas déjà présentes.
Result value
Aucun