מודול Siemplify

class Siemplify.Siemplify

בסיסים: SiemplifyBase

נקודות קצה: external/v1/sdk/CaseFullDetails

add_agent_connector_logs

add_agent_connector_logs(agent_id, connector_id, logs_package)

הוספת יומנים של מחבר connector_id של הסוכן המרוחק.

פרמטרים

add_attachment

add_attachment(file_path, case_id, alert_identifier, description=None, is_favorite=False)

הפונקציה הזו מוסיפה רשומה לקיר של הכרטיס עם קובץ מצורף (שאפשר להוריד מהלקוח למחשב המקומי של המשתמש). הפונקציה בעצם עושה את אותו הדבר כמו הוספת ראיות (בחלק התחתון של מסך סקירת הכרטיס).

פרמטרים

מחזירה

‫{long} attachment_id

דוגמה

from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
siemplify.add_attachment(r'C:/temp/investigation.txt', description='Deep investigation report by TIER3 team', is_favorite=True)

התנהגות התוצאה

בדוגמה הזו, נטען את investigation.txt מ-C:/temp במחשב המקומי (השרת עצמו) ללוח הבקשה. תגובה תתווסף לרשומה הזו בקיר של בקשת התמיכה, עם המחרוזת בתיאור. הדגל is_favorite הוגדר לערך True, ולכן גם הרשומה החדשה הזו תסומן בכוכב (מועדפת).

add_comment

add_comment(comment, case_id, alert_identifier)

הוספת תגובה חדשה לבקשת התמיכה הספציפית.

פרמטרים

מחזירה

NoneType

דוגמה

from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
add_comment = "This alert is important"
alert_identifier = "ad6879f1-b72d-419f-990c-011a2526b16d"
case_id = "234"
siemplify.add_comment(comment, case_id, alert_identifier)

התנהגות התוצאה

התגובה שצוינה נוספת לפנייה מספר 234.

ערך התוצאה

ללא

add_entities_to_custom_list

add_entities_to_custom_list(custom_list_items)

מוסיפים את הרשימה המותאמת אישית שסופקה עם הישויות שנוספו לרשימה המותאמת אישית.

פרמטרים

מחזירה

‫{[CustomList]} רשימה עם הפריט הנוסף של הרשימה המותאמת אישית.

התנהגות התוצאה

הישות נוספת לקטגוריה של רשימה בהתאמה אישית.

add_entity_insight

add_entity_insight(domain_entity_info, message, case_id, alert_id)

הוספת תובנה לגבי ישות.

פרמטרים

מחזירה

‫{boolean} True אם הפעולה הצליחה

דוגמה

from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
entity = "192.0.2.1"
alert_identifier = "ad6879f1-b72d-419f-990c-011a2526b16d"
case_id = "234"
siemplify.add_entity_insight(domain_entity_info=entity, message=message, case_id=case_id, alert_id=alert_identifier)

התנהגות התוצאה

ההודעה שצוינה נוספת כתובנה לישות 192.0.2.1 של מזהה ההתראה שצוין בפנייה 234.

ערך התוצאה

נכון.

‫False אם התובנה לא נוספה.

add_entity_to_case

add_entity_to_case(case_id, alert_identifier, entity_identifier, entity_type, is_internal, is_suspicious, is_enriched, is_vulnerable, properties, environment)

הוספת ישות לבקשת תמיכה.

פרמטרים

מחזירה

NoneType

דוגמה

from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
case_id = "234"
alert_identifier = "ad6879f1-b72d-419f-990c-011a2526b16d"
entity = "192.0.2.1"
entity_type = "ADDRESS"
properties = {"property": "value"}
siemplify.add_entity_to_case(case_id=case_id,
                                          alert_identifier = alert_identifier,
                                          entity_identifier = entity,
                                          entity_type = entity_type,
                                          is_internal = True,
                                          is_suspicious = False,
                                          is_enriched = False,
                                          is_vulnerable = False,
                                          properties = properties,
                                          environment=None)

התנהגות התוצאה

הישות עם המידע שסופק תתווסף להתראה שצוינה בפנייה מספר 234.

ערך התוצאה

ללא

add_or_update_case_task

add_or_update_case_task(task)

הוספה או עדכון של בקשה למשימה: עדכון אם יש מזהה משימה, הוספה (יצירה) אם אין מזהה משימה.

פרמטרים

מחזירה

‫{int} מזהה המשימה החדשה או המעודכנת.

add_tag

add_tag(tag, case_id, alert_identifier)

הוספת תג חדש לבקשת תמיכה ספציפית.

פרמטרים

any_entity_in_custom_list

any_entity_in_custom_list(custom_list_items)

בודקים אם יש ישות כלשהי מהרשימה שצוינה, שיש לה רשומה של רשימה בהתאמה אישית עם הקטגוריה שצוינה.

פרמטרים

מחזירה

‫{boolean} True אם נמצאה ישות, False אחרת.

ערך התוצאה

נכון או לא נכון

assign_case

assign_case(user, case_id, alert_identifier)

הפונקציה הזו מקצה את הפנייה הנוכחית למשתמש.

פרמטרים

מחזירה

NoneType

התנהגות התוצאה

הבקשה מוקצית למשתמש שצוין.

ערך התוצאה

ללא

attach_workflow_to_case

attach_workflow_to_case(workflow_name, cyber_case_id, indicator_identifier)

מצרפים את ספר ההפעלה לבקשת התמיכה.

פרמטרים

מחזירה

{string} קוד הסטטוס של פעולת השרת

דוגמה

from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
alert_identifier = "ad6879f1-b72d-419f-990c-011a2526b16d"
case_id = "234"
workflow_name = "Workflow 234"
siemplify.attach_workflow_to_case(workflow_name=workflow_name, cyber_case_id=case_id, indicator_identifier=alert_identifier)

התנהגות התוצאה

תהליך העבודה מספר 234 יצורף לפנייה מספר 234.

ערך התוצאה

ללא

batch_update_case_id_matches

batch_update_case_id_matches(case_id_matches)

עדכון של מספר פניות בו-זמנית עם מספרי הפניות החיצוניים המתאימים.

פרמטרים

מחזירה

‫{list} רשימה של מספרי בקשות תמיכה שעודכנו בהצלחה.

change_case_priority

change_case_priority(priority, case_id, alert_identifier)

שינוי העדיפות של בקשת התמיכה.

פרמטרים

מחזירה

NoneType

דוגמה

from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
priority = 40
alert_identifier = "ad6879f1-b72d-419f-990c-011a2526b16d"
case_id = "234"
siemplify.change_case_priority(priority=priority, case_id=case_id, alert_identifier=alert_identifier)

התנהגות התוצאה

העדיפות של בקשת התמיכה מספר 234 משתנה ל-40, שמוגדרת כנמוכה.

ערך התוצאה

ללא

change_case_stage

change_case_stage(stage, case_id, alert_identifier)

שינוי שלב הטיפול בבקשה.

פרמטרים

check_marketplace_status

check_marketplace_status()

בודקים את הסטטוס של המרקטפלייס. ‫
אם אין שגיאה, הפונקציה מחזירה none. אחרת, מוחזרת חריגה.

פרמטרים

לא רלוונטי

מחזירה

ללא

close_alert

close_alert(root_cause, comment, reason, case_id, alert_id)

הפונקציה הזו סוגרת את ההתראה הנוכחית. הפעולה הזו זהה לסגירה ידנית של ההתראה מהסקירה הכללית של הפנייה. הפונקציה דורשת את הסיבה לסגירה, את שורש הבעיה ותגובה, בדיוק כמו ההתראה על סגירת פנייה.
סגירת התראה סוגרת את הפנייה החדשה עם התראה אחת בלבד.

פרמטרים

מחזירה

{dict} תוצאה של פעולת שרת

close_case

close_case(root_cause, comment, reason, case_id, alert_identifier)

סגירת בקשת תמיכה.

פרמטרים

create_case

create_case(case_info)

הפונקציה הזו יוצרת כרטיס תמיכה עם ההתראות והאירועים שמופיעים במילון case_info.

פרמטרים

מחזירה

NoneType

התנהגות התוצאה

הפנייה עם נתוני הפנייה שסופקו נוצרת.

ערך התוצאה

ללא

create_case_insight_internal

create_case_insight_internal(case_id, alert_identifier, triggered_by, title, content, entity_identifier, severity, insight_type, additional_data=None, additional_data_type=None, additional_data_title=None, original_requesting_user=None, entity_type=None)

מוסיפים תובנה.

פרמטרים

מחזירה

‫{boolean} True אם הפעולה הצליחה.

create_connector_package

create_connector_package(connector_package)

יוצרים חבילת מחבר במערכת.

פרמטרים

dismiss_alert

dismiss_alert(alert_group_identifier, should_close_case_if_all_alerts_were_dismissed, case_id)

מקש End

end(message, result_value, execution_state=0)

מסיימים את הסקריפט.
לא מבוצע קוד אחר אחרי הפונקציה end().
ערך התוצאה הסופית נכתב ב-stdout.
הפונקציה end לא נדרשת לעבודות מתוזמנות.

פרמטרים

מחזירה

החזרת נתוני התוצאה לתהליך המארח.

end_script

end_script()

escalate_case

escalate_case(comment, case_id, alert_identifier)

העברה של בקשה לטיפול ברמה גבוהה יותר.

פרמטרים

extract_configuration_param

extract_configuration_param(provider_name, param_name, default_value=None, input_type=<class 'str'>, is_mandatory=False, print_value=False)

קבלת פרמטר הגדרה ממופע השילוב.

פרמטרים

מחזירה

ערך הפרמטר (מחרוזת כברירת מחדל), אלא אם מצוין input_type.

‫static generate_serialized_object

generate_serialized_object(object_filter)

get_agent_by_id

get_agent_by_id(agent_id)

אחזור פרטי הסוכן לפי מזהה.

פרמטרים

מחזירה

‫{dict} פרטי בעל האפליקציה

get_alerts_ticket_ids_from_cases_closed_since_timestamp

get_alerts_ticket_ids_from_cases_closed_since_timestamp(timestamp_unix_ms, rule_generator)

קבלת התראות מפניות שנסגרו מאז חותמת הזמן.

פרמטרים

מחזירה

{list} התראות

get_attachment

get_attachment(attachment_id)

קבלת נתוני קובץ מצורף לפי מזהה.

פרמטרים

מחזירה

נתוני קובץ מצורף {BytesIO}

get_attachments

get_attachments(case_id)

קבלת קבצים מצורפים מבקשת התמיכה.

פרמטרים

מחזירה

‫{dict} קבצים מצורפים

ערך התוצאה

[{"is_favorite": False, "description": "", "type": ".txt", "id": 1, "name": "test.py"}]

_get_case_by_id

_get_case_by_id(case_id)

קבלת בקשת תמיכה באמצעות מספר הפנייה שלה.

הפונקציה מקיימת אינטראקציה עם נקודת הקצה הבאה: external/v1/sdk/CaseFullDetails

פרמטרים

מחזירה

נתוני פנייה {dict}.

get_case_closure_details

get_case_closure_details(case_id_list)

קבלת פרטים על סגירת בקשת תמיכה.

פרמטרים

מחזירה

‫{[dict]} רשימה של מילון שמכיל פרטים על סגירת הפנייה.

ערך התוצאה

[{'case_closed_action_type': 1, 'reason': NotMalicious', 'root_cause': 'Other'}]

הערכים האפשריים של הפרמטר case_closed_action_type הם:

• ‫0 = אוטומטי
• ‫1 = ידני

get_case_comments

get_case_comments(case_id)

הפונקציה הזו מקבלת את התגובות מהפנייה שצוינה.

פרמטרים

מחזירה

רשימה

דוגמה

from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
siemplify.get_case_comments(case_id)

התנהגות התוצאה

כל התגובות שמשויכות לפנייה יאוחזרו.

ערך התוצאה

[
    {
             u 'comment': u 'Test',
             u 'case_id': 10085,
             u 'is_favorite': False,
             u 'alert_identifier': None,
             u 'creator_user_id': u 'Admin',
             u 'type': 5,
             u 'id': 1,
             u 'modification_time_unix_time_in_ms': 1563272078332L
      }, {
             u 'comment': u 'jhfksdh',
             u 'case_id': 10085,
             u 'is_favorite': False,
             u 'alert_identifier': None,
             u 'creator_user_id': u 'Admin',
             u 'type': 5,
             u 'id': 2,
             u 'modification_time_unix_time_in_ms': 1563272079941L

       }, {
              u 'comment': u 'kjfhsdm',
              u 'case_id': 10085,
              u 'is_favorite': False,
              u 'alert_identifier': None,
              u 'creator_user_id': u 'Admin',
              u 'type': 5,
              u 'id': 3,
               u 'modification_time_unix_time_in_ms': 1563272080598L
       }
 ]

get_case_tasks

get_case_tasks(case_id)

אחזור של כל המשימות לפי מזהה בקשת התמיכה.

פרמטרים

מחזירה

‫{[Task]} רשימת אובייקטים של משימות ששייכים לתיק.
מידע נוסף זמין במאמר SiemplifyDataModel.Task.

get_cases_by_filter

get_cases_by_filter(environments=None, analysts=None, statuses=None, case_names=None, tags=None, priorities=None, stages=None, case_types=None, products=None, networks=None, ticked_ids_free_search='', case_ids_free_search='', wall_data_free_search='', entities_free_search='', start_time_unix_time_in_ms=-1, end_time_unix_time_in_ms=-1)

קבלת בקשות תמיכה לפי מסננים מבוקשים.

*caseFilterValue* object - { 'Title':'Merged Case', 'Value': 'Merged', 'Title':'Involved Suspicious Entity', 'Value': 'InvolvedSuspiciousEntity', 'Title':'Manual', 'Value': 'Manual', 'Title':'Simulated Alerts', 'Value': 'Simulated',}

פרמטרים

מחזירה

Case_ids ''

get_cases_by_ticket_id

get_cases_by_ticket_id(ticket_id)

קבלת פנייה לפי מזהה כרטיס.

פרמטרים

מחזירה

‫{[int]} רשימה של מספרי פניות.

get_cases_ids_by_filter

get_cases_ids_by_filter(status, start_time_from_unix_time_in_ms=None, start_time_to_unix_time_in_ms=None, close_time_from_unix_time_in_ms=None, close_time_to_unix_time_in_ms=None, update_time_from_unix_time_in_ms=None, update_time_to_unix_time_in_ms=None, operator=None, sort_by='START_TIME', sort_order='DESC', max_results=1000)

קבלת מספרי פניות לפי מסנן.

פרמטרים

get_configuration

get_configuration(provider, environment, integration_instance)

אחזור של הגדרת השילוב.

פרמטרים

מחזירה

פרטי ההגדרות האישיות של {dict}.

get_configuration_by_provider

get_configuration_by_provider(identifier)

אחזור של הגדרת השילוב.

פרמטרים

מחזירה

פרטי ההגדרות האישיות של {dict}

get_existing_custom_list_categories

get_existing_custom_list_categories()

קבלת כל הקטגוריות הקיימות של רשימות בהתאמה אישית.
הפונקציה הזו מחזירה אובייקט רשימה של כל הקטגוריות בהגדרות CustomList, ללא קשר לסביבות.

פרמטרים

לא רלוונטי

מחזירה

‫{[unicode]} רשימה של סוג Unicode עם קטגוריות קיימות.

דוגמה

from SiemplifyAction import SiemplifyAction siemplify = SiemplifyAction() result = siemplify.get_existing_custom_list_categories()

התנהגות התוצאה

מוחזרת רשימה של כל הרשימות הקיימות בהתאמה אישית.

ערך התוצאה

‪["DenyListed IPs", "AllowListed HOSTs"]

get_external_configuration

get_external_configuration(config_provider, config_name)

אחזור של הגדרות שילוב חיצוני.

פרמטרים

get_integration_version

get_integration_version(integration_identifier)

קבלת גרסת שילוב.

פרמטרים

מחזירה

גרסת השילוב {float}

get_publisher_by_id

get_publisher_by_id(publisher_id)

אחזור פרטים של בעל האתר לפי מזהה.

פרמטרים

מחזירה

‫{dict} פרטי בעל האפליקציה

get_remote_connector_keys_map

get_remote_connector_keys_map(publisher_id)

קבלת מפתחות הצפנה של מחברים מרוחקים לפי מזהה בעל האתר.

פרמטרים

מחזירה

‫{dict} מיפוי המקשים

get_similar_cases

get_similar_cases(case_id, ports_filter, category_outcome_filter, rule_generator_filter, entity_identifiers_filter, start_time_unix_ms, end_time_unix_ms)

קבלת בקשות תמיכה דומות.

פרמטרים

מחזירה

{dict}

get_sync_alerts

get_sync_alerts(alert_group_ids)

אחזור מידע על התראות שנדרש לסנכרון מערכות.

פרמטרים

מחזירה

‫{[SyncAlert]} רשימה של אובייקטים מסוג SyncAlert.

get_sync_cases

get_sync_cases(case_ids)

אחזור פרטי הפנייה שנדרשים לסינכרון המערכות.

פרמטרים

מחזירה

‫{[SyncCase]} רשימה של SyncCase אובייקטים.

get_system_info

get_system_info(start_time_unixtime_ms)

get_system_version

get_system_version()

קבלת הגרסה הנוכחית של Google Security Operations SOAR.

פרמטרים

לא רלוונטי

מחזירה

‫{string} הגרסה הנוכחית של Google Security Operations SOAR

get_temp_folder_path

get_temp_folder_path()

מחזירה את הנתיב לתיקיית הטמפ.

פרמטרים

לא רלוונטי

מחזירה

‫{string} נתיב לתיקייה זמנית

get_ticket_ids_for_alerts_dismissed_since_timestamp

get_ticket_ids_for_alerts_dismissed_since_timestamp(timestamp_unix_ms)

get_updated_sync_alerts_metadata

get_updated_sync_alerts_metadata(start_timestamp_unix_ms, count, allowed_environments=None, vendor=None)

אחזור מטא-נתונים מעודכנים של התראות שבמעקב.

פרמטרים

מחזירה

‫{[SyncAlertMetadata]} רשימה של אובייקטים מסוג SyncAlertMetadata, ממוינים לפי SyncAlertMetadata.tracking_time.

get_updated_sync_cases_metadata

get_updated_sync_cases_metadata(start_timestamp_unix_ms, count, allowed_environments=None, vendor=None)

אחזור של מטא-נתונים מעודכנים של בקשות תמיכה במעקב.

פרמטרים

מחזירה

{[SyncCaseMetadata]} רשימה של SyncCaseMetadata אובייקטים, ממוינת לפי SyncCaseMetadata.tracking_time.

init_proxy_settings

init_proxy_settings()

פרמטרים

לא רלוונטי

is_existing_category

is_existing_category(category)

הפונקציה בודקת אם הקטגוריה הנתונה קיימת.
בהינתן שם של קטגוריה, הפונקציה מחזירה True (ערך בוליאני) אם המחרוזת של שם הקטגוריה המדויק מוגדרת כקטגוריה בהגדרות של CustomList.
הפונקציה הזו מתעלמת מהסביבה ומחזירה True אם הפריט קיים, אחרת היא מחזירה False.

פרמטרים

מחזירה

‫{bool} הערך True אם הקטגוריה קיימת, אחרת הערך False.

דוגמה 1

from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
result = siemplify.is_existing_category("WhiteListed HOSTs")

דוגמה 2

from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
result = siemplify.is_existing_category("SpecialHosts")

התנהגות התוצאה

התוצאה בקוד לדוגמה 1 היא True, והתוצאה בקוד לדוגמה 2 היא False.

ערך התוצאה

נכון או לא נכון

mark_case_as_important

mark_case_as_important(case_id, alert_identifier)

הפונקציה הזו מסמנת את המקרה הנוכחי עם מזהה ההתראה שצוין כחשוב.

פרמטרים

מחזירה

NoneType

דוגמה

from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
alert_identifier = "ad6879f1-b72d-419f-990c-011a2526b16d"
case_id = "234"
siemplify.mark_case_as_important(case_id=case_id, alert_identifier=alert_identifier)

התנהגות התוצאה

האירוע עם מזהה ההתראה שצוין מסומן כחשוב.

ערך התוצאה

ללא

raise_incident

raise_incident(case_id, alert_identifier)

הפונקציה הזו מעלה את הסטטוס של המקרה הנוכחי לתקרית, עם מזהה ההתראה.

פרמטרים

מחזירה

NoneType

דוגמה

from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
alert_identifier = "ad6879f1-b72d-419f-990c-011a2526b16d"
case_id = "234"
siemplify.raise_incident(case_id=case_id, alert_identifier=alert_identifier)

התנהגות התוצאה

פנייה מספר 234 תוגדר כאירוע.

ערך התוצאה

ללא

remove_entities_from_custom_list

remove_entities_from_custom_list(custom_list_items)

הסרת הישויות מהרשימה המותאמת אישית עם הקטגוריה שצוינה.

פרמטרים

מחזירה

רשימת {[CustomList]} של CustomList אובייקטים שהוסרו.

remove_temp_folder

remove_temp_folder()

מחיקת תיקיית ה-temp ותיקיות המשנה שלה.

פרמטרים

לא רלוונטי

תוצאה של property

send_system_notification

send_system_notification(message, message_id='SDK_CUSTOM_NOTIFICATION')

שליחת התראה מהמערכת עם מזהה הודעה אופציונלי.

פרמטרים

send_system_notification_message

send_system_notification_message(message, message_id)

דוגמה

התנהגות התוצאה

ערך התוצאה

set_alert_sla

set_alert_sla(period_time, period_type, critical_period_time, critical_period_type, case_id, alert_identifier)

מגדירים את הסכם רמת השירות של alert_identifier שצוין מתוך case_id. ה-SLA שמוגדר באמצעות ה-API הזה צריך להיות גבוה יותר מכל סוגי ה-SLA האחרים של ההתראות.

פרמטרים

set_case_sla

set_case_sla(period_time, period_type, critical_period_time, critical_period_type, case_id)

מגדיר את ה-SLA של case_id. ה-SLA שמוגדר באמצעות ה-API הזה צריך להיות גבוה יותר מכל סוגי ה-SLA האחרים של בקשות התמיכה.

פרמטרים

update_alerts_additional_data

update_alerts_additional_data(case_id, alerts_additional_data)

עדכון נתונים נוספים בהתראות.

פרמטרים

update_entities

update_entities(updated_entities)

הפונקציה הזו מעדכנת ישויות.

פרמטרים

מחזירה

NoneType

התנהגות התוצאה

ההיקף מאפשר להוסיף ישויות חדשות להתראה שנבחרה, אם הן עדיין לא קיימות.

ערך התוצאה

ללא