Modulo Siemplify
class Siemplify.Siemplify
Basi: SiemplifyBase
Endpoint: external/v1/sdk/CaseFullDetails
add_agent_connector_logs
add_agent_connector_logs(agent_id, connector_id, logs_package)
Aggiungi i log del connettore connector_id dell'agente remoto.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| agent_id | {string} | Identificatore dell'agente | N/D | N/D |
| connector_id | {string} | Identificatore istanza del connettore | N/D | N/D |
| logs_package | {dict} | ConnectorLogPackage | N/D | N/D |
add_attachment
add_attachment(file_path, case_id, alert_identifier, description=None, is_favorite=False)
Questa funzione aggiunge una voce alla bacheca della richiesta con un allegato (che può essere scaricato dal client nel computer locale dell'utente). La funzione fa essenzialmente la stessa cosa dell'aggiunta di prove (nella parte inferiore della schermata di panoramica della richiesta).
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| file_path | {string} | Percorso del file | Qualsiasi percorso accessibile | Un percorso può anche essere una posizione remota. Devi disporre delle autorizzazioni di lettura per questo file |
| case_id | {string} | Identificatore della richiesta | Un case ID a cui aggiungere l'allegato alla bacheca richieste | Il valore predefinito è la richiesta corrente |
| alert_identifier | {string} | Identificatore avviso | Stringa identificatore dell'avviso a cui vuoi associare l'allegato | Il valore predefinito è l'avviso in esecuzione corrente |
| descrizione | {string} | Descrizione dell'allegato | Qualsiasi stringa | Nessuno per impostazione predefinita. Parametro facoltativo. |
| is_favorite | {boolean} | Allegato preferito | Vero/Falso | False per impostazione predefinita.Parametro facoltativo. |
Restituisce
{long} attachment_id
Esempio
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
siemplify.add_attachment(r'C:/temp/investigation.txt', description='Deep investigation report by TIER3 team', is_favorite=True)
Comportamento dei risultati
In questo esempio, caricheremo il file investigation.txt da C:/temp sulla
macchina locale (il server stesso) nella bacheca della richiesta. Verrà aggiunto un commento
a questa voce nella bacheca della richiesta, con la stringa nella descrizione. Il flag
is_favorite è stato impostato su True, pertanto anche questa nuova voce verrà aggiunta ai preferiti.
add_comment
add_comment(comment, case_id, alert_identifier)
Aggiungi un nuovo commento alla richiesta specifica.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| commento | {string} | Commento da aggiungere a una bacheca richieste | "Gli eventi in questo avviso sembrano sospetti" | Commenti relativi alla richiesta |
| case_id | {string} | Identificatore della richiesta | 234 | N/D |
| alert_identifier | {string} | Identificatore avviso | ad6879f1-b72d-419f-990c-011a2526b16d | N/D |
Restituisce
NoneType
Esempio
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
add_comment = "This alert is important"
alert_identifier = "ad6879f1-b72d-419f-990c-011a2526b16d"
case_id = "234"
siemplify.add_comment(comment, case_id, alert_identifier)
Comportamento dei risultati
Il commento fornito viene aggiunto alla richiesta 234.
Valore del risultato
Nessuno
add_entities_to_custom_list
add_entities_to_custom_list(custom_list_items)
Aggiungi l'elenco personalizzato fornito con le entità aggiunte all'elenco personalizzato.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| custom_list_items | {string} | Un elenco di elementi di elenchi personalizzati | N/D | N/D |
Restituisce
{[CustomList]} un elenco con l'elemento dell'elenco personalizzato aggiunto.
Comportamento dei risultati
L'entità viene aggiunta a una categoria di elenchi personalizzati.
add_entity_insight
add_entity_insight(domain_entity_info, message, case_id, alert_id)
Aggiungi un insight sull'entità.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| domain_entity_info | {string} | Identificatore entità | "192.0.2.1" | {DomainEntityInfo} |
| messaggio | {string} | Messaggio dell'insight | Questo è Example DNS | N/D |
| case_id | {string} | Identificatore del caso da aggiungere a un approfondimento sull'entità | 234 | N/D |
| alert_id | {string} | Identificatore dell'avviso da aggiungere a una statistica dell'entità | ad6879f1-b72d-419f-990c-011a2526b16d | N/D |
Restituisce
{boolean} True if success
Esempio
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
entity = "192.0.2.1"
alert_identifier = "ad6879f1-b72d-419f-990c-011a2526b16d"
case_id = "234"
siemplify.add_entity_insight(domain_entity_info=entity, message=message, case_id=case_id, alert_id=alert_identifier)
Comportamento dei risultati
Il messaggio specificato viene aggiunto come approfondimento all'entità 192.0.2.1 dell'identificatore dell'avviso specificato nella richiesta 234.
Valore del risultato
vero.
False se l'approfondimento non viene aggiunto.
add_entity_to_case
add_entity_to_case(case_id, alert_identifier, entity_identifier, entity_type, is_internal, is_suspicious, is_enriched, is_vulnerable, properties, environment)
Aggiungi l'entità alla richiesta.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| case_id | {string} | Identificatore della richiesta | 234 | N/D |
| alert_identifier | {string} | Identificatore avviso | ad6879f1-b72d-419f-990c-011a2526b16d | N/D |
| entity_identifier | {string} | Identificatore entità | 192.0.2.1, example.com | N/D |
| entity_type | {string} | Tipo di entità dell'identificatore dell'entità | "ADDRESS" | N/D |
| is_internal | {boolean} | N/D | Vero/Falso | N/D |
| is_suspicious | {boolean} | N/D | Vero/Falso | |
| is_enriched | {boolean} | N/D | Vero/Falso | False per impostazione predefinita |
| is_vulnerable | {boolean} | N/D | Vero/Falso | False per impostazione predefinita |
| proprietà | {dict} | Proprietà dell'entità | {"property":"value"} | N/D |
| produzione | {string} | Uno degli ambienti definiti | Ambiente di esempio | N/D |
Restituisce
NoneType
Esempio
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
case_id = "234"
alert_identifier = "ad6879f1-b72d-419f-990c-011a2526b16d"
entity = "192.0.2.1"
entity_type = "ADDRESS"
properties = {"property": "value"}
siemplify.add_entity_to_case(case_id=case_id,
alert_identifier = alert_identifier,
entity_identifier = entity,
entity_type = entity_type,
is_internal = True,
is_suspicious = False,
is_enriched = False,
is_vulnerable = False,
properties = properties,
environment=None)
Comportamento dei risultati
L'entità con le informazioni fornite verrà aggiunta all'avviso specificato all'interno della richiesta 234.
Valore del risultato
Nessuno
add_or_update_case_task
add_or_update_case_task(task)
Aggiungi o aggiorna un caso di attività: aggiorna se è presente un ID attività, aggiungi (crea) altrimenti.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| attività | {Task} | L'oggetto attività da aggiungere alla richiesta o da aggiornare | N/D | N/D |
Restituisce
{int} l'ID dell'attività nuova o aggiornata.
add_tag
add_tag(tag, case_id, alert_identifier)
Aggiungi un nuovo tag a una richiesta specifica.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| tag | {string} | Tag da aggiungere | N/D | N/D |
| case_id | {string} | Identificatore della richiesta | 234 | N/D |
| alert_identifier | {string} | Identificatore avviso | ad6879f1-b72d-419f-990c-011a2526b16d | N/D |
any_entity_in_custom_list
any_entity_in_custom_list(custom_list_items)
Controlla se nell'elenco specificato è presente un'entità con un record di elenco personalizzato con la categoria specificata.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| custom_list_items | {[CustomList]} | Un elenco di elementi di elenchi personalizzati per verificare la presenza di entità | N/D | N/D |
Restituisce
{boolean} True se è stata trovata un'entità, False altrimenti.
Valore del risultato
Vero o falso
assign_case
assign_case(user, case_id, alert_identifier)
Questa funzione assegna la richiesta corrente all'utente.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| utente | {string} | Utente/ruolo | Amministratore, @Tier1 | N/D |
| case_id | {string} | Identificatore della richiesta per assegnare l'utente | 234 | N/D |
| alert_identifier | {string} | Identificatore dell'avviso a cui assegnare l'utente | ad6879f1-b72d-419f-990c-011a2526b16d | Questo valore viene recuperato durante l'esecuzione dell'azione |
Restituisce
NoneType
Comportamento dei risultati
La richiesta viene assegnata all'utente specificato.
Valore del risultato
Nessuno
attach_workflow_to_case
attach_workflow_to_case(workflow_name, cyber_case_id, indicator_identifier)
Allega una guida pratica alla richiesta.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| workflow_name | {string} | Nome workflow | N/D | N/D |
| cyber_case_id | {string} | Identificatore della richiesta | 234 | N/D |
| indicator_identifier | {string} | Identificatore avviso | ad6879f1-b72d-419f-990c-011a2526b16d | N/D |
Restituisce
Codice di stato {string} dell'operazione del server
Esempio
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
alert_identifier = "ad6879f1-b72d-419f-990c-011a2526b16d"
case_id = "234"
workflow_name = "Workflow 234"
siemplify.attach_workflow_to_case(workflow_name=workflow_name, cyber_case_id=case_id, indicator_identifier=alert_identifier)
Comportamento dei risultati
Il flusso di lavoro 234 verrà allegato alla richiesta 234.
Valore del risultato
Nessuno
batch_update_case_id_matches
batch_update_case_id_matches(case_id_matches)
Aggiornamento batch delle richieste con gli ID richiesta esterni appropriati.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| case_id_matches | {list} | Elenco di oggetti SyncCaseIdMatch |
Restituisce
{list} Elenco degli ID richiesta aggiornati.
change_case_priority
change_case_priority(priority, case_id, alert_identifier)
Modifica la priorità della richiesta.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| priorità | {int} | Priorità della richiesta da modificare | 40/60/80/100 | Vedi ApiSyncCasePriorityEnum. Il mapping della priorità: {"Low": 40, "Medium": 60, "High": 80, "Critical": 100} |
| case_id | {string} | Identificatore della richiesta | 234 | N/D |
| alert_identifier | {string} | Identificatore avviso | ad6879f1-b72d-419f-990c-011a2526b16d | N/D |
Restituisce
NoneType
Esempio
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
priority = 40
alert_identifier = "ad6879f1-b72d-419f-990c-011a2526b16d"
case_id = "234"
siemplify.change_case_priority(priority=priority, case_id=case_id, alert_identifier=alert_identifier)
Comportamento dei risultati
La priorità della richiesta 234 viene modificata in 40, che corrisponde a bassa.
Valore del risultato
Nessuno
change_case_stage
change_case_stage(stage, case_id, alert_identifier)
Modifica la fase della richiesta.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| fase | {string} | La fase attuale della richiesta. | Incidente | N/D |
| case_id | {string} | Identificatore della richiesta | N/D | N/D |
| alert_identifier | {string} | Identificatore avviso | ad6879f1-b72d-419f-990c-011a2526b16d | N/D |
check_marketplace_status
check_marketplace_status()
Controlla lo stato del marketplace.
Se non si verifica alcun errore, la funzione restituisce none. In caso contrario, viene restituita
un'eccezione.
Parametri
N/D
Restituisce
Nessuno
close_alert
close_alert(root_cause, comment, reason, case_id, alert_id)
Questa funzione chiude l'avviso corrente. È come chiudere manualmente l'avviso dalla panoramica della richiesta. La funzione richiede il motivo della chiusura, una causa
principale e un commento, proprio come l'avviso di chiusura della richiesta.
La chiusura di un avviso chiude la nuova richiesta con un solo avviso.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| root_cause | {string} | Causa principale per la chiusura della richiesta | N/D | N/D |
| commento | {string} | Un commento | N/D | N/D |
| motivo | {ApiSyncAlertCloseReasonEnum} | N/D | N/D | Vedi SiemplifyDataModel.ApiSyncAlertCloseReasonEnum |
| case_id | {string} | Identificatore della richiesta in cui si trova l'avviso | 234 | N/D |
| alert_id | {string} | Identificatore dell'avviso da chiudere | ad6879f1-b72d-419f-990c-011a2526b16d | N/D |
Restituisce
{dict} risultato dell'operazione del server
close_case
close_case(root_cause, comment, reason, case_id, alert_identifier)
Chiudere una richiesta.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| root_cause | {string} | La causa principale per la chiusura di una richiesta | N/D | N/D |
| commento | {string} | Un commento | N/D | N/D |
| motivo | {ApiSyncAlertCloseReasonEnum} | Motivo di chiusura della richiesta | Vedi SiemplifyDataModel.ApiSyncAlertCloseReasonEnum | |
| case_id | {string} | Identificatore della richiesta | 234 | N/D |
| alert_id | {string} | Identificatore avviso | ad6879f1-b72d-419f-990c-011a2526b16d | N/D |
create_case
create_case(case_info)
Questa funzione crea una richiesta con gli avvisi e gli eventi contenuti nel
dizionario case_info.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| case_info | {CaseInfo} | Oggetto Informazioni sulla richiesta | N/D | Visualizza SiemplifyConnectorsDataModel.CaseInfo |
Restituisce
NoneType
Comportamento dei risultati
Viene creata la richiesta con i dati forniti.
Valore del risultato
Nessuno
create_case_insight_internal
create_case_insight_internal(case_id, alert_identifier, triggered_by, title, content, entity_identifier, severity, insight_type, additional_data=None, additional_data_type=None, additional_data_title=None, original_requesting_user=None, entity_type=None)
Aggiungi insight.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| case_id | {string} | Identificatore della richiesta | 234 | N/D |
| alert_identifier | {string} | Identificatore avviso | ad6879f1-b72d-419f-990c-011a2526b16d | N/D |
| triggered_by | {string} | Nome integrazione | N/D | N/D |
| titolo | {string} | Titolo dell'approfondimento | N/D | N/D |
| contenuti | {string} | Messaggio dell'insight | N/D | N/D |
| entity_identifier | {string} | Identificatore entità | N/D | N/D |
| gravità | {int} | Identificatore di gravità | 0 = info, 1 = warning, 2 = error |
N/D |
| insight_type | {int} | Tipo di insight | 0 = generale, 1 = entità |
N/D |
| additional_data | N/D | N/D | N/D | N/D |
| additional_data_type | N/D | N/D | N/D | N/D |
| additional_data_title | N/D | N/D | N/D | N/D |
| original_requesting_user | N/D | N/D | N/D | N/D |
| entity_type | {string} | Tipo di entità | "ADDRESS" | N/D |
Restituisce
{boolean} True in caso di esito positivo.
create_connector_package
create_connector_package(connector_package)
Crea un pacchetto di connettori nel sistema.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| connector_package | {string} | Pacchetto del connettore come JSON | N/D | N/D |
dismiss_alert
dismiss_alert(alert_group_identifier, should_close_case_if_all_alerts_were_dismissed, case_id)
end
end(message, result_value, execution_state=0)
Termina lo script.
Nessun altro codice dopo l'esecuzione della funzione end().
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| messaggio | {string} | Messaggio di output da mostrare al cliente | Azione completata | N/D |
| result_value | {int/string/dict} | Valore restituito | N/D | N/D |
| execution_state | {int} | Indicatore dello stato dell'azione corrente. Utilizzato principalmente nelle azioni asincrone per indicare se l'azione è stata completata o meno. | 0 (EXECUTION_STATE_COMPLETED), 1 (EXECUTION_STATE_INPROGRESS), 2 (EXECUTION_STATE_FAILED), 3 (EXECUTION_STATE_TIMEDOUT) |
Il valore predefinito è 0 |
Restituisce
Restituisce i dati dei risultati al processo host.
end_script
end_script()
escalate_case
escalate_case(comment, case_id, alert_identifier)
Riassegnare una richiesta.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| commento | {string} | Riassegna commento | N/D | N/D |
| case_id | {string} | Identificatore della richiesta | 234 | N/D |
| alert_identifier | {string} | Identificatore avviso | ad6879f1-b72d-419f-990c-011a2526b16d | N/D |
extract_configuration_param
extract_configuration_param(provider_name, param_name, default_value=None, input_type=<class 'str'>, is_mandatory=False, print_value=False)
Recupera un parametro di configurazione dall'istanza di integrazione.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| provider_name | {string} | Nome dell'integrazione | N/D | N/D |
| param_name | {string} | Nome del parametro | N/D | N/D |
| default_value | {any} | Se il parametro non viene passato, utilizza questo valore per impostazione predefinita | N/D | Nessuno per impostazione predefinita (facoltativo) |
| input_type | {obj} | Trasmetti il parametro a un tipo diverso | N/D | Ad esempio, int. str per impostazione predefinita (facoltativo) |
| is_mandatory | {bool} | Genera un'eccezione se il parametro è vuoto | N/D | False per impostazione predefinita (facoltativo) |
| print_value | {bool} | Stampa il valore nel log | N/D | False per impostazione predefinita (facoltativo) |
Restituisce
Il valore parametro (stringa per impostazione predefinita), a meno che non sia specificato input_type.
static generate_serialized_object
generate_serialized_object(object_filter)
get_agent_by_id
get_agent_by_id(agent_id)
Recupera i dettagli dell'agente in base all'ID.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| agent_id | {str} | L'ID dell'agente | N/D | N/D |
Restituisce
{dict} I dettagli del publisher
get_alerts_ticket_ids_from_cases_closed_since_timestamp
get_alerts_ticket_ids_from_cases_closed_since_timestamp(timestamp_unix_ms, rule_generator)
Ricevi avvisi relativi alle richieste chiuse dopo il timestamp.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| timestamp_unix_ms | {long} | Timestamp | 1550409785000L | N/D |
| rule_generator | {string} | N/D | "Rilevatore di email di phishing" | N/D |
Restituisce
Avvisi {list}
get_attachment
get_attachment(attachment_id)
Recupera i dati degli allegati in base all'identificatore.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| attachment_id | {string} | Identificatore allegato | N/D | N/D |
Restituisce
Dati allegati {BytesIO}
get_attachments
get_attachments(case_id)
Ricevere allegati dalla richiesta.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| case_id | {string} | Identificatore della richiesta | 234 | N/D |
Restituisce
{dict} allegati
Valore del risultato
[{"is_favorite": False, "description": "", "type": ".txt", "id": 1, "name":
"test.py"}]
get_case_by_id
get_case_by_id(case_id)
Recupera una richiesta utilizzando il case ID.
Questa funzione interagisce con il seguente endpoint:
external/v1/sdk/CaseFullDetails
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| case_id | {[string]} | ID richiesta | N/D | N/D |
Restituisce
Dati del caso {dict}.
get_case_closure_details
get_case_closure_details(case_id_list)
Recupera i dettagli della chiusura della richiesta.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| case_id_list | {[string]} | Elenco degli ID richiesta | N/D | N/D |
Restituisce
Elenco {[dict]} di dict contenenti i dettagli della chiusura della richiesta.
Valore del risultato
[{'case_closed_action_type': 1, 'reason': NotMalicious', 'root_cause':
'Other'}]
Per il parametro case_closed_action_type, i valori possibili sono:
- 0 = Automatico
- 1 = Manuale
get_case_comments
get_case_comments(case_id)
Questa funzione recupera i commenti dal caso fornito.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| case_id | {string} | Identificatore della richiesta | 234 | N/D |
Restituisce
Elenco
Esempio
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
siemplify.get_case_comments(case_id)
Comportamento dei risultati
Verranno recuperati tutti i commenti relativi alla richiesta.
Valore del risultato
[
{
u 'comment': u 'Test',
u 'case_id': 10085,
u 'is_favorite': False,
u 'alert_identifier': None,
u 'creator_user_id': u 'Admin',
u 'type': 5,
u 'id': 1,
u 'modification_time_unix_time_in_ms': 1563272078332L
}, {
u 'comment': u 'jhfksdh',
u 'case_id': 10085,
u 'is_favorite': False,
u 'alert_identifier': None,
u 'creator_user_id': u 'Admin',
u 'type': 5,
u 'id': 2,
u 'modification_time_unix_time_in_ms': 1563272079941L
}, {
u 'comment': u 'kjfhsdm',
u 'case_id': 10085,
u 'is_favorite': False,
u 'alert_identifier': None,
u 'creator_user_id': u 'Admin',
u 'type': 5,
u 'id': 3,
u 'modification_time_unix_time_in_ms': 1563272080598L
}
]
get_case_tasks
get_case_tasks(case_id)
Recupera tutte le attività in base all'ID richiesta.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| case_id | {int/str} | ID richiesta | 234 | La funzione può ricevere int o str |
Restituisce
{[Task]} l'elenco degli oggetti attività appartenenti alla richiesta.
Vedi SiemplifyDataModel.Task.
get_cases_by_filter
get_cases_by_filter(environments=None, analysts=None, statuses=None, case_names=None, tags=None, priorities=None, stages=None, case_types=None, products=None, networks=None, ticked_ids_free_search='', case_ids_free_search='', wall_data_free_search='', entities_free_search='', start_time_unix_time_in_ms=-1, end_time_unix_time_in_ms=-1)
Recupera le richieste in base ai filtri richiesti.
*caseFilterValue* object - { 'Title':'Merged Case', 'Value': 'Merged', 'Title':'Involved Suspicious Entity', 'Value': 'InvolvedSuspiciousEntity', 'Title':'Manual', 'Value': 'Manual', 'Title':'Simulated Alerts', 'Value': 'Simulated',}
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| environments | {[string]} | Elenco dei nomi degli ambienti (ambiente) | N/D | Se non vengono forniti ambienti, viene utilizzato None (facoltativo) |
| analisti | {[string]} | Elenco dei nomi degli analisti (utente/ruolo assegnato alla richiesta), | N/D | Se non viene fornito alcun analista, viene utilizzato None (facoltativo) |
| stati | {[int]} | Elenco di stati in base ai quali filtrare | N/D | Vedi ApiSyncCaseStatusEnum. Se non vengono forniti stati, viene utilizzato None (facoltativo) |
| case_names | {[string]} | Elenco dei nomi delle pratiche | N/D | Se non vengono forniti case_names, viene utilizzato None (facoltativo) |
| Tag | {[string]} | Elenco dei tag delle richieste | N/D | Se non vengono forniti tag, viene utilizzato None (facoltativo) |
| priorità | {[int]} | Elenco delle priorità | Vedi ApiSyncAlertPriorityEnum. Se non vengono fornite priorità, viene utilizzato None (facoltativo) |
|
| fasi | {list} | Elenco delle fasi (oggetto caseFilterValue) | N/D | Se non vengono fornite fasi, viene utilizzato None (facoltativo) |
| case_types | {list} | Elenco dei tipi di oggetti (oggetto caseFilterValue) | N/D | I valori
Se non vengono forniti |
| prodotti | {list} | Elenco dei prodotti (oggetto caseFilterValue) | N/D | Se non vengono forniti prodotti, viene utilizzato None (facoltativo) |
| reti | {list} | Elenco di reti (oggetto caseFilterValue) | N/D | Se non vengono fornite reti, viene utilizzato None (facoltativo) |
| ticked_ids_free_search | {string} | Identificatore ticket | N/D | Se non fornito, il valore predefinito è "" (facoltativo) |
| case_ids_free_search | {string} | Identificatore della richiesta | N/D | Se non fornito, il valore predefinito è "" (facoltativo) |
| wall_data_free_search | {string} | Stringa da cercare | N/D | Se non fornito, il valore predefinito è "" (facoltativo) |
| entities_free_search | {string} | Identificatore entità | N/D | Se non fornito, il valore predefinito è "" (facoltativo) |
| start_time_unix_time_in_ms | {long} | N/D | N/D | Valore predefinito -1 (facoltativo) |
| end_time_unix_time_in_ms | {long} | N/D | N/D | Valore predefinito -1 (facoltativo) |
Restituisce
Case_ids ''
get_cases_by_ticket_id
get_cases_by_ticket_id(ticket_id)
Recupera una richiesta tramite l'identificatore del ticket.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| ticket_id | {string} | Identificatore ticket | N/D | N/D |
Restituisce
Elenco di ID richiesta {[int]}.
get_cases_ids_by_filter
get_cases_ids_by_filter(status, start_time_from_unix_time_in_ms=None, start_time_to_unix_time_in_ms=None, close_time_from_unix_time_in_ms=None, close_time_to_unix_time_in_ms=None, update_time_from_unix_time_in_ms=None, update_time_to_unix_time_in_ms=None, operator=None, sort_by='START_TIME', sort_order='DESC', max_results=1000)
Ottieni gli ID richiesta per filtro.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| stato | {str} | Stato della richiesta da recuperare | 'OPEN', 'CLOSE', 'BOTH' | N/D |
| start_time_from_unix_time_in_ms | {int} | Intervallo iniziale dell'ora di inizio della richiesta (valore inserito incluso) | N/D | Il valore predefinito è 30 giorni prima (facoltativo) |
| start_time_to_unix_time_in_ms | {int} | Intervallo di fine dell'ora di inizio della pratica incluso | N/D | Il valore predefinito è l'ora attuale (facoltativo) |
| close_time_from_unix_time_in_ms | {int} | Intervallo di inizio dell'ora di chiusura della richiesta (valore inserito incluso) | N/D | Il valore predefinito è 30 giorni prima (facoltativo) |
| close_time_to_unix_time_in_ms | {int} | Intervallo di tempo di chiusura della richiesta incluso. | N/D | Il valore predefinito è l'ora attuale (facoltativo) |
| update_time_from_unix_time_in_ms | {int} | Intervallo di inizio della data e ora di modifica della richiesta (valore inserito incluso) | N/D | Il valore predefinito è l'ora di inizio (facoltativo) |
| update_time_to_unix_time_in_ms | {int} | Intervallo di fine della data e ora di modifica della richiesta (valore incluso) | N/D | Il valore predefinito è l'ora attuale (facoltativo) |
| operatore | {str} | Operatore per i filtri temporali | OR, AND | Facoltativo |
| sort_by | {str} | Ordinare i risultati per ora | START_TIME, UPDATE_TIME, CLOSE_TIME | Facoltativo |
| sort_order | {str} | Ordinamento | ASC, DESC | Il valore predefinito è l'ordine decrescente (facoltativo) |
| max_results | {int} | Numero massimo di risultati da restituire | N/D | Il valore predefinito è 1000, il valore massimo è 10.000 (facoltativo) |
get_configuration
get_configuration(provider, environment, integration_instance)
Recupera la configurazione dell'integrazione.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| provider | {string} | Nome integrazione | "VirusTotal" | N/D |
| produzione | {string} | Configurazione per un ambiente specifico o "all" | N/D | N/D |
| integration_instance | {string} | Identificatore dell'istanza di integrazione | N/D | N/D |
Restituisce
Dettagli di configurazione di {dict}.
get_configuration_by_provider
get_configuration_by_provider(identifier)
Recupera la configurazione dell'integrazione.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| provider | {string} | Nome integrazione | "VirusTotal" | N/D |
Restituisce
Dettagli di configurazione di {dict}
get_existing_custom_list_categories
get_existing_custom_list_categories()
Recupera tutte le categorie di elenchi personalizzati esistenti.
Questa funzione restituisce un oggetto elenco di tutte le categorie nelle impostazioni di CustomList
indipendentemente dagli ambienti.
Parametri
N/D
Restituisce
{[unicode]} elenco di tipi Unicode con categorie esistenti.
Esempio
from SiemplifyAction import SiemplifyAction siemplify = SiemplifyAction() result = siemplify.get_existing_custom_list_categories()
Comportamento dei risultati
Viene restituito un elenco di tutte le liste personalizzate esistenti.
Valore del risultato
["DenyListed IPs", "AllowListed HOSTs"]
get_external_configuration
get_external_configuration(config_provider, config_name)
Recupera la configurazione dell'integrazione esterna.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| config_provider | {string} | N/D | N/D | N/D |
| config_name | {string} | N/D | N/D | N/D |
get_integration_version
get_integration_version(integration_identifier)
Recupera una versione dell'integrazione.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| integration_identifier | {string} | Identificatore integrazione | N/D | N/D |
Restituisce
Versione integrazione {float}
get_publisher_by_id
get_publisher_by_id(publisher_id)
Recupera i dettagli del publisher per ID.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| publisher_id | {string} | L'ID del publisher | N/D | N/D |
Restituisce
{dict} I dettagli del publisher
get_remote_connector_keys_map
get_remote_connector_keys_map(publisher_id)
Ottieni le chiavi di crittografia dei connettori remoti in base all'ID publisher.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| publisher_id | {string} | L'ID del publisher | N/D | N/D |
Restituisce
{dict} La mappa dei tasti
get_similar_cases
get_similar_cases(case_id, ports_filter, category_outcome_filter, rule_generator_filter, entity_identifiers_filter, start_time_unix_ms, end_time_unix_ms)
Ricevi casi simili.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| case_id | {string} | Identificatore della richiesta | 234 | N/D |
| ports_filter | {boolean} | Filtro Utilizza porta vero/falso | Vero/Falso | N/D |
| category_outcome_filter | {boolean} | Vero/Falso utilizza il filtro category_outcome | Vero/Falso | N/D |
| rule_generator_filter | {boolean} | Vero/Falso utilizza il filtro rule_generator | Vero/Falso | N/D |
| entity_identifiers_filter | {boolean} | Vero/Falso utilizza il filtro entity_identifiers | Vero/Falso | N/D |
| start_time_unix_ms | N/D | N/D | N/D | N/D |
| end_time_unix_ms | N/D | N/D | N/D | N/D |
Restituisce
{dict}
get_sync_alerts
get_sync_alerts(alert_group_ids)
Recupera le informazioni sugli avvisi necessarie per la sincronizzazione dei sistemi.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| alert_group_ids | {list} | Un elenco di ID gruppi di avvisi da recuperare | N/D | N/D |
Restituisce
Elenco {[SyncAlert]} di oggetti SyncAlert.
get_sync_cases
get_sync_cases(case_ids)
Recupera le informazioni sulla richiesta necessarie per la sincronizzazione dei sistemi.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| case_ids | {list} | Un elenco di ID richiesta da recuperare | N/D | N/D |
Restituisce
{[SyncCase]} Un elenco di oggetti SyncCase.
get_system_info
get_system_info(start_time_unixtime_ms)
get_system_version
get_system_version()
Ottieni la versione attuale di Google Security Operations SOAR.
Parametri
N/D
Restituisce
{string} current Google Security Operations SOAR version
get_temp_folder_path
get_temp_folder_path()
Ottiene il percorso della cartella temporanea.
Parametri
N/D
Restituisce
{string} percorso della cartella temporanea
get_ticket_ids_for_alerts_dismissed_since_timestamp
get_ticket_ids_for_alerts_dismissed_since_timestamp(timestamp_unix_ms)
get_updated_sync_alerts_metadata
get_updated_sync_alerts_metadata(start_timestamp_unix_ms, count, allowed_environments=None, vendor=None)
Recupera i metadati degli avvisi monitorati aggiornati.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| start_timestamp_unix_ms | {long} | Cerca avvisi aggiornati a partire dal giorno start_timestamp_unix_ms o successivo |
N/D | Se end_timestamp_unix_ms è None,l'ora di fine è l'ora della richiesta. |
| conteggio | {int} | ID gruppo avvisi massimi da recuperare | N/D | N/D |
| allowed_environments | {[string]} | Ambienti in cui eseguire la ricerca | N/D | Se allowed_environments è Nessuno,cerca in tutti gli ambienti |
| vendor | {string} | Filtrare gli avvisi per fornitore | N/D | N/D |
Restituisce
{[SyncAlertMetadata]} Elenco di oggetti SyncAlertMetadata, ordinati per
SyncAlertMetadata.tracking_time.
get_updated_sync_cases_metadata
get_updated_sync_cases_metadata(start_timestamp_unix_ms, count, allowed_environments=None, vendor=None)
Recupera i metadati aggiornati delle richieste monitorate.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| start_timestamp_unix_ms | {long} | Cerca richieste aggiornate a partire dal giorno start_timestamp_unix_ms o successivo |
N/D | Se end_timestamp_unix_ms è None,l'ora di fine sarà l'ora della richiesta |
| conteggio | {int} | Numero massimo di ID casi da recuperare | N/D | N/D |
| allowed_environments | {[string]} | Ambienti in cui eseguire la ricerca | N/D | Se allowed_environments è Nessuno,cerca in tutti gli ambienti |
| vendor | {string} | Restituisci solo le richieste con avvisi generati in vendor |
N/D | N/D |
Restituisce
{[SyncCaseMetadata]} Elenco di oggetti SyncCaseMetadata, ordinati per
SyncCaseMetadata.tracking_time.
init_proxy_settings
init_proxy_settings()
Parametri
N/D
is_existing_category
is_existing_category(category)
Controlla se la categoria specificata esiste.
Dato un nome di categoria, questa funzione restituisce True (booleano) se la stringa
nome categoria esatta è definita come categoria nelle impostazioni di CustomList.
Questa funzione ignora l'ambiente e restituisce True se l'elemento esiste;
altrimenti, restituisce False.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| categoria | {string} | La categoria da controllare se esiste | "DenyListed IPs" | N/D |
Restituisce
{bool} True se la categoria esiste, False in caso contrario.
Esempio 1
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
result = siemplify.is_existing_category("WhiteListed HOSTs")
Esempio 2
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
result = siemplify.is_existing_category("SpecialHosts")
Comportamento dei risultati
Il risultato nel codice di esempio 1 restituisce True, mentre il risultato nel codice di esempio 2
restituisce False.
Valore del risultato
Vero o falso
mark_case_as_important
mark_case_as_important(case_id, alert_identifier)
Questa funzione contrassegna la richiesta attuale con l'identificatore dell'avviso specificato come importante.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| case_id | {string} | Identificatore della richiesta | 234 | N/D |
| alert_identifier | {string} | Identificatore avviso | ad6879f1-b72d-419f-990c-011a2526b16d | N/D |
Restituisce
NoneType
Esempio
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
alert_identifier = "ad6879f1-b72d-419f-990c-011a2526b16d"
case_id = "234"
siemplify.mark_case_as_important(case_id=case_id, alert_identifier=alert_identifier)
Comportamento dei risultati
Il caso con l'identificatore dell'avviso fornito è contrassegnato come importante.
Valore del risultato
Nessuno
raise_incident
raise_incident(case_id, alert_identifier)
Questa funzione genera la richiesta corrente con l'identificatore dell'avviso come incidente.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| case_id | {string} | Identificatore della richiesta | 234 | N/D |
| alert_identifier | {string} | Identificatore avviso | ad6879f1-b72d-419f-990c-011a2526b16d | N/D |
Restituisce
NoneType
Esempio
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
alert_identifier = "ad6879f1-b72d-419f-990c-011a2526b16d"
case_id = "234"
siemplify.raise_incident(case_id=case_id, alert_identifier=alert_identifier)
Comportamento dei risultati
La richiesta 234 verrà segnalata come incidente.
Valore del risultato
Nessuno
remove_entities_from_custom_list
remove_entities_from_custom_list(custom_list_items)
Rimuovi le entità dall'elenco personalizzato con la categoria specificata.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| custom_list_items | {[CustomList]} | Un elenco di elementi di elenchi personalizzati | N/D | N/D |
Restituisce
Elenco {[CustomList]} di oggetti CustomList rimossi.
remove_temp_folder
remove_temp_folder()
Elimina la cartella temporanea e le relative sottocartelle.
Parametri
N/D
Risultato della proprietà
send_system_notification
send_system_notification(message, message_id='SDK_CUSTOM_NOTIFICATION')
Invia una notifica di sistema con un ID messaggio facoltativo.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| messaggio | {string} | Messaggio di notifica | N/D | N/D |
| message_id | {string} | Identificatore del messaggio di notifica | N/D | N/D |
send_system_notification_message
send_system_notification_message(message, message_id)
Esempio
Comportamento dei risultati
Valore del risultato
set_alert_sla
set_alert_sla(period_time, period_type, critical_period_time, critical_period_type, case_id, alert_identifier)
Imposta l'SLA del alert_identifier specificato di case_id. Lo SLA impostato utilizzando
questa API deve superare tutti gli altri tipi di SLA di avviso.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| period_time | {int/str} | Rappresenta il periodo totale dello SLA | N/D | period_time > 0 |
| period_type | {str} | Unità di tempo di period_time, rappresentate da ApiPeriodTypeEnum |
N/D | N/D |
| critical_period_time | {int/str} | Rappresenta il periodo critico SLA | N/D | critical_period_time >= 0 Il periodo critico (dopo il ridimensionamento con le relative unità di tempo) deve essere inferiore al periodo totale |
| critical_period_type | {str} | Unità di tempo di critical_period_time, rappresentata da ApiPeriodTypeEnum |
N/D | N/D |
| case_id | {long} | Identificatore della richiesta | N/D | N/D |
| alert_identifier | {str} | Identificatore avviso | N/D | N/D |
set_case_sla
set_case_sla(period_time, period_type, critical_period_time, critical_period_type, case_id)
Imposta l'SLA del case_id specificato. L'SLA impostato utilizzando questa API deve superare
tutti gli altri tipi di SLA per le richieste.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| period_time | {int/string} | Rappresenta il periodo totale dello SLA | N/D | period_time > 0 |
| period_type | {string} | Unità di tempo di period_time, rappresentate da ApiPeriodTypeEnum |
N/D | N/a |
| critical_period_time | {int/string} | Rappresenta il periodo critico SLA | N/D | critical_period_time >= 0 Il periodo critico (dopo il ridimensionamento con le relative unità di tempo) deve essere inferiore al periodo totale |
| critical_period_type | {string} | Unità di tempo di critical_period_time, rappresentata da ApiPeriodTypeEnum |
N/D | N/D |
| case_id | {long} | Identificatore della richiesta | 234 | N/D |
update_alerts_additional_data
update_alerts_additional_data(case_id, alerts_additional_data)
Aggiorna i dati aggiuntivi degli avvisi.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| case_id | {string} | Identificatore della richiesta | 234 | N/D |
| alerts_additional_data | {dict} | Eventuali dati aggiuntivi dell'avviso | N/D | N/D |
update_entities
update_entities(updated_entities)
Questa funzione aggiorna le entità.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| updated_entities | {[{string:string}]} | N/D | N/D | N/D |
Restituisce
NoneType
Comportamento dei risultati
Utilizzando l'ambito, l'avviso selezionato aggiunge nuove entità se non sono già presenti.
Valore del risultato
Nessuno