Siemplify モジュール
クラス Siemplify.Siemplify
ベース: SiemplifyBase
エンドポイント: external/v1/sdk/CaseFullDetails
add_agent_connector_logs
add_agent_connector_logs(agent_id, connector_id, logs_package)
リモート エージェントの connector_id コネクタのログを追加します。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| agent_id | {string} | エージェントの識別子 | なし | なし |
| connector_id | {string} | コネクタ インスタンスの識別子 | なし | なし |
| logs_package | (dict) | ConnectorLogPackage | なし | なし |
add_attachment
add_attachment(file_path, case_id, alert_identifier, description=None, is_favorite=False)
この関数は、ファイル添付ファイル(クライアントからユーザーのローカル マシンにダウンロード可能)を含むエントリをケースウォールに追加します。この関数は、証拠を追加する場合(ケースの概要画面の下部)と基本的に同じことを行います。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| file_path | {string} | ファイルのパス | アクセス可能なパス | パスはリモートの場所を指定することもできます。そのファイルに対する読み取り権限が必要です。 |
| case_id | {string} | ケース ID | 添付ファイルをケースウォールに追加するケース ID | デフォルトは現在のケースです。 |
| alert_identifier | {string} | アラート ID | 添付ファイルを関連付けるアラートのアラート識別子文字列 | デフォルトは現在実行中のアラートです。 |
| 説明 | {string} | 添付ファイルの説明 | 文字列 | デフォルトでは None。 省略可能なパラメータ。 |
| is_favorite | {boolean} | 添付ファイルのお気に入り | True/False | デフォルトでは False。省略可能なパラメータ。 |
戻り値
{long} attachment_id
例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
siemplify.add_attachment(r'C:/temp/investigation.txt', description='Deep investigation report by TIER3 team', is_favorite=True)
結果の動作
この例では、ローカルマシン(サーバー自体)の C:/temp から investigation.txt をケースウォールにアップロードします。ケースのウォールに、説明に文字列を含むコメントが追加されます。is_favorite フラグが True に設定されているため、この新しいエントリにもスター(お気に入り)が付きます。
add_comment
add_comment(comment, case_id, alert_identifier)
特定のケースに新しいコメントを追加します。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| コメント | {string} | ケースウォールに追加するコメント | 「このアラートのイベントには不審な点があります」 | ケースに関連するコメント |
| case_id | {string} | ケース ID | 234 | なし |
| alert_identifier | {string} | アラート ID | ad6879f1-b72d-419f-990c-011a2526b16d | なし |
戻り値
NoneType
例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
add_comment = "This alert is important"
alert_identifier = "ad6879f1-b72d-419f-990c-011a2526b16d"
case_id = "234"
siemplify.add_comment(comment, case_id, alert_identifier)
結果の動作
指定したコメントがケース 234 に追加されます。
結果値
なし
add_entities_to_custom_list
add_entities_to_custom_list(custom_list_items)
追加されたエンティティとともに提供されたカスタムリストをカスタムリストに追加します。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| custom_list_items | {string} | カスタム リストアイテムのリスト | なし | なし |
戻り値
{[CustomList]} 追加されたカスタム リストアイテムを含むリスト。
結果の動作
エンティティがカスタムリストのカテゴリに追加されます。
add_entity_insight
add_entity_insight(domain_entity_info, message, case_id, alert_id)
エンティティ分析情報を追加します。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| domain_entity_info | {string} | エンティティ ID | "192.0.2.1" | {DomainEntityInfo} |
| message | {string} | 分析情報のメッセージ | これは Example DNS です | なし |
| case_id | {string} | エンティティ分析情報に追加するケース ID | 234 | なし |
| alert_id | {string} | Alert identifier to add to an entity insight | ad6879f1-b72d-419f-990c-011a2526b16d | なし |
戻り値
{boolean} True 成功時
例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
entity = "192.0.2.1"
alert_identifier = "ad6879f1-b72d-419f-990c-011a2526b16d"
case_id = "234"
siemplify.add_entity_insight(domain_entity_info=entity, message=message, case_id=case_id, alert_id=alert_identifier)
結果の動作
指定されたメッセージは、ケース 234 の指定されたアラート ID のエンティティ 192.0.2.1 の分析情報として追加されます。
結果値
正しい
分析情報が追加されていない場合は False。
add_entity_to_case
add_entity_to_case(case_id, alert_identifier, entity_identifier, entity_type, is_internal, is_suspicious, is_enriched, is_vulnerable, properties, environment)
エンティティをケースに追加します。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| case_id | {string} | ケース ID | 234 | なし |
| alert_identifier | {string} | アラート ID | ad6879f1-b72d-419f-990c-011a2526b16d | なし |
| entity_identifier | {string} | エンティティ ID | 192.0.2.1、example.com | なし |
| entity_type | {string} | エンティティ ID のエンティティ タイプ | "ADDRESS" | なし |
| is_internal | {boolean} | なし | True/False | なし |
| is_suspicious | {boolean} | なし | True/False | |
| is_enriched | {boolean} | なし | True/False | デフォルトは False |
| is_vulnerable | {boolean} | なし | True/False | デフォルトは False |
| プロパティ | (dict) | エンティティのプロパティ | {"property":"value"} | なし |
| environment | {string} | 定義された環境のいずれか | 環境の例 | なし |
戻り値
NoneType
例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
case_id = "234"
alert_identifier = "ad6879f1-b72d-419f-990c-011a2526b16d"
entity = "192.0.2.1"
entity_type = "ADDRESS"
properties = {"property": "value"}
siemplify.add_entity_to_case(case_id=case_id,
alert_identifier = alert_identifier,
entity_identifier = entity,
entity_type = entity_type,
is_internal = True,
is_suspicious = False,
is_enriched = False,
is_vulnerable = False,
properties = properties,
environment=None)
結果の動作
提供された情報を含むエンティティが、ケース 234 内の指定されたアラートに追加されます。
結果値
なし
add_or_update_case_task
add_or_update_case_task(task)
タスクケースを追加または更新します。タスク ID がある場合は更新し、ない場合は追加(作成)します。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| タスク | {Task} | ケースに追加または更新するタスク オブジェクト | なし | なし |
戻り値
{int} 新規または更新されたタスクの ID。
add_tag
add_tag(tag, case_id, alert_identifier)
特定のケースに新しいタグを追加します。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| タグ | {string} | 追加するタグ | なし | なし |
| case_id | {string} | ケース ID | 234 | なし |
| alert_identifier | {string} | アラート ID | ad6879f1-b72d-419f-990c-011a2526b16d | なし |
any_entity_in_custom_list
any_entity_in_custom_list(custom_list_items)
指定されたカテゴリのカスタムリスト レコードを持つエンティティが、指定されたリストに存在するかどうかを確認します。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| custom_list_items | {[CustomList]} | エンティティをチェックするカスタム リスト項目のリスト | なし | なし |
戻り値
{boolean} エンティティが見つかった場合は True、それ以外の場合は False。
結果値
正誤問題
assign_case
assign_case(user, case_id, alert_identifier)
この関数は、現在のケースをユーザーに割り当てます。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| ユーザー | {string} | ユーザー / ロール | 管理者、@Tier1 | なし |
| case_id | {string} | ユーザーを割り当てるケース ID | 234 | なし |
| alert_identifier | {string} | ユーザーを割り当てるアラート ID | ad6879f1-b72d-419f-990c-011a2526b16d | この値は、アクションの実行時に取得されます。 |
戻り値
NoneType
結果の動作
ケースが指定したユーザーに割り当てられます。
結果値
なし
attach_workflow_to_case
attach_workflow_to_case(workflow_name, cyber_case_id, indicator_identifier)
ハンドブックをケースに添付します。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| workflow_name | {string} | ワークフロー名 | なし | なし |
| cyber_case_id | {string} | ケース ID | 234 | なし |
| indicator_identifier | {string} | アラート ID | ad6879f1-b72d-419f-990c-011a2526b16d | なし |
戻り値
{string} サーバー オペレーションのステータス コード
例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
alert_identifier = "ad6879f1-b72d-419f-990c-011a2526b16d"
case_id = "234"
workflow_name = "Workflow 234"
siemplify.attach_workflow_to_case(workflow_name=workflow_name, cyber_case_id=case_id, indicator_identifier=alert_identifier)
結果の動作
ワークフロー 234 がケース 234 に添付されます。
結果値
なし
batch_update_case_id_matches
batch_update_case_id_matches(case_id_matches)
適切な外部ケース ID を使用したケースの一括更新。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| case_id_matches | {list} | SyncCaseIdMatch オブジェクトのリスト |
戻り値
{list} 正常に更新されたケース ID のリスト。
change_case_priority
change_case_priority(priority, case_id, alert_identifier)
ケースの優先度を変更します。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| priority | {int} | 変更するケースの優先度 | 40/60/80/100 | ApiSyncCasePriorityEnum を参照してください。 優先度マッピング: {"Low": 40, "Medium": 60, "High": 80, "Critical": 100} |
| case_id | {string} | ケース ID | 234 | なし |
| alert_identifier | {string} | アラート ID | ad6879f1-b72d-419f-990c-011a2526b16d | なし |
戻り値
NoneType
例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
priority = 40
alert_identifier = "ad6879f1-b72d-419f-990c-011a2526b16d"
case_id = "234"
siemplify.change_case_priority(priority=priority, case_id=case_id, alert_identifier=alert_identifier)
結果の動作
ケース 234 の優先度が 40 に変更され、低にマッピングされます。
結果値
なし
change_case_stage
change_case_stage(stage, case_id, alert_identifier)
ケースのステージを変更します。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| 各段階で | {string} | ケースの現在のステージ。 | インシデント | なし |
| case_id | {string} | ケース ID | なし | なし |
| alert_identifier | {string} | アラート ID | ad6879f1-b72d-419f-990c-011a2526b16d | なし |
check_marketplace_status
check_marketplace_status()
マーケットプレイスのステータスを確認します。
エラーがなければ、関数は none を返します。それ以外の場合は、例外が返されます。
パラメータ
なし
戻り値
なし
close_alert
close_alert(root_cause, comment, reason, case_id, alert_id)
この関数は、現在のアラートを閉じます。ケースの概要からアラートを手動で閉じる場合と同じです。この関数では、ケースのクローズ アラートと同様に、クローズの理由、根本原因、コメントが必要です。
アラートを閉じると、アラートが 1 つしかない新しいケースが閉じられます。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| root_cause | {string} | ケースのクローズに至った根本原因 | なし | なし |
| コメント | {string} | コメント | なし | なし |
| reason | {ApiSyncAlertCloseReasonEnum} | なし | なし | SiemplifyDataModel.ApiSyncAlertCloseReasonEnum を参照してください。 |
| case_id | {string} | アラートが含まれているケースの ID | 234 | なし |
| alert_id | {string} | クローズするアラートの ID | ad6879f1-b72d-419f-990c-011a2526b16d | なし |
戻り値
{dict} サーバー オペレーションの結果
close_case
close_case(root_cause, comment, reason, case_id, alert_identifier)
ケースをクローズします。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| root_cause | {string} | ケースをクローズする根本原因 | なし | なし |
| コメント | {string} | コメント | なし | なし |
| reason | {ApiSyncAlertCloseReasonEnum} | ケースのクローズ理由 | SiemplifyDataModel.ApiSyncAlertCloseReasonEnum を参照してください。 | |
| case_id | {string} | ケース ID | 234 | なし |
| alert_id | {string} | アラート ID | ad6879f1-b72d-419f-990c-011a2526b16d | なし |
create_case
create_case(case_info)
この関数は、case_info 辞書に含まれるアラートとイベントを含むケースを作成します。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| case_info | {CaseInfo} | ケース情報オブジェクト | なし | SiemplifyConnectorsDataModel.CaseInfo を表示 |
戻り値
NoneType
結果の動作
提供されたケースデータを含むケースが作成されます。
結果値
なし
create_case_insight_internal
create_case_insight_internal(case_id, alert_identifier, triggered_by, title, content, entity_identifier, severity, insight_type, additional_data=None, additional_data_type=None, additional_data_title=None, original_requesting_user=None, entity_type=None)
分析情報を追加します。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| case_id | {string} | ケース ID | 234 | なし |
| alert_identifier | {string} | アラート ID | ad6879f1-b72d-419f-990c-011a2526b16d | なし |
| triggered_by | {string} | 連携名 | なし | なし |
| title | {string} | 分析情報のタイトル | なし | なし |
| コンテンツ | {string} | 分析情報のメッセージ | なし | なし |
| entity_identifier | {string} | エンティティ ID | なし | なし |
| 低減することや | {int} | 重大度 ID | 0 = 情報、 1 = 警告、 2 = エラー |
なし |
| insight_type | {int} | 分析情報の種類 | 0 = 一般、 1 = エンティティ |
なし |
| additional_data | なし | なし | なし | なし |
| additional_data_type | なし | なし | なし | なし |
| additional_data_title | なし | なし | なし | なし |
| original_requesting_user | なし | なし | なし | なし |
| entity_type | {string} | エンティティ タイプ | "ADDRESS" | なし |
戻り値
{boolean} True 成功時
create_connector_package
create_connector_package(connector_package)
システムでコネクタ パッケージを作成します。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| connector_package | {string} | コネクタ パッケージ(JSON 形式) | なし | なし |
dismiss_alert
dismiss_alert(alert_group_identifier, should_close_case_if_all_alerts_were_dismissed, case_id)
end
end(message, result_value, execution_state=0)
スクリプトを終了します。
end() 関数の後に他のコードは実行されません。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| message | {string} | クライアントに表示される出力メッセージ | 操作が完了しました | なし |
| result_value | {int/string/dict} | 戻り値 | なし | なし |
| execution_state | {int} | 現在のアクションの状態を示すインジケーター。主に非同期アクションで、アクションが完了したかどうかを示すために使用されます。 | 0(EXECUTION_STATE_COMPLETED)、 1(EXECUTION_STATE_INPROGRESS)、 2(EXECUTION_STATE_FAILED)、 3(EXECUTION_STATE_TIMEDOUT) |
デフォルトは 0 |
戻り値
結果データをホストプロセスに返します。
end_script
end_script()
escalate_case
escalate_case(comment, case_id, alert_identifier)
ケースをエスカレーションします。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| コメント | {string} | コメントをエスカレーションする | なし | なし |
| case_id | {string} | ケース ID | 234 | なし |
| alert_identifier | {string} | アラート ID | ad6879f1-b72d-419f-990c-011a2526b16d | なし |
extract_configuration_param
extract_configuration_param(provider_name, param_name, default_value=None, input_type=<class 'str'>, is_mandatory=False, print_value=False)
インテグレーション インスタンスから構成パラメータを取得します。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| provider_name | {string} | 統合の名前 | なし | なし |
| param_name | {string} | パラメータの名前 | なし | なし |
| default_value | {any} | パラメータが渡されない場合、デフォルトでこの値を使用します | なし | デフォルトでなし(省略可) |
| input_type | {obj} | パラメータを別の型にキャストする | なし | 例: int. str(デフォルト)(省略可) |
| is_mandatory | {bool} | パラメータが空の場合に例外を発生させる | なし | デフォルトは False(省略可) |
| print_value | {bool} | 値をログに出力する | なし | デフォルトは False(省略可) |
戻り値
input_type が指定されていない限り、パラメータ値(デフォルトでは文字列)。
静的 generate_serialized_object
generate_serialized_object(object_filter)
get_agent_by_id
get_agent_by_id(agent_id)
ID でエージェントの詳細を取得します。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| agent_id | {str} | エージェントの ID | なし | なし |
戻り値
{dict} パブリッシャーの詳細
get_alerts_ticket_ids_from_cases_closed_since_timestamp
get_alerts_ticket_ids_from_cases_closed_since_timestamp(timestamp_unix_ms, rule_generator)
タイムスタンプ以降にクローズされたケースからアラートを受け取ります。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| timestamp_unix_ms | {long} | タイムスタンプ | 1550409785000L | なし |
| rule_generator | {string} | なし | 「フィッシング メール検出」 | なし |
戻り値
{list} alerts
get_attachment
get_attachment(attachment_id)
識別子で添付ファイル データを取得します。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| attachment_id | {string} | 添付ファイル ID | なし | なし |
戻り値
{BytesIO} 添付ファイル データ
get_attachments
get_attachments(case_id)
ケースから添付ファイルを取得します。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| case_id | {string} | ケース ID | 234 | なし |
戻り値
{dict} 個の添付ファイル
結果値
[{"is_favorite": False, "description": "", "type": ".txt", "id": 1, "name":
"test.py"}]
get_case_by_id
get_case_by_id(case_id)
ケース ID を使用してケースを取得します。
この関数は、次のエンドポイントとやり取りします。
external/v1/sdk/CaseFullDetails
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| case_id | {[string]} | ケース ID | なし | なし |
戻り値
{dict} ケースデータ。
get_case_closure_details
get_case_closure_details(case_id_list)
ケースのクローズの詳細を取得します。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| case_id_list | {[string]} | ケース ID のリスト | なし | なし |
戻り値
ケースのクローズの詳細を含む dict の {[dict]} リスト。
結果値
[{'case_closed_action_type': 1, 'reason': NotMalicious', 'root_cause':
'Other'}]
case_closed_action_type パラメータで使用できる値は次のとおりです。
- 0 = 自動
- 1 = 手動
get_case_comments
get_case_comments(case_id)
この関数は、指定されたケースからコメントを取得します。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| case_id | {string} | ケース ID | 234 | なし |
戻り値
リスト
例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
siemplify.get_case_comments(case_id)
結果の動作
ケースに属するすべてのコメントが取得されます。
結果値
[
{
u 'comment': u 'Test',
u 'case_id': 10085,
u 'is_favorite': False,
u 'alert_identifier': None,
u 'creator_user_id': u 'Admin',
u 'type': 5,
u 'id': 1,
u 'modification_time_unix_time_in_ms': 1563272078332L
}, {
u 'comment': u 'jhfksdh',
u 'case_id': 10085,
u 'is_favorite': False,
u 'alert_identifier': None,
u 'creator_user_id': u 'Admin',
u 'type': 5,
u 'id': 2,
u 'modification_time_unix_time_in_ms': 1563272079941L
}, {
u 'comment': u 'kjfhsdm',
u 'case_id': 10085,
u 'is_favorite': False,
u 'alert_identifier': None,
u 'creator_user_id': u 'Admin',
u 'type': 5,
u 'id': 3,
u 'modification_time_unix_time_in_ms': 1563272080598L
}
]
get_case_tasks
get_case_tasks(case_id)
ケース ID でタスクをすべて取得します。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| case_id | {int/str} | ケース ID | 234 | 関数は int または str を受け取ることができます。 |
戻り値
{[Task]} ケースに属するタスク オブジェクトのリスト。
SiemplifyDataModel.Task をご覧ください。
get_cases_by_filter
get_cases_by_filter(environments=None, analysts=None, statuses=None, case_names=None, tags=None, priorities=None, stages=None, case_types=None, products=None, networks=None, ticked_ids_free_search='', case_ids_free_search='', wall_data_free_search='', entities_free_search='', start_time_unix_time_in_ms=-1, end_time_unix_time_in_ms=-1)
リクエストされたフィルタでケースを取得します。
*caseFilterValue* object - { 'Title':'Merged Case', 'Value': 'Merged', 'Title':'Involved Suspicious Entity', 'Value': 'InvolvedSuspiciousEntity', 'Title':'Manual', 'Value': 'Manual', 'Title':'Simulated Alerts', 'Value': 'Simulated',}
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| 設定 | {[string]} | 環境名のリスト(環境) | なし | 環境が指定されていない場合、None が使用されます(省略可) |
| 信頼できる調査データ | {[string]} | アナリストの名前のリスト(ケースの割り当て先ユーザー/ロール)、 | なし | アナリストが指定されていない場合、None が使用されます(省略可) |
| ステータス | {[int]} | フィルタするステータスのリスト | なし | ApiSyncCaseStatusEnum を参照してください。 ステータスが指定されていない場合、 None が使用されます(省略可) |
| case_names | {[string]} | ケース名のリスト | なし | case_names が指定されていない場合、None が使用されます(省略可) |
| tags | {[string]} | ケースタグのリスト | なし | タグを指定しない場合、None が使用されます(省略可) |
| 優先事項 | {[int]} | 優先事項のリスト | ApiSyncAlertPriorityEnum を参照してください。 優先度が指定されていない場合、 None が使用されます(省略可) |
|
| ステージ | {list} | ステージのリスト(caseFilterValue オブジェクト) | なし | ステージが指定されていない場合、None が使用されます(省略可) |
| case_types | {list} | オブジェクト タイプのリスト(caseFilterValue オブジェクト) | なし | 指定できる
|
| できるか | {list} | 商品のリスト(caseFilterValue オブジェクト) | なし | プロダクトが指定されていない場合、None が使用されます(省略可) |
| ネットワーク | {list} | ネットワークのリスト(caseFilterValue オブジェクト) | なし | ネットワークが指定されていない場合、None が使用されます(省略可) |
| ticked_ids_free_search | {string} | チケット ID | なし | 指定しない場合、デフォルトは '' です(省略可)。 |
| case_ids_free_search | {string} | ケース ID | なし | 指定しない場合、デフォルトは '' です(省略可)。 |
| wall_data_free_search | {string} | 検索する文字列 | なし | 指定しない場合、デフォルトは '' です(省略可)。 |
| entities_free_search | {string} | エンティティ ID | なし | 指定しない場合、デフォルトは '' です(省略可)。 |
| start_time_unix_time_in_ms | {long} | なし | なし | デフォルト -1 (省略可) |
| end_time_unix_time_in_ms | {long} | なし | なし | デフォルト -1 (省略可) |
戻り値
Case_ids ''
get_cases_by_ticket_id
get_cases_by_ticket_id(ticket_id)
チケット ID でケースを取得します。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| ticket_id | {string} | チケット ID | なし | なし |
戻り値
ケース ID の {[int]} リスト。
get_cases_ids_by_filter
get_cases_ids_by_filter(status, start_time_from_unix_time_in_ms=None, start_time_to_unix_time_in_ms=None, close_time_from_unix_time_in_ms=None, close_time_to_unix_time_in_ms=None, update_time_from_unix_time_in_ms=None, update_time_to_unix_time_in_ms=None, operator=None, sort_by='START_TIME', sort_order='DESC', max_results=1000)
フィルタでケース ID を取得します。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| 設定されます。 | {str} | 取得するケースのステータス | 'OPEN', 'CLOSE', 'BOTH' | なし |
| start_time_from_unix_time_in_ms | {int} | ケースの開始時間の開始範囲(この値を含む) | なし | デフォルトは 30 日前(省略可) |
| start_time_to_unix_time_in_ms | {int} | ケースの開始時刻の終了範囲(指定時間を含む) | なし | デフォルトは現在の時刻(省略可) |
| close_time_from_unix_time_in_ms | {int} | ケースのクローズ時間の開始範囲(この時間も含まれます) | なし | デフォルトは 30 日前(省略可) |
| close_time_to_unix_time_in_ms | {int} | ケースのクローズ時間の終了範囲(この値を含む)。 | なし | デフォルトは現在の時刻(省略可) |
| update_time_from_unix_time_in_ms | {int} | ケースの変更日時の開始範囲(この日時を含む) | なし | デフォルトは開始時間(省略可) |
| update_time_to_unix_time_in_ms | {int} | ケースの変更日時の終了範囲(指定時間を含む) | なし | デフォルトは現在の時刻(省略可) |
| 演算子 | {str} | 期間フィルタの演算子 | OR、AND | 省略可 |
| sort_by | {str} | 時間で結果を並べ替える | START_TIME, UPDATE_TIME, CLOSE_TIME | 省略可 |
| sort_order | {str} | 並べ替え順 | ASC、DESC | デフォルトは降順(省略可) |
| max_results | {int} | 返される結果の最大数 | なし | デフォルト値は 1,000、最大値は 10,000(省略可) |
get_configuration
get_configuration(provider, environment, integration_instance)
統合構成を取得します。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| provider | {string} | 連携名 | 「VirusTotal」 | なし |
| environment | {string} | 特定の環境または「すべて」の構成 | なし | なし |
| integration_instance | {string} | 統合インスタンスの識別子 | なし | なし |
戻り値
{dict} の構成の詳細。
get_configuration_by_provider
get_configuration_by_provider(identifier)
統合構成を取得します。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| provider | {string} | 連携名 | 「VirusTotal」 | なし |
戻り値
{dict} 構成の詳細
get_existing_custom_list_categories
get_existing_custom_list_categories()
既存のカスタムリストのカテゴリをすべて取得します。
この関数は、環境に関係なく CustomList 設定のすべてのカテゴリのリスト オブジェクトを返します。
パラメータ
なし
戻り値
{[unicode]} 既存のカテゴリを持つ Unicode 型のリスト。
例
from SiemplifyAction import SiemplifyAction siemplify = SiemplifyAction() result = siemplify.get_existing_custom_list_categories()
結果の動作
既存のカスタムリストのリストが返されます。
結果値
["DenyListed IPs", "AllowListed HOSTs"]
get_external_configuration
get_external_configuration(config_provider, config_name)
外部インテグレーション構成を取得します。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| config_provider | {string} | なし | なし | なし |
| config_name | {string} | なし | なし | なし |
get_integration_version
get_integration_version(integration_identifier)
統合バージョンを取得します。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| integration_identifier | {string} | 統合識別子 | なし | なし |
戻り値
{float} 統合バージョン
get_publisher_by_id
get_publisher_by_id(publisher_id)
ID でパブリッシャーの詳細を取得します。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| publisher_id | {string} | パブリッシャーの ID | なし | なし |
戻り値
{dict} パブリッシャーの詳細
get_remote_connector_keys_map
get_remote_connector_keys_map(publisher_id)
パブリッシャー ID でリモート コネクタの暗号鍵を取得します。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| publisher_id | {string} | パブリッシャーの ID | なし | なし |
戻り値
{dict} キーマップ
get_similar_cases
get_similar_cases(case_id, ports_filter, category_outcome_filter, rule_generator_filter, entity_identifiers_filter, start_time_unix_ms, end_time_unix_ms)
同様のケースを取得します。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| case_id | {string} | ケース ID | 234 | なし |
| ports_filter | {boolean} | True/False はポート フィルタを使用する | True/False | なし |
| category_outcome_filter | {boolean} | True/False は category_outcome フィルタを使用する | True/False | なし |
| rule_generator_filter | {boolean} | True/False で rule_generator フィルタを使用する | True/False | なし |
| entity_identifiers_filter | {boolean} | True/False で entity_identifiers フィルタを使用する | True/False | なし |
| start_time_unix_ms | なし | なし | なし | なし |
| end_time_unix_ms | なし | なし | なし | なし |
戻り値
(dict)
get_sync_alerts
get_sync_alerts(alert_group_ids)
システムの同期に必要なアラート情報を取得します。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| alert_group_ids | {list} | 取得するアラート グループ ID のリスト | なし | なし |
戻り値
{[SyncAlert]} SyncAlert オブジェクトのリスト。
get_sync_cases
get_sync_cases(case_ids)
システムの同期に必要なケース情報を取得します。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| case_ids | {list} | 取得するケース ID のリスト | なし | なし |
戻り値
{[SyncCase]} SyncCase オブジェクトのリスト。
get_system_info
get_system_info(start_time_unixtime_ms)
get_system_version
get_system_version()
現在の Google Security Operations SOAR バージョンを取得します。
パラメータ
なし
戻り値
{string} 現在の Google Security Operations SOAR のバージョン
get_temp_folder_path
get_temp_folder_path()
一時フォルダのパスを取得します。
パラメータ
なし
戻り値
{string} path to temp folder
get_ticket_ids_for_alerts_dismissed_since_timestamp
get_ticket_ids_for_alerts_dismissed_since_timestamp(timestamp_unix_ms)
get_updated_sync_alerts_metadata
get_updated_sync_alerts_metadata(start_timestamp_unix_ms, count, allowed_environments=None, vendor=None)
更新された追跡対象アラートのメタデータを取得します。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| start_timestamp_unix_ms | {long} | start_timestamp_unix_ms 以降に更新されたアラートを検索する |
なし | end_timestamp_unix_ms が None の場合、終了時刻はリクエストの時刻です。 |
| count | {int} | 取得するアラート グループ ID の最大数 | なし | なし |
| allowed_environments | {[string]} | 検索する環境 | なし | allowed_environments が None の場合、すべての環境で検索 |
| vendor | {string} | ベンダーでアラートをフィルタする | なし | なし |
戻り値
{[SyncAlertMetadata]} SyncAlertMetadata.tracking_time で並べ替えた SyncAlertMetadata オブジェクトのリスト。
get_updated_sync_cases_metadata
get_updated_sync_cases_metadata(start_timestamp_unix_ms, count, allowed_environments=None, vendor=None)
更新された追跡対象ケースのメタデータを取得します。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| start_timestamp_unix_ms | {long} | start_timestamp_unix_ms 以降に更新されたケースを検索する |
なし | end_timestamp_unix_ms が None の場合、の終了時刻はリクエストの時刻になります。 |
| count | {int} | 取得するケース ID の最大数 | なし | なし |
| allowed_environments | {[string]} | 検索する環境 | なし | allowed_environments が None の場合、すべての環境で検索 |
| vendor | {string} | vendor でアラートが発生したケースのみを返します |
なし | なし |
戻り値
{[SyncCaseMetadata]} SyncCaseMetadata.tracking_time で並べ替えた SyncCaseMetadata オブジェクトのリスト。
init_proxy_settings
init_proxy_settings()
パラメータ
なし
is_existing_category
is_existing_category(category)
指定されたカテゴリが存在するかどうかを確認します。
カテゴリ名を指定すると、正確なカテゴリ名文字列が CustomList 設定のカテゴリとして定義されている場合、この関数は True(ブール値)を返します。
この関数は環境を無視し、アイテムが存在する場合は True を返し、存在しない場合は False を返します。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| category | {string} | 存在するかどうかを確認するカテゴリ | "DenyListed IPs" | なし |
戻り値
{bool} カテゴリが存在する場合は True、存在しない場合は False。
例 1
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
result = siemplify.is_existing_category("WhiteListed HOSTs")
例 2
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
result = siemplify.is_existing_category("SpecialHosts")
結果の動作
サンプルコード 1 の結果は True を返し、サンプルコード 2 の結果は False を返します。
結果値
正誤問題
mark_case_as_important
mark_case_as_important(case_id, alert_identifier)
この関数は、現在のケースに指定されたアラート ID を重要としてマークします。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| case_id | {string} | ケース ID | 234 | なし |
| alert_identifier | {string} | アラート ID | ad6879f1-b72d-419f-990c-011a2526b16d | なし |
戻り値
NoneType
例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
alert_identifier = "ad6879f1-b72d-419f-990c-011a2526b16d"
case_id = "234"
siemplify.mark_case_as_important(case_id=case_id, alert_identifier=alert_identifier)
結果の動作
指定されたアラート ID のケースに重要マークが付けられます。
結果値
なし
raise_incident
raise_incident(case_id, alert_identifier)
この関数は、アラート ID をインシデントとして現在のケースをエスカレーションします。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| case_id | {string} | ケース ID | 234 | なし |
| alert_identifier | {string} | アラート ID | ad6879f1-b72d-419f-990c-011a2526b16d | なし |
戻り値
NoneType
例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
alert_identifier = "ad6879f1-b72d-419f-990c-011a2526b16d"
case_id = "234"
siemplify.raise_incident(case_id=case_id, alert_identifier=alert_identifier)
結果の動作
ケース 234 はインシデントとして報告されます。
結果値
なし
remove_entities_from_custom_list
remove_entities_from_custom_list(custom_list_items)
指定されたカテゴリのカスタムリストからエンティティを削除します。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| custom_list_items | {[CustomList]} | カスタム リストアイテムのリスト | なし | なし |
戻り値
{[CustomList]} 削除された CustomList オブジェクトのリスト。
remove_temp_folder
remove_temp_folder()
一時フォルダとそのサブフォルダを削除します。
パラメータ
なし
プロパティの結果
send_system_notification
send_system_notification(message, message_id='SDK_CUSTOM_NOTIFICATION')
オプションのメッセージ ID を含むシステム通知を送信します。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| message | {string} | 通知メッセージ | なし | なし |
| message_id | {string} | 通知メッセージ ID | なし | なし |
send_system_notification_message
send_system_notification_message(message, message_id)
例
結果の動作
結果値
set_alert_sla
set_alert_sla(period_time, period_type, critical_period_time, critical_period_type, case_id, alert_identifier)
指定された case_id の alert_identifier の SLA を設定します。この API を使用して設定された SLA は、他のすべてのアラート SLA タイプよりも優先されます。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| period_time | {int/str} | 合計 SLA 期間を表す | なし | period_time > 0 |
| period_type | {str} | period_time の時間単位、 ApiPeriodTypeEnum で表される |
なし | なし |
| critical_period_time | {int/str} | クリティカルな SLA 期間を表す | なし | metric_period_time >= 0 クリティカル期間(時間単位でスケーリングした後)は 合計期間よりも小さくする必要がある |
| critical_period_type | {str} | critical_period_time の時間単位、 ApiPeriodTypeEnumで表される |
なし | なし |
| case_id | {long} | ケース ID | なし | なし |
| alert_identifier | {str} | アラート ID | なし | なし |
set_case_sla
set_case_sla(period_time, period_type, critical_period_time, critical_period_type, case_id)
指定された case_id の SLA を設定します。この API を使用して設定された SLA は、他のすべてのケース SLA タイプよりも優先されます。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| period_time | {int/string} | 合計 SLA 期間を表す | なし | period_time > 0 |
| period_type | {string} | period_time の時間単位、 ApiPeriodTypeEnum で表される |
なし | 該当なし |
| critical_period_time | {int/string} | クリティカルな SLA 期間を表す | なし | metric_period_time >= 0 クリティカル期間(時間単位でスケーリングした後)は 合計期間よりも小さくする必要がある |
| critical_period_type | {string} | critical_period_time の時間単位、 ApiPeriodTypeEnumで表される |
なし | なし |
| case_id | {long} | ケース ID | 234 | なし |
update_alerts_additional_data
update_alerts_additional_data(case_id, alerts_additional_data)
アラートの追加データを更新します。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| case_id | {string} | ケース ID | 234 | なし |
| alerts_additional_data | (dict) | アラートの任意の追加データ | なし | なし |
update_entities
update_entities(updated_entities)
この関数はエンティティを更新します。
パラメータ
| パラメータ名 | パラメータ型 | 定義 | 可能値 | コメント |
|---|---|---|---|---|
| updated_entities | {[{string:string}]} | なし | なし | なし |
戻り値
NoneType
結果の動作
選択したアラートは、スコープを使用して、まだ存在しない新しいエンティティを追加します。
結果値
なし