Módulo Siemplify
classe Siemplify.Siemplify
Bases: SiemplifyBase
Pontos finais: external/v1/sdk/CaseFullDetails
add_agent_connector_logs
add_agent_connector_logs(agent_id, connector_id, logs_package)
Adicione registos do conetor connector_id do agente remoto.
Parâmetros
| Nome do parâmetro | Tipo de parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| agent_id | {string} | Identificador do agente | N/A | N/A |
| connector_id | {string} | Identificador da instância do conetor | N/A | N/A |
| logs_package | {dict} | ConnectorLogPackage | N/A | N/A |
add_attachment
add_attachment(file_path, case_id, alert_identifier, description=None, is_favorite=False)
Esta função adiciona uma entrada ao mural do registo com um anexo de ficheiro (que pode ser transferido do cliente para o computador local do utilizador). A função faz essencialmente o mesmo que adicionar provas (na parte inferior do ecrã de vista geral do registo).
Parâmetros
| Nome do parâmetro | Tipo de parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| file_path | {string} | Caminho do ficheiro | Qualquer caminho acessível | Um caminho também pode ser uma localização remota. Precisa de autorizações de leitura para esse ficheiro |
| case_id | {string} | Identificador do registo | Um ID do registo para adicionar o anexo à respetiva cronologia do registo | A predefinição é a caixa atual |
| alert_identifier | {string} | Identificador do alerta | String do identificador do alerta ao qual quer associar o anexo | A predefinição é o alerta em execução atual |
| descrição | {string} | Descrição do anexo | Qualquer string | Nenhuma por predefinição. Parâmetro opcional. |
| is_favorite | {boolean} | Anexo favorito | Verdadeiro/Falso | False por predefinição.Parâmetro opcional. |
Devoluções
{long} attachment_id
Exemplo
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
siemplify.add_attachment(r'C:/temp/investigation.txt', description='Deep investigation report by TIER3 team', is_favorite=True)
Comportamento dos resultados
Neste exemplo, vamos carregar o ficheiro investigation.txt de C:/temp na máquina local (o próprio servidor) para a parede de registos. É adicionado um comentário a essa entrada na cronologia do registo, com a string na descrição. A flag
is_favorite foi definida como True, pelo que esta nova entrada também vai ser marcada com uma estrela (favorita).
add_comment
add_comment(comment, case_id, alert_identifier)
Adicione um novo comentário ao registo específico.
Parâmetros
| Nome do parâmetro | Tipo de parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| comentário | {string} | Comentário a adicionar a uma linha cronológica de registos | "Estes eventos neste alerta parecem suspeitos" | Comentários relacionados com o registo |
| case_id | {string} | Identificador do registo | 234 | N/A |
| alert_identifier | {string} | Identificador do alerta | ad6879f1-b72d-419f-990c-011a2526b16d | N/A |
Devoluções
NoneType
Exemplo
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
add_comment = "This alert is important"
alert_identifier = "ad6879f1-b72d-419f-990c-011a2526b16d"
case_id = "234"
siemplify.add_comment(comment, case_id, alert_identifier)
Comportamento dos resultados
O comentário fornecido é adicionado ao registo 234.
Valor do resultado
Nenhum
add_entities_to_custom_list
add_entities_to_custom_list(custom_list_items)
Adicione a lista personalizada fornecida com as entidades adicionadas à lista personalizada.
Parâmetros
| Nome do parâmetro | Tipo de parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| custom_list_items | {string} | Uma lista de itens de listas personalizadas | N/A | N/A |
Devoluções
{[CustomList]} uma lista com o item da lista personalizada adicionado.
Comportamento dos resultados
A entidade é adicionada a uma categoria de lista personalizada.
add_entity_insight
add_entity_insight(domain_entity_info, message, case_id, alert_id)
Adicione uma estatística de entidade.
Parâmetros
| Nome do parâmetro | Tipo de parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| domain_entity_info | {string} | Identificador de entidade | "192.0.2.1" | {DomainEntityInfo} |
| mensagem | {string} | Mensagem de estatísticas | Este é o DNS de exemplo | N/A |
| case_id | {string} | Identificador do registo a adicionar a uma estatística da entidade | 234 | N/A |
| alert_id | {string} | Identificador do alerta a adicionar a uma estatística da entidade | ad6879f1-b72d-419f-990c-011a2526b16d | N/A |
Devoluções
{boolean} True se for bem-sucedido
Exemplo
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
entity = "192.0.2.1"
alert_identifier = "ad6879f1-b72d-419f-990c-011a2526b16d"
case_id = "234"
siemplify.add_entity_insight(domain_entity_info=entity, message=message, case_id=case_id, alert_id=alert_identifier)
Comportamento dos resultados
A mensagem fornecida é adicionada como estatística à entidade 192.0.2.1 do identificador de alerta fornecido no registo 234.
Valor do resultado
Verdadeiro.
Falso se a estatística não for adicionada.
add_entity_to_case
add_entity_to_case(case_id, alert_identifier, entity_identifier, entity_type, is_internal, is_suspicious, is_enriched, is_vulnerable, properties, environment)
Adicionar entidade ao registo.
Parâmetros
| Nome do parâmetro | Tipo de parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| case_id | {string} | Identificador do registo | 234 | N/A |
| alert_identifier | {string} | Identificador do alerta | ad6879f1-b72d-419f-990c-011a2526b16d | N/A |
| entity_identifier | {string} | Identificador de entidade | 192.0.2.1, example.com | N/A |
| entity_type | {string} | Tipo de entidade do identificador da entidade | "ADDRESS" | N/A |
| is_internal | {boolean} | N/A | Verdadeiro/Falso | N/A |
| is_suspicious | {boolean} | N/A | Verdadeiro/Falso | |
| is_enriched | {boolean} | N/A | Verdadeiro/Falso | Falso por predefinição |
| is_vulnerable | {boolean} | N/A | Verdadeiro/Falso | Falso por predefinição |
| propriedades | {dict} | Propriedade da entidade | {"property":"value"} | N/A |
| ambiente | {string} | Um dos ambientes definidos | Exemplo de ambiente | N/A |
Devoluções
NoneType
Exemplo
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
case_id = "234"
alert_identifier = "ad6879f1-b72d-419f-990c-011a2526b16d"
entity = "192.0.2.1"
entity_type = "ADDRESS"
properties = {"property": "value"}
siemplify.add_entity_to_case(case_id=case_id,
alert_identifier = alert_identifier,
entity_identifier = entity,
entity_type = entity_type,
is_internal = True,
is_suspicious = False,
is_enriched = False,
is_vulnerable = False,
properties = properties,
environment=None)
Comportamento dos resultados
A entidade com as informações fornecidas é adicionada ao alerta indicado no registo 234.
Valor do resultado
Nenhum
add_or_update_case_task
add_or_update_case_task(task)
Adicionar ou atualizar um registo de tarefas: atualizar se existir um ID de tarefa, adicionar (criar) caso contrário.
Parâmetros
| Nome do parâmetro | Tipo de parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| tarefa | {Task} | O objeto de tarefa que deve ser adicionado ao registo ou atualizado | N/A | N/A |
Devoluções
{int} o ID da tarefa nova ou atualizada.
add_tag
add_tag(tag, case_id, alert_identifier)
Adicione uma nova etiqueta a um registo específico.
Parâmetros
| Nome do parâmetro | Tipo de parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| etiqueta | {string} | Etiqueta a adicionar | N/A | N/A |
| case_id | {string} | Identificador do registo | 234 | N/A |
| alert_identifier | {string} | Identificador do alerta | ad6879f1-b72d-419f-990c-011a2526b16d | N/A |
any_entity_in_custom_list
any_entity_in_custom_list(custom_list_items)
Verifique se existe alguma entidade da lista fornecida que tenha um registo de lista personalizada com a categoria fornecida.
Parâmetros
| Nome do parâmetro | Tipo de parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| custom_list_items | {[CustomList]} | Uma lista de itens da lista personalizada para verificar a existência de entidades | N/A | N/A |
Devoluções
{boolean} True se for encontrada uma entidade, False caso contrário.
Valor do resultado
Verdadeiro ou falso
assign_case
assign_case(user, case_id, alert_identifier)
Esta função atribui o registo atual ao utilizador.
Parâmetros
| Nome do parâmetro | Tipo de parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| utilizador | {string} | Utilizador/função | Administrador, @Tier1 | N/A |
| case_id | {string} | Identificador do registo para atribuir ao utilizador | 234 | N/A |
| alert_identifier | {string} | Identificador do alerta para atribuir ao utilizador | ad6879f1-b72d-419f-990c-011a2526b16d | Este valor é obtido durante o tempo de execução da ação |
Devoluções
NoneType
Comportamento dos resultados
O registo é atribuído ao utilizador especificado.
Valor do resultado
Nenhum
attach_workflow_to_case
attach_workflow_to_case(workflow_name, cyber_case_id, indicator_identifier)
Anexe um manual de procedimentos ao registo.
Parâmetros
| Nome do parâmetro | Tipo de parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| workflow_name | {string} | Nome do fluxo de trabalho | N/A | N/A |
| cyber_case_id | {string} | Identificador do registo | 234 | N/A |
| indicator_identifier | {string} | Identificador do alerta | ad6879f1-b72d-419f-990c-011a2526b16d | N/A |
Devoluções
{string} código de estado da operação do servidor
Exemplo
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
alert_identifier = "ad6879f1-b72d-419f-990c-011a2526b16d"
case_id = "234"
workflow_name = "Workflow 234"
siemplify.attach_workflow_to_case(workflow_name=workflow_name, cyber_case_id=case_id, indicator_identifier=alert_identifier)
Comportamento dos resultados
O fluxo de trabalho 234 vai ser anexado ao registo 234.
Valor do resultado
Nenhum
batch_update_case_id_matches
batch_update_case_id_matches(case_id_matches)
Atualização em lote de registos com os IDs dos registos externos adequados.
Parâmetros
| Nome do parâmetro | Tipo de parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| case_id_matches | {list} | Lista de objetos SyncCaseIdMatch |
Devoluções
{list} Lista de IDs de registos que foram atualizados com êxito.
change_case_priority
change_case_priority(priority, case_id, alert_identifier)
Alterar a prioridade do registo.
Parâmetros
| Nome do parâmetro | Tipo de parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| prioridade | {int} | Prioridade do registo a alterar | 40/60/80/100 | Consulte ApiSyncCasePriorityEnum. O mapeamento de prioridades: {"Low": 40, "Medium": 60, "High": 80, "Critical": 100} |
| case_id | {string} | Identificador do registo | 234 | N/A |
| alert_identifier | {string} | Identificador do alerta | ad6879f1-b72d-419f-990c-011a2526b16d | N/A |
Devoluções
NoneType
Exemplo
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
priority = 40
alert_identifier = "ad6879f1-b72d-419f-990c-011a2526b16d"
case_id = "234"
siemplify.change_case_priority(priority=priority, case_id=case_id, alert_identifier=alert_identifier)
Comportamento dos resultados
A prioridade do registo 234 é alterada para 40, que está mapeada para baixa.
Valor do resultado
Nenhum
change_case_stage
change_case_stage(stage, case_id, alert_identifier)
Altere a fase do registo.
Parâmetros
| Nome do parâmetro | Tipo de parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| armazenar dados em área intermediária | {string} | A fase atual do registo. | Incidente | N/A |
| case_id | {string} | Identificador do registo | N/A | N/A |
| alert_identifier | {string} | Identificador do alerta | ad6879f1-b72d-419f-990c-011a2526b16d | N/A |
check_marketplace_status
check_marketplace_status()
Verifique o estado do mercado.
Se não existir nenhum erro, a função devolve none. Caso contrário, é devolvida uma exceção.
Parâmetros
N/A
Devoluções
Nenhum
close_alert
close_alert(root_cause, comment, reason, case_id, alert_id)
Esta função fecha o alerta atual. É o mesmo que fechar manualmente o alerta na vista geral do registo. A função requer o motivo do encerramento, uma causa
principal e um comentário, tal como o alerta de fechar registo.
Fechar um alerta fecha o novo registo com apenas um alerta.
Parâmetros
| Nome do parâmetro | Tipo de parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| root_cause | {string} | Motivo principal do fecho do registo | N/A | N/A |
| comentário | {string} | Um comentário | N/A | N/A |
| motivo | {ApiSyncAlertCloseReasonEnum} | N/A | N/A | Consulte SiemplifyDataModel.ApiSyncAlertCloseReasonEnum |
| case_id | {string} | Identificador do registo em que o alerta se encontra | 234 | N/A |
| alert_id | {string} | Identificador do alerta a fechar | ad6879f1-b72d-419f-990c-011a2526b16d | N/A |
Devoluções
{dict} resultado da operação do servidor
close_case
close_case(root_cause, comment, reason, case_id, alert_identifier)
Encerre um registo.
Parâmetros
| Nome do parâmetro | Tipo de parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| root_cause | {string} | O motivo principal para fechar um registo | N/A | N/A |
| comentário | {string} | Um comentário | N/A | N/A |
| motivo | {ApiSyncAlertCloseReasonEnum} | Motivo do fecho do registo | Consulte SiemplifyDataModel.ApiSyncAlertCloseReasonEnum | |
| case_id | {string} | Identificador do registo | 234 | N/A |
| alert_id | {string} | Identificador do alerta | ad6879f1-b72d-419f-990c-011a2526b16d | N/A |
create_case
create_case(case_info)
Esta função cria um registo com os alertas e os eventos contidos no dicionário case_info.
Parâmetros
| Nome do parâmetro | Tipo de parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| case_info | {CaseInfo} | Objeto de informações do registo | N/A | Consulte SiemplifyConnectorsDataModel.CaseInfo |
Devoluções
NoneType
Comportamento dos resultados
O registo com os dados do registo facultados é criado.
Valor do resultado
Nenhum
create_case_insight_internal
create_case_insight_internal(case_id, alert_identifier, triggered_by, title, content, entity_identifier, severity, insight_type, additional_data=None, additional_data_type=None, additional_data_title=None, original_requesting_user=None, entity_type=None)
Adicione estatísticas.
Parâmetros
| Nome do parâmetro | Tipo de parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| case_id | {string} | Identificador do registo | 234 | N/A |
| alert_identifier | {string} | Identificador do alerta | ad6879f1-b72d-419f-990c-011a2526b16d | N/A |
| triggered_by | {string} | Nome da integração | N/A | N/A |
| título | {string} | Título da estatística | N/A | N/A |
| conteúdo | {string} | Mensagem de estatísticas | N/A | N/A |
| entity_identifier | {string} | Identificador de entidade | N/A | N/A |
| gravidade | {int} | Identificador de gravidade | 0 = info, 1 = warning, 2 = error |
N/A |
| insight_type | {int} | Tipo de estatísticas | 0 = geral, 1 = entidade |
N/A |
| additional_data | N/A | N/A | N/A | N/A |
| additional_data_type | N/A | N/A | N/A | N/A |
| additional_data_title | N/A | N/A | N/A | N/A |
| original_requesting_user | N/A | N/A | N/A | N/A |
| entity_type | {string} | Tipo de entidade | "ADDRESS" | N/A |
Devoluções
{boolean} True se for bem-sucedido.
create_connector_package
create_connector_package(connector_package)
Crie um pacote de conetor no sistema.
Parâmetros
| Nome do parâmetro | Tipo de parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| connector_package | {string} | Pacote do conetor como JSON | N/A | N/A |
dismiss_alert
dismiss_alert(alert_group_identifier, should_close_case_if_all_alerts_were_dismissed, case_id)
fim
end(message, result_value, execution_state=0)
Termine o script.
Não é executado nenhum outro código após a função end().
Parâmetros
| Nome do parâmetro | Tipo de parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| mensagem | {string} | Mensagem de saída a apresentar ao cliente | Ação concluída | N/A |
| result_value | {int/string/dict} | Valor devolvido | N/A | N/A |
| execution_state | {int} | Indicador do estado da ação atual. Usado principalmente em ações assíncronas para marcar se a ação foi concluída ou não. | 0 (EXECUTION_STATE_COMPLETED), 1 (EXECUTION_STATE_INPROGRESS), 2 (EXECUTION_STATE_FAILED), 3 (EXECUTION_STATE_TIMEDOUT) |
A predefinição é 0 |
Devoluções
Devolver os dados de resultado ao processo anfitrião.
end_script
end_script()
escalate_case
escalate_case(comment, case_id, alert_identifier)
Encaminhe um registo.
Parâmetros
| Nome do parâmetro | Tipo de parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| comentário | {string} | Encaminhe o comentário | N/A | N/A |
| case_id | {string} | Identificador do registo | 234 | N/A |
| alert_identifier | {string} | Identificador do alerta | ad6879f1-b72d-419f-990c-011a2526b16d | N/A |
extract_configuration_param
extract_configuration_param(provider_name, param_name, default_value=None, input_type=<class 'str'>, is_mandatory=False, print_value=False)
Obter um parâmetro de configuração da instância de integração.
Parâmetros
| Nome do parâmetro | Tipo de parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| provider_name | {string} | Nome da integração | N/A | N/A |
| param_name | {string} | Nome do parâmetro | N/A | N/A |
| default_value | {any} | Se o parâmetro não for transmitido, use este valor por predefinição | N/A | Nenhuma por predefinição (opcional) |
| input_type | {obj} | Converta o parâmetro para um tipo diferente | N/A | Por exemplo, int. str por predefinição (opcional) |
| is_mandatory | {bool} | Gere uma exceção se o parâmetro estiver vazio | N/A | False por predefinição (opcional) |
| print_value | {bool} | Imprima o valor no registo | N/A | False por predefinição (opcional) |
Devoluções
O valor do parâmetro (string por predefinição), a menos que input_type seja especificado.
static generate_serialized_object
generate_serialized_object(object_filter)
get_agent_by_id
get_agent_by_id(agent_id)
Obtém os detalhes do agente por ID.
Parâmetros
| Nome do parâmetro | Tipo de parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| agent_id | {str} | O ID do agente | N/A | N/A |
Devoluções
{dict} Os detalhes do publicador
get_alerts_ticket_ids_from_cases_closed_since_timestamp
get_alerts_ticket_ids_from_cases_closed_since_timestamp(timestamp_unix_ms, rule_generator)
Receba alertas de registos que foram fechados desde a data/hora.
Parâmetros
| Nome do parâmetro | Tipo de parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| timestamp_unix_ms | {long} | Indicação de tempo | 1550409785000L | N/A |
| rule_generator | {string} | N/A | "Detector de emails de phishing" | N/A |
Devoluções
{list} alertas
get_attachment
get_attachment(attachment_id)
Obtenha dados de anexos por identificador.
Parâmetros
| Nome do parâmetro | Tipo de parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| attachment_id | {string} | Identificador do anexo | N/A | N/A |
Devoluções
Dados de anexos {BytesIO}
get_attachments
get_attachments(case_id)
Retire os auriculares da caixa.
Parâmetros
| Nome do parâmetro | Tipo de parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| case_id | {string} | Identificador do registo | 234 | N/A |
Devoluções
{dict} anexos
Valor do resultado
[{"is_favorite": False, "description": "", "type": ".txt", "id": 1, "name":
"test.py"}]
get_case_by_id
get_case_by_id(case_id)
Obtenha um registo através do respetivo ID do registo.
Esta função interage com o seguinte ponto final:
external/v1/sdk/CaseFullDetails
Parâmetros
| Nome do parâmetro | Tipo de parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| case_id | {[string]} | ID do caso | N/A | N/A |
Devoluções
{dict} dados de registo.
get_case_closure_details
get_case_closure_details(case_id_list)
Receba detalhes do encerramento do registo.
Parâmetros
| Nome do parâmetro | Tipo de parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| case_id_list | {[string]} | Lista de IDs dos registos | N/A | N/A |
Devoluções
{[dict]} lista de dict que contém detalhes do encerramento do registo.
Valor do resultado
[{'case_closed_action_type': 1, 'reason': NotMalicious', 'root_cause':
'Other'}]
Para o parâmetro case_closed_action_type, os valores possíveis são os seguintes:
- 0 = Automático
- 1 = Manual
get_case_comments
get_case_comments(case_id)
Esta função obtém os comentários do registo fornecido.
Parâmetros
| Nome do parâmetro | Tipo de parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| case_id | {string} | Identificador do registo | 234 | N/A |
Devoluções
Lista
Exemplo
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
siemplify.get_case_comments(case_id)
Comportamento dos resultados
São obtidos todos os comentários pertencentes ao registo.
Valor do resultado
[
{
u 'comment': u 'Test',
u 'case_id': 10085,
u 'is_favorite': False,
u 'alert_identifier': None,
u 'creator_user_id': u 'Admin',
u 'type': 5,
u 'id': 1,
u 'modification_time_unix_time_in_ms': 1563272078332L
}, {
u 'comment': u 'jhfksdh',
u 'case_id': 10085,
u 'is_favorite': False,
u 'alert_identifier': None,
u 'creator_user_id': u 'Admin',
u 'type': 5,
u 'id': 2,
u 'modification_time_unix_time_in_ms': 1563272079941L
}, {
u 'comment': u 'kjfhsdm',
u 'case_id': 10085,
u 'is_favorite': False,
u 'alert_identifier': None,
u 'creator_user_id': u 'Admin',
u 'type': 5,
u 'id': 3,
u 'modification_time_unix_time_in_ms': 1563272080598L
}
]
get_case_tasks
get_case_tasks(case_id)
Recuperar todas as tarefas pelo ID do registo.
Parâmetros
| Nome do parâmetro | Tipo de parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| case_id | {int/str} | ID do caso | 234 | A função pode receber int ou str |
Devoluções
{[Task]} a lista de objetos de tarefas pertencentes ao registo.
Consulte SiemplifyDataModel.Task.
get_cases_by_filter
get_cases_by_filter(environments=None, analysts=None, statuses=None, case_names=None, tags=None, priorities=None, stages=None, case_types=None, products=None, networks=None, ticked_ids_free_search='', case_ids_free_search='', wall_data_free_search='', entities_free_search='', start_time_unix_time_in_ms=-1, end_time_unix_time_in_ms=-1)
Obtenha registos com base nos filtros pedidos.
*caseFilterValue* object - { 'Title':'Merged Case', 'Value': 'Merged', 'Title':'Involved Suspicious Entity', 'Value': 'InvolvedSuspiciousEntity', 'Title':'Manual', 'Value': 'Manual', 'Title':'Simulated Alerts', 'Value': 'Simulated',}
Parâmetros
| Nome do parâmetro | Tipo de parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| ambientes | {[string]} | Lista de nomes de ambientes (ambiente) | N/A | Se não forem fornecidos ambientes, é usado None (opcional) |
| analistas | {[string]} | Lista de nomes de analistas (utilizador/função atribuída ao registo), | N/A | Se não for indicado nenhum analista, é usado None (opcional) |
| estados | {[int]} | Lista de estátuas pelas quais filtrar | N/A | Consulte ApiSyncCaseStatusEnum. Se não forem fornecidos estados, é usado None (opcional) |
| case_names | {[string]} | Lista de nomes de registos | N/A | Se não forem fornecidos case_names, é usado None (opcional) |
| etiquetas | {[string]} | Lista de etiquetas de registos | N/A | Se não forem fornecidas etiquetas, é usada None (opcional) |
| prioridades | {[int]} | Lista de prioridades | Consulte ApiSyncAlertPriorityEnum. Se não forem fornecidas prioridades, é usado None (opcional) |
|
| fases | {list} | Lista de fases (objeto caseFilterValue) | N/A | Se não forem fornecidas fases, é usado None (opcional) |
| case_types | {list} | Lista de tipos de objetos (objeto caseFilterValue) | N/A | Os valores
Se não forem fornecidos |
| Produtos | {list} | Lista de produtos (objeto caseFilterValue) | N/A | Se não forem fornecidos produtos, é usado None (opcional) |
| redes | {list} | Lista de redes (objeto caseFilterValue) | N/A | Se não forem indicadas redes, é usado None (opcional) |
| ticked_ids_free_search | {string} | Identificador do pedido | N/A | Se não for fornecido, o valor predefinido é "" (opcional) |
| case_ids_free_search | {string} | Identificador do registo | N/A | Se não for fornecido, o valor predefinido é "" (opcional) |
| wall_data_free_search | {string} | String a pesquisar | N/A | Se não for fornecido, o valor predefinido é "" (opcional) |
| entities_free_search | {string} | Identificador de entidade | N/A | Se não for fornecido, o valor predefinido é "" (opcional) |
| start_time_unix_time_in_ms | {long} | N/A | N/A | Predefinição -1 (opcional) |
| end_time_unix_time_in_ms | {long} | N/A | N/A | Predefinição -1 (opcional) |
Devoluções
Case_ids ''
get_cases_by_ticket_id
get_cases_by_ticket_id(ticket_id)
Obtenha um registo através do identificador do pedido.
Parâmetros
| Nome do parâmetro | Tipo de parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| ticket_id | {string} | Identificador do pedido | N/A | N/A |
Devoluções
{[int]} lista de IDs dos registos.
get_cases_ids_by_filter
get_cases_ids_by_filter(status, start_time_from_unix_time_in_ms=None, start_time_to_unix_time_in_ms=None, close_time_from_unix_time_in_ms=None, close_time_to_unix_time_in_ms=None, update_time_from_unix_time_in_ms=None, update_time_to_unix_time_in_ms=None, operator=None, sort_by='START_TIME', sort_order='DESC', max_results=1000)
Obtenha IDs de registos por filtro.
Parâmetros
| Nome do parâmetro | Tipo de parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| estado | {str} | Estado do registo a obter | 'OPEN', 'CLOSE', 'BOTH' | N/A |
| start_time_from_unix_time_in_ms | {int} | Intervalo de início da hora de início do registo de ocorrências inclusive | N/A | Predefinição: 30 dias antes (opcional) |
| start_time_to_unix_time_in_ms | {int} | Intervalo de fim da hora de início do registo, inclusive | N/A | A predefinição é a hora atual (opcional) |
| close_time_from_unix_time_in_ms | {int} | Intervalo de início da hora de encerramento do registo, inclusive | N/A | Predefinição: 30 dias antes (opcional) |
| close_time_to_unix_time_in_ms | {int} | Intervalo de tempo de encerramento do registo, inclusive. | N/A | A predefinição é a hora atual (opcional) |
| update_time_from_unix_time_in_ms | {int} | Intervalo de início da hora de modificação da capa inclusive | N/A | A predefinição é a hora de início (opcional) |
| update_time_to_unix_time_in_ms | {int} | Intervalo de tempo de modificação do registo, inclusive | N/A | A predefinição é a hora atual (opcional) |
| operador | {str} | Operador para filtros de tempo | OU, AND | Opcional |
| sort_by | {str} | Ordene os resultados por hora | START_TIME, UPDATE_TIME, CLOSE_TIME | Opcional |
| sort_order | {str} | Ordenação | ASC, DESC | A predefinição é a ordem descendente (opcional) |
| max_results | {int} | Máximo de resultados a devolver | N/A | O valor predefinido é 1000 e o valor máximo é 10 000 (opcional) |
get_configuration
get_configuration(provider, environment, integration_instance)
Obtenha a configuração da integração.
Parâmetros
| Nome do parâmetro | Tipo de parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| provider | {string} | Nome da integração | "VirusTotal" | N/A |
| ambiente | {string} | Configuração para um ambiente específico ou "todos" | N/A | N/A |
| integration_instance | {string} | Identificador da instância de integração | N/A | N/A |
Devoluções
Detalhes de configuração de {dict}.
get_configuration_by_provider
get_configuration_by_provider(identifier)
Obtenha a configuração da integração.
Parâmetros
| Nome do parâmetro | Tipo de parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| provider | {string} | Nome da integração | "VirusTotal" | N/A |
Devoluções
Detalhes da configuração {dict}
get_existing_custom_list_categories
get_existing_custom_list_categories()
Obtenha todas as categorias de listas personalizadas existentes.
Esta função devolve um objeto de lista de todas as categorias nas definições de CustomList
independentemente dos ambientes.
Parâmetros
N/A
Devoluções
{[unicode]} lista de tipo unicode com categorias existentes.
Exemplo
from SiemplifyAction import SiemplifyAction siemplify = SiemplifyAction() result = siemplify.get_existing_custom_list_categories()
Comportamento dos resultados
É devolvida uma lista de todas as listas personalizadas existentes.
Valor do resultado
["DenyListed IPs", "AllowListed HOSTs"]
get_external_configuration
get_external_configuration(config_provider, config_name)
Obtenha a configuração da integração externa.
Parâmetros
| Nome do parâmetro | Tipo de parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| config_provider | {string} | N/A | N/A | N/A |
| config_name | {string} | N/A | N/A | N/A |
get_integration_version
get_integration_version(integration_identifier)
Obtenha uma versão de integração.
Parâmetros
| Nome do parâmetro | Tipo de parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| integration_identifier | {string} | Identificador da integração | N/A | N/A |
Devoluções
Versão de integração {float}
get_publisher_by_id
get_publisher_by_id(publisher_id)
Aceda aos detalhes do publicador por ID.
Parâmetros
| Nome do parâmetro | Tipo de parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| publisher_id | {string} | O ID do publicador | N/A | N/A |
Devoluções
{dict} Os detalhes do publicador
get_remote_connector_keys_map
get_remote_connector_keys_map(publisher_id)
Obtenha chaves de encriptação de conetores remotos por ID do publicador.
Parâmetros
| Nome do parâmetro | Tipo de parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| publisher_id | {string} | O ID do publicador | N/A | N/A |
Devoluções
{dict} O mapa de chaves
get_similar_cases
get_similar_cases(case_id, ports_filter, category_outcome_filter, rule_generator_filter, entity_identifiers_filter, start_time_unix_ms, end_time_unix_ms)
Receber casos semelhantes.
Parâmetros
| Nome do parâmetro | Tipo de parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| case_id | {string} | Identificador do registo | 234 | N/A |
| ports_filter | {boolean} | Usar filtro de porta verdadeiro/falso | Verdadeiro/Falso | N/A |
| category_outcome_filter | {boolean} | Verdadeiro/falso: use o filtro category_outcome | Verdadeiro/Falso | N/A |
| rule_generator_filter | {boolean} | Verdadeiro/falso use rule_generator filter | Verdadeiro/Falso | N/A |
| entity_identifiers_filter | {boolean} | Verdadeiro/falso: use o filtro entity_identifiers | Verdadeiro/Falso | N/A |
| start_time_unix_ms | N/A | N/A | N/A | N/A |
| end_time_unix_ms | N/A | N/A | N/A | N/A |
Devoluções
{dict}
get_sync_alerts
get_sync_alerts(alert_group_ids)
Obtenha as informações de alertas necessárias para a sincronização dos sistemas.
Parâmetros
| Nome do parâmetro | Tipo de parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| alert_group_ids | {list} | Uma lista de IDs de grupos de alertas a obter | N/A | N/A |
Devoluções
{[SyncAlert]} lista de objetos SyncAlert.
get_sync_cases
get_sync_cases(case_ids)
Recuperar as informações do registo necessárias para a sincronização dos sistemas.
Parâmetros
| Nome do parâmetro | Tipo de parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| case_ids | {list} | Uma lista de IDs de registos a obter | N/A | N/A |
Devoluções
{[SyncCase]} Uma lista de objetos SyncCase.
get_system_info
get_system_info(start_time_unixtime_ms)
get_system_version
get_system_version()
Obtenha a versão SOAR atual do Google Security Operations.
Parâmetros
N/A
Devoluções
{string} versão atual do SOAR do Google Security Operations
get_temp_folder_path
get_temp_folder_path()
Obtém o caminho para a pasta temp.
Parâmetros
N/A
Devoluções
{string} caminho para a pasta temp
get_ticket_ids_for_alerts_dismissed_since_timestamp
get_ticket_ids_for_alerts_dismissed_since_timestamp(timestamp_unix_ms)
get_updated_sync_alerts_metadata
get_updated_sync_alerts_metadata(start_timestamp_unix_ms, count, allowed_environments=None, vendor=None)
Obtenha metadados de alertas acompanhados atualizados.
Parâmetros
| Nome do parâmetro | Tipo de parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| start_timestamp_unix_ms | {long} | Pesquise alertas atualizados a partir de start_timestamp_unix_ms ou posterior |
N/A | Se end_timestamp_unix_ms for None,a hora de fim é a hora do pedido. |
| contagem | {int} | Número máximo de IDs de grupos de alertas a obter | N/A | N/A |
| allowed_environments | {[string]} | Ambientes em que pesquisar | N/A | Se allowed_environments for Nonepesquise em todos os ambientes |
| fornecedor | {string} | Filtre alertas por fornecedor | N/A | N/A |
Devoluções
{[SyncAlertMetadata]} Lista de objetos SyncAlertMetadata, ordenados por
SyncAlertMetadata.tracking_time.
get_updated_sync_cases_metadata
get_updated_sync_cases_metadata(start_timestamp_unix_ms, count, allowed_environments=None, vendor=None)
Obtenha metadados de registos monitorizados atualizados.
Parâmetros
| Nome do parâmetro | Tipo de parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| start_timestamp_unix_ms | {long} | Pesquise registos atualizados a partir de start_timestamp_unix_ms ou posterior |
N/A | Se end_timestamp_unix_ms for None,a hora de fim é a hora do pedido |
| contagem | {int} | Número máximo de IDs de registos a obter | N/A | N/A |
| allowed_environments | {[string]} | Ambientes em que pesquisar | N/A | Se allowed_environments for Nonepesquise em todos os ambientes |
| fornecedor | {string} | Devolva apenas registos com alertas originados em vendor |
N/A | N/A |
Devoluções
{[SyncCaseMetadata]} Lista de SyncCaseMetadata objetos, ordenados por
SyncCaseMetadata.tracking_time.
init_proxy_settings
init_proxy_settings()
Parâmetros
N/A
is_existing_category
is_existing_category(category)
Verifica se a categoria especificada existe.
Dado um nome de categoria, esta função devolve True (booleano) se a string do
nome da categoria exata estiver definida como uma categoria nas definições de CustomList.
Esta função ignora o ambiente e devolve True se o item existir;
caso contrário, devolve False.
Parâmetros
| Nome do parâmetro | Tipo de parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| categoria | {string} | A categoria para verificar se existe | "DenyListed IPs" | N/A |
Devoluções
{bool} Verdadeiro se a categoria existir, caso contrário, Falso.
Exemplo 1
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
result = siemplify.is_existing_category("WhiteListed HOSTs")
Exemplo 2
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
result = siemplify.is_existing_category("SpecialHosts")
Comportamento dos resultados
O resultado no exemplo de código 1 devolve True e o resultado no exemplo de código 2 devolve False.
Valor do resultado
Verdadeiro ou falso
mark_case_as_important
mark_case_as_important(case_id, alert_identifier)
Esta função marca o registo atual com o identificador de alerta fornecido como importante.
Parâmetros
| Nome do parâmetro | Tipo de parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| case_id | {string} | Identificador do registo | 234 | N/A |
| alert_identifier | {string} | Identificador do alerta | ad6879f1-b72d-419f-990c-011a2526b16d | N/A |
Devoluções
NoneType
Exemplo
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
alert_identifier = "ad6879f1-b72d-419f-990c-011a2526b16d"
case_id = "234"
siemplify.mark_case_as_important(case_id=case_id, alert_identifier=alert_identifier)
Comportamento dos resultados
O registo com o identificador de alerta fornecido está marcado como importante.
Valor do resultado
Nenhum
raise_incident
raise_incident(case_id, alert_identifier)
Esta função apresenta o registo atual com o identificador do alerta como incidente.
Parâmetros
| Nome do parâmetro | Tipo de parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| case_id | {string} | Identificador do registo | 234 | N/A |
| alert_identifier | {string} | Identificador do alerta | ad6879f1-b72d-419f-990c-011a2526b16d | N/A |
Devoluções
NoneType
Exemplo
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
alert_identifier = "ad6879f1-b72d-419f-990c-011a2526b16d"
case_id = "234"
siemplify.raise_incident(case_id=case_id, alert_identifier=alert_identifier)
Comportamento dos resultados
O registo 234 vai ser apresentado como um incidente.
Valor do resultado
Nenhum
remove_entities_from_custom_list
remove_entities_from_custom_list(custom_list_items)
Remova as entidades da lista personalizada com a categoria especificada.
Parâmetros
| Nome do parâmetro | Tipo de parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| custom_list_items | {[CustomList]} | Uma lista de itens de listas personalizadas | N/A | N/A |
Devoluções
Lista {[CustomList]} de objetos CustomList removidos.
remove_temp_folder
remove_temp_folder()
Elimina a pasta temp e as respetivas subpastas.
Parâmetros
N/A
Resultado da propriedade
send_system_notification
send_system_notification(message, message_id='SDK_CUSTOM_NOTIFICATION')
Envie uma notificação do sistema com um ID de mensagem opcional.
Parâmetros
| Nome do parâmetro | Tipo de parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| mensagem | {string} | Mensagem de notificação | N/A | N/A |
| message_id | {string} | Identificador da mensagem de notificação | N/A | N/A |
send_system_notification_message
send_system_notification_message(message, message_id)
Exemplo
Comportamento dos resultados
Valor do resultado
set_alert_sla
set_alert_sla(period_time, period_type, critical_period_time, critical_period_type, case_id, alert_identifier)
Define o SLA do alert_identifier especificado de case_id. O ANS definido através desta API deve ultrapassar todos os outros tipos de ANS de alertas.
Parâmetros
| Nome do parâmetro | Tipo de parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| period_time | {int/str} | Representa o período total do SLA | N/A | period_time > 0 |
| period_type | {str} | Unidades de tempo de period_time, representadas por ApiPeriodTypeEnum |
N/A | N/A |
| critical_period_time | {int/str} | Representa o período de SLA crítico | N/A | critical_period_time >= 0 O período crítico (após o ajuste de escala com as respetivas unidades de tempo) deve ser inferior ao período total |
| critical_period_type | {str} | Unidades de tempo de critical_period_time, representadas por ApiPeriodTypeEnum |
N/A | N/A |
| case_id | {long} | Identificador do registo | N/A | N/A |
| alert_identifier | {str} | Identificador do alerta | N/A | N/A |
set_case_sla
set_case_sla(period_time, period_type, critical_period_time, critical_period_type, case_id)
Define o SLA do case_id especificado. O ANS definido através desta API deve exceder todos os outros tipos de ANS de registos.
Parâmetros
| Nome do parâmetro | Tipo de parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| period_time | {int/string} | Representa o período total do SLA | N/A | period_time > 0 |
| period_type | {string} | Unidades de tempo de period_time, representadas por ApiPeriodTypeEnum |
N/A | N/A |
| critical_period_time | {int/string} | Representa o período de SLA crítico | N/A | critical_period_time >= 0 O período crítico (após o ajuste de escala com as respetivas unidades de tempo) deve ser inferior ao período total |
| critical_period_type | {string} | Unidades de tempo de critical_period_time, representadas por ApiPeriodTypeEnum |
N/A | N/A |
| case_id | {long} | Identificador do registo | 234 | N/A |
update_alerts_additional_data
update_alerts_additional_data(case_id, alerts_additional_data)
Atualize os dados adicionais dos alertas.
Parâmetros
| Nome do parâmetro | Tipo de parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| case_id | {string} | Identificador do registo | 234 | N/A |
| alerts_additional_data | {dict} | Quaisquer dados adicionais do alerta | N/A | N/A |
update_entities
update_entities(updated_entities)
Esta função atualiza entidades.
Parâmetros
| Nome do parâmetro | Tipo de parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| updated_entities | {[{string:string}]} | N/A | N/A | N/A |
Devoluções
NoneType
Comportamento dos resultados
Com o âmbito, o alerta selecionado adiciona novas entidades se ainda não estiverem presentes.
Valor do resultado
Nenhum