Módulo do Siemplify
class Siemplify.Siemplify
Bases: SiemplifyBase
Endpoints: external/v1/sdk/CaseFullDetails
add_agent_connector_logs
add_agent_connector_logs(agent_id, connector_id, logs_package)
Adicione registros do conector connector_id do agente remoto.
Parâmetros
| Nome do parâmetro | Tipo do parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| agent_id | {string} | Identificador do agente | N/A | N/A |
| connector_id | {string} | Identificador da instância do conector | N/A | N/A |
| logs_package | {dict} | ConnectorLogPackage | N/A | N/A |
add_attachment
add_attachment(file_path, case_id, alert_identifier, description=None, is_favorite=False)
Essa função adiciona uma entrada ao mural do caso com um anexo de arquivo, que pode ser baixado do cliente para a máquina local do usuário. A função faz essencialmente a mesma coisa que adicionar evidências (na parte de baixo da tela de visão geral do caso).
Parâmetros
| Nome do parâmetro | Tipo do parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| file_path | {string} | Caminho do arquivo | Qualquer caminho acessível | Um caminho também pode ser um local remoto. Você precisa de permissões de leitura para esse arquivo |
| case_id | {string} | Identificador do caso | Um ID de caso para adicionar o anexo ao painel de casos | O padrão é o caso atual |
| alert_identifier | {string} | Identificador de alerta | String de identificador do alerta a que você quer associar o anexo. | O padrão é o alerta em execução atual. |
| descrição | {string} | Descrição do anexo | Qualquer string | Nenhum por padrão. Parâmetro opcional. |
| is_favorite | {boolean} | Favoritar anexo | Verdadeiro/Falso | False por padrão.Parâmetro opcional. |
Retorna
{long} attachment_id
Exemplo
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
siemplify.add_attachment(r'C:/temp/investigation.txt', description='Deep investigation report by TIER3 team', is_favorite=True)
Comportamento do resultado
Neste exemplo, vamos fazer upload do investigation.txt de C:/temp na máquina local (o próprio servidor) para a mensagem de bloqueio de caso. Um comentário será adicionado a essa entrada no mural do caso, com a string na descrição. A flag
is_favorite foi definida como True, e, portanto, essa nova entrada também será marcada como
favorita.
add_comment
add_comment(comment, case_id, alert_identifier)
Adicione um novo comentário ao caso específico.
Parâmetros
| Nome do parâmetro | Tipo do parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| comentário | {string} | Comentário a ser adicionado a uma restrição de visualização para uma atividade no Painel de Casos | "Os eventos neste alerta parecem suspeitos" | Comentários relacionados ao caso |
| case_id | {string} | Identificador do caso | 234 | N/A |
| alert_identifier | {string} | Identificador de alerta | ad6879f1-b72d-419f-990c-011a2526b16d | N/A |
Retorna
NoneType
Exemplo
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
add_comment = "This alert is important"
alert_identifier = "ad6879f1-b72d-419f-990c-011a2526b16d"
case_id = "234"
siemplify.add_comment(comment, case_id, alert_identifier)
Comportamento do resultado
O comentário fornecido é adicionado ao caso 234.
Valor do resultado
Nenhum
add_entities_to_custom_list
add_entities_to_custom_list(custom_list_items)
Adicione a lista personalizada fornecida com as entidades adicionadas à lista personalizada.
Parâmetros
| Nome do parâmetro | Tipo do parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| custom_list_items | {string} | Uma lista de itens de lista personalizados | N/A | N/A |
Retorna
{[CustomList]} uma lista com o item personalizado adicionado.
Comportamento do resultado
A entidade é adicionada a uma categoria de lista personalizada.
add_entity_insight
add_entity_insight(domain_entity_info, message, case_id, alert_id)
Adicione um insight de entidade.
Parâmetros
| Nome do parâmetro | Tipo do parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| domain_entity_info | {string} | Identificador da entidade | "192.0.2.1" | {DomainEntityInfo} |
| mensagem | {string} | Mensagem de insight | Este é o DNS de exemplo | N/A |
| case_id | {string} | Identificador de caso a ser adicionado a um insight de entidade | 234 | N/A |
| alert_id | {string} | Identificador de alerta a ser adicionado a um insight de entidade | ad6879f1-b72d-419f-990c-011a2526b16d | N/A |
Retorna
{boolean} True se for bem-sucedido
Exemplo
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
entity = "192.0.2.1"
alert_identifier = "ad6879f1-b72d-419f-990c-011a2526b16d"
case_id = "234"
siemplify.add_entity_insight(domain_entity_info=entity, message=message, case_id=case_id, alert_id=alert_identifier)
Comportamento do resultado
A mensagem fornecida é adicionada como insight à entidade 192.0.2.1 do identificador de alerta especificado no caso 234.
Valor do resultado
Verdadeiro
Falso se o insight não for adicionado.
add_entity_to_case
add_entity_to_case(case_id, alert_identifier, entity_identifier, entity_type, is_internal, is_suspicious, is_enriched, is_vulnerable, properties, environment)
Adiciona uma entidade ao caso.
Parâmetros
| Nome do parâmetro | Tipo do parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| case_id | {string} | Identificador do caso | 234 | N/A |
| alert_identifier | {string} | Identificador de alerta | ad6879f1-b72d-419f-990c-011a2526b16d | N/A |
| entity_identifier | {string} | Identificador da entidade | 192.0.2.1, example.com | N/A |
| Tipo de entidade | {string} | Tipo de entidade do identificador de entidade | "ADDRESS" | N/A |
| is_internal | {boolean} | N/A | Verdadeiro/Falso | N/A |
| is_suspicious | {boolean} | N/A | Verdadeiro/Falso | |
| is_enriched | {boolean} | N/A | Verdadeiro/Falso | O padrão é "falso". |
| is_vulnerable | {boolean} | N/A | Verdadeiro/Falso | O padrão é "falso". |
| propriedades | {dict} | Propriedade da entidade | {"property":"value"} | N/A |
| ambiente | {string} | Um dos ambientes definidos | Ambiente de exemplo | N/A |
Retorna
NoneType
Exemplo
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
case_id = "234"
alert_identifier = "ad6879f1-b72d-419f-990c-011a2526b16d"
entity = "192.0.2.1"
entity_type = "ADDRESS"
properties = {"property": "value"}
siemplify.add_entity_to_case(case_id=case_id,
alert_identifier = alert_identifier,
entity_identifier = entity,
entity_type = entity_type,
is_internal = True,
is_suspicious = False,
is_enriched = False,
is_vulnerable = False,
properties = properties,
environment=None)
Comportamento do resultado
A entidade com as informações fornecidas será adicionada ao alerta especificado no caso 234.
Valor do resultado
Nenhum
add_or_update_case_task
add_or_update_case_task(task)
Adicione ou atualize um caso de tarefa: atualize se houver um ID de tarefa, adicione (crie) caso contrário.
Parâmetros
| Nome do parâmetro | Tipo do parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| tarefa | {Task} | O objeto de tarefa que precisa ser adicionado ou atualizado no caso. | N/A | N/A |
Retorna
{int} o ID da tarefa nova ou atualizada.
add_tag
add_tag(tag, case_id, alert_identifier)
Adicione uma nova tag a um caso específico.
Parâmetros
| Nome do parâmetro | Tipo do parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| tag | {string} | Tag a ser adicionada | N/A | N/A |
| case_id | {string} | Identificador do caso | 234 | N/A |
| alert_identifier | {string} | Identificador de alerta | ad6879f1-b72d-419f-990c-011a2526b16d | N/A |
any_entity_in_custom_list
any_entity_in_custom_list(custom_list_items)
Verifique se há alguma entidade na lista especificada que tenha um registro de lista personalizada com a categoria especificada.
Parâmetros
| Nome do parâmetro | Tipo do parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| custom_list_items | {[CustomList]} | Uma lista de itens de lista personalizada para verificar entidades | N/A | N/A |
Retorna
{boolean} True se uma entidade for encontrada, False caso contrário.
Valor do resultado
True ou false
assign_case
assign_case(user, case_id, alert_identifier)
Essa função atribui o caso atual ao usuário.
Parâmetros
| Nome do parâmetro | Tipo do parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| usuário | {string} | Usuário/função | Admin, @Tier1 | N/A |
| case_id | {string} | Identificador de caso para atribuir ao usuário | 234 | N/A |
| alert_identifier | {string} | Identificador do alerta para atribuir ao usuário | ad6879f1-b72d-419f-990c-011a2526b16d | Esse valor é buscado durante o tempo de execução da ação. |
Retorna
NoneType
Comportamento do resultado
O caso é atribuído ao usuário especificado.
Valor do resultado
Nenhum
attach_workflow_to_case
attach_workflow_to_case(workflow_name, cyber_case_id, indicator_identifier)
Anexe um manual ao caso.
Parâmetros
| Nome do parâmetro | Tipo do parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| workflow_name | {string} | Nome do fluxo de trabalho | N/A | N/A |
| cyber_case_id | {string} | Identificador do caso | 234 | N/A |
| indicator_identifier | {string} | Identificador de alerta | ad6879f1-b72d-419f-990c-011a2526b16d | N/A |
Retorna
{string} código de status da operação do servidor
Exemplo
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
alert_identifier = "ad6879f1-b72d-419f-990c-011a2526b16d"
case_id = "234"
workflow_name = "Workflow 234"
siemplify.attach_workflow_to_case(workflow_name=workflow_name, cyber_case_id=case_id, indicator_identifier=alert_identifier)
Comportamento do resultado
O fluxo de trabalho 234 será anexado ao caso 234.
Valor do resultado
Nenhum
batch_update_case_id_matches
batch_update_case_id_matches(case_id_matches)
Atualização em lote de casos com os IDs externos adequados.
Parâmetros
| Nome do parâmetro | Tipo do parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| case_id_matches | {list} | Lista de objetos SyncCaseIdMatch |
Retorna
{list} Lista de IDs de casos atualizados.
change_case_priority
change_case_priority(priority, case_id, alert_identifier)
Mudar a prioridade do caso.
Parâmetros
| Nome do parâmetro | Tipo do parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| prioridade | {int} | Prioridade do caso a ser alterada | 40/60/80/100 | Consulte ApiSyncCasePriorityEnum. O mapeamento de prioridade: {"Low": 40, "Medium": 60, "High": 80, "Critical": 100} |
| case_id | {string} | Identificador do caso | 234 | N/A |
| alert_identifier | {string} | Identificador de alerta | ad6879f1-b72d-419f-990c-011a2526b16d | N/A |
Retorna
NoneType
Exemplo
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
priority = 40
alert_identifier = "ad6879f1-b72d-419f-990c-011a2526b16d"
case_id = "234"
siemplify.change_case_priority(priority=priority, case_id=case_id, alert_identifier=alert_identifier)
Comportamento do resultado
A prioridade do caso 234 é alterada para 40, que é mapeada como baixa.
Valor do resultado
Nenhum
change_case_stage
change_case_stage(stage, case_id, alert_identifier)
Mude a etapa do caso.
Parâmetros
| Nome do parâmetro | Tipo do parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| etapa | {string} | O estágio atual do caso. | Incidente | N/A |
| case_id | {string} | Identificador do caso | N/A | N/A |
| alert_identifier | {string} | Identificador de alerta | ad6879f1-b72d-419f-990c-011a2526b16d | N/A |
check_marketplace_status
check_marketplace_status()
Verifique o status do marketplace.
Se não houver erros, a função vai retornar none. Caso contrário, uma exceção será
retornada.
Parâmetros
N/A
Retorna
Nenhum
close_alert
close_alert(root_cause, comment, reason, case_id, alert_id)
Essa função fecha o alerta atual. É o mesmo que fechar o alerta manualmente na visão geral do caso. A função exige o motivo do encerramento, uma causa raiz e um comentário, assim como o alerta de encerramento do caso.
Fechar um alerta fecha o novo caso com apenas um alerta.
Parâmetros
| Nome do parâmetro | Tipo do parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| root_cause | {string} | Causa raiz do encerramento do caso | N/A | N/A |
| comentário | {string} | Um comentário | N/A | N/A |
| reason | {ApiSyncAlertCloseReasonEnum} | N/A | N/A | Consulte SiemplifyDataModel.ApiSyncAlertCloseReasonEnum |
| case_id | {string} | Identificador do caso em que o alerta está | 234 | N/A |
| alert_id | {string} | Identificador do alerta a ser fechado. | ad6879f1-b72d-419f-990c-011a2526b16d | N/A |
Retorna
{dict} resultado da operação do servidor
close_case
close_case(root_cause, comment, reason, case_id, alert_identifier)
Encerrar um caso.
Parâmetros
| Nome do parâmetro | Tipo do parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| root_cause | {string} | A causa raiz para encerrar um caso | N/A | N/A |
| comentário | {string} | Um comentário | N/A | N/A |
| reason | {ApiSyncAlertCloseReasonEnum} | Motivo do encerramento do caso | Consulte SiemplifyDataModel.ApiSyncAlertCloseReasonEnum | |
| case_id | {string} | Identificador do caso | 234 | N/A |
| alert_id | {string} | Identificador de alerta | ad6879f1-b72d-419f-990c-011a2526b16d | N/A |
create_case
create_case(case_info)
Essa função cria um caso com os alertas e eventos contidos no dicionário case_info.
Parâmetros
| Nome do parâmetro | Tipo do parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| case_info | {CaseInfo} | Objeto de informações do caso | N/A | Ver SiemplifyConnectorsDataModel.CaseInfo |
Retorna
NoneType
Comportamento do resultado
O caso com os dados fornecidos é criado.
Valor do resultado
Nenhum
create_case_insight_internal
create_case_insight_internal(case_id, alert_identifier, triggered_by, title, content, entity_identifier, severity, insight_type, additional_data=None, additional_data_type=None, additional_data_title=None, original_requesting_user=None, entity_type=None)
Adicione um insight.
Parâmetros
| Nome do parâmetro | Tipo do parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| case_id | {string} | Identificador do caso | 234 | N/A |
| alert_identifier | {string} | Identificador de alerta | ad6879f1-b72d-419f-990c-011a2526b16d | N/A |
| triggered_by | {string} | Nome da integração | N/A | N/A |
| título | {string} | Título do insight | N/A | N/A |
| conteúdo | {string} | Mensagem de insight | N/A | N/A |
| entity_identifier | {string} | Identificador da entidade | N/A | N/A |
| gravidade, | {int} | Identificador de gravidade | 0 = info, 1 = warning, 2 = error |
N/A |
| insight_type | {int} | Tipo de insight | 0 = geral, 1 = entidade |
N/A |
| additional_data | N/A | N/A | N/A | N/A |
| additional_data_type | N/A | N/A | N/A | N/A |
| additional_data_title | N/A | N/A | N/A | N/A |
| original_requesting_user | N/A | N/A | N/A | N/A |
| Tipo de entidade | {string} | Tipo de entidade | "ADDRESS" | N/A |
Retorna
{boolean} True se for bem-sucedido.
create_connector_package
create_connector_package(connector_package)
Crie um pacote de conector no sistema.
Parâmetros
| Nome do parâmetro | Tipo do parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| connector_package | {string} | Pacote do conector como um JSON | N/A | N/A |
dismiss_alert
dismiss_alert(alert_group_identifier, should_close_case_if_all_alerts_were_dismissed, case_id)
end
end(message, result_value, execution_state=0)
Encerre o script.
Nenhum outro código após a função end() é executado.
Parâmetros
| Nome do parâmetro | Tipo do parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| mensagem | {string} | Mensagem de saída a ser mostrada ao cliente | Ação concluída | N/A |
| result_value | {int/string/dict} | Valor de retorno | N/A | N/A |
| execution_state | {int} | Indicador do estado da ação atual. Usado principalmente em ações assíncronas para marcar se a ação foi concluída ou não. | 0 (EXECUTION_STATE_COMPLETED), 1 (EXECUTION_STATE_INPROGRESS), 2 (EXECUTION_STATE_FAILED), 3 (EXECUTION_STATE_TIMEDOUT) |
O padrão é 0 |
Retorna
Retornar os dados de resultado ao processo host.
end_script
end_script()
escalate_case
escalate_case(comment, case_id, alert_identifier)
Encaminhar um caso.
Parâmetros
| Nome do parâmetro | Tipo do parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| comentário | {string} | Encaminhar comentário | N/A | N/A |
| case_id | {string} | Identificador do caso | 234 | N/A |
| alert_identifier | {string} | Identificador de alerta | ad6879f1-b72d-419f-990c-011a2526b16d | N/A |
extract_configuration_param
extract_configuration_param(provider_name, param_name, default_value=None, input_type=<class 'str'>, is_mandatory=False, print_value=False)
Recebe um parâmetro de configuração da instância de integração.
Parâmetros
| Nome do parâmetro | Tipo do parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| provider_name | {string} | Nome da integração | N/A | N/A |
| param_name | {string} | Nome do parâmetro | N/A | N/A |
| default_value | {any} | Se o parâmetro não for transmitido, use este valor por padrão. | N/A | Nenhum por padrão (opcional) |
| input_type | {obj} | Atribuir o parâmetro a um tipo diferente | N/A | Por exemplo, int. str por padrão (opcional) |
| is_mandatory | {bool} | Gere uma exceção se o parâmetro estiver vazio | N/A | False por padrão (opcional) |
| print_value | {bool} | Imprimir o valor no registro | N/A | False por padrão (opcional) |
Retorna
O valor do parâmetro (string por padrão), a menos que input_type seja especificado.
static generate_serialized_object
generate_serialized_object(object_filter)
get_agent_by_id
get_agent_by_id(agent_id)
Recebe os detalhes do agente por ID.
Parâmetros
| Nome do parâmetro | Tipo do parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| agent_id | {str} | O ID do agente | N/A | N/A |
Retorna
{dict} Os detalhes do publisher
get_alerts_ticket_ids_from_cases_closed_since_timestamp
get_alerts_ticket_ids_from_cases_closed_since_timestamp(timestamp_unix_ms, rule_generator)
Receba alertas de casos fechados desde o carimbo de data/hora.
Parâmetros
| Nome do parâmetro | Tipo do parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| timestamp_unix_ms | {long} | Carimbo de data/hora | 1550409785000L | N/A |
| rule_generator | {string} | N/A | "Detector de e-mails de phishing" | N/A |
Retorna
Alertas de {list}
get_attachment
get_attachment(attachment_id)
Recebe dados de anexos por identificador.
Parâmetros
| Nome do parâmetro | Tipo do parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| attachment_id | {string} | Identificador do anexo | N/A | N/A |
Retorna
Dados de anexo {BytesIO}
get_attachments
get_attachments(case_id)
Receba anexos do caso.
Parâmetros
| Nome do parâmetro | Tipo do parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| case_id | {string} | Identificador do caso | 234 | N/A |
Retorna
{dict} anexos
Valor do resultado
[{"is_favorite": False, "description": "", "type": ".txt", "id": 1, "name":
"test.py"}]
get_case_by_id
get_case_by_id(case_id)
Receba um caso usando o ID dele.
Essa função interage com o seguinte endpoint:
external/v1/sdk/CaseFullDetails
Parâmetros
| Nome do parâmetro | Tipo do parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| case_id | {[string]} | ID do caso | N/A | N/A |
Retorna
{dict} dados de caso.
get_case_closure_details
get_case_closure_details(case_id_list)
Receba detalhes sobre o encerramento do caso.
Parâmetros
| Nome do parâmetro | Tipo do parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| case_id_list | {[string]} | Lista de IDs de casos | N/A | N/A |
Retorna
Lista {[dict]} de dicionários com detalhes do encerramento do caso.
Valor do resultado
[{'case_closed_action_type': 1, 'reason': NotMalicious', 'root_cause':
'Other'}]
Para o parâmetro case_closed_action_type, os valores possíveis são:
- 0 = Automático
- 1 = Manual
get_case_comments
get_case_comments(case_id)
Essa função recebe os comentários do caso fornecido.
Parâmetros
| Nome do parâmetro | Tipo do parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| case_id | {string} | Identificador do caso | 234 | N/A |
Retorna
Lista
Exemplo
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
siemplify.get_case_comments(case_id)
Comportamento do resultado
Todos os comentários do caso serão buscados.
Valor do resultado
[
{
u 'comment': u 'Test',
u 'case_id': 10085,
u 'is_favorite': False,
u 'alert_identifier': None,
u 'creator_user_id': u 'Admin',
u 'type': 5,
u 'id': 1,
u 'modification_time_unix_time_in_ms': 1563272078332L
}, {
u 'comment': u 'jhfksdh',
u 'case_id': 10085,
u 'is_favorite': False,
u 'alert_identifier': None,
u 'creator_user_id': u 'Admin',
u 'type': 5,
u 'id': 2,
u 'modification_time_unix_time_in_ms': 1563272079941L
}, {
u 'comment': u 'kjfhsdm',
u 'case_id': 10085,
u 'is_favorite': False,
u 'alert_identifier': None,
u 'creator_user_id': u 'Admin',
u 'type': 5,
u 'id': 3,
u 'modification_time_unix_time_in_ms': 1563272080598L
}
]
get_case_tasks
get_case_tasks(case_id)
Recupere todas as tarefas pelo ID do caso.
Parâmetros
| Nome do parâmetro | Tipo do parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| case_id | {int/str} | ID do caso | 234 | A função pode receber int ou str |
Retorna
{[Task]} a lista de objetos de tarefa pertencentes ao caso.
Consulte SiemplifyDataModel.Task.
get_cases_by_filter
get_cases_by_filter(environments=None, analysts=None, statuses=None, case_names=None, tags=None, priorities=None, stages=None, case_types=None, products=None, networks=None, ticked_ids_free_search='', case_ids_free_search='', wall_data_free_search='', entities_free_search='', start_time_unix_time_in_ms=-1, end_time_unix_time_in_ms=-1)
Recebe casos pelos filtros solicitados.
*caseFilterValue* object - { 'Title':'Merged Case', 'Value': 'Merged', 'Title':'Involved Suspicious Entity', 'Value': 'InvolvedSuspiciousEntity', 'Title':'Manual', 'Value': 'Manual', 'Title':'Simulated Alerts', 'Value': 'Simulated',}
Parâmetros
| Nome do parâmetro | Tipo do parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| environments | {[string]} | Lista de nomes de ambientes (ambiente) | N/A | Se nenhum ambiente for fornecido, None será usado (opcional). |
| analistas | {[string]} | Lista de nomes de analistas (usuário/função atribuída ao caso), | N/A | Se nenhum analista for fornecido, None será usado (opcional). |
| statuses | {[int]} | Lista de status para filtrar | N/A | Consulte ApiSyncCaseStatusEnum. Se nenhum status for fornecido, None será usado (opcional). |
| case_names | {[string]} | Lista de nomes de casos | N/A | Se nenhum case_names for fornecido, None será usado (opcional). |
| tags | {[string]} | Lista de tags de caso | N/A | Se nenhuma tag for fornecida, None será usado (opcional). |
| prioridades | {[int]} | Lista de prioridades | Consulte ApiSyncAlertPriorityEnum. Se nenhuma prioridade for fornecida, None será usado (opcional). |
|
| fases | {list} | Lista de estágios (objeto caseFilterValue) | N/A | Se nenhuma etapa for fornecida, None será usado (opcional). |
| case_types | {list} | Lista de tipos de objetos (objeto caseFilterValue) | N/A | Os valores
Se nenhum |
| produtos | {list} | Lista de produtos (objeto caseFilterValue) | N/A | Se nenhum produto for fornecido, None será usado (opcional). |
| redes | {list} | Lista de rede (objeto caseFilterValue) | N/A | Se nenhuma rede for fornecida, None será usado (opcional). |
| ticked_ids_free_search | {string} | Identificador do tíquete | N/A | Se não for fornecido, o padrão será "" (opcional). |
| case_ids_free_search | {string} | Identificador do caso | N/A | Se não for fornecido, o padrão será "" (opcional). |
| wall_data_free_search | {string} | String a ser pesquisada | N/A | Se não for fornecido, o padrão será "" (opcional). |
| entities_free_search | {string} | Identificador da entidade | N/A | Se não for fornecido, o padrão será "" (opcional). |
| start_time_unix_time_in_ms | {long} | N/A | N/A | Padrão -1 (opcional) |
| end_time_unix_time_in_ms | {long} | N/A | N/A | Padrão -1 (opcional) |
Retorna
Case_ids ''
get_cases_by_ticket_id
get_cases_by_ticket_id(ticket_id)
Recebe um caso pelo identificador do tíquete.
Parâmetros
| Nome do parâmetro | Tipo do parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| ticket_id | {string} | Identificador do tíquete | N/A | N/A |
Retorna
Lista de IDs de casos {[int]}.
get_cases_ids_by_filter
get_cases_ids_by_filter(status, start_time_from_unix_time_in_ms=None, start_time_to_unix_time_in_ms=None, close_time_from_unix_time_in_ms=None, close_time_to_unix_time_in_ms=None, update_time_from_unix_time_in_ms=None, update_time_to_unix_time_in_ms=None, operator=None, sort_by='START_TIME', sort_order='DESC', max_results=1000)
Receba IDs de casos por filtro.
Parâmetros
| Nome do parâmetro | Tipo do parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| status | {str} | Status do caso a ser recuperado | 'OPEN', 'CLOSE', 'BOTH' | N/A |
| start_time_from_unix_time_in_ms | {int} | Intervalo de início do horário de início do caso, inclusivo | N/A | O padrão é 30 dias antes (opcional) |
| start_time_to_unix_time_in_ms | {int} | Intervalo de tempo de início e fim do caso, inclusive | N/A | O padrão é o horário atual (opcional) |
| close_time_from_unix_time_in_ms | {int} | Intervalo de início do horário de encerramento do caso (inclusivo) | N/A | O padrão é 30 dias antes (opcional) |
| close_time_to_unix_time_in_ms | {int} | Intervalo de tempo de encerramento do caso, inclusive. | N/A | O padrão é o horário atual (opcional) |
| update_time_from_unix_time_in_ms | {int} | Intervalo de início do horário de modificação do caso (inclusivo) | N/A | O padrão é o horário de início (opcional) |
| update_time_to_unix_time_in_ms | {int} | Intervalo de tempo de término da modificação do caso, inclusive | N/A | O padrão é o horário atual (opcional) |
| operador | {str} | Operador para filtros de tempo | OR, AND | Opcional |
| sort_by | {str} | Ordenar resultados por data | START_TIME, UPDATE_TIME, CLOSE_TIME | Opcional |
| sort_order | {str} | Ordem de classificação | ASC, DESC | O padrão é a ordem decrescente (opcional) |
| max_results | {int} | Número máximo de resultados a serem retornados | N/A | O valor padrão é 1.000, e o máximo é 10.000 (opcional). |
get_configuration
get_configuration(provider, environment, integration_instance)
Recebe a configuração de integração.
Parâmetros
| Nome do parâmetro | Tipo do parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| provider | {string} | Nome da integração | "VirusTotal" | N/A |
| ambiente | {string} | Configuração para um ambiente específico ou "all" | N/A | N/A |
| integration_instance | {string} | Identificador da instância de integração | N/A | N/A |
Retorna
Detalhes da configuração {dict}.
get_configuration_by_provider
get_configuration_by_provider(identifier)
Recebe a configuração de integração.
Parâmetros
| Nome do parâmetro | Tipo do parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| provider | {string} | Nome da integração | "VirusTotal" | N/A |
Retorna
Detalhes da configuração {dict}
get_existing_custom_list_categories
get_existing_custom_list_categories()
Receba todas as categorias de lista personalizada atuais.
Essa função retorna um objeto de lista de todas as categorias nas configurações de CustomList, independente dos ambientes.
Parâmetros
N/A
Retorna
Lista {[unicode]} de tipo Unicode com categorias atuais.
Exemplo
from SiemplifyAction import SiemplifyAction siemplify = SiemplifyAction() result = siemplify.get_existing_custom_list_categories()
Comportamento do resultado
Uma lista de todas as listas personalizadas atuais é retornada.
Valor do resultado
["DenyListed IPs", "AllowListed HOSTs"]
get_external_configuration
get_external_configuration(config_provider, config_name)
Recebe a configuração de integração externa.
Parâmetros
| Nome do parâmetro | Tipo do parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| config_provider | {string} | N/A | N/A | N/A |
| config_name | {string} | N/A | N/A | N/A |
get_integration_version
get_integration_version(integration_identifier)
Recebe uma versão de integração.
Parâmetros
| Nome do parâmetro | Tipo do parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| integration_identifier | {string} | Identificador de integração | N/A | N/A |
Retorna
Versão de integração {float}
get_publisher_by_id
get_publisher_by_id(publisher_id)
Recebe detalhes do publisher por ID.
Parâmetros
| Nome do parâmetro | Tipo do parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| publisher_id | {string} | O ID do publisher | N/A | N/A |
Retorna
{dict} Os detalhes do publisher
get_remote_connector_keys_map
get_remote_connector_keys_map(publisher_id)
Receba chaves de criptografia de conectores remotos por ID do editor.
Parâmetros
| Nome do parâmetro | Tipo do parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| publisher_id | {string} | O ID do publisher | N/A | N/A |
Retorna
{dict} O mapa de chaves
get_similar_cases
get_similar_cases(case_id, ports_filter, category_outcome_filter, rule_generator_filter, entity_identifiers_filter, start_time_unix_ms, end_time_unix_ms)
Receber casos semelhantes.
Parâmetros
| Nome do parâmetro | Tipo do parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| case_id | {string} | Identificador do caso | 234 | N/A |
| ports_filter | {boolean} | Filtro de porta de uso verdadeiro/falso | Verdadeiro/Falso | N/A |
| category_outcome_filter | {boolean} | Usar o filtro "Resultado da categoria" (Verdadeiro/Falso) | Verdadeiro/Falso | N/A |
| rule_generator_filter | {boolean} | Verdadeiro/falso: use o filtro rule_generator | Verdadeiro/Falso | N/A |
| entity_identifiers_filter | {boolean} | Verdadeiro/falso: use o filtro entity_identifiers | Verdadeiro/Falso | N/A |
| start_time_unix_ms | N/A | N/A | N/A | N/A |
| end_time_unix_ms | N/A | N/A | N/A | N/A |
Retorna
{dict}
get_sync_alerts
get_sync_alerts(alert_group_ids)
Recupera as informações de alertas necessárias para a sincronização de sistemas.
Parâmetros
| Nome do parâmetro | Tipo do parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| alert_group_ids | {list} | Uma lista de IDs de grupos de alertas a serem recuperados | N/A | N/A |
Retorna
Lista {[SyncAlert]} de objetos SyncAlert.
get_sync_cases
get_sync_cases(case_ids)
Recupere as informações do caso necessárias para a sincronização de sistemas.
Parâmetros
| Nome do parâmetro | Tipo do parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| case_ids | {list} | Uma lista de IDs de casos a serem recuperados | N/A | N/A |
Retorna
{[SyncCase]} Uma lista de objetos SyncCase.
get_system_info
get_system_info(start_time_unixtime_ms)
get_system_version
get_system_version()
Recebe a versão atual do Google Security Operations SOAR.
Parâmetros
N/A
Retorna
{string} versão atual do Google Security Operations SOAR
get_temp_folder_path
get_temp_folder_path()
Recebe o caminho para a pasta temporária.
Parâmetros
N/A
Retorna
{string} caminho para a pasta temporária
get_ticket_ids_for_alerts_dismissed_since_timestamp
get_ticket_ids_for_alerts_dismissed_since_timestamp(timestamp_unix_ms)
get_updated_sync_alerts_metadata
get_updated_sync_alerts_metadata(start_timestamp_unix_ms, count, allowed_environments=None, vendor=None)
Recupera os metadados atualizados dos alertas monitorados.
Parâmetros
| Nome do parâmetro | Tipo do parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| start_timestamp_unix_ms | {long} | Pesquisar alertas atualizados a partir de start_timestamp_unix_ms ou depois |
N/A | Se end_timestamp_unix_ms for None,o horário de término será o horário da solicitação. |
| contagem | {int} | Número máximo de IDs de grupo de alertas a serem buscados | N/A | N/A |
| allowed_environments | {[string]} | Ambientes em que pesquisar | N/A | Se allowed_environments for "None", vai pesquisar em todos os ambientes. |
| fornecedor | {string} | Filtrar alertas por fornecedor | N/A | N/A |
Retorna
{[SyncAlertMetadata]} Lista de objetos SyncAlertMetadata, classificados por
SyncAlertMetadata.tracking_time.
get_updated_sync_cases_metadata
get_updated_sync_cases_metadata(start_timestamp_unix_ms, count, allowed_environments=None, vendor=None)
Recupera metadados atualizados de casos rastreados.
Parâmetros
| Nome do parâmetro | Tipo do parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| start_timestamp_unix_ms | {long} | Pesquisar casos atualizados a partir de start_timestamp_unix_ms ou depois |
N/A | Se end_timestamp_unix_ms for "None", o horário de término de será o horário da solicitação. |
| contagem | {int} | Número máximo de IDs de casos a serem buscados | N/A | N/A |
| allowed_environments | {[string]} | Ambientes em que pesquisar | N/A | Se allowed_environments for "None", vai pesquisar em todos os ambientes. |
| fornecedor | {string} | Retornar apenas casos com alertas originados em vendor |
N/A | N/A |
Retorna
{[SyncCaseMetadata]} Lista de objetos SyncCaseMetadata, classificados por
SyncCaseMetadata.tracking_time.
init_proxy_settings
init_proxy_settings()
Parâmetros
N/A
is_existing_category
is_existing_category(category)
Verifica se a categoria especificada existe.
Dado um nome de categoria, essa função retorna True (booleano) se a string exata do nome da categoria estiver definida como uma categoria nas configurações de CustomList.
Essa função ignora o ambiente e retorna True se o item existir. Caso contrário, ela retorna False.
Parâmetros
| Nome do parâmetro | Tipo do parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| categoria | {string} | A categoria a ser verificada | "IPs na lista de bloqueio" | N/A |
Retorna
{bool} True se a categoria existir, False caso contrário.
Exemplo 1
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
result = siemplify.is_existing_category("WhiteListed HOSTs")
Exemplo 2
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
result = siemplify.is_existing_category("SpecialHosts")
Comportamento do resultado
O resultado no exemplo de código 1 retorna True, e o resultado no exemplo de código 2 retorna False.
Valor do resultado
True ou false
mark_case_as_important
mark_case_as_important(case_id, alert_identifier)
Essa função marca o caso atual com o identificador de alerta especificado como importante.
Parâmetros
| Nome do parâmetro | Tipo do parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| case_id | {string} | Identificador do caso | 234 | N/A |
| alert_identifier | {string} | Identificador de alerta | ad6879f1-b72d-419f-990c-011a2526b16d | N/A |
Retorna
NoneType
Exemplo
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
alert_identifier = "ad6879f1-b72d-419f-990c-011a2526b16d"
case_id = "234"
siemplify.mark_case_as_important(case_id=case_id, alert_identifier=alert_identifier)
Comportamento do resultado
O caso com o identificador de alerta fornecido está marcado como importante.
Valor do resultado
Nenhum
raise_incident
raise_incident(case_id, alert_identifier)
Essa função gera o caso atual com o identificador de alerta como incidente.
Parâmetros
| Nome do parâmetro | Tipo do parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| case_id | {string} | Identificador do caso | 234 | N/A |
| alert_identifier | {string} | Identificador de alerta | ad6879f1-b72d-419f-990c-011a2526b16d | N/A |
Retorna
NoneType
Exemplo
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
alert_identifier = "ad6879f1-b72d-419f-990c-011a2526b16d"
case_id = "234"
siemplify.raise_incident(case_id=case_id, alert_identifier=alert_identifier)
Comportamento do resultado
O caso 234 será levantado como um incidente.
Valor do resultado
Nenhum
remove_entities_from_custom_list
remove_entities_from_custom_list(custom_list_items)
Remova as entidades da lista personalizada com a categoria especificada.
Parâmetros
| Nome do parâmetro | Tipo do parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| custom_list_items | {[CustomList]} | Uma lista de itens de lista personalizados | N/A | N/A |
Retorna
Lista {[CustomList]} de objetos CustomList removidos.
remove_temp_folder
remove_temp_folder()
Exclui a pasta temporária e as subpastas dela.
Parâmetros
N/A
Resultado da propriedade
send_system_notification
send_system_notification(message, message_id='SDK_CUSTOM_NOTIFICATION')
Envie uma notificação do sistema com um ID de mensagem opcional.
Parâmetros
| Nome do parâmetro | Tipo do parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| mensagem | {string} | Mensagem de notificação | N/A | N/A |
| message_id | {string} | Identificador da mensagem de notificação | N/A | N/A |
send_system_notification_message
send_system_notification_message(message, message_id)
Exemplo
Comportamento do resultado
Valor do resultado
set_alert_sla
set_alert_sla(period_time, period_type, critical_period_time, critical_period_type, case_id, alert_identifier)
Define o SLA do alert_identifier especificado de case_id. O SLA definido usando
essa API precisa superar todos os outros tipos de SLA de alerta.
Parâmetros
| Nome do parâmetro | Tipo do parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| period_time | {int/str} | Representa o período total do SLA | N/A | period_time > 0 |
| period_type | {str} | Unidades de tempo de period_time, representadas por ApiPeriodTypeEnum |
N/A | N/A |
| critical_period_time | {int/str} | Representa o período crítico do SLA | N/A | critical_period_time >= 0 O período crítico (após o escalonamento com as unidades de tempo) precisa ser menor que o período total |
| critical_period_type | {str} | Unidades de tempo de critical_period_time, representadas por ApiPeriodTypeEnum |
N/A | N/A |
| case_id | {long} | Identificador do caso | N/A | N/A |
| alert_identifier | {str} | Identificador de alerta | N/A | N/A |
set_case_sla
set_case_sla(period_time, period_type, critical_period_time, critical_period_type, case_id)
Define o SLA do case_id especificado. O SLA definido usando essa API precisa superar todos os outros tipos de SLA de caso.
Parâmetros
| Nome do parâmetro | Tipo do parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| period_time | {int/string} | Representa o período total do SLA | N/A | period_time > 0 |
| period_type | {string} | Unidades de tempo de period_time, representadas por ApiPeriodTypeEnum |
N/A | N/a |
| critical_period_time | {int/string} | Representa o período crítico do SLA | N/A | critical_period_time >= 0 O período crítico (após o escalonamento com as unidades de tempo) precisa ser menor que o período total |
| critical_period_type | {string} | Unidades de tempo de critical_period_time, representadas por ApiPeriodTypeEnum |
N/A | N/A |
| case_id | {long} | Identificador do caso | 234 | N/A |
update_alerts_additional_data
update_alerts_additional_data(case_id, alerts_additional_data)
Atualiza os dados adicionais dos alertas.
Parâmetros
| Nome do parâmetro | Tipo do parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| case_id | {string} | Identificador do caso | 234 | N/A |
| alerts_additional_data | {dict} | Outros dados do alerta | N/A | N/A |
update_entities
update_entities(updated_entities)
Essa função atualiza entidades.
Parâmetros
| Nome do parâmetro | Tipo do parâmetro | Definição | Valores possíveis | Comentários |
|---|---|---|---|---|
| updated_entities | {[{string:string}]} | N/A | N/A | N/A |
Retorna
NoneType
Comportamento do resultado
Usando o escopo, o alerta selecionado adiciona novas entidades se elas ainda não estiverem presentes.
Valor do resultado
Nenhum