Diese Seite wurde von der Cloud Translation API übersetzt.

Anwendungsfälle für den Ausdrucks-Generator

Unterstützt in:

Google SecOps SOAR

In diesem Dokument werden Anwendungsfälle beschrieben, in denen detailliert erläutert wird, wie dynamische Ausdrücke in Playbook-Aktionen auf der Google Security Operations-Plattform erstellt und implementiert werden. Dabei geht es darum, mit dem Ausdrucksgenerator bestimmte Daten aus den Ergebnissen vorheriger Aktionen zu parsen, zu filtern und zu extrahieren, z. B. Listendaten, Entitätsdetails und Scanberichte, um eine komplexe Automatisierungslogik in nachfolgenden Playbook-Schritten zu ermöglichen.

Hinweis:Für einige Zeichen im Ausdrucksgenerator, z. B. Schrägstrich (/), umgekehrter Schrägstrich (\) oder Anführungszeichen ("), ist ein Escapezeichen wie ein umgekehrter Schrägstrich (\) erforderlich, damit Ergebnisse zurückgegeben werden. Beispiel: replace("\/","y")

Hinweise

Beachten Sie vor dem Start die folgenden Hinweise:

Verwenden Sie Qualys – List Scans, um alle aktuellen Scans von Qualys abzurufen (30 Tage fest codiert).
Verwenden Sie den Ausdrucksgenerator, um die ID (REF) des neuesten Scans als Platzhalter zum Herunterladen von VM-Scanergebnissen zu extrahieren. Wenn Sie die Ergebnisse des VM-Scans herunterladen, wird der entsprechende Bericht heruntergeladen.
Verwenden Sie List Operations, um die Liste der Sicherheitslücken-IDs aus dem Bericht zu extrahieren, die im Netzwerk gefunden wurden (Common Vulnerabilities and Exposures, CVEs), und vergleichen Sie sie mit der CVE aus dem Fall.
Verwenden Sie eine IPS-Benachrichtigung, um das Playbook auszulösen.

Anwendungsfall: Intrusion Prevention-System (IPS)

In diesem Anwendungsfall wird davon ausgegangen, dass Sie ein Playbook erstellen, das einen schädlichen Flow in einem Netzwerk gefunden hat.
Stellen Sie sich vor, dass ein Tool zur Verwaltung von Sicherheitslücken wie Qualys einen täglichen Scan geplant hat.

Platzhalter erstellen

So erstellen Sie einen Platzhalter:

Beginnen Sie mit einer Active Directory_Enrich Entities-Aktion, um alle potenziell betroffenen Einheiten anzureichern.
Verwenden Sie Qualys VM – List Scans, um die neuesten Scanergebnisse für die Netzwerkgeräte abzurufen.
Stellen Sie fest, ob eines der Ergebnisse anfällig für den erkannten Ablauf ist.
Sehen Sie sich QualysVM_Download VM Scan Results_1 an. Sie sollten den Platzhalter und den hinzugefügten Ausdrucksgenerator sehen.

Platzhalter hinzufügen

So fügen Sie den Platzhalter hinzu:

Klicken Sie auf [ ] Platzhalter. Das Dialogfeld Platzhalter einfügen wird angezeigt.
Wählen Sie Playbook > QualysVM_list_Scans_1_JSONResult aus.
Klicken Sie auf das Symbol Ausdrucks-Generator. Die Seite „Ausdrucks-Generator“ wird angezeigt.
Fügen Sie dem Feld Ausdruck Folgendes hinzu: In den Ausdrücken wird MAX verwendet, um das neueste Ergebnis nach Datum LAUNCH_DATETIME abzurufen und dann die spezifische Scan-ID des relevanten Scans zu extrahieren, wobei REF die Scan-ID ist.
Beispiel: | max(LAUNCH_DATETIME) | REF
Klicken Sie auf Ausführen. Die erwarteten Ergebnisse sollten angezeigt werden.
Klicken Sie auf Einfügen, um den Ausdrucksgenerator in den Platzhalter einzufügen.
Klicken Sie auf Aktion > Listenvorgänge, um CVEs aus den Fällen und dem Ausdrucksgenerator aufzurufen.
Sobald das Playbook in Echtzeit ausgelöst wird, können Sie die Scanergebnisse in der Seitenleiste sehen, einschließlich des jeweiligen Scans als PDF-Datei.

Anwendungsfall: Zu viele fehlgeschlagene Anmeldeversuche

In diesem Anwendungsfall werden fehlgeschlagene Anmeldeversuche behandelt, indem Entitätsdaten angereichert werden, um den Schweregrad von Benachrichtigungen zu bestimmen. Ziel ist es, die Abteilung des Nutzers und das Datum der letzten Passwortänderung schnell zu finden.

Beginnen Sie mit der Aktion ActiveDirectory_Enrich-Entitäten, um detaillierte Informationen zu allen internen Entitäten zu erhalten, die mit der Benachrichtigung verknüpft sind.
Verwenden Sie in der nachfolgenden Insight-Mitteilung den Ausdrucksgenerator, um den Zielnutzer und seine letzte Anmeldezeit zu extrahieren.

Platzhalter hinzufügen

So fügen Sie diese Platzhalter hinzu:

Klicken Sie im Feld Nachricht auf [ ] Platzhalter.
Klicken Sie auf der Seite Platzhalter einfügen neben ActiveDirectory_Enrich entities_JSONResult auf das Symbol für den Ausdrucksgenerator.
Fügen Sie dem Ausdrucksfeld Folgendes hinzu, um die Entitäts-ID auszuwählen: Wenn mehr als eine Einheit Ergebnisse zurückgegeben hat, erhalten wir sie als kommagetrennte Liste.
| Entität
Klicken Sie auf Ausführen. Das Beispielergebnis wird angezeigt. In diesem Fall: user@domain.com.
Klicken Sie auf Einfügen, um die Antwort als Teil Ihrer Platzhalternachricht zu verwenden. Fügen Sie Ihrer Nachricht den relevanten Freitext hinzu.
Klicken Sie auf [ ] Platzhalter und dann neben ActiveDirectory_Enrich entities_JSONResult auf das Symbol für den Ausdrucks-Generator.
Fügen Sie den folgenden Ausdruck hinzu. Hier wird die letzte Anmeldezeit des angegebenen Nutzers erfasst. | EntityResult.lastLogon
Klicken Sie auf Einfügen und dann auf Speichern.
Sobald das Playbook in Echtzeit ausgelöst wird, wird im Bereich „Statistiken“ eine Nachricht mit dem Nutzernamen und der letzten Anmeldezeit angezeigt.

Anwendungsfall: VirusTotal-Hash-Analyse

In diesem Anwendungsbeispiel wird gezeigt, wie Sie den Ruf eines Dateihashs aus einer bestimmten Scan-Engine wie Kaspersky extrahieren, um festzustellen, ob die Datei schädlich ist, und eine entsprechende Entität erstellen.

Verwenden Sie die Aktion VirusTotal_Scan Hash, um den Dateibericht abzurufen.

Mit der nachfolgenden Aktion Siemplify_Create oder Update Entity Properties wird eine Entitätseigenschaft wie Detected by Kaspersky basierend auf den Scanergebnissen erstellt oder geändert.

So fügen Sie diesen Platzhalter hinzu:

Klicken Sie im Feld „Feldwert“ auf [] Platzhalter.
Klicken Sie auf der Seite Platzhalter einfügen neben VirusTotal_ScanHash_JSONResult auf das Symbol Ausdrucks-Generator.
Fügen Sie den folgenden Ausdruck hinzu:
| filter(EntityResult.scans.Kaspersky.detected, "=", "true") | Entity

Wenn wir mehr als einen Hash gescannt haben, werden die Ergebnisse nach allen Entitätsobjekten gefiltert, die von Kaspersky als schädlich markiert wurden, und dann wird nur der Entitätsname zurückgegeben.
Klicken Sie auf Einfügen > Speichern. Die Ergebnisse werden zur Laufzeit angezeigt.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten