Casos prácticos de Creador de expresiones

Disponible en:

En este documento se describen casos prácticos que detallan cómo crear e implementar expresiones dinámicas en las acciones de los cuadernos de estrategias de la plataforma Google Security Operations. Se centra en usar el creador de expresiones para analizar, filtrar y extraer datos específicos de los resultados de acciones anteriores (como datos de listas, detalles de entidades e informes de análisis) con el fin de impulsar una lógica de automatización compleja en los pasos posteriores de la guía.

Antes de empezar

Antes de empezar, sigue estas sugerencias:

  • Usa Qualys – List Scans para obtener todos los análisis más recientes de Qualys (30 días codificados).
  • Usa el Generador de expresiones para extraer el ID (REF) del análisis más reciente como marcador de posición para descargar los resultados del análisis de la VM. Los resultados del análisis de la VM descargan el informe correspondiente.
  • Usa List Operations para extraer la lista de los identificadores de las vulnerabilidades encontradas en la red (vulnerabilidades y exposiciones comunes, CVEs) del informe y compararla con la CVE del caso.
  • Usa una alerta de IPS para activar el runbook.

Caso práctico: sistema de prevención de intrusos (IPS)

En este caso práctico, se da por hecho que estás creando un manual de procedimientos que ha detectado un flujo malicioso en una red.
Imagina que una herramienta de gestión de vulnerabilidades, como Qualys, ha programado un análisis diario.

Crear un marcador de posición

Para crear un marcador de posición, sigue estos pasos:

  1. Empieza con una acción Active Directory_Enrich Entities para enriquecer todas las entidades que puedan verse afectadas.
  2. Usa Qualys VM – List Scans para obtener los resultados de análisis más recientes de las máquinas de la red.
  3. Determina si alguno de los resultados es vulnerable al flujo detectado.
  4. Consulta QualysVM_Download VM Scan Results_1. Debería ver el marcador de posición y el Generador de expresiones añadido.

Añadir el marcador de posición

Para añadir el marcador de posición, sigue estos pasos:

  1. Haz clic en [ ] Marcador de posición. Aparecerá el cuadro de diálogo Insertar marcador de posición.
  2. Selecciona Playbook > QualysVM_list_Scans_1_JSONResult.
  3. Haga clic en el icono Generador de expresiones. Aparecerá la página Generador de expresiones.
  4. En el campo Expresión, añade lo siguiente: las expresiones usan MAX para obtener el resultado más reciente por fecha LAUNCH_DATETIME y luego extraen el ID de análisis específico del análisis pertinente donde REF es el ID de análisis.
    Ejemplo: | max(LAUNCH_DATETIME) | REF
  5. Haz clic en Ejecutar. Deberían aparecer los resultados esperados.
  6. Haz clic en Insertar para incluir el creador de expresiones en el marcador de posición.
  7. Haz clic en Acción > Operaciones de lista con las CVEs de los casos + se muestra el creador de expresiones.
  8. Una vez que se active el manual en tiempo real, podrás ver los resultados del análisis en el panel lateral, incluido el análisis específico en un archivo PDF.

Caso práctico: demasiados intentos de inicio de sesión fallidos

Este caso práctico aborda los intentos de inicio de sesión fallidos enriqueciendo los datos de las entidades para determinar la gravedad de las alertas. El objetivo es encontrar rápidamente el departamento del usuario y la fecha en la que cambió su contraseña por última vez.

  1. Empieza con la acción de entidades ActiveDirectory_Enrich para obtener información detallada sobre todas las entidades internas asociadas a la alerta.
  2. En el mensaje de estadísticas posterior, usa el creador de expresiones para extraer el usuario objetivo y la hora de su último inicio de sesión.

Añadir el marcador de posición

Para añadir estas marcas de posición, sigue estos pasos:

  1. En el campo Mensaje, haz clic en [ ] Marcador de posición.
  2. En la página Insertar marcador de posición, haga clic en el icono del creador de expresiones junto a ActiveDirectory_Enrich entities_JSONResult.
  3. Añada lo siguiente en el campo de expresión. De esta forma, se elegirá el identificador de entidad. Si se devuelven resultados de más de una entidad, se obtendrá como una lista separada por comas.
    | Entidad
  4. Haz clic en Ejecutar para ver el resultado de muestra. En este caso, user@domain.com.
  5. Haz clic en Insertar para usarlo como parte del mensaje de marcador de posición. Añade el texto libre pertinente a tu mensaje.
  6. Haga clic en [ ] Marcador de posición y, a continuación, en el icono del creador de expresiones situado junto a ActiveDirectory_Enrich entities_JSONResult.
  7. Añade la siguiente expresión. Registra la hora de inicio de sesión del usuario especificado. | EntityResult.lastLogon
  8. Haz clic en Insertar y, a continuación, en Guardar.
  9. Una vez que se activa la guía en tiempo real, aparece un mensaje en el panel Información que muestra el nombre de usuario y la hora del último inicio de sesión.

Caso práctico: análisis de hash de VirusTotal

En este caso práctico se muestra cómo extraer la reputación del hash de un archivo de un motor de análisis específico, como Kaspersky, para determinar si el archivo es malicioso y crear una entidad correspondiente.

  • Usa la acción VirusTotal_Scan Hash para obtener el informe del archivo.

La acción posterior, Siemplify_Create o Update Entity Properties, crea o modifica una propiedad de entidad, como Detected by Kaspersky, en función de los resultados del análisis.

Para añadir este marcador de posición, sigue estos pasos:

  1. En el campo Valor del campo, haga clic en [] Marcador de posición.
  2. En la página Insertar marcador de posición, haz clic en el icono Generador de expresiones junto a VirusTotal_ScanHash_JSONResult.
  3. Añade la siguiente expresión:
    | filter(EntityResult.scans.Kaspersky.detected, "=", "true") | Entity

    Si hemos analizado más de un hash, se filtran los resultados por todos los objetos de entidad que Kaspersky ha marcado como maliciosos y, a continuación, se devuelve solo el nombre de la entidad.

  4. Haz clic en Insertar > Guardar. Los resultados aparecen en tiempo de ejecución.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.