Casos de uso del compilador de expresiones

En este documento, se proporcionan casos de uso que detallan cómo compilar e implementar expresiones dinámicas en las acciones de los cuadernos de estrategias en toda la plataforma de Operaciones de seguridad de Google. Se enfoca en el uso del Creador de expresiones para analizar, filtrar y extraer datos específicos de los resultados de acciones anteriores, como datos de listas, detalles de entidades y registros de análisis, para impulsar una lógica de automatización compleja en los pasos posteriores del manual.

Antes de comenzar

Antes de comenzar, sigue estas sugerencias:

• Usa Qualys – List Scans para obtener todos los análisis más recientes de Qualys (30 días codificados de forma rígida).
• Usa el compilador de expresiones para extraer el ID (REF) del análisis más reciente como marcador de posición para descargar los resultados del análisis de la VM. Los resultados del análisis de la VM descargan el informe pertinente.
• Usa List Operations para extraer la lista de identificadores de las vulnerabilidades que se encuentran en las vulnerabilidades y exposiciones comunes (CVE) de la red del informe y compárala con la CVE del caso.
• Usa una alerta del IPS para activar la guía.

Caso de uso: Sistema de prevención contra intrusiones (IPS)

En este caso de uso, se supone que estás creando un manual que encontró un flujo malicioso en una red.
Imagina que una herramienta de administración de vulnerabilidades, como Qualys, programó un análisis diario.

Crea un marcador de posición

Para crear un marcador de posición, haz lo siguiente:

1. Comienza con una acción Active Directory_Enrich Entities para enriquecer todas las entidades potencialmente afectadas.
2. Usa Qualys VM – List Scans para recuperar los resultados de análisis más recientes de las máquinas de la red.
3. Determina si alguno de los resultados es vulnerable al flujo detectado.
4. Consulta QualysVM_Download VM Scan Results_1. Deberías ver el marcador de posición y el compilador de expresiones agregado.

Agrega el marcador de posición

Para agregar el marcador de posición, haz lo siguiente:

1. Haz clic en [ ] Marcador de posición. Aparecerá el diálogo Insert Placeholder.
2. Selecciona Playbook > QualysVM_list_Scans_1_JSONResult.
3. Haz clic en el ícono Compilador de expresiones. Aparecerá la página Compilador de expresiones.
4. En el campo Expresión, agrega lo siguiente: Las expresiones usan MAX para tomar el resultado más reciente por fecha LAUNCH_DATETIME y, luego, extraen el ID de análisis específico del análisis pertinente, en el que REF es el ID de análisis.
   Ejemplo: | max(LAUNCH_DATETIME) | REF
5. Haz clic en Ejecutar. Deberían aparecer los resultados esperados.
6. Haz clic en Insertar para incluir el Creador de expresiones como parte del marcador de posición.
7. Haz clic en Action > List operations. Se muestran los CVE de los casos y el compilador de expresiones.
8. Una vez que se active el manual en tiempo real, podrás ver los resultados del análisis en el panel lateral, incluido el análisis específico como un archivo PDF.
   

Caso de uso: Demasiados intentos de acceso fallidos

En este caso de uso, se abordan los intentos de acceso fallidos enriqueciendo los datos de la entidad para determinar la gravedad de la alerta. El objetivo es encontrar rápidamente el departamento del usuario y la fecha del último cambio de contraseña.

1. Comienza con la acción de entidades ActiveDirectory_Enrich para recopilar información detallada sobre todas las entidades internas asociadas con la alerta.
2. En el mensaje de Insight posterior, usa el compilador de expresiones para extraer el usuario objetivo y la hora de su último acceso.

Agrega el marcador de posición

Para agregar estos marcadores de posición, sigue estos pasos:

1. En el campo Mensaje, haz clic en [ ] Marcador de posición.
2. En la página Insert Placeholder, haz clic en el ícono del compilador de expresiones junto a ActiveDirectory_Enrich entities_JSONResult.
3. Agrega lo siguiente en el campo de expresión: Esto elegirá el identificador de la entidad. Si más de una entidad devolvió resultados, los obtendremos como una lista separada por comas.
   | Entidad
   
4. Haz clic en Ejecutar. Aparecerá el resultado de la muestra. En este caso, user@domain.com.
5. Haz clic en Insertar para usarlo como parte del mensaje de marcador de posición. Agrega el texto libre pertinente a tu mensaje.
6. Haz clic en [ ] Placeholder y, luego, en el ícono del compilador de expresiones junto a ActiveDirectory_Enrich entities_JSONResult.
7. Agrega la siguiente expresión. Captura la última hora de acceso del usuario especificado. | EntityResult.lastLogon
8. Haz clic en Insertar y, luego, en Guardar.
9. Una vez que se activa el manual en tiempo real, aparece un mensaje en el panel de sugerencias que muestra el nombre de usuario y la hora del último acceso.
   

Caso de uso: Análisis de hash de VirusTotal

En este caso de uso, se muestra cómo extraer la reputación del hash de un archivo de un motor de análisis específico, como Kaspersky, para determinar si el archivo es malicioso y crear una entidad correspondiente.

• Usa la acción VirusTotal_Scan Hash para recuperar el informe del archivo.

La acción posterior, Siemplify_Create o Update Entity Properties, crea o modifica una propiedad de entidad, como Detected by Kaspersky, según los resultados del análisis.

Para agregar este marcador de posición, sigue estos pasos:

1. En el campo Valor del campo, haz clic en [] Marcador de posición.
2. En la página Insertar marcador de posición, haz clic en el ícono del Generador de expresiones junto a VirusTotal_ScanHash_JSONResult.
   
3. Agrega la siguiente expresión:
   | filter(EntityResult.scans.Kaspersky.detected, "=", "true") | Entity
   

   Si analizamos más de un hash, se filtran los resultados según todos los objetos de entidad que Kaspersky marcó como maliciosos y, luego, se muestra solo el nombre de la entidad.

4. Haz clic en Insertar > haz clic en Guardar. Los resultados aparecen en el tiempo de ejecución.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.