Cas d'utilisation du générateur d'expressions

Ce document fournit des cas d'utilisation qui expliquent comment créer et implémenter des expressions dynamiques dans les actions de playbook sur la plate-forme Google Security Operations. Il se concentre sur l'utilisation du générateur d'expressions pour analyser, filtrer et extraire des données spécifiques à partir des résultats d'actions précédentes (comme des données de liste, des détails d'entité et des rapports d'analyse) afin de générer une logique d'automatisation complexe dans les étapes ultérieures du playbook.

Avant de commencer

Avant de commencer, suivez ces suggestions :

• Utilisez Qualys – Lister les analyses pour obtenir toutes les dernières analyses de Qualys (30 jours codés en dur).
• Utilisez le générateur d'expressions pour extraire l'ID (REF) de la dernière analyse en tant qu'espace réservé pour télécharger les résultats de l'analyse des VM. Les résultats de l'analyse de VM téléchargent le rapport correspondant.
• Utilisez List Operations pour extraire la liste des identifiants de failles trouvés sur le réseau (failles et expositions courantes, CVE) à partir du rapport et la comparer aux CVE de la demande.
• Utilisez une alerte IPS pour déclencher le playbook.

Cas d'utilisation : système de prévention des intrusions (IPS)

Ce cas d'utilisation suppose que vous créez un playbook qui a détecté un flux malveillant dans un réseau.
Imaginez qu'un outil de gestion des failles, tel que Qualys, a planifié une analyse quotidienne.

Créer un espace réservé

Pour créer un espace réservé :

1. Commencez par une action Active Directory_Enrich Entities pour enrichir toutes les entités potentiellement concernées.
2. Utilisez Qualys VM – List Scans pour récupérer les derniers résultats d'analyse des machines du réseau.
3. Déterminez si l'un des résultats est vulnérable au flux détecté.
4. Consultez QualysVM_Download VM Scan Results_1. Vous devriez voir l'espace réservé et le générateur d'expressions ajouté.

Ajouter l'espace réservé

Pour ajouter l'espace réservé :

1. Cliquez sur [ ] Espace réservé. La boîte de dialogue Insérer un espace réservé s'affiche.
2. Sélectionnez Playbook > QualysVM_list_Scans_1_JSONResult.
3. Cliquez sur l'icône Générateur d'expressions. La page "Générateur d'expressions" s'affiche.
4. Dans le champ Expression, ajoutez ce qui suit : les expressions utilisent MAX pour obtenir le résultat le plus récent par date LAUNCH_DATETIME, puis extraient l'ID d'analyse spécifique de l'analyse concernée, où REF correspond à l'ID d'analyse.
    Exemple : | max(LAUNCH_DATETIME) | REF
5. Cliquez sur Exécuter. Les résultats attendus devraient s'afficher.
6. Cliquez sur Insérer pour inclure le générateur d'expressions dans l'espace réservé.
7. Cliquez sur Action > Lister les opérations en utilisant les CVE des cas. L'expression builder s'affiche.
8. Une fois le playbook déclenché en temps réel, vous pouvez consulter les résultats de l'analyse dans le panneau latéral, y compris l'analyse spécifique sous forme de fichier PDF.
   

Cas d'utilisation : Trop de tentatives de connexion infructueuses

Ce cas d'utilisation traite des tentatives de connexion ayant échoué en enrichissant les données d'entité pour déterminer la gravité des alertes. L'objectif est de trouver rapidement le service de l'utilisateur et la date de la dernière modification de son mot de passe.

1. Commencez par l'action ActiveDirectory_Enrich pour recueillir des informations détaillées sur toutes les entités internes associées à l'alerte.
2. Dans le message Insight suivant, utilisez le générateur d'expressions pour extraire l'utilisateur cible et l'heure de sa dernière connexion.

Ajouter l'espace réservé

Pour ajouter ces espaces réservés :

1. Dans le champ Message, cliquez sur Espace réservé [ ] .
2. Sur la page Insérer un espace réservé, cliquez sur l'icône du générateur d'expressions à côté de ActiveDirectory_Enrich entities_JSONResult.
3. Ajoutez ce qui suit dans le champ d'expression. Cela permettra de choisir l'identifiant de l'entité. Si plusieurs entités ont renvoyé des résultats, nous les recevrons sous forme de liste séparée par des virgules.
   | Entité
   
4. Cliquez sur Exécuter. L'exemple de résultat s'affiche. Dans ce cas, user@domain.com.
5. Cliquez sur Insérer pour l'utiliser dans votre message de substitution. Ajoutez le texte libre pertinent à votre message.
6. Cliquez sur [ ] espace réservé, puis sur l'icône du générateur d'expressions à côté de ActiveDirectory_Enrich entities_JSONResult.
7. Ajoutez l'expression suivante. Elle indique la dernière heure de connexion de l'utilisateur spécifié. | EntityResult.lastLogon
8. Cliquez sur Insérer, puis sur Enregistrer.
9. Une fois le playbook déclenché en temps réel, un message s'affiche dans le volet "Insight", indiquant le nom d'utilisateur et l'heure de la dernière connexion.
   

Cas d'utilisation : analyse du hachage VirusTotal

Ce cas d'utilisation montre comment extraire la réputation du hachage d'un fichier à partir d'un moteur d'analyse spécifique, tel que Kaspersky, pour déterminer si le fichier est malveillant et créer une entité correspondante.

• Utilisez l'action VirusTotal_Scan Hash pour récupérer le rapport sur le fichier.

L'action suivante, Siemplify_Create ou Update Entity Properties, crée ou modifie une propriété d'entité, telle que Detected by Kaspersky, en fonction des résultats de l'analyse.

Pour ajouter cet espace réservé :

1. Dans le champ "Valeur du champ", cliquez sur Espace réservé [].
2. Sur la page Insérer un espace réservé, cliquez sur l'icône Générateur d'expressions à côté de VirusTotal_ScanHash_JSONResult.
   
3. Ajoutez l'expression suivante :
   | filter(EntityResult.scans.Kaspersky.detected, "=", "true") | Entity
   

   Si nous avons analysé plusieurs hachages, les résultats sont filtrés par tous les objets d'entité que Kaspersky a marqués comme malveillants, puis seul le nom de l'entité est renvoyé.

4. Cliquez sur Insérer > cliquez sur Enregistrer. Les résultats s'affichent au moment de l'exécution.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.