Kasus penggunaan Pembuat Ekspresi

Didukung di:

Dokumen ini memberikan kasus penggunaan yang menjelaskan cara membuat dan menerapkan ekspresi dinamis dalam tindakan playbook di seluruh platform Google Security Operations. Langkah ini berfokus pada penggunaan Pembuat Ekspresi untuk mengurai, memfilter, dan mengekstrak data tertentu dari hasil tindakan sebelumnya—seperti data daftar, detail entity, dan laporan pemindaian—untuk mendorong logika otomatisasi yang kompleks dalam langkah playbook berikutnya.

Sebelum memulai

Sebelum Anda memulai, ikuti saran berikut:

  • Gunakan Qualys – List Scans untuk mendapatkan semua pemindaian terbaru dari Qualys (30 hari yang dikodekan secara permanen).
  • Gunakan Pembuat Ekspresi untuk mengekstrak ID (REF) pemindaian terbaru sebagai placeholder untuk mendownload hasil pemindaian VM. Hasil pemindaian VM mendownload laporan yang relevan.
  • Gunakan Operasi Daftar untuk mengekstrak daftar ID kerentanan yang ditemukan di jaringan, yaitu kerentanan dan eksposur umum (CVE), dari laporan dan bandingkan dengan CVE dari kasus.
  • Gunakan pemberitahuan IPS untuk memicu playbook.

Kasus penggunaan: Intrusion Prevention System (IPS)

Kasus penggunaan ini mengasumsikan bahwa Anda sedang membuat playbook yang telah menemukan alur berbahaya dalam jaringan.
Bayangkan bahwa alat pengelolaan kerentanan, seperti Qualys, telah menjadwalkan pemindaian harian.

Membuat placeholder

Untuk membuat placeholder, lakukan hal berikut:

  1. Mulai dengan tindakan Active Directory_Enrich Entities untuk memperkaya semua entitas yang berpotensi terpengaruh.
  2. Gunakan Qualys VM – List Scans untuk mengambil hasil pemindaian terbaru untuk mesin jaringan.
  3. Tentukan apakah ada hasil yang rentan terhadap alur yang terdeteksi.
  4. Lihat QualysVM_Download VM Scan Results_1. Anda akan melihat placeholder dan Pembuat Ekspresi yang ditambahkan.

Tambahkan placeholder

Untuk menambahkan placeholder, lakukan langkah-langkah berikut:

  1. Klik [ ] Placeholder. Dialog Insert Placeholder akan muncul.
  2. Pilih Playbook > QualysVM_list_Scans_1_JSONResult.
  3. Klik ikon Expression Builder; halaman Expression Builder akan muncul.
  4. Di kolom Expression, tambahkan berikut ini: Ekspresi menggunakan MAX untuk mengambil hasil terbaru menurut tanggal LAUNCH_DATETIME dan kemudian mengekstrak ID pemindaian tertentu dari pemindaian yang relevan dengan REF adalah ID pemindaian.
    Contoh: | max(LAUNCH_DATETIME) | REF
  5. Klik Run. Hasil yang diharapkan akan muncul.
  6. Klik Sisipkan untuk menyertakan Pembuat Ekspresi sebagai bagian dari placeholder.
  7. Klik Tindakan > Operasi daftar menggunakan CVE dari kasus + tampilan pembuat ekspresi.
  8. Setelah playbook dipicu secara real time, Anda dapat melihat hasil pemindaian di panel samping, termasuk pemindaian tertentu sebagai file PDF.

Kasus penggunaan: Terlalu banyak upaya login yang gagal

Kasus penggunaan ini menangani upaya login yang gagal dengan memperkaya data entitas untuk menentukan tingkat keparahan pemberitahuan. Tujuannya adalah menemukan departemen pengguna dan tanggal perubahan sandi terakhirnya dengan cepat.

  1. Mulai dengan tindakan entitas ActiveDirectory_Enrich untuk mengumpulkan informasi mendetail tentang semua entitas internal yang terkait dengan notifikasi.
  2. Dalam pesan Insight berikutnya, gunakan Pembuat Ekspresi untuk mengekstrak target pengguna dan waktu login terakhirnya.

Tambahkan placeholder

Untuk menambahkan placeholder ini:

  1. Di kolom Pesan, klik [ ] Placeholder.
  2. Di halaman Sisipkan Placeholder, klik ikon Pembuat Ekspresi di samping ActiveDirectory_Enrich entities_JSONResult.
  3. Tambahkan yang berikut ini di kolom ekspresi: Ini akan memilih ID entitas. Jika lebih dari satu entitas menampilkan hasil, kami akan mendapatkannya sebagai daftar yang dipisahkan koma.
    | Entitas
  4. Klik Run; hasil sampel akan muncul. Dalam hal ini, user@domain.com.
  5. Klik Sisipkan untuk menggunakannya sebagai bagian dari pesan placeholder Anda. Tambahkan teks bebas yang relevan ke pesan Anda.
  6. Klik [ ] Placeholder, lalu klik ikon Pembuat Ekspresi di samping ActiveDirectory_Enrich entities_JSONResult.
  7. Tambahkan ekspresi berikut. Kolom ini mencatat waktu login terakhir pengguna yang ditentukan. | EntityResult.lastLogon
  8. Klik Sisipkan, lalu klik Simpan.
  9. Setelah playbook dipicu secara real time, pesan di panel Insight akan muncul, yang menampilkan nama pengguna dan waktu login terakhir.

Kasus penggunaan: Analisis hash VirusTotal

Kasus penggunaan ini menunjukkan cara mengekstrak reputasi hash file dari mesin pemindai tertentu, seperti Kaspersky, untuk menentukan apakah file tersebut berbahaya dan membuat entitas yang sesuai.

  • Gunakan tindakan VirusTotal_Scan Hash untuk mengambil laporan file.

Tindakan berikutnya, Siemplify_Create atau Update Entity Properties, membuat atau mengubah properti entitas, seperti Detected by Kaspersky, berdasarkan hasil pemindaian.

Untuk menambahkan placeholder ini:

  1. Di kolom Nilai Kolom, klik [] Placeholder.
  2. Di halaman Sisipkan Placeholder, klik ikon Pembuat Ekspresi di samping VirusTotal_ScanHash_JSONResult.
  3. Tambahkan ekspresi berikut:
    | filter(EntityResult.scans.Kaspersky.detected, "=", "true") | Entity

    Jika kami memindai lebih dari satu hash, hasil akan difilter menurut semua objek entitas yang ditandai sebagai berbahaya oleh Kaspersky, lalu hanya menampilkan nama entitas.

  4. Klik Sisipkan > klik Simpan. Hasil akan muncul saat runtime.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.