Casi d'uso del generatore di espressioni

Questo documento fornisce casi d'uso che descrivono in dettaglio come creare e implementare espressioni dinamiche all'interno delle azioni dei playbook nella piattaforma Google Security Operations. Si concentra sull'utilizzo del generatore di espressioni per analizzare, filtrare ed estrarre dati specifici dai risultati delle azioni precedenti, come dati di elenchi, dettagli delle entità e report di scansione, per guidare una logica di automazione complessa nei passaggi successivi del playbook.

Prima di iniziare

Prima di iniziare, segui questi suggerimenti:

• Utilizza Qualys - List Scans per ottenere tutte le scansioni più recenti da Qualys (30 giorni codificati).
• Utilizza il generatore di espressioni per estrarre l'ID (REF) della scansione più recente come segnaposto per scaricare i risultati della scansione della VM. Il download dei risultati della scansione della VM scarica il report pertinente.
• Utilizza Operazioni con le liste per estrarre l'elenco degli identificatori delle vulnerabilità trovate nelle vulnerabilità ed esposizioni comuni (CVE) della rete dal report e confrontarlo con la CVE del problema.
• Utilizza un avviso IPS per attivare la guida pratica.

Caso d'uso: sistema di prevenzione delle intrusioni (IPS)

Questo caso d'uso presuppone che tu stia creando un playbook che ha rilevato un flusso dannoso in una rete.
Immagina che uno strumento di gestione delle vulnerabilità, come Qualys, abbia pianificato una scansione giornaliera.

Creare un segnaposto

Per creare un segnaposto:

1. Inizia con un'azione Active Directory_Enrich Entities per arricchire tutte le entità potenzialmente interessate.
2. Utilizza Qualys VM - List Scans per recuperare i risultati dell'ultima scansione per le macchine di rete.
3. Determina se uno dei risultati è vulnerabile al flusso rilevato.
4. Consulta QualysVM_Download VM Scan Results_1. Dovresti visualizzare il segnaposto e il generatore di espressioni aggiunto.

Aggiungere il segnaposto

Per aggiungere il segnaposto:

1. Fai clic su [ ] Segnaposto. Viene visualizzata la finestra di dialogo Inserisci segnaposto.
2. Seleziona Playbook > QualysVM_list_Scans_1_JSONResult.
3. Fai clic sull'icona Generatore di espressioni. Viene visualizzata la pagina Generatore di espressioni.
4. Nel campo Espressione, aggiungi quanto segue: le espressioni utilizzano MAX per prendere il risultato più recente per data LAUNCH_DATETIME e poi estrarre l'ID scansione specifico della scansione pertinente dove REF è l'ID scansione.
   Esempio: | max(LAUNCH_DATETIME) | REF
5. Fai clic su Esegui. Dovrebbero essere visualizzati i risultati previsti.
6. Fai clic su Inserisci per includere il generatore di espressioni come parte del segnaposto.
7. Fai clic su Azione > Elenca operazioni utilizzando i CVE dei casi + viene visualizzato il generatore di espressioni.
8. Una volta attivato lo scenario in tempo reale, puoi visualizzare i risultati della scansione nel riquadro laterale, inclusa la scansione specifica come file PDF.
   

Caso d'uso: troppi tentativi di accesso non riusciti

Questo caso d'uso riguarda i tentativi di accesso non riusciti arricchendo i dati delle entità per determinare la gravità dell'avviso. L'obiettivo è trovare rapidamente il reparto dell'utente e la data dell'ultima modifica della password.

1. Inizia con l'azione ActiveDirectory_Enrich entità per raccogliere informazioni dettagliate su tutte le entità interne associate all'avviso.
2. Nel messaggio Insight successivo, utilizza il generatore di espressioni per estrarre l'utente di destinazione e l'ora dell'ultimo accesso.

Aggiungere il segnaposto

Per aggiungere questi segnaposto:

1. Nel campo Messaggio, fai clic su Segnaposto [ ] .
2. Nella pagina Inserisci segnaposto, fai clic sull'icona del generatore di espressioni accanto a ActiveDirectory_Enrich entities_JSONResult.
3. Aggiungi quanto segue nel campo dell'espressione: in questo modo verrà scelto l'identificatore dell'entità. Se più di un'entità ha restituito risultati, li riceveremo come elenco separato da virgole.
   | Entità
   
4. Fai clic su Esegui; viene visualizzato il risultato di esempio. In questo caso, user@domain.com.
5. Fai clic su Inserisci per utilizzarlo come parte del messaggio segnaposto. Aggiungi il testo libero pertinente al tuo messaggio.
6. Fai clic su Segnaposto [ ] e poi sull'icona del generatore di espressioni accanto a ActiveDirectory_Enrich entities_JSONResult.
7. Aggiungi la seguente espressione. Acquisisce l'ultimo accesso dell'utente specificato. | EntityResult.lastLogon
8. Fai clic su Inserisci e poi su Salva.
9. Una volta attivato lo scenario in tempo reale, nel riquadro Approfondimenti viene visualizzato un messaggio che mostra il nome utente e l'ora dell'ultimo accesso.
   

Caso d'uso: analisi dell'hash VirusTotal

Questo caso d'uso mostra come estrarre la reputazione dell'hash di un file da un motore di scansione specifico, ad esempio Kaspersky, per determinare se il file è dannoso e creare un'entità corrispondente.

• Utilizza l'azione VirusTotal_Scan Hash per recuperare il report del file.

L'azione successiva, Siemplify_Create o Update Entity Properties, crea o modifica una proprietà dell'entità, ad esempio Detected by Kaspersky, in base ai risultati della scansione.

Per aggiungere questo segnaposto:

1. Nel campo Valore campo, fai clic su Segnaposto [].
2. Nella pagina Inserisci segnaposto, fai clic sull'icona Generatore di espressioni accanto a VirusTotal_ScanHash_JSONResult.
   
3. Aggiungi la seguente espressione:
   | filter(EntityResult.scans.Kaspersky.detected, "=", "true") | Entity
   

   Se abbiamo eseguito la scansione di più hash, i risultati vengono filtrati in base a tutti gli oggetti entità che Kaspersky ha contrassegnato come dannosi e viene restituito solo il nome dell'entità.

4. Fai clic su Inserisci > fai clic su Salva. I risultati vengono visualizzati in fase di runtime.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.