Exemplos de utilização do criador de expressões

Este documento apresenta exemplos de utilização que detalham como criar e implementar expressões dinâmicas em ações de manuais de procedimentos na plataforma Google Security Operations. Centra-se na utilização do criador de expressões para analisar, filtrar e extrair dados específicos dos resultados de ações anteriores, como dados de listas, detalhes de entidades e relatórios de análises, para gerar uma lógica de automatização complexa nos passos seguintes do manual de soluções.

Antes de começar

Antes de começar, siga estas sugestões:

• Use Qualys – List Scans para obter todas as análises mais recentes do Qualys (30 dias codificados).
• Use o criador de expressões para extrair o ID (REF) da análise mais recente como marcador de posição para transferir os resultados da análise de VMs. Os resultados da análise de MV transferem o relatório relevante.
• Use List Operations para extrair a lista dos identificadores das vulnerabilidades encontradas nas vulnerabilidades e exposições comuns (CVEs) da rede a partir do relatório e compará-la com a CVE do registo.
• Use um alerta de IPS para acionar o manual de estratégias.

Exemplo de utilização: sistema de prevenção de intrusões (IPS)

Este exemplo de utilização pressupõe que está a criar um plano de ação que encontrou um fluxo malicioso numa rede.
Imagine que uma ferramenta de gestão de vulnerabilidades, como o Qualys, agendou uma análise diária.

Crie um marcador de posição

Para criar um marcador de posição, faça o seguinte:

1. Comece com uma ação Active Directory_Enrich Entities para enriquecer todas as entidades potencialmente afetadas.
2. Use Qualys VM – List Scans para obter os resultados da análise mais recentes das máquinas de rede.
3. Determine se algum dos resultados é vulnerável ao fluxo detetado.
4. Veja QualysVM_Download VM Scan Results_1. Deve ver o marcador de posição e o criador de expressões adicionado.

Adicione o marcador de posição

Para adicionar o marcador de posição, faça o seguinte:

1. Clique em [ ] Marcador de posição. É apresentada a caixa de diálogo Inserir marcador de posição.
2. Selecione Playbook > QualysVM_list_Scans_1_JSONResult.
3. Clique no ícone Criador de expressões. É apresentada a página do criador de expressões.
4. No campo Expressão, adicione o seguinte: as expressões usam MAX para obter o resultado mais recente por data LAUNCH_DATETIME e , em seguida, extrair o ID da análise específico da análise relevante onde REF é o ID da análise.
   Exemplo: | max(LAUNCH_DATETIME) | REF
5. Clique em Executar. Os resultados esperados devem aparecer.
6. Clique em Inserir para incluir o criador de expressões como parte do marcador de posição.
7. Clique em Ação > Listar operações usando CVEs dos registos + o criador de expressões é apresentado.
8. Assim que o plano de ação for acionado em tempo real, pode ver os resultados da análise no painel lateral, incluindo a análise específica como um ficheiro PDF.
   

Exemplo de utilização: demasiadas tentativas de início de sessão falhadas

Este exemplo de utilização aborda as tentativas de início de sessão falhadas através do enriquecimento dos dados das entidades para determinar a gravidade do alerta. O objetivo é encontrar rapidamente o departamento do utilizador e a data da última alteração da palavra-passe.

1. Comece pela ação de entidades ActiveDirectory_Enrich para recolher informações detalhadas sobre todas as entidades internas associadas ao alerta.
2. Na mensagem de estatísticas subsequente, use o criador de expressões para extrair o utilizador de destino e a hora do último início de sessão.

Adicione o marcador de posição

Para adicionar estes marcadores de posição:

1. No campo Mensagem, clique em [ ] Marcador de posição.
2. Na página Inserir marcador de posição, clique no ícone do criador de expressões junto a ActiveDirectory_Enrich entities_JSONResult.
3. Adicione o seguinte no campo de expressão: isto vai escolher o identificador da entidade. Se mais do que uma entidade devolver resultados, vamos recebê-los como uma lista separada por vírgulas.
   | Entidade
   
4. Clique em Executar. É apresentado o resultado de exemplo. Neste caso, user@domain.com.
5. Clique em Inserir para usar esta opção como parte da mensagem do marcador de posição. Adicione o texto livre relevante à sua mensagem.
6. Clique em [ ] Marcador de posição e, de seguida, clique no ícone do criador de expressões junto a ActiveDirectory_Enrich entities_JSONResult.
7. Adicione a seguinte expressão. Isto capta a hora da última sessão do utilizador especificado. | EntityResult.lastLogon
8. Clique em Inserir e, de seguida, em Guardar.
9. Assim que o manual de soluções é acionado em tempo real, é apresentada uma mensagem no painel de estatísticas, que mostra o nome de utilizador e a hora do último início de sessão.
   

Exemplo de utilização: análise de hash do VirusTotal

Este exemplo de utilização mostra como extrair a reputação do hash de um ficheiro de um motor de análise específico, como o Kaspersky, para determinar se o ficheiro é malicioso e criar uma entidade correspondente.

• Use a ação VirusTotal_Scan Hash para obter o relatório do ficheiro.

A ação subsequente, Siemplify_Create ou Update Entity Properties, cria ou modifica uma propriedade da entidade, como Detected by Kaspersky, com base nos resultados da análise.

Para adicionar este marcador de posição:

1. No campo Valor do campo, clique em [] Marcador de posição.
2. Na página Inserir marcador de posição, clique no ícone Criador de expressões junto a VirusTotal_ScanHash_JSONResult.
   
3. Adicione a seguinte expressão:
   | filter(EntityResult.scans.Kaspersky.detected, "=", "true") | Entity
   

   Se analisámos mais do que um hash, filtra os resultados por todos os objetos de entidade que o Kaspersky marcou como maliciosos e, em seguida, devolve apenas o nome da entidade.

4. Clique em Inserir > clique em Guardar. Os resultados são apresentados no momento da execução.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.