Esta página foi traduzida pela API Cloud Translation.

Casos de uso do criador de expressões

Compatível com:

SecOps do Google SOAR

Este documento apresenta casos de uso que detalham como criar e implementar expressões dinâmicas em ações de playbook na plataforma Google Security Operations. Ele se concentra no uso do criador de expressões para analisar, filtrar e extrair dados específicos dos resultados de ações anteriores, como dados de lista, detalhes de entidades e relatórios de verificação, para impulsionar uma lógica de automação complexa nas etapas subsequentes do playbook.

Observação:alguns caracteres no Criador de expressões, como barra (/), barra invertida (\) ou aspas ("), exigem um caractere de escape como uma barra invertida (\) antes dele para retornar resultados. Por exemplo: replace("\/","y")

Antes de começar

Antes de começar, siga estas sugestões:

Use Qualys – List Scans para receber todas as verificações mais recentes da Qualys (30 dias codificados).
Use o criador de expressões para extrair o ID (REF) da verificação mais recente como um marcador de posição para fazer o download dos resultados da verificação de VM. Os resultados da verificação de VM baixam o relatório relevante.
Use List Operations para extrair a lista de identificadores de vulnerabilidades encontradas na rede, vulnerabilidades e exposições comuns (CVEs), do relatório e compare com a CVE do caso.
Use um alerta de IPS para acionar o playbook.

Caso de uso: sistema de prevenção de intrusões (IPS)

Neste caso de uso, presumimos que você esteja criando um playbook que encontrou um fluxo malicioso em uma rede.
Imagine que uma ferramenta de gerenciamento de vulnerabilidades, como o Qualys, tenha programado uma verificação diária.

Criar um marcador de posição

Para criar um marcador de posição, faça o seguinte:

Comece com uma ação Active Directory_Enrich Entities para enriquecer todas as entidades potencialmente afetadas.
Use Qualys VM – List Scans para recuperar os resultados da verificação mais recente das máquinas de rede.
Determine se algum dos resultados está vulnerável ao fluxo detectado.
Confira QualysVM_Download VM Scan Results_1. Você vai ver o marcador de posição e o criador de expressões adicionado.

Adicionar o marcador de posição

Para adicionar o marcador de posição, faça o seguinte:

Clique em [ ] Marcador de posição. A caixa de diálogo Inserir marcador de posição aparece.
Selecione Playbook > QualysVM_list_Scans_1_JSONResult.
Clique no ícone Criador de expressões. A página do criador vai aparecer.
No campo Expressão, adicione o seguinte: as expressões usam MAX para extrair o resultado mais recente por data LAUNCH_DATETIME e, em seguida, extraem o ID de verificação específico da verificação relevante em que REF é o ID de verificação.
Exemplo: | max(LAUNCH_DATETIME) | REF
Clique em Executar. Os resultados esperados vão aparecer.
Clique em Inserir para incluir o Criador de expressões como parte do marcador.
Clique em Ação > Listar operações usando CVEs dos casos e das exibições do criador de expressões.
Depois que o playbook é acionado em tempo real, você pode conferir os resultados da verificação no painel lateral, incluindo a verificação específica como um arquivo PDF.

Caso de uso: excesso de tentativas de login com falha

Este caso de uso aborda tentativas de login com falha ao enriquecer os dados da entidade para determinar a gravidade do alerta. O objetivo é encontrar rapidamente o departamento do usuário e a data da última mudança de senha.

Comece com a ação ActiveDirectory_Enrich entidades para reunir informações detalhadas sobre todas as entidades internas associadas ao alerta.
Na mensagem de insight subsequente, use o criador de expressões para extrair o usuário de destino e a hora do último login.

Adicionar o marcador de posição

Para adicionar esses marcadores de posição:

No campo Mensagem, clique em Marcador de posição [ ] .
Na página Inserir marcador de posição, clique no ícone do criador de expressões ao lado de ActiveDirectory_Enrich entities_JSONResult.
Adicione o seguinte no campo de expressão: isso vai escolher o identificador da entidade. Se mais de uma entidade retornar resultados, vamos receber uma lista separada por vírgulas.
| Entidade
Clique em Executar. O resultado da amostra vai aparecer. Nesse caso, user@domain.com.
Clique em Inserir para usar isso como parte da sua mensagem de marcador de posição. Adicione o texto livre relevante à sua mensagem.
Clique em [ ] Marcador de posição e no ícone do criador de expressões ao lado de ActiveDirectory_Enrich entities_JSONResult.
Adicione a seguinte expressão. Isso captura a última hora de login do usuário especificado. | EntityResult.lastLogon
Clique em Inserir e em Salvar.
Quando o playbook é acionado em tempo real, uma mensagem aparece no painel de insights, mostrando o nome de usuário e a hora do último login.

Caso de uso: análise de hash do VirusTotal

Este caso de uso mostra como extrair a reputação do hash de um arquivo de um mecanismo de verificação específico, como o Kaspersky, para determinar se o arquivo é malicioso e criar uma entidade correspondente.

Use a ação VirusTotal_Scan Hash para recuperar o relatório do arquivo.

A ação subsequente, Siemplify_Create ou Update Entity Properties, cria ou modifica uma propriedade de entidade, como Detected by Kaspersky, com base nos resultados da verificação.

Para adicionar esse marcador de posição:

No campo "Valor do campo", clique em Marcador de posição [].
Na página Inserir marcador de posição, clique no ícone Criador de expressões ao lado de VirusTotal_ScanHash_JSONResult.
Adicione a seguinte expressão:
| filter(EntityResult.scans.Kaspersky.detected, "=", "true") | Entity

Se tivermos verificado mais de um hash, vamos filtrar os resultados por todos os objetos de entidade que a Kaspersky marcou como maliciosos e retornar apenas o nome da entidade.
Clique em Inserir > Salvar. Os resultados aparecem durante a execução.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.