Cette page a été traduite par l'API Cloud Translation.

Utiliser le générateur d'expressions

Compatible avec :

Google SecOps SOAR

L'outil de création d'expressions vous permet d'analyser et de modifier les résultats JSON pour les utiliser dans des actions ultérieures. L'outil de création d'expressions génère diverses fonctions de transformation dynamique que vous pouvez chaîner, prévisualiser et tester. Il offre une expérience interactive pour transformer et analyser les résultats bruts des actions.

Après avoir sélectionné un espace réservé pour le paramètre dans l'action du playbook, vous pouvez utiliser les résultats JSON. Ces résultats vous fournissent des informations complètes renvoyées par l'action, que vous pouvez utiliser dans les actions et le flux de playbook suivants. Pour en savoir plus, consultez Cas d'utilisation du générateur d'expressions.

Remarque : Certains caractères de l'outil de création d'expressions, comme la barre oblique (/), la barre oblique inverse (\) ou les guillemets ("), nécessitent un caractère d'échappement, comme une barre oblique inverse (\), avant eux pour renvoyer des résultats. Par exemple : replace("\/","y")

Afficher le générateur d'expressions

Cet exemple présente des données potentielles et ne reflète pas les résultats en temps réel. Les données réelles peuvent être différentes et contenir plus ou moins de champs. Si un analyste connaît des champs supplémentaires qui seront renvoyés au moment de l'exécution, il peut saisir le chemin d'accès de clé correspondant dans le champ syntaxe.

Fonctions

Les fonctions de canalisation suivantes sont acceptées :

Premier (x) : renvoie les X premiers éléments d'un tableau.
Exemple : alerts | First(2) (si alerts est [{"id": "A"}, {"id": "B"}, {"id": "C"}], renvoie [{"id": "A"}, {"id": "B"}])
Derniers (x) : renvoie les X derniers éléments d'un tableau.
Exemple : alerts | Last(1) (si alerts est [{"id": "A"}, {"id": "B"}, {"id": "C"}], renvoie [{"id": "C"}])
Min (KeyPath) : renvoie l'élément avec la valeur minimale d'un tableau. Si un paramètre keyPath est fourni, il renvoie l'objet avec la valeur minimale au chemin d'accès spécifié.
Exemple : alerts | Min("score") (si alerts contient une liste d'objets avec un champ score, renvoie l'objet avec le score le plus bas)
Max (KeyPath) : renvoie l'élément avec la valeur maximale d'un tableau. Si un paramètre keyPath est fourni, il renvoie l'objet avec la valeur maximale au chemin d'accès spécifié.
Exemple : alerts | Max("score") (si alerts contient une liste d'objets avec un champ score, renvoie l'objet avec le score le plus élevé)
Filter (ConditionKey, Operator, Value) : filtre un tableau d'objets et ne renvoie que les objets qui correspondent à une condition sur un champ spécifié.

ConditionKey : champ de chaque objet à évaluer par rapport à la condition.
Opérateur : opérateur à utiliser pour la condition.

Pour les entrées de chaîne : =, !=, in, not in.
Pour les entrées de nombres/dates : =, !=, >, >=, < , <=.

Valeur : valeur à vérifier dans la condition.
Exemple : alerts | Filter("severity", "=", "HIGH") (renvoie toutes les alertes où le champ severity est défini sur "HIGH")
DateFormat ("pattern") : met en forme une date selon un modèle donné (le modèle est spécifié en tant que paramètre) au format suivant : YYYY-MM-DDThh:mm:ssZ.
Exemple : timestamp_field | DateFormat("yyyy/MM/ddTHH:mm:ss") (si timestamp_field est "2024/07/20T10:00:00Z", renvoie "2024-07-20 10:00:00")
Count () : renvoie le nombre d'éléments du tableau d'entrée.
Exemple : alerts | Count() (si alerts est un tableau de quatre éléments, renvoie 4)
OrderBy ("keyPath", "direction") : ordonne un tableau d'objets en fonction des valeurs d'un chemin de clé spécifié.
Exemple : alerts | OrderBy("score", "DESC") (trie le tableau alerts par score dans l'ordre décroissant)
toLower () : convertit une entrée en minuscules.
Exemple : status_field | toLower() (si status_field est "OUVERT", renvoie "ouvert")
toUpper () : convertit une entrée en majuscules.
Exemple : severity_field | toUpper() (si severity_field est "high", renvoie "HIGH")
Replace ("x", "y") : remplace une sous-chaîne dans une chaîne par une autre chaîne.
Exemple : message_field | Replace("World", "Universe") (si message_field est "Hello World", renvoie "Hello Universe")
Distinct () : supprime les valeurs en double d'un tableau. Pour les tableaux d'objets, effectue une comparaison approfondie pour identifier les objets en double.
Exemple : [10, 20, 30, 20, 40] | Distinct() (renvoie [10, 20, 30, 40])
getByIndex ("index") : permet d'obtenir les éléments d'un tableau à partir d'un index spécifié ou d'une liste d'index.
Exemple : alerts | getByIndex("0") (renvoie le premier élément du tableau alerts)
Exemple : alerts | getByIndex("0,2") (renvoie le premier et le troisième élément du tableau alerts)
split ("délimiteur") : divise une chaîne en un tableau de sous-chaînes, en utilisant un délimiteur spécifié.
Exemple : "tag1,tag2,tag3" | split(",") (renvoie ["tag1", "tag2", "tag3"])
join ("delimiter") : concatène un tableau de chaînes en une seule chaîne, en utilisant un délimiteur spécifié.
Exemple : ["malware", "critical"] | join(" & ") (renvoie "malware & critical")
trim () : supprime les espaces de début et de fin d'une chaîne.
Exemple : " hello world " | trim() (renvoie "hello world")
trimChars ("characters") : supprime les caractères spécifiés au début et à la fin d'une chaîne. Les espaces blancs de début et de fin sont toujours supprimés, même s'ils ne sont pas spécifiés explicitement.
Exemple : "--TEST--ABC--" | trimChars("-") (renvoie "TEST--ABC")
substring (start, end) : extrait une sous-chaîne d'une chaîne, à l'aide d'un index de début spécifié et d'un index de fin facultatif.
Exemple : "Hello World" | substring(0, 5) (renvoie "Hello")
Exemple : "Hello World" | substring(6) (renvoie "World")
incrementValue (value) : augmente une valeur numérique d'un montant spécifié. Si aucun montant n'est spécifié, la valeur est incrémentée de 1.
Exemple : score_field | incrementValue(5) (si score_field est défini sur 90, renvoie 95)
Exemple : counter_field | incrementValue() (si counter_field est défini sur 10, renvoie 11)
setIfEmpty ("defaultValue") : renvoie la valeur par défaut fournie si la valeur d'entrée est vide.
Exemple : optional_field | setIfEmpty("N/A") (si optional_field est vide, renvoie "N/A", sinon renvoie la valeur de optional_field)
toUnixtime () : convertit une chaîne de date et heure lisible par un humain (par exemple, "2014/03/12T13:37:27Z" ou "2014-03-12T13:37:27+01:00") en code temporel Unix, exprimé en UTC.
Exemple : "2024-07-20T10:00:00Z" | toUnixtime() (renvoie 1721469600)
ifThenElse ("operator", "comparedValue", "trueResult", "falseResult") : évalue une condition et renvoie la première expression si elle est vraie, ou la deuxième expression dans le cas contraire.
Exemple : severity_field | ifThenElse("=", "HIGH", "High Priority", "Normal Priority") (si severity_field est "HIGH", renvoie "Priorité élevée", sinon renvoie "Priorité normale")
Exemple : score_field | ifThenElse(">", "70", "Above Threshold", "Below Threshold") (si score_field est 90, renvoie "Au-dessus du seuil", si score_field est 60, renvoie "En dessous du seuil")

Expression :

Le champ "Expression" vous permet d'insérer les résultats JSON avec les fonctions et les pipes pour ajouter plusieurs fonctions et créer l'expression.

Exécution / Résultats :

Après avoir rempli le générateur d'expressions, cliquez sur Exécuter pour afficher les résultats en fonction des données d'exemple JSON affichées dans le générateur d'expressions.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.