SiemplifyUtilities
Versión de integración: 19.0
Configurar la integración de SiemplifyUtilities en Google Security Operations
Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.
Parámetros de integración
Acciones
Contar entidades en el ámbito
Descripción
Cuenta el número de entidades de un ámbito específico.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Tipo de entidad | 13 | N/A | El tipo de las entidades de destino. |
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| list_count | N/A | N/A |
Resultado de JSON
N/A
Lista de recuento
Descripción
Cuenta el número de elementos de una lista separados por un delimitador configurable.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Cadena de entrada | Cadena | N/A | Lista de cadenas separadas por comas. Por ejemplo: valor1,valor2,valor3. |
| Delimitador | Cadena | N/A | Define un símbolo que se usa para separar los valores de la lista de entrada. |
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| list_count | N/A | N/A |
Resultado de JSON
N/A
Eliminar archivo
Descripción
Elimina un archivo seleccionado del sistema de archivos.
Parámetros
| Nombre | Tipo | Obligatorio | Descripción |
|---|---|---|---|
| Ruta del archivo | Cadena | Sí | Especifica la ruta de archivo absoluta del archivo que se debe eliminar. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado del script | Valor |
|---|---|
| is_success | Verdadero/Falso |
Resultado de JSON
{
"filepath": ""
"status": "deleted/not found"
}
Panel de casos
La acción proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
| Se ha eliminado el archivo correctamente. | La acción se ha realizado correctamente. |
| No se ha encontrado el archivo en la ruta proporcionada. | El archivo no existe. |
| No se ha encontrado actividad de las cuentas de servicio proporcionadas en Google Cloud Policy Intelligence | No se han encontrado datos de ninguna de las cuentas de servicio indicadas. |
| Error al ejecutar la acción "Eliminar archivo". | La acción ha devuelto un error. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Extraer los elementos principales de JSON
Descripción
La acción recibe un JSON como entrada, lo ordena por una clave específica y devuelve los "x" principales de las ramas correspondientes.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Datos JSON | Cadena | N/A | Datos JSON que se van a procesar. |
| Clave de ordenación | Cadena | N/A | Clave anidada separada por puntos. Usa * como comodín. Ejemplo: Host.*.wassap_list.Severity. |
| Tipo de campo | Cadena | N/A | Tipo del campo por el que se va a ordenar. Valores válidos: int (campo numérico), cadena (campo de texto) o fecha. |
| Invertir (DESC. -> ASC.) | Casilla | Marcada | Ordena los resultados de forma descendente o ascendente (Z -> A). |
| Filas superiores | Cadena | N/A | Recupera el número de filas del JSON que se va a procesar. |
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| result | N/A | N/A |
Resultado de JSON
[
{
"HOST": {
"DETECTION":{
"QID": "82003",
"SEVERITY": "1",
"RESULTS": "Timestamp of host (network byte ordering): 03:40:14 GMT"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T10:24:35Z",
"OS": "Windows 10"
},
"DATETIME": "2018-08-29T14:01:12Z"
}, {
"HOST":{
"DETECTION": {
"PORT": "443",
"QID": "11827",
"PROTOCOL": "tcp",
"RESULTS": "X-Frame-Options or Content-Security-Policy: frame-ancestors HTTP Headers missing on port 443.",
"SEVERITY": "2"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T08:31:58Z",
"OS": "Linux 3.13"
},
"DATETIME": "2018-08-29T14:01:12Z"
}, {
"HOST": {
"DETECTION": {
"PORT": "53",
"QID": "15033",
"PROTOCOL": "udp",
"RESULTS": "--- IPv4 --- ",
"SEVERITY": "4"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T08:31:58Z",
"OS": "Linux 3.13"
},
"DATETIME": "2018-08-29T14:01:12Z"
}
]
Filtrar JSON
Descripción
Filtra un diccionario JSON.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Datos JSON | Cadena | N/A | Los datos del diccionario JSON que se van a filtrar. |
| Ruta de clave raíz | Cadena | N/A | Ruta a la clave raíz. Nota: El sistema usa la notación de puntos para las búsquedas JSON. Por ejemplo: json.message.status. |
| Ruta de la condición | Cadena | N/A | Ruta del campo por el que se va a filtrar, separada por puntos. |
| Operador de condición | Cadena | N/A | El operador de condición. Puede ser uno de los siguientes: = / != / > / < / >= / <= / in/not in. |
| Valor de condición | Cadena | N/A | El valor de la condición por la que se va a filtrar. |
| Ruta de salida | Cadena | N/A | Ruta a los resultados deseados en el diccionario filtrado, separada por puntos. |
| Delimitador | Cadena | N/A | Delimitador para unir los valores de la ruta de salida. El valor predeterminado es la coma. |
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| resultados | Verdadero/Falso | results:False |
Resultado de JSON
{
"a": {
"HOST": [
{
"DETECTION": {
"QID": "82003",
"SEVERITY": "1",
"RESULTS": "Timestamp of host (network byte ordering): 03:40:14 GMT"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T10:24:35Z",
"OS": "Windows 10"
}
],
"DATETIME": "2018-08-29T14:01:12Z"
}
}
Obtener URL de implementación
Obtener la URL de implementación de Google Security Operations.
Entidades
La acción no se ejecuta en entidades.
Entradas de acciones
N/A
Resultados de la acción
| Tipo de salida de la acción | |
|---|---|
| Adjunto del panel de casos | N/A |
| Enlace del panel de casos | N/A |
| Tabla del panel de casos | N/A |
| Tabla de enriquecimiento | N/A |
| Información valiosa sobre la entidad | N/A |
| Insight | N/A |
| Resultado de JSON | Disponible |
| Widget predefinido | N/A |
| Resultado de la secuencia de comandos | Disponible |
Resultado de la secuencia de comandos
| Nombre del resultado del script | Valor |
|---|---|
| is_success | Verdadero/Falso |
Resultado de JSON
{
"url": ""
}
Panel de casos
| Mensaje resultante | Descripción del mensaje |
|---|---|
| Se ha obtenido la URL de implementación correctamente. | La acción se ha realizado correctamente. |
Error al ejecutar la acción "Get Deployment URL". Motivo:
ERROR_REASON |
La acción ha devuelto un error. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Mostrar operaciones
Descripción
Proporciona operaciones en listas.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Primera lista | Cadena | N/A | Lista de cadenas separadas por comas. Por ejemplo: valor1,valor2,valor3. |
| Segunda lista | Cadena | N/A | Lista de cadenas separadas por comas. Por ejemplo: valor1,valor2,valor3. |
| Delimitador | Cadena | N/A | Define un símbolo que se usará para separar los valores de ambas listas. |
| Operador | Cadena | N/A | Debe ser una de las siguientes: intersección, unión, resta o xor. |
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| result_list | N/A | N/A |
Resultado de JSON
{
"results": {
"count": 6,
"data": [
"item",
"item1",
"item2"
]
}
}
Analizar EML a JSON
Descripción
Analiza EML en JSON.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Contenido EML | Cadena | N/A | El contenido codificado en base64 del archivo EML. |
| Encabezados incluidos en la lista de bloqueadas | cadena separada por comas | No | Encabezados que se excluirán de la respuesta. |
| Usar la lista negra como lista blanca | Casilla | Desmarcada | Para incluir solo los encabezados de la lista. |
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| parsed_eml | N/A | N/A |
Resultado de JSON
{
"HTML Body": "<div><br></div>",
"Attachments": {},
"Recipients": "john_doe@example.com",
"CC": "",
"Links": {
"urls_1": "https://lh4.googleusercontent.com/rE6-WYjfFuiHbHUV33G31NCtUeBl9YGnw4bvlorqMeNaC60qWagqtohFwCpq2eJxlMYMJPPDAqqXRZW6Oja8GqOjt3jB3aB6tzJP-jdtbCBoj-m3vu49tttHmWpXGJUSI6UuTUYS",
"urls_2": "https://lh4.googleusercontent.com/Uih5TalWnJjBbG_QaRICp8emX5wIakbCmstEDP3YHT7l45qdjIllcxg_Ddapvrh5DqGKszK3KKM5M0kEoC1YX6TgbWKJKPX0OxD5BeWr3uu6SRAHs7lwP20khjHSlxsIM46egQ-M"
},
"BCC": "",
"To": "john_doe@example.com",
"Date": "Mon, 13 Aug 2018 13:20:34 +0300",
"From": "john_doe@example.com",
"Subject": "TEST6:::Test:::ADVANCE NOTICE: 07.08.2018-Disable Accounts-user\\\r\\\\n Office Il Office"
}
En esta acción, los cambios funcionales se aplican a la versión 10 de la integración y posteriores: en el resultado JSON, el campo with se divide en los campos id y with. Para obtener más información, consulta el siguiente ejemplo:
Versión de integración 9 y anteriores:
"with": "smtp id ID"Versión de integración 10 y posteriores:
"id": "ID" "with": "SMTP"
Ping
Descripción
Prueba de conectividad.
Parámetros
N/A
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| correcto | Verdadero/Falso | success:False |
Resultado de JSON
N/A
Query Joiner
Descripción
Forma una cadena de consulta a partir de los parámetros proporcionados.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Valores | Cadena | N/A | Lista de cadenas separadas por comas. Por ejemplo: valor1,valor2,valor3. |
| Campo de consulta | Cadena | N/A | Campo de consulta de destino (por ejemplo, SrcIP, DestHost, etc. |
| Operador de consulta | Cadena | N/A | Operador de consulta(OR, AND, etc.). |
| Añadir comillas | Casilla | N/A | Si está habilitada, la acción añadirá comillas a todos los elementos de la lista "Valores". |
| Añadir comillas dobles | Casilla | N/A | Si está habilitada, la acción añadirá comillas dobles a todos los elementos de la lista "Valores". |
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| query | N/A | N/A |
Resultado de JSON
N/A
Exportar entidades como archivo OpenIOC
Descripción
Exportar entidades como archivo OpenIOC. Entidades admitidas: hash de archivo, dirección IP, URL, nombre de host y usuario.
Parámetros
| Nombre | Tipo | Obligatorio | Descripción |
|---|---|---|---|
| Ruta de la carpeta de exportación | Cadena | Sí | Especifica la carpeta en la que se deben almacenar los archivos OpenIOC. |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Filehash
- Dirección IP
- URL
- Nombre de host
- Usuario
Resultados de la acción
Resultado de JSON
{
"absolute_file_path": OpenIOC_{random_guid}.txt
}
Panel de casos
| Caso | Correcto | No superada | Mensaje |
|---|---|---|---|
| Si se realiza correctamente | Sí | No | Se ha creado correctamente un archivo OpenIOC basado en las entidades proporcionadas. |
| No hay entidades en el ámbito | No | No | La acción no ha podido crear un archivo OpenIOC porque no hay entidades en el ámbito de ejecución de la acción. |
| Error grave, credenciales no válidas, raíz de la API | No | Sí | Error al ejecutar la acción "Export Entities as OpenIOC File". Motivo: {error traceback} |
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.