SiemplifyUtilities
Versión de la integración: 19.0
Configura la integración de SiemplifyUtilities en Google Security Operations
Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.
Parámetros de integración
Acciones
Recuento de entidades incluidas
Descripción
Cuenta la cantidad de entidades de un alcance específico.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Tipo de entidad | 13 | N/A | Es el tipo de entidades objetivo. |
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| list_count | N/A | N/A |
Resultado de JSON
N/A
Lista de recuento
Descripción
Cuenta la cantidad de elementos en una lista, separados por un delimitador configurable.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Cadena de entrada | String | N/A | Lista de cadenas separadas por comas. Por ejemplo: value1,value2,value3. |
| Delimitador | String | N/A | Define un símbolo que se usa para separar los valores de la lista de entrada. |
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| list_count | N/A | N/A |
Resultado de JSON
N/A
Borrar archivo
Descripción
Borra un archivo seleccionado del sistema de archivos.
Parámetros
| Nombre | Tipo | Obligatorio | Descripción |
|---|---|---|---|
| Ruta de acceso al archivo | String | Sí | Especifica la ruta de acceso absoluta del archivo que se debe borrar. |
Ejecutar en
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
| is_success | Verdadero/Falso |
Resultado de JSON
{
"filepath": ""
"status": "deleted/not found"
}
Muro de casos
La acción proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
| Se borró el archivo correctamente. | La acción se realizó correctamente. |
| No se encontró el archivo en la ruta proporcionada. | El archivo no existe. |
| No se encontró actividad para las cuentas de servicio proporcionadas en Google Cloud Policy Intelligence | La acción no pudo encontrar datos para ninguna de las cuentas de servicio enumeradas. |
| Se produjo un error al ejecutar la acción "Borrar archivo". | La acción devolvió un error. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Extrae el valor superior de JSON
Descripción
La acción obtiene un JSON como entrada, lo ordena según una clave específica y devuelve los "X" principales de las ramas pertinentes.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Datos JSON | String | N/A | Son los datos JSON que se procesarán. |
| Clave de ordenamiento | String | N/A | Clave anidada separada por puntos. Usa * como comodín. Ejemplo: Host.*.wassap_list.Severity. |
| Tipo de campo | String | N/A | Es el tipo de campo por el que se ordenará. Valores válidos: int (campo numérico), string (un campo de texto) o fecha. |
| Invertir (DESC -> ASC) | Casilla de verificación | Marcado | Ordena los resultados de forma descendente o ascendente (de la Z a la A). |
| Filas con el valor más alto | String | N/A | Recupera la cantidad de filas del JSON para procesar. |
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| Resultado | N/A | N/A |
Resultado de JSON
[
{
"HOST": {
"DETECTION":{
"QID": "82003",
"SEVERITY": "1",
"RESULTS": "Timestamp of host (network byte ordering): 03:40:14 GMT"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T10:24:35Z",
"OS": "Windows 10"
},
"DATETIME": "2018-08-29T14:01:12Z"
}, {
"HOST":{
"DETECTION": {
"PORT": "443",
"QID": "11827",
"PROTOCOL": "tcp",
"RESULTS": "X-Frame-Options or Content-Security-Policy: frame-ancestors HTTP Headers missing on port 443.",
"SEVERITY": "2"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T08:31:58Z",
"OS": "Linux 3.13"
},
"DATETIME": "2018-08-29T14:01:12Z"
}, {
"HOST": {
"DETECTION": {
"PORT": "53",
"QID": "15033",
"PROTOCOL": "udp",
"RESULTS": "--- IPv4 --- ",
"SEVERITY": "4"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T08:31:58Z",
"OS": "Linux 3.13"
},
"DATETIME": "2018-08-29T14:01:12Z"
}
]
Filtro JSON
Descripción
Filtra el diccionario JSON.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Datos JSON | String | N/A | Son los datos del diccionario JSON que se filtrarán. |
| Ruta de acceso de la clave raíz | String | N/A | Es la ruta de acceso a la clave raíz. Nota: El sistema usa la notación de puntos para la búsqueda de JSON. Por ejemplo: json.message.status. |
| Ruta de condición | String | N/A | Es la ruta de acceso al campo por el que se filtrará, separada por puntos. |
| Operador de condición | String | N/A | Es el operador de condición. Puede ser uno de los siguientes: = / != / > / < / >= / <= / in / not in. |
| Valor de condición | String | N/A | Es el valor de la condición por la que se filtrará. |
| Ruta de salida | String | N/A | Es la ruta de acceso a los resultados deseados en el diccionario filtrado, separada por puntos. |
| Delimitador | String | N/A | Es el delimitador para unir los valores en la ruta de salida. El valor predeterminado es una coma. |
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| resultados | Verdadero/Falso | results:False |
Resultado de JSON
{
"a": {
"HOST": [
{
"DETECTION": {
"QID": "82003",
"SEVERITY": "1",
"RESULTS": "Timestamp of host (network byte ordering): 03:40:14 GMT"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T10:24:35Z",
"OS": "Windows 10"
}
],
"DATETIME": "2018-08-29T14:01:12Z"
}
}
Obtén la URL de implementación
Obtén la URL de implementación de Google Security Operations.
Entidades
La acción no se ejecuta en entidades.
Entradas de acción
N/A
Resultados de la acción
| Tipo de salida de la acción | |
|---|---|
| Adjunto del muro de casos | N/A |
| Vínculo al muro de casos | N/A |
| Tabla del muro de casos | N/A |
| Tabla de enriquecimiento | N/A |
| Estadísticas de la entidad | N/A |
| Estadística | N/A |
| Resultado de JSON | Disponible |
| Widget OOTB | N/A |
| Resultado de secuencia de comandos | Disponible |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
| is_success | Verdadero/Falso |
Resultado de JSON
{
"url": ""
}
Muro de casos
| Mensaje de salida | Descripción del mensaje |
|---|---|
| Se recuperó correctamente la URL de implementación. | La acción se realizó correctamente. |
Se produjo un error al ejecutar la acción "Obtener URL de implementación". Motivo:
ERROR_REASON |
La acción devolvió un error. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Enumerar operaciones
Descripción
Proporciona operaciones en listas.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Primera lista | String | N/A | Lista de cadenas separadas por comas. Por ejemplo: value1,value2,value3. |
| Segunda lista | String | N/A | Lista de cadenas separadas por comas. Por ejemplo: value1,value2,value3. |
| Delimitador | String | N/A | Define un símbolo que se usa para separar los valores en ambas listas. |
| Operador | String | N/A | Debe ser una de las siguientes opciones: intersección, unión, resta o xor. |
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| result_list | N/A | N/A |
Resultado de JSON
{
"results": {
"count": 6,
"data": [
"item",
"item1",
"item2"
]
}
}
Analiza EML en JSON
Descripción
Analiza EML en JSON.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Contenido EML | String | N/A | Contenido del archivo EML codificado en Base64. |
| Encabezados incluidos en la lista negra | Cadena separada por comas | No | Encabezados que se excluirán de la respuesta. |
| Usar la lista negra como lista blanca | Casilla de verificación | Desmarcado | Para incluir solo los encabezados enumerados. |
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| parsed_eml | N/A | N/A |
Resultado de JSON
{
"HTML Body": "<div><br></div>",
"Attachments": {},
"Recipients": "john_doe@example.com",
"CC": "",
"Links": {
"urls_1": "https://lh4.googleusercontent.com/rE6-WYjfFuiHbHUV33G31NCtUeBl9YGnw4bvlorqMeNaC60qWagqtohFwCpq2eJxlMYMJPPDAqqXRZW6Oja8GqOjt3jB3aB6tzJP-jdtbCBoj-m3vu49tttHmWpXGJUSI6UuTUYS",
"urls_2": "https://lh4.googleusercontent.com/Uih5TalWnJjBbG_QaRICp8emX5wIakbCmstEDP3YHT7l45qdjIllcxg_Ddapvrh5DqGKszK3KKM5M0kEoC1YX6TgbWKJKPX0OxD5BeWr3uu6SRAHs7lwP20khjHSlxsIM46egQ-M"
},
"BCC": "",
"To": "john_doe@example.com",
"Date": "Mon, 13 Aug 2018 13:20:34 +0300",
"From": "john_doe@example.com",
"Subject": "TEST6:::Test:::ADVANCE NOTICE: 07.08.2018-Disable Accounts-user\\\r\\\\n Office Il Office"
}
En el caso de esta acción, los cambios funcionales se aplican a la versión 10 y posteriores de la integración: En el resultado JSON, el campo with se divide en los campos id y with. Para obtener más detalles, consulta el siguiente ejemplo:
Versión 9 de la integración y versiones anteriores:
"with": "smtp id ID"Versión de integración 10 y posteriores:
"id": "ID" "with": "SMTP"
Ping
Descripción
Prueba la conectividad.
Parámetros
N/A
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| correcto | Verdadero/Falso | success:False |
Resultado de JSON
N/A
Unión de consultas
Descripción
Forma una cadena de consulta a partir de los parámetros proporcionados.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Valores | String | N/A | Lista de cadenas separadas por comas. Por ejemplo: value1,value2,value3. |
| Campo de consulta | String | N/A | Ejemplo de campo objetivo de la búsqueda SrcIP, DestHost, etcétera |
| Operador de consulta | String | N/A | Operador de consulta(OR, AND, etc.). |
| Agregar cotizaciones | Casilla de verificación | N/A | Si está habilitada, la acción agregará comillas a cada elemento de la lista "Valores". |
| Agregar comillas dobles | Casilla de verificación | N/A | Si está habilitada, la acción agregará comillas dobles a cada elemento de la lista "Valores". |
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| consulta | N/A | N/A |
Resultado de JSON
N/A
Exportar entidades como archivo OpenIOC
Descripción
Exporta entidades como un archivo OpenIOC. Entidades admitidas: Hash de archivo, dirección IP, URL, nombre de host y usuario.
Parámetros
| Nombre | Tipo | Obligatorio | Descripción |
|---|---|---|---|
| Ruta de acceso de la carpeta de exportación | String | Sí | Especifica la carpeta en la que se deben almacenar los archivos OpenIOC. |
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Filehash
- Dirección IP
- URL
- Nombre de host
- Usuario
Resultados de la acción
Resultado de JSON
{
"absolute_file_path": OpenIOC_{random_guid}.txt
}
Muro de casos
| Caso | Listo | Reprobada | Mensaje |
|---|---|---|---|
| Si la operación se realiza correctamente | Sí | No | Se creó correctamente un archivo OpenIOC basado en las entidades proporcionadas. |
| No hay entidades en el alcance | No | No | La acción no pudo crear un archivo OpenIOC porque no hay entidades en el alcance de ejecución de la acción. |
| Error fatal, credenciales no válidas, raíz de la API | No | Sí | Se produjo un error al ejecutar la acción "Export Entities as OpenIOC File". Motivo: {error traceback} |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.