SiemplifyUtilities
Version de l'intégration : 19.0
Configurer l'intégration SiemplifyUtilities dans Google Security Operations
Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Paramètres d'intégration
Actions
Compter les entités dans le champ d'application
Description
Comptez le nombre d'entités d'une portée spécifique.
Paramètres
| Paramètre | Type | Valeur par défaut | Description |
|---|---|---|---|
| Type d'entité | 13 | N/A | Type des entités cibles. |
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| list_count | N/A | N/A |
Résultat JSON
N/A
Liste des nombres
Description
Compte le nombre d'éléments d'une liste, séparés par un délimiteur configurable.
Paramètres
| Paramètre | Type | Valeur par défaut | Description |
|---|---|---|---|
| Chaîne d'entrée | Chaîne | N/A | Liste de chaînes séparées par une virgule. Par exemple : valeur1,valeur2,valeur3. |
| Délimiteur | Chaîne | N/A | Définissez un symbole utilisé pour séparer les valeurs de la liste d'entrée. |
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| list_count | N/A | N/A |
Résultat JSON
N/A
Supprimer le fichier
Description
Supprimez un fichier sélectionné du système de fichiers.
Paramètres
| Nom | Type | Obligatoire | Description |
|---|---|---|---|
| Chemin d'accès au fichier | Chaîne | Oui | Indique le chemin d'accès absolu du fichier à supprimer. |
Exécuter sur
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Valeur |
|---|---|
| is_success | Vrai/Faux |
Résultat JSON
{
"filepath": ""
"status": "deleted/not found"
}
Mur des cas
L'action fournit les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
| Le fichier a bien été supprimé. | L'action a bien été effectuée. |
| Le fichier est introuvable pour le chemin fourni. | Le fichier n'existe pas. |
| Aucune activité n'a été trouvée pour les comptes de service fournis dans Google Cloud Policy Intelligence. | L'action n'a trouvé aucune donnée pour les comptes de service listés. |
| Erreur lors de l'exécution de l'action "Supprimer le fichier". | L'action a renvoyé une erreur. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Extraire les éléments les plus importants de JSON
Description
L'action reçoit un JSON en entrée, le trie par une clé spécifique et renvoie le TOP "x" des branches concernées.
Paramètres
| Paramètre | Type | Valeur par défaut | Description |
|---|---|---|---|
| Données JSON | Chaîne | N/A | Données JSON à traiter. |
| Clé de tri | Chaîne | N/A | Clé imbriquée séparée par des points. Utilisez * comme caractère générique. Exemple : Host.*.wassap_list.Severity. |
| Type de champ | Chaîne | N/A | Type du champ selon lequel trier les résultats. Valeurs valides : int (champ numérique), string (champ de texte) ou date. |
| Inverser (DÉCROISS. > CROISS.) | Case à cocher | Cochée | Triez les résultats par ordre décroissant (DESC) ou croissant (ASC). |
| Premières lignes | Chaîne | N/A | Récupérez le nombre de lignes du fichier JSON à traiter. |
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| résultat | N/A | N/A |
Résultat JSON
[
{
"HOST": {
"DETECTION":{
"QID": "82003",
"SEVERITY": "1",
"RESULTS": "Timestamp of host (network byte ordering): 03:40:14 GMT"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T10:24:35Z",
"OS": "Windows 10"
},
"DATETIME": "2018-08-29T14:01:12Z"
}, {
"HOST":{
"DETECTION": {
"PORT": "443",
"QID": "11827",
"PROTOCOL": "tcp",
"RESULTS": "X-Frame-Options or Content-Security-Policy: frame-ancestors HTTP Headers missing on port 443.",
"SEVERITY": "2"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T08:31:58Z",
"OS": "Linux 3.13"
},
"DATETIME": "2018-08-29T14:01:12Z"
}, {
"HOST": {
"DETECTION": {
"PORT": "53",
"QID": "15033",
"PROTOCOL": "udp",
"RESULTS": "--- IPv4 --- ",
"SEVERITY": "4"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T08:31:58Z",
"OS": "Linux 3.13"
},
"DATETIME": "2018-08-29T14:01:12Z"
}
]
Filtrer le JSON
Description
Filtre le dictionnaire JSON.
Paramètres
| Paramètre | Type | Valeur par défaut | Description |
|---|---|---|---|
| Données JSON | Chaîne | N/A | Données du dictionnaire JSON à filtrer. |
| Chemin d'accès à la clé racine | Chaîne | N/A | Chemin d'accès à la clé racine. Remarque : Le système utilise la notation par points pour la recherche JSON. Par exemple : json.message.status. |
| Chemin de condition | Chaîne | N/A | Chemin d'accès au champ à filtrer, séparé par des points. |
| Opérateur de condition | Chaîne | N/A | Opérateur de condition. Peut être l'une des valeurs suivantes : = / != / > / < / >= / <= / in / not in. |
| Valeur de la condition | Chaîne | N/A | Valeur de la condition à utiliser pour le filtrage. |
| Chemin de sortie | Chaîne | N/A | Chemin d'accès aux résultats souhaités dans le dictionnaire filtré, séparé par des points. |
| Délimiteur | Chaîne | N/A | Délimiteur permettant de joindre les valeurs dans le chemin de sortie (virgule par défaut). |
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| résultats | Vrai/Faux | results:False |
Résultat JSON
{
"a": {
"HOST": [
{
"DETECTION": {
"QID": "82003",
"SEVERITY": "1",
"RESULTS": "Timestamp of host (network byte ordering): 03:40:14 GMT"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T10:24:35Z",
"OS": "Windows 10"
}
],
"DATETIME": "2018-08-29T14:01:12Z"
}
}
Obtenir l'URL de déploiement
Obtenez l'URL de déploiement pour Google Security Operations.
Entités
L'action ne s'exécute pas sur les entités.
Entrées d'action
N/A
Sorties d'action
| Type de sortie de l'action | |
|---|---|
| Pièce jointe au mur des cas | N/A |
| Lien vers le mur des cas | N/A |
| Table du mur des cas | N/A |
| Table d'enrichissement | N/A |
| Insight sur les entités | N/A |
| Insight | N/A |
| Résultat JSON | Disponible |
| Widget prêt à l'emploi | N/A |
| Résultat du script | Disponible |
Résultat du script
| Nom du résultat du script | Valeur |
|---|---|
| is_success | Vrai/Faux |
Résultat JSON
{
"url": ""
}
Mur des cas
| Message affiché | Description du message |
|---|---|
| L'URL de déploiement a bien été récupérée. | L'action a réussi. |
Erreur lors de l'exécution de l'action "Obtenir l'URL de déploiement". Motif :
ERROR_REASON |
L'action a renvoyé une erreur. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Répertorier les opérations
Description
Fournir des opérations sur les listes.
Paramètres
| Paramètre | Type | Valeur par défaut | Description |
|---|---|---|---|
| Première liste | Chaîne | N/A | Liste de chaînes séparées par une virgule. Par exemple : valeur1,valeur2,valeur3. |
| Deuxième liste | Chaîne | N/A | Liste de chaînes séparées par une virgule. Par exemple : valeur1,valeur2,valeur3. |
| Délimiteur | Chaîne | N/A | Définissez un symbole qui sera utilisé pour séparer les valeurs dans les deux listes. |
| Opérateur | Chaîne | N/A | Doit être l'une des valeurs suivantes : intersection, union, subtract ou xor. |
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| result_list | N/A | N/A |
Résultat JSON
{
"results": {
"count": 6,
"data": [
"item",
"item1",
"item2"
]
}
}
Analyser un fichier EML au format JSON
Description
Analyser un fichier EML au format JSON.
Paramètres
| Paramètre | Type | Valeur par défaut | Description |
|---|---|---|---|
| Contenu EML | Chaîne | N/A | Contenu encodé en base64 du fichier EML. |
| En-têtes mis sur liste noire | chaîne séparée par une virgule | Non | En-têtes à exclure de la réponse. |
| Utiliser la liste noire comme liste blanche | Case à cocher | Décochée | Pour n'inclure que les en-têtes listés. |
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| parsed_eml | N/A | N/A |
Résultat JSON
{
"HTML Body": "<div><br></div>",
"Attachments": {},
"Recipients": "john_doe@example.com",
"CC": "",
"Links": {
"urls_1": "https://lh4.googleusercontent.com/rE6-WYjfFuiHbHUV33G31NCtUeBl9YGnw4bvlorqMeNaC60qWagqtohFwCpq2eJxlMYMJPPDAqqXRZW6Oja8GqOjt3jB3aB6tzJP-jdtbCBoj-m3vu49tttHmWpXGJUSI6UuTUYS",
"urls_2": "https://lh4.googleusercontent.com/Uih5TalWnJjBbG_QaRICp8emX5wIakbCmstEDP3YHT7l45qdjIllcxg_Ddapvrh5DqGKszK3KKM5M0kEoC1YX6TgbWKJKPX0OxD5BeWr3uu6SRAHs7lwP20khjHSlxsIM46egQ-M"
},
"BCC": "",
"To": "john_doe@example.com",
"Date": "Mon, 13 Aug 2018 13:20:34 +0300",
"From": "john_doe@example.com",
"Subject": "TEST6:::Test:::ADVANCE NOTICE: 07.08.2018-Disable Accounts-user\\\r\\\\n Office Il Office"
}
Pour cette action, les modifications fonctionnelles s'appliquent à la version 10 de l'intégration et aux versions ultérieures : dans le résultat JSON, le champ with est divisé en champs id et with. Pour en savoir plus, consultez l'exemple suivant :
Version 9 ou antérieure de l'intégration :
"with": "smtp id ID"Version 10 de l'intégration et versions ultérieures :
"id": "ID" "with": "SMTP"
Ping
Description
Testez la connectivité.
Paramètres
N/A
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| success | Vrai/Faux | success:False |
Résultat JSON
N/A
Combinateur de requêtes
Description
Formez une chaîne de requête à partir des paramètres fournis.
Paramètres
| Paramètre | Type | Valeur par défaut | Description |
|---|---|---|---|
| Valeurs | Chaîne | N/A | Liste de chaînes séparées par une virgule. Par exemple : valeur1,valeur2,valeur3. |
| Champ "Requête" | Chaîne | N/A | Champ cible de la requête (par exemple, SrcIP, DestHost, etc. |
| Opérateur de requête | Chaîne | N/A | Opérateur de requête(OR, AND, etc.). |
| Ajouter des guillemets | Case à cocher | N/A | Si cette option est activée, l'action ajoutera des guillemets à chaque élément de la liste "Valeurs". |
| Ajouter des guillemets doubles | Case à cocher | N/A | Si cette option est activée, l'action ajoutera des guillemets doubles à chaque élément de la liste "Valeurs". |
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| requête | N/A | N/A |
Résultat JSON
N/A
Exporter des entités en tant que fichier OpenIOC
Description
Exporter des entités en tant que fichier OpenIOC. Entités acceptées : hachage de fichier, adresse IP, URL, nom d'hôte, utilisateur.
Paramètres
| Nom | Type | Obligatoire | Description |
|---|---|---|---|
| Chemin d'accès au dossier d'exportation | Chaîne | Oui | Spécifiez le dossier dans lequel stocker les fichiers OpenIOC. |
Exécuter sur
Cette action s'applique aux entités suivantes :
- Filehash
- Adresse IP
- URL
- Nom d'hôte
- Utilisateur
Résultats de l'action
Résultat JSON
{
"absolute_file_path": OpenIOC_{random_guid}.txt
}
Mur des cas
| Cas | Opération réussie | Échec | Message |
|---|---|---|---|
| Si l'opération réussit | Oui | Non | Un fichier OpenIOC a bien été créé à partir des entités fournies. |
| Aucune entité dans le champ d'application | Non | Non | L'action n'a pas pu créer de fichier OpenIOC, car il n'y a aucune entité dans le champ d'exécution de l'action. |
| Erreur fatale, identifiants non valides, racine de l'API | Non | Oui | Erreur lors de l'exécution de l'action "Exporter les entités en tant que fichier OpenIOC". Motif : {error traceback} |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.