Siemplify
統合バージョン: 70.0
Chronicle SOAR で Siemplify の統合を構成する
Chronicle SOAR で統合を構成する方法の詳細については、統合を構成するをご覧ください。
統合のパラメータ
次のパラメータを使用して統合を構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| インスタンス名 | 文字列 | なし | いいえ | 統合を構成するインスタンスの名前。 |
| 説明 | 文字列 | なし | いいえ | インスタンスの説明。 |
| メール受信者のモニタリング | 文字列 | example@example.com、example1@example.com | ○ | メール受信者のモニタリング |
| Elastic サーバー アドレス | 文字列 | localhost | ○ | Elastic サーバー アドレス |
| リモートで実行 | チェックボックス | オフ | いいえ | 構成した統合をリモートで実行するには、フィールドのチェックボックスをオンにします。オンにすると、リモート ユーザー(エージェント)を選択するオプションが表示されます。 |
アクション
カスタムリストに追加
説明
他のアクションで今後の比較を行うために、分類されたカスタムリストにエンティティ識別子を追加します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| カテゴリ | 文字列 | なし | ○ | 使用されるカテゴリのカスタムリスト。 |
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| ScriptResult | True/False | ScriptResult:False |
JSON の結果
N/A
エンティティ分析情報の追加
説明
各ターゲット エンティティに、分析情報の設定可能なメッセージを追加します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| メッセージ | 文字列 | なし | ○ | 追加するメッセージの内容。 |
Message パラメータは、次のような HTML 要素をサポートしています。
<h1>H1 Heading</h1>
<h2>H2 Heading</h2>
<p>Paragraph</p>
<b>Bold text</b>
<br>
<a href="google.com">Link</a>
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| null | なし | なし |
JSON の結果
N/A
一般的な分析情報の追加
説明
一般的な分析情報の構成可能なメッセージをケースに追加します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| タイトル | 文字列 | なし | ○ | 分析情報のタイトル。 |
| メッセージ | 文字列 | なし | ○ | 分析情報に配置されるメッセージ。 |
| トリガー | 文字列 | なし | いいえ | この分析情報の原因の説明。 |
Message パラメータは、次のような HTML 要素をサポートしています。
<h1>H1 Heading</h1>
<h2>H2 Heading</h2>
<p>Paragraph</p>
<b>Bold text</b>
<br>
<a href="google.com">Link</a>
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| null | なし | なし |
JSON の結果
N/A
同様のケースへのタグの追加
説明
まず SDK を使用して同様のケースを取得します。ID を取得し、add tag メソッドを実行するときに反復するループ内で使用します。アクションはカンマ区切り値をサポートしている必要があります。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| ルール生成ツール | チェックボックス | オン | いいえ | 同じルール生成ツールを使用して同様のケースを検索します。 注: これらの検索条件はすべて「AND」論理条件で結合され、同じ検索で使用されます。 |
| ポート | チェックボックス | オン | いいえ | 同じポート番号で同様のケースを検索します。 注: これらの検索条件はすべて「AND」論理条件で結合され、同じ検索で使用されます。 |
| カテゴリの結果 | チェックボックス | オン | いいえ | 同じカテゴリの結果で、類似するケースを検索します。 注: これらの検索条件はすべて「AND」論理条件で結合され、同じ検索で使用されます。 |
| エンティティ識別子 | チェックボックス | オン | いいえ | 同じエンティティ識別子を含む類似のケースを検索します。 注: これらの検索条件はすべて「AND」論理条件で結合され、同じ検索で使用されます。 |
| 遡る日数 | 文字列 | なし | ○ | 検索で同様のケースを探す日数を定義します。 |
| タグ | 文字列 | なし | ○ | 同様のケースに追加するタグのカンマ区切りのリストを指定します。 |
ケースの割り当て
説明
特定のユーザーまたはユーザー グループにケースを割り当てます。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 割り当てユーザー | 文字列 | なし | ○ | ケースを割り当てるユーザーまたはユーザー グループ。 |
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| null | なし | なし |
JSON の結果
N/A
ハンドブックをアラートにアタッチ
説明
特定のハンドブックをアラートにアタッチします。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| ハンドブック名 | 文字列 | なし | ○ | アラートにアタッチされるハンドブック。 |
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| null | なし | なし |
ケースコメント
説明
現在のアラートがグループ化されたケースにコメントを追加します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| コメント | 文字列 | なし | ○ | ケースに追加するコメント。 |
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| SuccessStatus | True/False | SuccessStatus:False |
JSON の結果
N/A
ケースタグ
説明
現在のアラートがグループ化されるケースに、指定されたタグを追加します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| タグ | 文字列 | なし | ○ | ケースに追加するタグ。 |
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| null | なし | なし |
JSON の結果
N/A
ケースのステージの変更
説明
ケースのステージを handling に変更します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| ステージ | DDL | なし | ○ | ケースの移動先のステージ。 |
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| null | なし | なし |
JSON の結果
N/A
優先度の変更
説明
ケースの優先度を指定の入力に自動的に変更します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 優先度 | DDL | なし | ○ | ケースに設定される優先度。 |
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| null | なし | なし |
JSON の結果
N/A
アラートを閉じる
説明
現在のアラートを閉じます。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 理由 | DDL | なし | ○ | アラートのクローズの理由。 |
| 原因 | DDL | なし | ○ | アラートのクローズの根本原因。 |
| コメント | 文字列 | なし | ○ | コメントの内容。 |
| ユーザーへの割り当て | DDL | なし | いいえ | 閉じられたケースが割り当てられているユーザー。 |
| タグ | 文字列 | なし | いいえ | カンマ区切りのタグ値。 |
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| StatusResult | True/False | StatusResult:False |
JSON の結果
N/A
ケースを終了する
説明
現在のアラートがグループ化されているケースを閉じます。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 理由 | DDL | なし | ○ | クローズの理由。 |
| 原因 | DDL | なし | ○ | ケースのクローズの根本原因。 |
| コメント | 文字列 | なし | ○ | コメントの内容。 |
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| StatusResult | True/False | StatusResult:False |
JSON の結果
N/A
エンティティを作成
説明
エンティティを作成し、リクエストされたアラートに追加します。
統合のバージョン 57 でリリースされた「エンティティの作成」アクションの更新では、Chronicle SOAR プラットフォームのさまざまなバージョンでさまざまな機能が提供されます。
- バージョン 5.6.2 以降の場合: マッピング プロセスで区切り文字を選択できます。DB の構成は無視されます。
バージョン 5.6.0(含む)から 5.6.2(除く)までの場合: 次の 2 つの場所で区切ります。
- アクション
- Chronicle SOAR DB
エンティティの作成プロセスで別の区切り文字を使用する場合は、必ず 2 つの場所で区切ってください。たとえば、「&」というカスタム区切り文字がある場合は、次のようにできます。
- どちらの場所でも「&」に変更してください。
- DB で「&」に変更して、アクションを空のままにして、「二重区切り」が発生しないようにします。
バージョン 5.6.0 より前の場合: この変更は区切り文字には影響しません。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| エンティティ識別子 | 文字列 | なし | ○ | エンティティ識別子または識別子のカンマ区切りのリスト。 例: value1、value2、value3 |
| エンティティ タイプ | リスト | なし | ○ | Chronicle SOAR エンティティ タイプ。 例: HOSTNAME / USERNAME |
| 区切り文字 | 文字列 | ' , ' | いいえ | アクションが取得する入力を 1 つではなく複数のエンティティに分割する区切り文字を指定します。 値を指定しない場合、アクションは入力の分割を行わず、単一のエンティティとして処理されます。 |
| 内部 | チェックボックス | オフ | いいえ | エンティティが内部ネットワークの一部である場合にマークを付けます。 |
| 不審 | チェックボックス | オフ | いいえ | エンティティが不審な場合にマークします。 |
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| StatusResult | True/False | StatusResult:False |
JSON の結果
N/A
エンティティ プロパティの作成または更新
説明
エンティティ スコープ内のエンティティのプロパティを作成または変更します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| エンティティ フィールド | 文字列 | なし | ○ | 作成または更新する必要があるフィールド。 |
| フィールド値 | 文字列 | なし | ○ | フィールドに設定する必要がある値。 |
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
N/A
同様のケースの取得
説明
同様のケースを検索し、その ID を返します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| ルール生成ツール | チェックボックス | オン | いいえ | 同じルール生成ツールを使用して同様のケースを検索します。 注: これらの検索条件はすべて「AND」論理条件で結合され、同じ検索で使用されます。 |
| ポート | チェックボックス | オン | いいえ | 同じポート番号で同様のケースを検索します。 注: これらの検索条件はすべて「AND」論理条件で結合され、同じ検索で使用されます。 |
| カテゴリの結果 | チェックボックス | オン | いいえ | 同じカテゴリの結果で、類似するケースを検索します。 注: これらの検索条件はすべて「AND」論理条件で結合され、同じ検索で使用されます。 |
| エンティティ識別子 | チェックボックス | オン | いいえ | 同じエンティティ識別子を含む類似のケースを検索します。 注: これらの検索条件はすべて「AND」論理条件で結合され、同じ検索で使用されます。 |
| 遡る日数 | 文字列 | なし | ○ | 検索で同様のケースを探す日数を定義します。 |
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| SimilarCasesIds | なし | なし |
JSON の結果
N/A
手順
説明
アナリストに対する指示を設定します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 手順 | 文字列 | なし | ○ | 指示の内容。 |
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| null | なし | なし |
JSON の結果
N/A
カスタムリストにある
説明
エンティティ識別子が、事前定義された動的分類されたカスタムリストの一部かどうかを確認します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| カテゴリ | 文字列 | なし | ○ | カスタムリストのカテゴリ。 |
ユースケース
なし
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| ScriptResult | なし | なし |
JSON の結果
N/A
重要としてマーク
説明
ケースを重要としてマークします。
パラメータ
なし
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| null | なし | なし |
JSON の結果
N/A
ウェブ URL を開く
説明
ブラウザリンクを生成します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| タイトル | 文字列 | なし | ○ | URL のタイトル。 |
| URL | 文字列 | なし | ○ | ターゲット URL。 |
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| null | なし | なし |
JSON の結果
N/A
許可されるアラート時間
説明
指定された時間条件に沿ってケースの時間を確認します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 許可されている開始時刻 | 文字列 | なし | ○ | アラートが許可されている場合の期間の開始。 例: 9:55:24 |
| 許可されている終了時間 | 文字列 | なし | ○ | アラートが許可されている場合の期間の終了。 例: 17:23:21 |
| 月曜日 | チェックボックス | オフ | いいえ | なし |
| 火曜日 | チェックボックス | オン | いいえ | なし |
| 水曜日 | チェックボックス | オン | いいえ | なし |
| 木曜日 | チェックボックス | オフ | いいえ | なし |
| 金曜日 | チェックボックス | オフ | いいえ | なし |
| 土曜日 | チェックボックス | オフ | いいえ | なし |
| 日曜日 | チェックボックス | オフ | いいえ | なし |
| 入力タイムゾーン | 文字列 | UTC | ○ | タイムゾーンの名前。 例: UTC。 |
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| 許可 | なし | なし |
JSON の結果
N/A
Ping
説明
接続をテストします。
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| null | なし | なし |
JSON の結果
N/A
インシデントの提起
説明
ケース インシデントを提起します。重大な真陽性のケースをマークするために使用されます。
パラメータ
なし
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| null | なし | なし |
JSON の結果
N/A
カスタムリストから削除
説明
他のアクションで今後の比較を行うために、分類されたカスタムリストからエンティティ識別子を削除します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| カテゴリ | 文字列 | なし | ○ | 使用するカスタムリスト カテゴリ。 |
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| ScriptResult | なし | なし |
JSON の結果
N/A
リモート実行
説明
パブリッシャーを介してリモート アクションを実行します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| パブリッシャー名 | 文字列 | なし | ○ | 使用するパブリッシャーのインスタンス名。 |
| リモート統合名 | 文字列 | なし | ○ | 使用するリモート統合名。 |
| リモート アクション名 | 文字列 | なし | ○ | 使用するリモート アクション名。 |
| リモート コンテキスト データ | 文字列 | なし | ○ | リモート アクションのコンテキスト データ |
| リモート アクション スクリプト | 文字列 | なし | ○ | 実行されるリモート アクション スクリプトのコンテンツ。 |
| エージェント ID | 文字列 | なし | ○ | アクションのターゲット エージェント ID。 |
| インストールされた統合の共有フォルダ | 文字列 | なし | ○ | インストールされた統合の共有フォルダ。 |
| SSL を確認 | チェックボックス | オフ | いいえ | Chronicle SOAR マシンとリモート パブリッシャー間の SSL 検証を有効または無効にします。 |
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| success | True/False | success:False |
JSON の結果
N/A
Siemplify プロキシのテスト
説明
Chronicle SOAR で構成されたプロキシ設定を使用して、特定のエンドポイントへの接続をテストします。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| エンドポイント URL | 文字列 | なし | ○ | 接続を試みるエンドポイント。 |
| HTTP メソッド | 文字列 | GET | ○ | エンドポイントへの接続時に使用する HTTP メソッド。 |
| Body | 文字列 | GET | いいえ | HTTP リクエストの本文。 |
| SSL を確認 | チェックボックス | オン | いいえ | Chronicle SOAR マシンとリモート パブリッシャー間の SSL 検証を有効または無効にします |
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| success | True/False | success:False |
JSON の結果
N/A
タグの削除
説明
ケースからタグを削除します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| タグ | 文字列 | なし | ○ | 削除する必要があるタグを指定します。カンマ区切り値。 |
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| success | True/False | success:False |
JSON の結果
N/A
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | タグが正常に削除された場合:(is_success=true):「次のタグをケース {case_id}: /n {tags} から正常に削除しました」 エラーが報告された場合(is_success=false):「アクション {action name} 実行エラー」(エラー メッセージには理由を含める必要があります) ケースがクローズされた場合: タグを削除することはできません。 |
一般 |
ケースの SLA の設定
説明
ケースの SLA を設定します。このアクションは優先度が最も高く、特定のケースに定義されている既存の SLA をオーバーライドします。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| SLA 期間 | 整数 | 5 | ○ | SLA 違反後の期間。 |
| SLA 時間単位 | DDL | 分
値は次のいずれかです。
|
○ | SLA 時間の単位を指定します。 |
| 重大期間までの SLA 時間 | 整数 | 4 | ○ | SLA が重大期間に入った後の期間。 このパラメータの値は、SLA Period パラメータの値よりも小さくする必要があります。 |
| 重大期間までの SLA 時間単位 | DDL | 分
値は次のいずれかです。
|
○ | 重大期間までの SLA 時間の単位を指定します。 |
実行
このアクションはエンティティでは実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| success | True/False | success:False |
JSON の結果
N/A
アラートの SLA の設定
説明
アラートの SLA を設定します。この操作は優先度が最も高く、特定のアラートに定義されている既存の SLA をオーバーライドします。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| SLA 期間 | 整数 | 5 | ○ | SLA 違反後の期間。 |
| SLA 時間単位 | DDL | 分
値は次のいずれかです。
|
○ | SLA 時間の単位を指定します。 |
| 重大期間までの SLA 時間 | 整数 | 4 | ○ | SLA が重大期間に入った後の期間。 このパラメータの値は、SLA Period パラメータの値よりも小さくする必要があります。 |
| 重大期間までの SLA 時間単位 | DDL | 分
値は次のいずれかです。
|
○ | 重大期間までの SLA 時間の単位を指定します。 |
実行
このアクションはエンティティでは実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| success | True/False | success:False |
JSON の結果
N/A
ケースの説明の更新
説明
ケースの説明を更新します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 説明 | 文字列 | なし | ○ | ケースに設定する必要がある説明を指定します。 |
実行
このアクションはエンティティでは実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| StatusResult | True/False | StatusResult:False |
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | 成功した場合:(is_success=true):「ケースの説明は正常に更新されました。」 無効な認証情報、API ルート、その他など、致命的なエラーが報告された場合::「アクション「ケースの説明の更新」の実行エラー。理由: {error traceback}」 |
一般 |
スコープ コンテキスト値の取得
説明
アクションは、Chronicle SOAR データベース内の指定されたキーに格納されている値を取得します。コンテキスト値を取得するために使用できるスコープ: アラート、ケース、グローバル。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| コンテキスト スコープ | DDL | 1 つ選択 有効な値:
|
○ | コンテキストキーを返す Chronicle SOAR コンテキスト スコープを指定します。 |
| 鍵の名前 | 文字列 | なし | ○ | コンテキスト値を取得するキー名を指定します。 |
| ケースウォール テーブルの作成 | チェックボックス | オン | いいえ | 有効にすると、アクションの結果の一部としてケースウォール テーブルが作成されます。 |
実行
このアクションはエンティティでは実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
アクションでは、保存されたコンテキスト値の JSON 結果が返されます。
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 データが利用可能で、スコープがグローバルまたはコネクタがあり、かつコンテキスト キーが指定されている場合(is_success=true):「スコープ {context_scope} で指定されたコンテキスト キー {context_key} のコンテキスト値が正常に見つかりました。」 データが利用できない場合(is_success=false):「指定されたコンテキスト スコープ {context_scope} のコンテキスト値が見つかりませんでした。」 データが利用できず、コンテキストキーが指定されている場合(is_success=false):「スコープ {context_scope} で指定されたコンテキスト キー {context_key} のコンテキスト値が見つかりませんでした。」 データが利用可能(is_success = true)で、「Create Case Wall Table」パラメータが true に設定され、コンテキスト値のサイズが 5,000 文字を超えている場合:「コンテキスト値が大きすぎるため、アクションではケースウォールは返されません。」 アクションが失敗し、ハンドブックの実行を停止します。 「Context Type」パラメータがデフォルトの「Not Specified」に設定されている場合:「アクション「コンテキスト値の取得」の実行エラー。理由:「Context Type」パラメータの値が指定されていません。」 間違った認証情報、サーバーへの接続なし、その他など、致命的なエラーの場合: 「アクション「コンテキスト値の取得」の実行エラー。理由: {0}」。format(error.Stacktrace) |
一般 |
| Table | テーブル名: スコープ {scope} のコンテキスト値: テーブル列:
|
一般 |
スコープ コンテキスト値の設定
説明
アクションは、Chronicle SOAR データベースに保存されている、指定されたキーの値を設定します。コンテキスト値を取得するために使用できるスコープ: アラート、ケース、グローバル。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| コンテキスト スコープ | DDL | 1 つ選択 有効な値:
|
○ | コンテキストキーを返す Chronicle SOAR コンテキスト スコープを指定します。 |
| 鍵の名前 | 文字列 | なし | ○ | コンテキスト値を設定するキー名を指定します。 |
| Key-Value | 文字列 | なし | ○ | 指定したキーで保存する値を指定します。 |
実行
このアクションはエンティティでは実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
アクションでは、設定されたコンテキストキーの JSON 結果が返されます。
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 データが利用可能の場合(is_success=true):「スコープ {context_scope} を使用して、コンテキスト キー {context_key} のコンテキスト値を正常に設定しました。」 アクションが失敗し、ハンドブックの実行を停止します。 「Context Type」パラメータがデフォルトの「Not Specified」に設定されている場合:「アクション「コンテキスト値の設定」の実行エラー。」理由:「Context Type」パラメータの値が指定されていません。」 間違った認証情報、サーバーへの接続なし、その他など、致命的なエラーの場合: 「アクション「コンテキスト値の設定」の実行エラー。理由: {0}」。format(error.Stacktrace) |
一般 |
コネクタ コンテキスト値の取得
説明
アクションは、コネクタ コンテキスト用に Chronicle SOAR データベース内の指定されたキーに保存されている値を取得します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| コネクタ識別子 | 文字列 | なし | ○ | コンテキスト キーを一覧表示するコネクタ識別子を指定します。 パラメータは、「Connector Identifier Filter Logic」パラメータと連携して機能します。 |
| 鍵の名前 | 文字列 | なし | いいえ | 必要に応じて、コンテキスト値を取得するキー名を指定します。 |
| ケースウォール テーブルの作成 | チェックボックス | オン | いいえ | 有効にすると、アクションの結果の一部としてケースウォール テーブルが作成されます。 |
ユースケース
DB に格納されている値を取得します。
実行
このアクションはエンティティでは実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
アクションでは、保存されたコンテキスト値の JSON 結果が返されます。
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 データが利用可能で、コンテキストキーが指定されている場合(is_success=true):「コネクタ識別子 {connector identifier} の指定されたコンテキスト キー {context_key} のコンテキスト値が正常に見つかりました。」 データが利用できず、コンテキストキーが指定されている場合(is_success=false):「指定されたコンテキスト キー {context_key} とコネクタ識別子 {connector_identifier} のコンテキスト値が見つかりませんでした。」 データが利用可能(is_success=true)で、「Create Case Wall Table」パラメータが true に設定され、コンテキスト値のサイズが 5,000 文字を超えている場合:「コンテキスト値が大きすぎるため、アクションではケースウォールは返されません。」 アクションが失敗し、ハンドブックの実行を停止します。 間違った認証情報、サーバーへの接続なし、その他など、致命的なエラーが報告された場合: 「アクション「コンテキスト値の取得」の実行エラー。理由: {0}」。format(error.Stacktrace) |
一般 |
| Table | テーブル名: 使用可能なコネクタ コンテキスト値テーブル列:
|
一般 |
ジョブ
アクション モニター
説明
過去 3 時間に 3 回以上失敗したすべてのアクションを通知します。
ケースコレクタ
説明
パブリッシャーからケースとコネクタのログを収集します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| パブリッシャー ID | 文字列 | なし | ○ | なし |
| SSL を確認 | チェックボックス | オフ | ○ | なし |
コネクタ モニター
説明
(コネクタ)アラートの取り込みプロセスのエラーを通知します。
ケースファイルの履歴の削除
説明
ETL の Done フォルダと Error フォルダから X 日以上経過したケースファイルを削除します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 日 | 文字列 | 10 | ○ | なし |
ETL Monito
説明
ETL アラートの取り込みプロセスのエラーを通知します。
ジョブ モニター
説明
過去 3 時間以内に失敗したすべてのジョブを通知します。
ログコレクタ
説明
過去 3 時間以内に失敗したすべてのジョブを通知します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| パブリッシャー ID | 文字列 | なし | ○ | なし |
| SSL を確認 | チェックボックス | オフ | いいえ | なし |
マシンのリソース使用率
説明
次のルールに従って、マシンリソースの使用率が上限に近づいている場合に通知します。
- CPU - 90% 以上
- MEM - 85% 以上
- ドライブ - 80% 以上
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| CPU 制限 | 整数 | 90 | ○ | なし |
| メモリ制限 | 整数 | 85 | ○ | なし |
| ドライブの上限 | 整数 | 80 | ○ | なし |
| ディスク | 文字列 | なし | いいえ | なし |
測定モニター
説明
設定済みの管理者に、さまざまなシステム測定に関するメールレポートを送信します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 追加のメール受信者 | 文字列 | Insights@siemplify.co | いいえ | このジョブは、このパラメータと Chronicle SOAR 統合構成で定義された受信者にメールを送信します。 |
| 指標出力フォルダ | 文字列 | なし | いいえ | 出力フォルダの場所。ジョブごとに、指標を含む CSV 出力がここに保存されます。 |
| CSV ファイルの最大保持数 | 整数 | 100 | いいえ | 指標出力フォルダに保存する CSV 出力ファイルの最大数。 |