Modulo SiemplifyAction
class SiemplifyAction.SiemplifyAction
SiemplifyAction.SiemplifyAction(mock_stdin=None, get_source_file=False)
Basi: Siemplify
add_alert_entities_to_custom_list
add_alert_entities_to_custom_list(category_name)
Aggiungi le entità dell'avviso al record dell'elenco personalizzato con la categoria specificata.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| category_name | {string} | Categoria dell'elenco personalizzato | "CustomList" | N/D |
Restituisce
Elenco {[CustomList]} degli oggetti aggiunti.
Esempio
Input: esplicitamente, category_name. Implicitamente, le entità che utilizzano l'ambito.
L'esecuzione di add_alert_entities_to_custom_list genererà un elenco di
oggetti "CustomList" e una modifica alla configurazione nelle impostazioni.
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
result = siemplify.add_alert_entities_to_custom_list("WhiteListed HOSTs")
Comportamento dei risultati
Aggiunge la categoria WhiteListed HOSTs.
Valore del risultato
[<SiemplifyDataModel.CustomList object at 0x0000000003476E10>, <SiemplifyDataModel.CustomList object at 0x0000000003476B00>]
add_attachment
add_attachment(file_path, case_id=None, alert_identifier=None, description=None, is_favorite=False)
Aggiungi un allegato alla bacheca richieste.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| file_path | {string} | Percorso file | "C:\Programmi (x86)\Google\Chrome\Application\chrome_proxy.exe" | N/D |
| case_id | {string} | Identificatore della richiesta | 234 | N/D |
| alert_identifier | {string} | Identificatore avviso | 12345 | N/D |
| descrizione | {string} | La descrizione del file | N/D | N/D |
| is_favorite | boolean | N/D | Vero/Falso | N/D |
Restituisce
{long} attachment_id
Esempio
Input: in modo esplicito, percorso file, descrizione e is_favorite. Implicitamente,
case_id e alert_identifier.
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
result = siemplify.add_attachment("C:\Program Files (x86)\Google\Chrome\Application\chrome_proxy.exe", case_id="234", alert_identifier=None, description=None, is_favorite=True)
Comportamento dei risultati
Il file menzionato nel percorso verrà allegato all'case ID 234 e verrà restituito l'ID allegato.
Valore del risultato
5 [The attachment ID]
add_comment
add_comment(comment, case_id=None, alert_identifier=None)
Aggiungi un nuovo commento a una richiesta specifica.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| commento | {string} | Commento da aggiungere alla bacheca richieste | N/D | N/D |
| case_id | {string} | Identificatore della richiesta | 234 | Se non viene fornito un case_id,verrà utilizzato il caso corrente. Nessuno per impostazione predefinita (facoltativo) |
| alert_identifier | {string} | Identificatore avviso | 12345 | Se non viene fornito un alert_identifier,verrà utilizzato l'avviso corrente. Nessuno per impostazione predefinita (facoltativo) |
Restituisce
NoneType
Esempio
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
comment = "Ran some tests on the hash and it seems fine"
siemplify.add_comment(comment=comment)
Comportamento dei risultati
Il commento specificato viene aggiunto alla richiesta attuale.
Valore del risultato
Nessuno
add_entity_insight
add_entity_insight(domain_entity_info, message, triggered_by=None, original_requesting_user=None)
Aggiungi un approfondimento sull'entità alla richiesta in cui viene utilizzato.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| domain_entity_info | {DomainEntityInfo} | L'oggetto entità che rappresenta un'entità a cui aggiungere approfondimenti | N/D | N/D |
| messaggio | {string} | Messaggio dell'insight | N/D | N/D |
| triggered_by | {string} | Nome integrazione | N/D | Se non viene fornito alcun nome di integrazione, verrà utilizzata l'integrazione selezionata
per l'azione. Nessuna per impostazione predefinita (facoltativo) |
| original_requesting_user | {string} | Utente richiedente | N/D | Nessuno per impostazione predefinita (facoltativo) |
Restituisce
{boolean} True in caso di esito positivo. Altrimenti, False.
Esempio
Comportamento dei risultati
Valore del risultato
add_entity_to_case
add_entity_to_case(entity_identifier, entity_type, is_internal, is_suspicious, is_enriched, is_vulnerable, properties, case_id=None, alert_identifier=None, environment=None)
Aggiungi un'entità al caso corrente.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| entity_identifier | {string} | Identificatore entità | 192.0.2.1, example.com | N/D |
| entity_type | {string} | Tipo di entità | "ADDRESS" | N/D |
| is_internal | {boolean} | N/D | Interno/esterno | N/D |
| is_suspicious | {boolean} | N/D | Sospetto/Non sospetto | N/D |
| is_enriched | {boolean} | N/D | Vero/Falso | False per impostazione predefinita |
| is_vulnerable | {boolean} | N/D | Vero/Falso | False per impostazione predefinita |
| proprietà | {dict} | {"Property1":"PropertyValue", "Property2":"PropertyValue2"} | N/D | N/D |
Restituisce
NoneType
Se esiste già un'entità, viene visualizzato il seguente errore: /
500 Server Error: Internal Server Error for url:https://localhost:8443/api/external/v1/sdk/CreateEntity?format=snake:\"ErrorMessage\":\"Cannot add entity [Identifier:Entities Identifies -Type:siemplify.parameters[] to alert [MONITORED MAILBOX<EXAMPLE@EXAMPLE.COM>_633997CB-D23B-4A2B-92F2-AD1D350284FF] in case [12345]because the entity already exists >there.\"
Esempio
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
siemplify.add_entity_to_case(entity_identifier, entity_type, is_internal, is_suspicious, is_enriched, is_vulnerable, properties, case_id, alert_identifier, environment)
Comportamento dei risultati
Questa funzione aggiungerà una nuova entità alla richiesta se non è presente nella richiesta.
Valore del risultato
Nessuno
add_tag
add_tag(tag, case_id=None, alert_identifier=None)
Aggiungi un nuovo tag a una richiesta specifica.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| tag | {string} | Tag da aggiungere | Qualsiasi stringa da utilizzare come tag | N/D |
| case_id | {string} | Identificatore della richiesta | 12345 | Se non viene fornito un case_id,verrà utilizzato l'case ID attuale. Nessuno per impostazione predefinita (facoltativo) |
| alert_identifier | {string} | Identificatore avviso | 123 | Se non viene fornito un alert_identifier,verrà utilizzato l'ID avviso corrente. Nessuno per impostazione predefinita(facoltativo) |
Restituisce
NoneType
Esempio
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
tag_to_be_added = "MaliciousMail"
siemplify.add_tag(tag=tag_to_be_added)
Comportamento dei risultati
Il tag "MaliciousMail" viene aggiunto alla richiesta corrente.
Valore del risultato
Nessuno
any_alert_entities_in_custom_list
any_alert_entities_in_custom_list(category_name)
Controlla se una delle entità dell'avviso ha un record di elenco personalizzato con la categoria specificata.
Questa funzione recupera il nome di una categoria da CustomLists e restituisce True (booleano)
se una delle entità nell'ambito rientra in quella categoria. Un'entità viene considerata
nella categoria se il suo identificatore è elencato con questa categoria nelle impostazioni
della tabella CustomLists.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| category_name | {string} | Nome della categoria dell'elenco personalizzato | BlackListed IPs |
N/D |
Restituisce
{boolean} True se è presente un'entità nella categoria, False altrimenti.
Esempio 1
from SiemplifyAction import SiemplifyAction \
siemplify = SiemplifyAction() \
result = siemplify.any_entity_in_custom_list("BlackListed IPs")
Esempio 2
from SiemplifyAction import SiemplifyAction \
siemplify = SiemplifyAction() \
result = siemplify.any_entity_in_custom_list("Executive IPs")
Comportamento dei risultati
Il risultato del codice campione 1 è True. Il risultato del codice di esempio 2 è False.
Valore del risultato
Vero o falso
assign_case
assign_case(user, case_id=None, alert_identifier=None)
Assegna la richiesta all'utente.
Questa funzione funziona con l'ID utente o il ruolo utente.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| utente | {string} | ID utente o ruolo utente | USER_ID, Amministratore, @Tier1 | N/D |
| case_id | {string} | Identificatore della richiesta | 12345 | Se non viene fornito un case_id,verrà utilizzato l'case ID attuale. Nessuno per impostazione predefinita (facoltativo) |
| alert_identifier | {string} | Identificatore avviso | 123 | Se non viene fornito un alert_identifier,verrà utilizzato l'ID avviso corrente. Nessuno per impostazione predefinita (facoltativo) |
Restituisce
NoneType
Esempio
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
assigned_user= "Admin"
siemplify.assign_case(assigned_user)
Comportamento dei risultati
La richiesta viene assegnata all'utente amministratore.
Valore del risultato
Nessuno
attach_workflow_to_case
attach_workflow_to_case(workflow_name, cyber_case_id=None, indicator_identifier=None)
Allega un playbook all'avviso corrente.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| workflow_name | {string} | Nome del workflow (playbook) | N/D | N/D |
| cyber_case_id | {string} | Identificatore della richiesta | 234 | Se non viene fornito alcun caso, viene utilizzato quello corrente. Nessuno per impostazione predefinita (facoltativo) |
| indicator_identifier | {string} | Identificatore avviso | 12345 | Se non viene fornito alcun identificatore di avviso, viene utilizzato l'avviso corrente. Nessuno per impostazione predefinita (facoltativo) |
Restituisce
NoneType
Esempio
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
siemplify.attach_workflow_to_case(workflow_name, cyber_case_id, indicator_identifier)
Comportamento dei risultati
Collega il flusso di lavoro specificato alla richiesta per l'identificatore dell'indicatore specificato.
Valore del risultato
Nessuno
property case
change_case_priority
change_case_priority(priority, case_id=None, alert_identifier=None)
Modifica la priorità della richiesta.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| priorità | {int} | La priorità rappresentata da ciascun numero è, rispettivamente: Bassa, Media, Alta e Critica |
{"Low": 40, "Medium": 60, "High": 80, "Critical": 100} | N/D |
| case_id | {string} | Identificatore della richiesta | 12345 | Se non viene fornito alcun caso, viene utilizzato quello corrente |
| alert_identifier | {string} | Identificatore avviso | 123 | Se non viene fornito alcun identificatore di avviso, viene utilizzato l'avviso corrente |
Restituisce
NoneType
Esempio
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
priority_to_change_to = 60
siemplify.change_case_priority(priority=priority_to_change_to )
Comportamento dei risultati
La priorità della richiesta viene modificata in "Media".
Valore del risultato
Nessuno
change_case_stage
change_case_stage(stage, case_id=None, alert_identifier=None)
Cambia fase della richiesta
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| fase | {string} | La fase deve corrispondere esattamente alla stringa definita nella tabella Fasi della richiesta | Incidente, Indagine |
N/D |
| case_id | {string} | Identificatore della richiesta | 12345 | Se non viene fornito alcun caso, viene utilizzato quello corrente |
| alert_identifier | {string} | Identificatore avviso | 123 | Se non viene fornito alcun identificatore di avviso, viene utilizzato l'avviso corrente |
Restituisce
Esempio
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
stage_to_change_to = "Investigation"
siemplify.change_case_stage(stage=stage_to_change_to)
Comportamento dei risultati
Lo stato della richiesta viene modificato in "investigation" (indagine).
Valore del risultato
Nessuno
close_alert
close_alert(root_cause, comment, reason, case_id=None, alert_id=None)
Chiudi l'avviso corrente.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| root_cause | {string} | Causa principale per la chiusura della richiesta | Una stringa estratta dalla tabella "Causa principale per la chiusura della richiesta" nelle impostazioni |
N/D |
| commento | {string} | Commento | Qui è possibile utilizzare qualsiasi stringa | Il commento deve descrivere il caso, ma non è soggetto a limitazioni |
| motivo | {ApiSyncAlertCloseReasonEnum} | Una delle tre stringhe predefinite disponibili nella finestra di dialogo quando l'operazione viene eseguita manualmente: "NotMalicious", "Malicious" e "Maintenance" |
Vedi SiemplifyDataModel.ApiSyncAlertCloseReasonEnum |
Restituisce
{dict} risultato dell'operazione del server
Esempio
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
reason = "Maintenance"
root_cause = "Employee Error"
comment = "User accidentally activated a correlation before it was ready to be used and triggered this alert"
siemplify.close_alert(reason=reason, root_cause=root_cause, comment=comment)
Comportamento dei risultati
L'avviso corrente viene spostato in una nuova richiesta e successivamente chiuso con l'avviso.
Valore del risultato
Nessuno
close_case
close_case(root_cause, comment, reason, case_id=None, alert_identifier=None)
Chiudi la richiesta.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| root_cause | {string} | Causa principale per la chiusura della richiesta | N/D | N/D |
| commento | {string} | Commento | Qui è possibile utilizzare qualsiasi stringa | Il commento deve descrivere il caso, ma non è soggetto a limitazioni |
| motivo | {ApiSyncAlertCloseReasonEnum} | Motivo di chiusura della richiesta | Una delle tre stringhe predefinite disponibili nella finestra di dialogo quando l'operazione viene eseguita manualmente: "NotMalicious", "Malicious" e "Maintenance" | |
| case_id | {string} | Identificatore della richiesta | 12345 | Se non viene fornito alcun caso, viene utilizzato quello corrente |
| alert_identifier | {string} | Identificatore avviso | 123 | Se non viene fornito alcun identificatore di avviso, viene utilizzato l'avviso corrente |
Restituisce
NoneType
Esempio
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
reason = "Maintenance"
root_cause = "Employee Error"
comment = "User accidentally activated a correlation before it was ready to be used and triggered this alert"
siemplify.close_case(reason=reason, root_cause=root_cause, comment=comment)
Comportamento dei risultati
La richiesta viene chiusa con il motivo, la causa principale e il commento specificati.
Valore del risultato
Nessuno
create_case_insight
create_case_insight(triggered_by, title, content, entity_identifier, severity, insight_type, additional_data=None, additional_data_type=None, additional_data_title=None)
Aggiungi insight alla richiesta.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| triggered_by | {string} | Nome integrazione | VirusTotal, XForce | N/D |
| titolo | {string} | Titolo dell'approfondimento | Arricchito da VirusTotal | N/D |
| contenuti | {string} | Messaggio dell'insight | Messaggio di approfondimento | N/D |
| entity_identifier | {string} | Identificatore entità | example.com | N/D |
| gravità | {int} | Livello di gravità | 0 = info, 1 = warning, 2 = error |
|
| insight_type | {int} | Tipo di insight | 0 = generale, 1 = entità |
N/D |
| additional_data | {string} | Dati aggiuntivi per l'approfondimento | {"checked against": "VT", "malicious": "No"} | N/D |
| additional_data_type | {int} | Tipo di dati aggiuntivi | 'General'=0, 'Entity'=1 |
N/D |
| additional_data_title | {string} | Titolo dei dati aggiuntivi per l'insight | Controllo VT | N/D |
Restituisce
{boolean} True in caso di esito positivo. Altrimenti, False.
Esempio
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
siemplify.create_case_insight(triggered_by, title, content, entity_identifier, severity, insight_type, additional_data, additional_data_type, additional_data_title)
Comportamento dei risultati
Crea l'insight per una richiesta con dati definiti.
True se viene creato l'approfondimento della richiesta. Altrimenti, False.
Valore del risultato
Vero o falso
property current_alert
dismiss_alert
dismiss_alert(alert_group_identifier, should_close_case_if_all_alerts_were_dismissed, case_id=None)
Ambiente proprietà
escalate_case
escalate_case(comment, case_id=None, alert_identifier=None)
Riassegna la richiesta.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| commento | {string} | Riassegna commento | N/D | N/D |
| case_id | {string} | Identificatore della richiesta | 12345 | N/D |
| alert_identifier | {string} | Identificatore avviso | 123 | N/D |
extract_action_param
extract_action_param(param_name, default_value=None, input_type=<class 'str'>, is_mandatory=False, print_value=False)
Recupera un parametro dello script di azione.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| param_name | {string} | Nome del parametro | Uno qualsiasi dei nomi dei parametri disponibili per l'azione | N/D |
| default_value | {any} | Il valore predefinito del parametro | Il valore specificato verrà restituito se il parametro non è stato impostato (se is_mandatory è impostato su False) |
Se il parametro non viene trasmesso, utilizza questo valore per impostazione predefinita. Nessuno per impostazione predefinita (facoltativo) |
| input_type | {obj} | Trasmetti il parametro a un tipo diverso | int | str per impostazione predefinita (facoltativo) |
| is_mandatory | {boolean} | Genera un'eccezione se il parametro è vuoto | Vero/Falso | False per impostazione predefinita |
| print_value | {boolean} | Stampa il valore nel log | Vero/Falso | False per impostazione predefinita |
Restituisce
Il valore parametro, {string} per impostazione predefinita, a meno che non sia specificato input_type.
Esempio
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
param_value= siemplify.extract_action_param(
"Threshold",
default_value=-1,
input_type=int,
is_mandatory=False,
print_value=False)
Comportamento dei risultati
Il valore del parametro selezionato verrà restituito, convertito nel tipo selezionato.
Valore del risultato
20
fetch_and_save_timestamp
fetch_and_save_timestamp(datetime_format=False, timezone=False, new_timestamp=1683033493671)
Recupera il timestamp e salvalo nel contesto della richiesta.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| datetime_format | {boolean} | Formato per data/ora | True per ottenere il formato data/ora, False per Unix | False per impostazione predefinita (facoltativo) |
| fuso orario | Parametro non più supportato | |||
| new_timestamp | {int} | Il timestamp da salvare | N/D | Ora Unix epoch per impostazione predefinita (facoltativo) |
Restituisce
{int} dataora.
Esempio
from SiemplifyAction import SiemplifyAction
sa = SiemplifyAction()
sa.fetch_and_save_timestamp(self, datetime_format=False, new_timestamp=SiemplifyUtils.Unix_now())
Comportamento dei risultati
Viene recuperato il timestamp più recente e salvato come file TIMESTAMP nella directory corrente.
Valore del risultato
datetime.datetime(2019, 7, 16, 14, 26, 2, 26000)/1563276380
fetch_timestamp
fetch_timestamp(datetime_format=False, timezone=False)
Recupera il timestamp salvato con save_timestamp.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| datetime_format | {boolean} | Se True, restituisce il timestamp come data e ora. Altrimenti, restituisci in formato Unix | Vero/Falso | False per impostazione predefinita (facoltativo) |
| fuso orario | Parametro non più supportato | |||
Restituisce
Ora e data/ora dell'epoca di Unix salvate.
Esempio
from SiemplifyAction import SiemplifyAction
sa = SiemplifyAction()
result = sa.fetch_timestamp(datetime_format=True)
Comportamento dei risultati
Viene recuperato il timestamp più recente e salvato come file TIMESTAMP nella directory corrente.
Valore del risultato
datetime.datetime(2019, 7, 16, 14, 26, 2, 26000)/1563276380
get_alert_context_property
get_alert_context_property(property_key)
Ottieni la proprietà di contesto dall'avviso corrente.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| property_key | {string} | La chiave della proprietà richiesta | N/D | N/D |
Restituisce
{string} Il valore della proprietà
get_alerts_ticket_ids_from_cases_closed_since_timestamp
get_alerts_ticket_ids_from_cases_closed_since_timestamp(timestamp_unix_ms, rule_generator)
Ricevi avvisi relativi alle richieste chiuse dopo il timestamp.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| timestamp_unix_ms | {long} | Timestamp | 1550409785000L | N/D |
| rule_generator | {string} | N/D | Rilevatore di email di phishing | N/D |
Restituisce
Elenco di ID avviso {[string]}
get_attachments
get_attachments(case_id=None)
Recuperare gli allegati da una richiesta.
Questa funzione recupera un elenco di elementi di elenchi personalizzati dall'elenco di categorie ed entità
e restituisce un elenco di oggetti di elementi di elenchi personalizzati.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| case_id | {string} | Identificatore della richiesta | 234 | Se non viene fornito alcun caso, verrà utilizzato quello attuale (facoltativo) |
Restituisce
{dict} allegati
Esempio
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
result = siemplify.get_attachments(case_id="234")
Comportamento dei risultati
Verrà restituito un elenco di dizionari di allegati per l'case ID 234.
Valore del risultato
[{u'is_favorite': False, u'description': u'test', u'type': u'.exe', u'id': 4, u'name': u'chrome_proxy'}]
get_case_comments
get_case_comments(case_id=None)
Visualizzare i commenti delle richieste.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| case_id | {string} | Identificatore della richiesta | 234 | Se non viene fornita alcuna lettera, verrà utilizzata quella corrente |
Restituisce
{[dict]} dei commenti della richiesta
Esempio
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
siemplify.get_case_comments(case_id)
Comportamento dei risultati
Verranno recuperati tutti i commenti relativi alla richiesta.
Valore del risultato
[{'comment': u'this is a comment',
u'is_deleted': False,
u'last_editor_full_name': u'example user',
u'modification_time_unix_time_in_ms_for_client': 0,
u'creation_time_unix_time_in_ms': 1681904404087, u'id': 12,
u'modification_time_unix_time_in_ms': 1681904404087,
u'case_id': 234,
u'is_favorite': False,
u'alert_identifier': None,
u'creator_user_id': u'cd1c112a-0277-44a9-b68d-98ceef9b0399',
u'last_editor': u'cd1c112a-0277-44a9-b68d-98ceef9b0399',
u'type': 5,
u'comment_for_client': None,
u'creator_full_name': u'example user'}]
get_case_context_property
get_case_context_property(property_key)
Ottieni una proprietà di contesto della richiesta.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| property_key | {string} | La proprietà principale richiesta | N/D | N/D |
Restituisce
{string} il valore della proprietà
get_configuration
get_configuration(provider, environment=None, integration_instance=None)
Recupera la configurazione dell'integrazione.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| provider | {string} | Nome integrazione | VirusTotal | |
| produzione | {string} | Configurazione per un ambiente specifico o "all" | Facoltativo. Se fornite, le credenziali verranno recuperate dalla configurazione dell'ambiente corrispondente. Se non viene specificato alcun ambiente, viene utilizzato l'ambiente del caso per impostazione predefinita. Se non è presente alcuna configurazione per l'ambiente specifico, verrà restituita la configurazione predefinita. |
|
| integration_instance | {string} | L'identificatore dell'istanza di integrazione | N/D | N/D |
Restituisce
Dettagli di configurazione di {dict}
get_similar_cases
get_similar_cases(consider_ports, consider_category_outcome, consider_rule_generator, consider_entity_identifiers, days_to_look_back, case_id=None, end_time_unix_ms=None)
Ricevi casi simili.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| consider_ports | {boolean} | Il parametro configura se utilizzare o meno un filtro delle porte | Vero/Falso | N/D |
| consider_category_outcome | {boolean} | Il parametro configura se considerare il risultato della categoria degli eventi | Vero/Falso | N/D |
| consider_rule_generator | {boolean} | Il parametro configura se considerare il generatore di regole per gli avvisi | Vero/Falso | N/D |
| consider_entity_identifiers | {boolean} | Il parametro configura se considerare gli identificatori delle entità per gli avvisi | Vero/Falso | N/D |
| days_to_look_back | {int} | Il parametro configura il numero di giorni precedenti per la ricerca di casi simili | 365 | N/D |
Restituisce
{[int]} elenco di ID richiesta
Esempio
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
result = siemplify.get_similar_cases(consider_ports=True,
consider_category_outcome=False,
consider_rule_generator=False,
consider_entity_identifiers=False,
days_to_look_back=30, case_id="234", end_time_unix_ms=None)
Comportamento dei risultati
Verrà restituito un elenco di ID richiesta simili alla richiesta 234.
Valore del risultato
[4, 231]
get_ticket_ids_for_alerts_dismissed_since_timestamp
get_ticket_ids_for_alerts_dismissed_since_timestamp(timestamp_unix_ms)
property is_timeout_reached
load_case_data
load_case_data()
Questa funzione carica i dati del caso.
Parametri
Non sono richiesti parametri.
Restituisce
NoneType
Esempio
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
result = siemplify.load_case_data()
Comportamento dei risultati
I dati della richiesta vengono caricati.
Valore del risultato
Nessuno
property log_location
mark_case_as_important
mark_case_as_important(case_id=None, alert_identifier=None)
Contrassegna la richiesta come importante.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| case_id | {string} | Identificatore della richiesta | 234 | N/D |
| alert_identifier | {string} | Identificatore avviso | 12345 | N/D |
Restituisce
NoneType
Esempio
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
siemplify.mark_case_as_important()
Comportamento dei risultati
La richiesta attuale è contrassegnata come importante.
Valore del risultato
Nessuno
raise_incident
raise_incident(case_id=None, alert_identifier=None)
Segnala incidente.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| case_id | {string} | Identificatore della richiesta | 234 | N/D |
| alert_identifier | {string} | Identificatore avviso | 12345 | N/D |
Restituisce
NoneType
Esempio
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
siemplify.raise_incident(case_id, alert_identifier)
Comportamento dei risultati
La richiesta è stata portata allo stato di incidente.
Valore del risultato
Nessuno
remove_alert_entities_from_custom_list
remove_alert_entities_from_custom_list(category_name)
Rimuovi le entità dell'avviso dal record dell'elenco personalizzato con la categoria specificata.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| category_name | {string} | La categoria dell'elenco personalizzato | `WhiteListed HOSTs` | N/D |
Restituisce
Elenco {[CustomList]} degli oggetti CustomList rimossi.
Esempio
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
result = siemplify.remove_alert_entities_from_custom_list("WhiteListed HOSTs")
Comportamento dei risultati
WhiteListed HOSTS è stato rimosso.
Valore del risultato
[<SiemplifyDataModel.CustomList object at 0x0000000003476E10>,
<SiemplifyDataModel.CustomList object at 0x0000000003476B00>]
save_timestamp
save_timestamp(datetime_format=False, timezone=False, new_timestamp=1683033493671)
Salva il timestamp nel contesto dello script corrente.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| datetime_format | {boolean} | N/D | True per il formato datetime, False per Unix | Il valore predefinito è False (facoltativo) |
| fuso orario | Parametro non più supportato | |||
| new_timestamp | {long} | Timestamp da salvare nel contesto | N/D | Il timestamp verrà impostato per impostazione predefinita sul timestamp Unix della chiamata al metodo |
Restituisce
NoneType
Esempio
from SiemplifyAction import SiemplifyAction
sa = SiemplifyAction()
sa.save_timestamp(self, datetime_format=False, new_timestamp=SiemplifyUtils.unix_now())
Comportamento dei risultati
Il nuovo timestamp verrà salvato come file TIMESTAMP nella directory corrente.
Valore del risultato
Nessuno
set_alert_context_property
set_alert_context_property(property_key, property_value)
Imposta una proprietà del contesto di avviso in base alle coppie chiave-valore.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| property_key | {string} | Chiave della proprietà da archiviare nel contesto | N/D | N/D |
| property_value | {string} | Valore della proprietà da memorizzare nel contesto | N/D | N/D |
set_alert_sla
set_alert_sla(period_time, period_type, critical_period_time, critical_period_type, case_id=None, alert_id=None)
Imposta l'SLA del alert_identifier specificato di case_id. Lo SLA impostato utilizzando
questa API deve superare tutti gli altri tipi di SLA di avviso.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| period_time | {int/str} | Il periodo SLA totale | N/D | period_time > 0 |
| period_type | {string} | Unità di tempo di period_time, rappresentate da ApiPeriodTypeEnum | N/D | N/D |
| critical_period_time | {int/str} | Il periodo SLA critico | N/D | critical_period_time >= 0 Critical period (after scaling with its time units) should be smaller than the total period. |
| critical_period_type | {string} | le unità di tempo di critical_period_time, rappresentate da ApiPeriodTypeEnum |
||
| case_id | {long} | Identificatore della richiesta | 234 | N/D |
| alert_id | {string} | Identificatore avviso | 12345 | N/D |
set_case_context_property
set_case_context_property(property_key, property_value)
Imposta una proprietà del contesto della richiesta utilizzando la coppia chiave-valore.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| property_key | {string} | Chiave della proprietà | N/D | N/D |
| property_value | {string} | Valore della proprietà | N/D | N/D |
set_case_sla
set_case_sla(period_time, period_type, critical_period_time, critical_period_type, case_id=None)
Imposta l'SLA del case_id specificato, se presente, altrimenti imposta l'SLA della
richiesta corrente. Il contratto di servizio impostato utilizzando questa API deve superare tutti gli altri tipi di contratto di servizio per le richieste.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| period_time | {int/str} | Il periodo SLA totale | N/D | period_time > 0 |
| period_type | {string} | Unità di tempo di period_time, rappresentate da ApiPeriodTypeEnum | N/D | N/D |
| critical_period_time | {int/str} | Il periodo SLA critico | N/D | critical_period_time >0 Critical period (after scaling with its time units) should be smaller than the total period. |
| critical_period_type | {string} | le unità di tempo di critical_period_time, rappresentate da ApiPeriodTypeEnum |
N/D | N/D |
| case_id | {long} | Identificatore della richiesta | N/D | N/D |
signal_handler
signal_handler(sig, frame)
property target_entities
L'oggetto target_entities è un elenco di oggetti entità su cui può essere eseguita l'azione configurata. Ogni oggetto entità espone le seguenti proprietà e metodi:
Proprietà dell'entità
Di seguito sono riportati gli attributi di un oggetto entità che contengono direttamente i dati:
| Proprietà | Tipo di dati | Descrizione |
|---|---|---|
identifier |
string |
L'identificatore univoco (UUID) dell'entità. |
creation_time |
int |
Il timestamp Unix della creazione dell'entità. |
modification_time |
int |
Il timestamp Unix dell'ultima modifica dell'entità. |
additional_properties |
dict |
Un dizionario contenente dettagli aggiuntivi sull'entità. |
case_identifier |
string |
L'ID della richiesta principale a cui appartiene l'entità. |
alert_identifier |
string |
L'ID dell'avviso associato all'entità. |
entity_type |
string |
Il tipo di entità (ad esempio "HOSTNAME", "USERUNQNAME"). |
is_internal |
bool |
Indica se l'entità è una risorsa interna. |
is_suspicious |
bool |
Indica se l'entità è contrassegnata come sospetta. |
is_artifact |
bool |
Indica se l'entità è un artefatto. |
is_enriched |
bool |
Indica se l'entità è stata arricchita. |
is_vulnerable |
bool |
Indica se l'entità è contrassegnata come vulnerabile. |
is_pivot |
bool |
Indica se l'entità è un'entità pivot. |
Metodi di entità
Di seguito sono riportate le funzioni eseguibili disponibili in un oggetto entità:
| Metodo | Descrizione |
|---|---|
to_dict() |
Converte l'oggetto entità in un dizionario Python standard. |
try_set_alert_context_property
try_set_alert_context_property(property_key, property_value)
try_set_case_context_property
try_set_case_context_property(property_key, property_value)
update_alerts_additional_data
update_alerts_additional_data(alerts_additional_data, case_id=None)
Aggiorna i dati aggiuntivi degli avvisi.
Parametri
| Nome del parametro | Tipo di parametro | Definizione | Valori possibili | Commenti |
|---|---|---|---|---|
| case_id | {string} | Identificatore della richiesta | 234 | N/D |
| alerts_additional_data | {string:string} | N/D | N/D | N/D |
Restituisce
NoneType
Esempio
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
additional_data = {"testKey":"testValue"}
siemplify.update_alerts_additional_data(alerts_additional_data=additional_data, case_id=caseid)
Comportamento dei risultati
Aggiorna l'avviso con dati aggiuntivi, ad esempio testKey:testValue.
Valore del risultato
Nessuno