SiemplifyAction 模块

SiemplifyAction.SiemplifyAction

SiemplifyAction.SiemplifyAction(mock_stdin=None, get_source_file=False)

基类:Siemplify

add_alert_entities_to_custom_list

add_alert_entities_to_custom_list(category_name)

将相应提醒的实体添加到具有指定类别的自定义列表记录中。

参数

参数名称 参数类型 定义 可能的值 评论
category_name {string} 自定义列表类别 “CustomList” 不适用

返回值

添加的对象的 {[CustomList]} 列表。

示例

输入:显式输入 category_name。隐式使用范围的实体。
运行 add_alert_entities_to_custom_list 将生成“CustomList”对象列表,并导致设置发生配置更改。

from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
result = siemplify.add_alert_entities_to_custom_list("WhiteListed HOSTs")

结果行为

添加了 WhiteListed HOSTs 类别。

结果值

[<SiemplifyDataModel.CustomList object at 0x0000000003476E10>, <SiemplifyDataModel.CustomList object at 0x0000000003476B00>]

add_attachment

add_attachment(file_path, case_id=None, alert_identifier=None, description=None, is_favorite=False)

向案例墙添加附件。

参数

参数名称 参数类型 定义 可能的值 评论
file_path {string} 文件路径 “C:\Program Files (x86)\Google\Chrome\Application\chrome_proxy.exe” 不适用
case_id {string} 支持请求标识符 234 不适用
alert_identifier {string} 提醒标识符 12345 不适用
说明 {string} 文件的说明 不适用 不适用
is_favorite 布尔值 不适用 True/False 不适用

返回值

{long} attachment_id

示例

输入:明确指定的文件路径、说明和 is_favorite。隐式,case_idalert_identifier

from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
result = siemplify.add_attachment("C:\Program Files (x86)\Google\Chrome\Application\chrome_proxy.exe", case_id="234", alert_identifier=None, description=None, is_favorite=True)

结果行为

路径中提及的文件将附加到支持请求 ID 为 234 的支持请求,并返回附件 ID。

结果值

5 [附件 ID]

add_comment

add_comment(comment, case_id=None, alert_identifier=None)

向特定支持请求添加新评论。

参数

参数名称 参数类型 定义 可能的值 评论
评论 {string} 要添加到案例墙的评论 不适用 不适用
case_id {string} 支持请求标识符 234 如果未提供 case_id,系统将使用当前转化情形。

默认值为 None(可选)
alert_identifier {string} 提醒标识符 12345 如果未提供 alert_identifier,则使用当前提醒。

默认值为 None(可选)

返回值

NoneType

示例

from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
comment = "Ran some tests on the hash and it seems fine"
siemplify.add_comment(comment=comment)

结果行为

指定评论已添加到当前支持请求中。

结果值

add_entity_insight

add_entity_insight(domain_entity_info, message, triggered_by=None, original_requesting_user=None)

向使用实体洞见的用例添加实体洞见。

参数

参数名称 参数类型 定义 可能的值 评论
domain_entity_info {DomainEntityInfo} 表示要添加数据洞见的实体的实体对象 不适用 不适用
消息 {string} 数据分析消息 不适用 不适用
triggered_by {string} 集成名称 不适用 如果未提供集成名称,则将使用为相应操作选择的集成。
默认值为 None(可选)
original_requesting_user {string} 提出请求的用户 不适用 默认无(可选)

返回值

{boolean} 如果成功,则为 True。否则,False

示例

结果行为

结果值

add_entity_to_case

add_entity_to_case(entity_identifier, entity_type, is_internal, is_suspicious, is_enriched, is_vulnerable, properties, case_id=None, alert_identifier=None, environment=None)

向当前问题添加实体。

参数

参数名称 参数类型 定义 可能的值 评论
entity_identifier {string} 实体标识符 192.0.2.1、example.com 不适用
entity_type {string} 实体类型 “ADDRESS” 不适用
is_internal {boolean} 不适用 内部/外部 不适用
is_suspicious {boolean} 不适用 可疑/不可疑 不适用
is_enriched {boolean} 不适用 True/False 默认值为 False
is_vulnerable {boolean} 不适用 True/False 默认值为 False
属性 {dict} {"Property1":"PropertyValue", "Property2":"PropertyValue2"} 不适用 不适用

返回值

NoneType

如果存在现有实体,则会显示以下错误:/

500 Server Error: Internal Server Error for url: https://localhost:8443/api/external/v1/sdk/CreateEntity?format=snake: \"ErrorMessage\":\"Cannot add entity [Identifier:Entities Identifies - Type:siemplify.parameters[] to alert [MONITORED MAILBOX <EXAMPLE@EXAMPLE.COM>_633997CB-D23B-4A2B-92F2-AD1D350284FF] in case [12345] because the entity already exists >there.\"

示例

from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
siemplify.add_entity_to_case(entity_identifier, entity_type, is_internal, is_suspicious, is_enriched, is_vulnerable, properties, case_id, alert_identifier, environment)

结果行为

如果实体不在相应情形中,此函数会将新实体添加到情形中。

结果值

add_tag

add_tag(tag, case_id=None, alert_identifier=None)

向特定支持请求添加新标签。

参数

参数名称 参数类型 定义 可能的值 评论
标记 {string} 要添加的标记 要用作标记的任何字符串 不适用
case_id {string} 支持请求标识符 12345 如果未提供 case_id,则使用当前支持请求 ID。

默认值为 None(可选)
alert_identifier {string} 提醒标识符 123 如果未提供 alert_identifier,则使用当前提醒 ID

默认值为 None(可选)

返回值

NoneType

示例

from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
tag_to_be_added = "MaliciousMail"
siemplify.add_tag(tag=tag_to_be_added)

结果行为

系统会将“MaliciousMail”标记添加到当前支持请求。

结果值

any_alert_entities_in_custom_list

any_alert_entities_in_custom_list(category_name)

检查相应提醒的任何实体是否具有指定类别的自定义列表记录。
此函数从 CustomLists 获取类别名称,并返回 True(布尔值),以指示范围内的任何实体是否属于该类别。如果实体的标识符在 CustomLists 表的设置中与相应类别一起列出,则该实体会被视为属于相应类别。

参数

参数名称 参数类型 定义 可能的值 评论
category_name {string} 自定义列表类别名称 BlackListed IPs 不适用

返回值

{boolean} 如果类别中存在实体,则为 True;否则为 False

示例 1

from SiemplifyAction import SiemplifyAction \
siemplify = SiemplifyAction() \
result = siemplify.any_entity_in_custom_list("BlackListed IPs")

示例 2

from SiemplifyAction import SiemplifyAction \
siemplify = SiemplifyAction() \
result = siemplify.any_entity_in_custom_list("Executive IPs")

结果行为

示例代码 1 的结果为 True。示例代码 2 的结果为 False

结果值

True 或 False

assign_case

assign_case(user, case_id=None, alert_identifier=None)

将支持请求分配给用户。

此函数适用于用户 ID 或用户角色。

参数

参数名称 参数类型 定义 可能的值 评论
用户 {string} 用户 ID 或用户角色 USER_ID,管理员,@Tier1 不适用
case_id {string} 支持请求标识符 12345 如果未提供 case_id,则使用当前支持请求 ID。

默认值为 None(可选)
alert_identifier {string} 提醒标识符 123 如果未提供 alert_identifier,则使用当前提醒 ID

默认值为 None(可选)

返回值

NoneType

示例

from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
assigned_user= "Admin"
siemplify.assign_case(assigned_user)

结果行为

支持请求会分配给管理员用户。

结果值

attach_workflow_to_case

attach_workflow_to_case(workflow_name, cyber_case_id=None, indicator_identifier=None)

将 playbook 附加到当前提醒。

参数

参数名称 参数类型 定义 可能的值 评论
workflow_name {string} 工作流(playbook)名称 不适用 不适用
cyber_case_id {string} 支持请求标识符 234 如果未提供任何情况,则使用当前情况。
默认值为 None(可选)
indicator_identifier {string} 提醒标识符 12345 如果未提供提醒标识符,则使用当前提醒。

默认值为 None(可选)

返回值

NoneType

示例

from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
siemplify.attach_workflow_to_case(workflow_name, cyber_case_id, indicator_identifier)

结果行为

将指定工作流附加到指定指示器标识符的相应支持请求。

结果值

媒体资源案例

change_case_priority

change_case_priority(priority, case_id=None, alert_identifier=None)

更改支持请求的优先级。

参数

参数名称 参数类型 定义 可能的值 评论
优先级 {int} 每个数字分别代表的优先级为:
低、中、高和严重
{"Low": 40, "Medium": 60, "High": 80, "Critical": 100} 不适用
case_id {string} 支持请求标识符 12345 如果未提供具体情况,则使用当前情况
alert_identifier {string} 提醒标识符 123 如果未提供提醒标识符,则使用当前提醒

返回值

NoneType

示例

from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
priority_to_change_to = 60
siemplify.change_case_priority(priority=priority_to_change_to )

结果行为

支持请求的优先级会更改为“中”。

结果值

change_case_stage

change_case_stage(stage, case_id=None, alert_identifier=None)

更改支持请求阶段

参数

参数名称 参数类型 定义 可能的值 评论
流程中的 {string} 阶段应与支持请求阶段表中定义的字符串完全一致 突发事件、
调查
不适用
case_id {string} 支持请求标识符 12345 如果未提供具体情况,则使用当前情况
alert_identifier {string} 提醒标识符 123 如果未提供提醒标识符,则使用当前提醒

返回值

示例

from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
stage_to_change_to = "Investigation"
siemplify.change_case_stage(stage=stage_to_change_to)

结果行为

支持请求状态更改为“调查中”。

结果值

close_alert

close_alert(root_cause, comment, reason, case_id=None, alert_id=None)

关闭当前提醒。

参数

参数名称 参数类型 定义 可能的值 评论
root_cause {string} 关闭案例的根本原因 从设置中的“关闭案例的根本原因”
表格中提取的字符串
不适用
评论 {string} 评论 此处可以使用任何字符串 注释应描述相应情况,
但不受限制
reason {ApiSyncAlertCloseReasonEnum} 手动操作时,对话框
中提供的三个预定义字符串之一:“NotMalicious”“Malicious”和“Maintenance”
请参阅 SiemplifyDataModel.ApiSyncAlertCloseReasonEnum

返回值

{dict} 服务器操作的结果

示例

from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
reason = "Maintenance"
root_cause = "Employee Error"
comment = "User accidentally activated a correlation before it was ready to be used and triggered this alert"
siemplify.close_alert(reason=reason, root_cause=root_cause, comment=comment)

结果行为

当前提醒会移至新案例,然后随提醒一起关闭。

结果值

close_case

close_case(root_cause, comment, reason, case_id=None, alert_identifier=None)

关闭支持请求。

参数

参数名称 参数类型 定义 可能的值 评论
root_cause {string} 关闭案例的根本原因 不适用 不适用
评论 {string} 评论 此处可以使用任何字符串 注释应描述支持请求,但不受限制
reason {ApiSyncAlertCloseReasonEnum} 关闭支持请求的原因 手动完成时,对话框中提供的三个预定义字符串之一:“NotMalicious”“Malicious”和“Maintenance”
case_id {string} 支持请求标识符 12345 如果未提供具体情况,则使用当前情况
alert_identifier {string} 提醒标识符 123 如果未提供提醒标识符,则使用当前提醒

返回值

NoneType

示例

from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
reason = "Maintenance"
root_cause = "Employee Error"
comment = "User accidentally activated a correlation before it was ready to be used and triggered this alert"
siemplify.close_case(reason=reason, root_cause=root_cause, comment=comment)

结果行为

系统会关闭支持请求,并显示指定的原因、根本原因和评论。

结果值

create_case_insight

create_case_insight(triggered_by, title, content, entity_identifier, severity, insight_type, additional_data=None, additional_data_type=None, additional_data_title=None)

向支持请求添加分析洞见。

参数

参数名称 参数类型 定义 可能的值 评论
triggered_by {string} 集成名称 VirusTotal、XForce 不适用
title {string} 数据分析标题 由 VirusTotal 丰富化 不适用
内容 {string} 数据分析消息 数据分析消息 不适用
entity_identifier {string} 实体标识符 example.com 不适用
和程度上减少 {int} 严重级别 0 = 信息,
1 = 警告,
2 = 错误
insight_type {int} 数据分析类型 0 = 常规,
1 = 实体
不适用
additional_data {string} 数据分析的其他数据 {"checked against": "VT", "malicious": "No"} 不适用
additional_data_type {int} 其他数据的类型 “常规”=0,
“实体”=1
不适用
additional_data_title {string} 数据分析的其他数据标题 VT 检查 不适用

返回值

{boolean} 如果成功,则为 True。否则,False

示例

from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
siemplify.create_case_insight(triggered_by, title, content, entity_identifier, severity, insight_type, additional_data, additional_data_type, additional_data_title)

结果行为

使用定义的数据为支持请求创建数据洞见。如果创建了支持请求数据分析,则为
True。否则,False

结果值

True 或 False

属性 current_alert

dismiss_alert

dismiss_alert(alert_group_identifier, should_close_case_if_all_alerts_were_dismissed, case_id=None)

媒体资源环境

escalate_case

escalate_case(comment, case_id=None, alert_identifier=None)

上报支持请求。

参数

参数名称 参数类型 定义 可能的值 评论
评论 {string} 上报评论 不适用 不适用
case_id {string} 支持请求标识符 12345 不适用
alert_identifier {string} 提醒标识符 123 不适用

extract_action_param

extract_action_param(param_name, default_value=None, input_type=<class 'str'>, is_mandatory=False, print_value=False)

获取操作脚本参数。

参数

参数名称 参数类型 定义 可能的值 评论
param_name {string} 参数的名称 适用于相应操作的任何参数名称 不适用
default_value {any} 参数的默认值 如果未设置参数
(如果 is_mandatory 设置为 False),则返回指定的值
如果未传递参数,则默认使用此值。
默认值为 None(可选)
input_type {obj} 将参数转换为其他类型 整数 默认情况下为 str(可选)
is_mandatory {boolean} 如果参数为空,则会引发异常 True/False 默认值为 False
print_value {boolean} 将值输出到日志 True/False 默认值为 False

返回值

形参值,默认情况下为 {string},除非指定了 input_type

示例

from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
param_value= siemplify.extract_action_param(
 "Threshold",
 default_value=-1,
 input_type=int,
 is_mandatory=False,
 print_value=False)

结果行为

系统将返回所选参数的值,并将其转换为所选类型。

结果值

20

fetch_and_save_timestamp

fetch_and_save_timestamp(datetime_format=False, timezone=False, new_timestamp=1683033493671)

提取时间戳并将其保存到支持请求上下文。

参数

参数名称 参数类型 定义 可能的值 评论
datetime_format {boolean} 日期/时间格式 True 表示以日期时间格式获取,False 表示以 Unix 格式获取 默认值为 False(可选)
timezone 相应参数不再受支持
new_timestamp {int} 要保存的时间戳 不适用 默认的 Unix 纪元时间(可选)

返回值

{int} 个日期时间。

示例

from SiemplifyAction import SiemplifyAction
sa = SiemplifyAction()
sa.fetch_and_save_timestamp(self, datetime_format=False, new_timestamp=SiemplifyUtils.Unix_now())

结果行为

系统会提取最新时间戳,并将其保存为当前目录中的 TIMESTAMP 文件。

结果值

datetime.datetime(2019, 7, 16, 14, 26, 2, 26000)/1563276380

fetch_timestamp

fetch_timestamp(datetime_format=False, timezone=False)

获取通过 save_timestamp 保存的时间戳。

参数

参数名称 参数类型 定义 可能的值 评论
datetime_format {boolean} 如果为 True,则以 datetime 格式返回时间戳。否则,以 Unix 格式返回 True/False 默认值为 False(可选)
timezone 相应参数不再受支持

返回值

已保存的 Unix 纪元时间和日期时间。

示例

from SiemplifyAction import SiemplifyAction
sa = SiemplifyAction()
result = sa.fetch_timestamp(datetime_format=True)

结果行为

系统会提取最新时间戳,并将其保存为当前目录中的 TIMESTAMP 文件。

结果值

datetime.datetime(2019, 7, 16, 14, 26, 2, 26000)/1563276380

get_alert_context_property

get_alert_context_property(property_key)

从当前提醒中获取上下文属性。

参数

参数名称 参数类型 定义 可能的值 评论
property_key {string} 所请求属性的键 不适用 不适用

返回值

{string} 属性值

get_alerts_ticket_ids_from_cases_closed_since_timestamp

get_alerts_ticket_ids_from_cases_closed_since_timestamp(timestamp_unix_ms, rule_generator)

接收自时间戳以来已关闭的支持请求的提醒。

参数

参数名称 参数类型 定义 可能的值 评论
timestamp_unix_ms {long} 时间戳 1550409785000L 不适用
rule_generator {string} 不适用 钓鱼式攻击电子邮件检测器 不适用

返回值

{[string]} 提醒 ID 列表

get_attachments

get_attachments(case_id=None)

获取支持请求中的附件。
此函数从类别和实体列表中获取自定义列表项的列表,并返回自定义列表项对象的列表。

参数

参数名称 参数类型 定义 可能的值 评论
case_id {string} 支持请求标识符 234 如果未提供任何情形,则使用当前情形(可选)

返回值

{dict} 个附件

示例

from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
result = siemplify.get_attachments(case_id="234")

结果行为

系统将返回工单 ID 为 234 的附件字典列表。

结果值

[{u'is_favorite': False, u'description': u'test', u'type': u'.exe', u'id': 4, u'name': u'chrome_proxy'}]

get_case_comments

get_case_comments(case_id=None)

获取支持请求评论。

参数

参数名称 参数类型 定义 可能的值 评论
case_id {string} 支持请求标识符 234 如果未提供任何情况,系统将使用当前情况

返回值

工单注释的 {[dict]}

示例

from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
siemplify.get_case_comments(case_id)

结果行为

系统将提取相应支持请求的所有评论。

结果值

[{'comment': u'this is a comment',
u'is_deleted': False,
u'last_editor_full_name': u'example user',
u'modification_time_unix_time_in_ms_for_client': 0,
u'creation_time_unix_time_in_ms': 1681904404087, u'id': 12,
u'modification_time_unix_time_in_ms': 1681904404087,
u'case_id': 234,
u'is_favorite': False,
u'alert_identifier': None,
u'creator_user_id': u'cd1c112a-0277-44a9-b68d-98ceef9b0399',
u'last_editor': u'cd1c112a-0277-44a9-b68d-98ceef9b0399',
u'type': 5,
u'comment_for_client': None,
u'creator_full_name': u'example user'}]

get_case_context_property

get_case_context_property(property_key)

获取支持请求上下文属性。

参数

参数名称 参数类型 定义 可能的值 评论
property_key {string} 所请求的键属性 不适用 不适用

返回值

{string} 属性值

get_configuration

get_configuration(provider, environment=None, integration_instance=None)

获取集成配置。

参数

参数名称 参数类型 定义 可能的值 评论
provider {string} 集成名称 VirusTotal
环境 {string} 特定环境或“全部”的配置 可选。
如果提供,系统将从相应的
环境配置中检索凭据。如果未指定任何环境,
默认使用案例环境。
如果没有针对特定环境的配置,则返回默认配置。
integration_instance {string} 集成实例的标识符 不适用 不适用

返回值

{dict} 配置详情

get_similar_cases

get_similar_cases(consider_ports, consider_category_outcome, consider_rule_generator, consider_entity_identifiers, days_to_look_back, case_id=None, end_time_unix_ms=None)

获取类似支持请求。

参数

参数名称 参数类型 定义 可能的值 评论
consider_ports {boolean} 参数,用于配置是否使用端口过滤条件 True/false 不适用
consider_category_outcome {boolean} 参数用于配置是否考虑事件的类别结果 True/false 不适用
consider_rule_generator {boolean} 参数,用于配置是否考虑提醒的规则生成器 True/false 不适用
consider_entity_identifiers {boolean} 参数用于配置是否考虑提醒的实体标识符 True/false 不适用
days_to_look_back {int} 参数用于配置回溯天数,以查找类似的支持请求 365 不适用

返回值

{[int]} 支持请求 ID 列表

示例

from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
result = siemplify.get_similar_cases(consider_ports=True,
 consider_category_outcome=False,
 consider_rule_generator=False,
 consider_entity_identifiers=False,
 days_to_look_back=30, case_id="234", end_time_unix_ms=None)

结果行为

系统会返回类似于支持请求 234 的支持请求 ID 列表。

结果值

[4, 231]

get_ticket_ids_for_alerts_dismissed_since_timestamp

get_ticket_ids_for_alerts_dismissed_since_timestamp(timestamp_unix_ms)

属性 is_timeout_reached

load_case_data

load_case_data()

此函数用于加载案例数据。

参数

无需任何参数。

返回值

NoneType

示例

from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
result = siemplify.load_case_data()

结果行为

系统会加载支持请求数据。

结果值

property log_location

mark_case_as_important

mark_case_as_important(case_id=None, alert_identifier=None)

将支持请求标记为重要。

参数

参数名称 参数类型 定义 可能的值 评论
case_id {string} 支持请求标识符 234 不适用
alert_identifier {string} 提醒标识符 12345 不适用

返回值

NoneType

示例

from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
siemplify.mark_case_as_important()

结果行为

当前支持请求已标记为重要。

结果值

raise_incident

raise_incident(case_id=None, alert_identifier=None)

提出突发事件。

参数

参数名称 参数类型 定义 可能的值 评论
case_id {string} 支持请求标识符 234 不适用
alert_identifier {string} 提醒标识符 12345 不适用

返回值

NoneType

示例

from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
siemplify.raise_incident(case_id, alert_identifier)

结果行为

支持请求已升级为突发事件。

结果值

remove_alert_entities_from_custom_list

remove_alert_entities_from_custom_list(category_name)

从具有指定类别的自定义列表记录中移除相应提醒的实体。

参数

参数名称 参数类型 定义 可能的值 评论
category_name {string} 自定义列表类别 `列入白名单的 HOST` 不适用

返回值

已移除的 CustomList 对象的 {[CustomList]} 列表。

示例

from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
result = siemplify.remove_alert_entities_from_custom_list("WhiteListed HOSTs")

结果行为

已移除 WhiteListed HOSTS

结果值

[<SiemplifyDataModel.CustomList object at 0x0000000003476E10>,
<SiemplifyDataModel.CustomList object at 0x0000000003476B00>]

save_timestamp

save_timestamp(datetime_format=False, timezone=False, new_timestamp=1683033493671)

将时间戳保存到当前脚本上下文。

参数

参数名称 参数类型 定义 可能的值 评论
datetime_format {boolean} 不适用 对于日期时间格式,值为 True;对于 Unix,值为 False 默认值为 False(可选)
timezone 相应参数不再受支持
new_timestamp {long} 要保存到上下文的时间戳 不适用 时间戳将默认为调用该方法的 Unix 时间戳

返回值

NoneType

示例

from SiemplifyAction import SiemplifyAction
sa = SiemplifyAction()
sa.save_timestamp(self, datetime_format=False, new_timestamp=SiemplifyUtils.unix_now())

结果行为

新时间戳将以 TIMESTAMP 文件形式保存在当前目录中。

结果值

set_alert_context_property

set_alert_context_property(property_key, property_value)

按键值对设置提醒上下文属性。

参数

参数名称 参数类型 定义 可能的值 评论
property_key {string} 要存储到上下文中的属性的键 不适用 不适用
property_value {string} 要存储到上下文中的属性值 不适用 不适用

set_alert_sla

set_alert_sla(period_time, period_type, critical_period_time, critical_period_type, case_id=None, alert_id=None)

设置指定 case_idalert_identifier 的 SLA。使用此 API 设置的 SLA 应高于所有其他提醒 SLA 类型。

参数

参数名称 参数类型 定义 可能的值 评论
period_time {int/str} 服务等级协议总期限 不适用 period_time > 0
period_type {string} period_time 的时间单位,由 ApiPeriodTypeEnum 表示 不适用 不适用
critical_period_time {int/str} 关键服务等级协议 (SLA) 时段 不适用 critical_period_time >= 0
关键周期(按时间单位伸缩后)
应小于总周期。
critical_period_type {string} critical_period_time 的时间单位,
ApiPeriodTypeEnum 表示
case_id {long} 支持请求标识符 234 不适用
alert_id {string} 提醒标识符 12345 不适用

set_case_context_property

set_case_context_property(property_key, property_value)

使用键值对设置案例上下文属性。

参数

参数名称 参数类型 定义 可能的值 评论
property_key {string} 相应房源的键 不适用 不适用
property_value {string} 属性的值 不适用 不适用

set_case_sla

set_case_sla(period_time, period_type, critical_period_time, critical_period_type, case_id=None)

如果指定了 case_id,则设置相应实体的 SLA;否则,设置当前支持请求的 SLA。使用此 API 设置的 SLA 应高于所有其他支持请求 SLA 类型。

参数

参数名称 参数类型 定义 可能的值 评论
period_time {int/str} 服务等级协议总期限 不适用 period_time > 0
period_type {string} period_time 的时间单位,由 ApiPeriodTypeEnum 表示 不适用 不适用
critical_period_time {int/str} 关键服务等级协议 (SLA) 时段 不适用 critical_period_time >0
关键周期(按其时间单位伸缩后)应小于总周期。
critical_period_type {string} critical_period_time 的时间单位,
ApiPeriodTypeEnum 表示
不适用 不适用
case_id {long} 支持请求标识符 不适用 不适用

signal_handler

signal_handler(sig, frame)

property target_entities

target_entities 对象是一个实体对象列表,配置的操作可以针对这些实体对象运行。每个实体对象都公开了以下属性和方法:

实体属性

以下是实体对象的直接数据保持属性:

属性 数据类型 说明
identifier string 实体的唯一标识符 (UUID)。
creation_time int 相应实体的创建 Unix 时间戳。
modification_time int 相应实体上次被修改时的 Unix 时间戳。
additional_properties dict 包含有关实体的额外详细信息的字典。
case_identifier string 实体所属父级支持请求的 ID。
alert_identifier string 与实体关联的提醒的 ID。
entity_type string 实体类型(例如,“HOSTNAME”“USERUNQNAME”)。
is_internal bool 表示相应实体是否为内部资源。
is_suspicious bool 指示实体是否被标记为可疑。
is_artifact bool 指示实体是否为制品。
is_enriched bool 指示实体是否已扩充。
is_vulnerable bool 指示实体是否被标记为易受攻击。
is_pivot bool 指示实体是否为透视实体。

实体方法

以下是实体对象上可用的可执行函数:

方法 说明
to_dict() 将实体对象转换为标准 Python 字典。

try_set_alert_context_property

try_set_alert_context_property(property_key, property_value)

try_set_case_context_property

try_set_case_context_property(property_key, property_value)

update_alerts_additional_data

update_alerts_additional_data(alerts_additional_data, case_id=None)

更新提醒附加数据。

参数

参数名称 参数类型 定义 可能的值 评论
case_id {string} 支持请求标识符 234 不适用
alerts_additional_data {string:string} 不适用 不适用 不适用

返回值

NoneType

示例

from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
additional_data = {"testKey":"testValue"}
siemplify.update_alerts_additional_data(alerts_additional_data=additional_data, case_id=caseid)

结果行为

使用其他数据(例如 testKey:testValue)更新提醒。

结果值