SiemplifyAction 模块
类 SiemplifyAction.SiemplifyAction
SiemplifyAction.SiemplifyAction(mock_stdin=None, get_source_file=False)
基类:Siemplify
add_alert_entities_to_custom_list
add_alert_entities_to_custom_list(category_name)
将相应提醒的实体添加到具有指定类别的自定义列表记录中。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| category_name | {string} | 自定义列表类别 | “CustomList” | 不适用 |
返回值
添加的对象的 {[CustomList]} 列表。
示例
输入:显式输入 category_name。隐式使用范围的实体。
运行 add_alert_entities_to_custom_list 将生成“CustomList”对象列表,并导致设置发生配置更改。
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
result = siemplify.add_alert_entities_to_custom_list("WhiteListed HOSTs")
结果行为
添加了 WhiteListed HOSTs 类别。
结果值
[<SiemplifyDataModel.CustomList object at 0x0000000003476E10>, <SiemplifyDataModel.CustomList object at 0x0000000003476B00>]
add_attachment
add_attachment(file_path, case_id=None, alert_identifier=None, description=None, is_favorite=False)
向案例墙添加附件。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| file_path | {string} | 文件路径 | “C:\Program Files (x86)\Google\Chrome\Application\chrome_proxy.exe” | 不适用 |
| case_id | {string} | 支持请求标识符 | 234 | 不适用 |
| alert_identifier | {string} | 提醒标识符 | 12345 | 不适用 |
| 说明 | {string} | 文件的说明 | 不适用 | 不适用 |
| is_favorite | 布尔值 | 不适用 | True/False | 不适用 |
返回值
{long} attachment_id
示例
输入:明确指定的文件路径、说明和 is_favorite。隐式,case_id 和 alert_identifier。
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
result = siemplify.add_attachment("C:\Program Files (x86)\Google\Chrome\Application\chrome_proxy.exe", case_id="234", alert_identifier=None, description=None, is_favorite=True)
结果行为
路径中提及的文件将附加到支持请求 ID 为 234 的支持请求,并返回附件 ID。
结果值
5 [附件 ID]
add_comment
add_comment(comment, case_id=None, alert_identifier=None)
向特定支持请求添加新评论。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| 评论 | {string} | 要添加到案例墙的评论 | 不适用 | 不适用 |
| case_id | {string} | 支持请求标识符 | 234 | 如果未提供 case_id,系统将使用当前转化情形。默认值为 None(可选) |
| alert_identifier | {string} | 提醒标识符 | 12345 | 如果未提供 alert_identifier,则使用当前提醒。默认值为 None(可选) |
返回值
NoneType
示例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
comment = "Ran some tests on the hash and it seems fine"
siemplify.add_comment(comment=comment)
结果行为
指定评论已添加到当前支持请求中。
结果值
无
add_entity_insight
add_entity_insight(domain_entity_info, message, triggered_by=None, original_requesting_user=None)
向使用实体洞见的用例添加实体洞见。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| domain_entity_info | {DomainEntityInfo} | 表示要添加数据洞见的实体的实体对象 | 不适用 | 不适用 |
| 消息 | {string} | 数据分析消息 | 不适用 | 不适用 |
| triggered_by | {string} | 集成名称 | 不适用 | 如果未提供集成名称,则将使用为相应操作选择的集成。 默认值为 None(可选) |
| original_requesting_user | {string} | 提出请求的用户 | 不适用 | 默认无(可选) |
返回值
{boolean} 如果成功,则为 True。否则,False。
示例
结果行为
结果值
add_entity_to_case
add_entity_to_case(entity_identifier, entity_type, is_internal, is_suspicious, is_enriched, is_vulnerable, properties, case_id=None, alert_identifier=None, environment=None)
向当前问题添加实体。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| entity_identifier | {string} | 实体标识符 | 192.0.2.1、example.com | 不适用 |
| entity_type | {string} | 实体类型 | “ADDRESS” | 不适用 |
| is_internal | {boolean} | 不适用 | 内部/外部 | 不适用 |
| is_suspicious | {boolean} | 不适用 | 可疑/不可疑 | 不适用 |
| is_enriched | {boolean} | 不适用 | True/False | 默认值为 False |
| is_vulnerable | {boolean} | 不适用 | True/False | 默认值为 False |
| 属性 | {dict} | {"Property1":"PropertyValue", "Property2":"PropertyValue2"} | 不适用 | 不适用 |
返回值
NoneType
如果存在现有实体,则会显示以下错误:/
500 Server Error: Internal Server Error for url:https://localhost:8443/api/external/v1/sdk/CreateEntity?format=snake:\"ErrorMessage\":\"Cannot add entity [Identifier:Entities Identifies -Type:siemplify.parameters[] to alert [MONITORED MAILBOX<EXAMPLE@EXAMPLE.COM>_633997CB-D23B-4A2B-92F2-AD1D350284FF] in case [12345]because the entity already exists >there.\"
示例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
siemplify.add_entity_to_case(entity_identifier, entity_type, is_internal, is_suspicious, is_enriched, is_vulnerable, properties, case_id, alert_identifier, environment)
结果行为
如果实体不在相应情形中,此函数会将新实体添加到情形中。
结果值
无
add_tag
add_tag(tag, case_id=None, alert_identifier=None)
向特定支持请求添加新标签。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| 标记 | {string} | 要添加的标记 | 要用作标记的任何字符串 | 不适用 |
| case_id | {string} | 支持请求标识符 | 12345 | 如果未提供 case_id,则使用当前支持请求 ID。默认值为 None(可选) |
| alert_identifier | {string} | 提醒标识符 | 123 | 如果未提供 alert_identifier,则使用当前提醒 ID 。 默认值为 None(可选) |
返回值
NoneType
示例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
tag_to_be_added = "MaliciousMail"
siemplify.add_tag(tag=tag_to_be_added)
结果行为
系统会将“MaliciousMail”标记添加到当前支持请求。
结果值
无
any_alert_entities_in_custom_list
any_alert_entities_in_custom_list(category_name)
检查相应提醒的任何实体是否具有指定类别的自定义列表记录。
此函数从 CustomLists 获取类别名称,并返回 True(布尔值),以指示范围内的任何实体是否属于该类别。如果实体的标识符在 CustomLists 表的设置中与相应类别一起列出,则该实体会被视为属于相应类别。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| category_name | {string} | 自定义列表类别名称 | BlackListed IPs |
不适用 |
返回值
{boolean} 如果类别中存在实体,则为 True;否则为 False。
示例 1
from SiemplifyAction import SiemplifyAction \
siemplify = SiemplifyAction() \
result = siemplify.any_entity_in_custom_list("BlackListed IPs")
示例 2
from SiemplifyAction import SiemplifyAction \
siemplify = SiemplifyAction() \
result = siemplify.any_entity_in_custom_list("Executive IPs")
结果行为
示例代码 1 的结果为 True。示例代码 2 的结果为 False。
结果值
True 或 False
assign_case
assign_case(user, case_id=None, alert_identifier=None)
将支持请求分配给用户。
此函数适用于用户 ID 或用户角色。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| 用户 | {string} | 用户 ID 或用户角色 | USER_ID,管理员,@Tier1 | 不适用 |
| case_id | {string} | 支持请求标识符 | 12345 | 如果未提供 case_id,则使用当前支持请求 ID。默认值为 None(可选) |
| alert_identifier | {string} | 提醒标识符 | 123 | 如果未提供 alert_identifier,则使用当前提醒 ID 。 默认值为 None(可选) |
返回值
NoneType
示例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
assigned_user= "Admin"
siemplify.assign_case(assigned_user)
结果行为
支持请求会分配给管理员用户。
结果值
无
attach_workflow_to_case
attach_workflow_to_case(workflow_name, cyber_case_id=None, indicator_identifier=None)
将 playbook 附加到当前提醒。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| workflow_name | {string} | 工作流(playbook)名称 | 不适用 | 不适用 |
| cyber_case_id | {string} | 支持请求标识符 | 234 | 如果未提供任何情况,则使用当前情况。 默认值为 None(可选) |
| indicator_identifier | {string} | 提醒标识符 | 12345 | 如果未提供提醒标识符,则使用当前提醒。 默认值为 None(可选) |
返回值
NoneType
示例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
siemplify.attach_workflow_to_case(workflow_name, cyber_case_id, indicator_identifier)
结果行为
将指定工作流附加到指定指示器标识符的相应支持请求。
结果值
无
媒体资源案例
change_case_priority
change_case_priority(priority, case_id=None, alert_identifier=None)
更改支持请求的优先级。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| 优先级 | {int} | 每个数字分别代表的优先级为: 低、中、高和严重 |
{"Low": 40, "Medium": 60, "High": 80, "Critical": 100} | 不适用 |
| case_id | {string} | 支持请求标识符 | 12345 | 如果未提供具体情况,则使用当前情况 |
| alert_identifier | {string} | 提醒标识符 | 123 | 如果未提供提醒标识符,则使用当前提醒 |
返回值
NoneType
示例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
priority_to_change_to = 60
siemplify.change_case_priority(priority=priority_to_change_to )
结果行为
支持请求的优先级会更改为“中”。
结果值
无
change_case_stage
change_case_stage(stage, case_id=None, alert_identifier=None)
更改支持请求阶段
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| 流程中的 | {string} | 阶段应与支持请求阶段表中定义的字符串完全一致 | 突发事件、 调查 |
不适用 |
| case_id | {string} | 支持请求标识符 | 12345 | 如果未提供具体情况,则使用当前情况 |
| alert_identifier | {string} | 提醒标识符 | 123 | 如果未提供提醒标识符,则使用当前提醒 |
返回值
示例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
stage_to_change_to = "Investigation"
siemplify.change_case_stage(stage=stage_to_change_to)
结果行为
支持请求状态更改为“调查中”。
结果值
无
close_alert
close_alert(root_cause, comment, reason, case_id=None, alert_id=None)
关闭当前提醒。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| root_cause | {string} | 关闭案例的根本原因 | 从设置中的“关闭案例的根本原因” 表格中提取的字符串 |
不适用 |
| 评论 | {string} | 评论 | 此处可以使用任何字符串 | 注释应描述相应情况, 但不受限制 |
| reason | {ApiSyncAlertCloseReasonEnum} | 手动操作时,对话框 中提供的三个预定义字符串之一:“NotMalicious”“Malicious”和“Maintenance” |
请参阅 SiemplifyDataModel.ApiSyncAlertCloseReasonEnum |
返回值
{dict} 服务器操作的结果
示例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
reason = "Maintenance"
root_cause = "Employee Error"
comment = "User accidentally activated a correlation before it was ready to be used and triggered this alert"
siemplify.close_alert(reason=reason, root_cause=root_cause, comment=comment)
结果行为
当前提醒会移至新案例,然后随提醒一起关闭。
结果值
无
close_case
close_case(root_cause, comment, reason, case_id=None, alert_identifier=None)
关闭支持请求。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| root_cause | {string} | 关闭案例的根本原因 | 不适用 | 不适用 |
| 评论 | {string} | 评论 | 此处可以使用任何字符串 | 注释应描述支持请求,但不受限制 |
| reason | {ApiSyncAlertCloseReasonEnum} | 关闭支持请求的原因 | 手动完成时,对话框中提供的三个预定义字符串之一:“NotMalicious”“Malicious”和“Maintenance” | |
| case_id | {string} | 支持请求标识符 | 12345 | 如果未提供具体情况,则使用当前情况 |
| alert_identifier | {string} | 提醒标识符 | 123 | 如果未提供提醒标识符,则使用当前提醒 |
返回值
NoneType
示例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
reason = "Maintenance"
root_cause = "Employee Error"
comment = "User accidentally activated a correlation before it was ready to be used and triggered this alert"
siemplify.close_case(reason=reason, root_cause=root_cause, comment=comment)
结果行为
系统会关闭支持请求,并显示指定的原因、根本原因和评论。
结果值
无
create_case_insight
create_case_insight(triggered_by, title, content, entity_identifier, severity, insight_type, additional_data=None, additional_data_type=None, additional_data_title=None)
向支持请求添加分析洞见。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| triggered_by | {string} | 集成名称 | VirusTotal、XForce | 不适用 |
| title | {string} | 数据分析标题 | 由 VirusTotal 丰富化 | 不适用 |
| 内容 | {string} | 数据分析消息 | 数据分析消息 | 不适用 |
| entity_identifier | {string} | 实体标识符 | example.com | 不适用 |
| 和程度上减少 | {int} | 严重级别 | 0 = 信息, 1 = 警告, 2 = 错误 |
|
| insight_type | {int} | 数据分析类型 | 0 = 常规, 1 = 实体 |
不适用 |
| additional_data | {string} | 数据分析的其他数据 | {"checked against": "VT", "malicious": "No"} | 不适用 |
| additional_data_type | {int} | 其他数据的类型 | “常规”=0, “实体”=1 |
不适用 |
| additional_data_title | {string} | 数据分析的其他数据标题 | VT 检查 | 不适用 |
返回值
{boolean} 如果成功,则为 True。否则,False。
示例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
siemplify.create_case_insight(triggered_by, title, content, entity_identifier, severity, insight_type, additional_data, additional_data_type, additional_data_title)
结果行为
使用定义的数据为支持请求创建数据洞见。如果创建了支持请求数据分析,则为
True。否则,False。
结果值
True 或 False
属性 current_alert
dismiss_alert
dismiss_alert(alert_group_identifier, should_close_case_if_all_alerts_were_dismissed, case_id=None)
媒体资源环境
escalate_case
escalate_case(comment, case_id=None, alert_identifier=None)
上报支持请求。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| 评论 | {string} | 上报评论 | 不适用 | 不适用 |
| case_id | {string} | 支持请求标识符 | 12345 | 不适用 |
| alert_identifier | {string} | 提醒标识符 | 123 | 不适用 |
extract_action_param
extract_action_param(param_name, default_value=None, input_type=<class 'str'>, is_mandatory=False, print_value=False)
获取操作脚本参数。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| param_name | {string} | 参数的名称 | 适用于相应操作的任何参数名称 | 不适用 |
| default_value | {any} | 参数的默认值 | 如果未设置参数 (如果 is_mandatory 设置为 False),则返回指定的值 |
如果未传递参数,则默认使用此值。 默认值为 None(可选) |
| input_type | {obj} | 将参数转换为其他类型 | 整数 | 默认情况下为 str(可选) |
| is_mandatory | {boolean} | 如果参数为空,则会引发异常 | True/False | 默认值为 False |
| print_value | {boolean} | 将值输出到日志 | True/False | 默认值为 False |
返回值
形参值,默认情况下为 {string},除非指定了 input_type。
示例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
param_value= siemplify.extract_action_param(
"Threshold",
default_value=-1,
input_type=int,
is_mandatory=False,
print_value=False)
结果行为
系统将返回所选参数的值,并将其转换为所选类型。
结果值
20
fetch_and_save_timestamp
fetch_and_save_timestamp(datetime_format=False, timezone=False, new_timestamp=1683033493671)
提取时间戳并将其保存到支持请求上下文。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| datetime_format | {boolean} | 日期/时间格式 | True 表示以日期时间格式获取,False 表示以 Unix 格式获取 | 默认值为 False(可选) |
| timezone | 相应参数不再受支持 | |||
| new_timestamp | {int} | 要保存的时间戳 | 不适用 | 默认的 Unix 纪元时间(可选) |
返回值
{int} 个日期时间。
示例
from SiemplifyAction import SiemplifyAction
sa = SiemplifyAction()
sa.fetch_and_save_timestamp(self, datetime_format=False, new_timestamp=SiemplifyUtils.Unix_now())
结果行为
系统会提取最新时间戳,并将其保存为当前目录中的 TIMESTAMP 文件。
结果值
datetime.datetime(2019, 7, 16, 14, 26, 2, 26000)/1563276380
fetch_timestamp
fetch_timestamp(datetime_format=False, timezone=False)
获取通过 save_timestamp 保存的时间戳。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| datetime_format | {boolean} | 如果为 True,则以 datetime 格式返回时间戳。否则,以 Unix 格式返回 | True/False | 默认值为 False(可选) |
| timezone | 相应参数不再受支持 | |||
返回值
已保存的 Unix 纪元时间和日期时间。
示例
from SiemplifyAction import SiemplifyAction
sa = SiemplifyAction()
result = sa.fetch_timestamp(datetime_format=True)
结果行为
系统会提取最新时间戳,并将其保存为当前目录中的 TIMESTAMP 文件。
结果值
datetime.datetime(2019, 7, 16, 14, 26, 2, 26000)/1563276380
get_alert_context_property
get_alert_context_property(property_key)
从当前提醒中获取上下文属性。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| property_key | {string} | 所请求属性的键 | 不适用 | 不适用 |
返回值
{string} 属性值
get_alerts_ticket_ids_from_cases_closed_since_timestamp
get_alerts_ticket_ids_from_cases_closed_since_timestamp(timestamp_unix_ms, rule_generator)
接收自时间戳以来已关闭的支持请求的提醒。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| timestamp_unix_ms | {long} | 时间戳 | 1550409785000L | 不适用 |
| rule_generator | {string} | 不适用 | 钓鱼式攻击电子邮件检测器 | 不适用 |
返回值
{[string]} 提醒 ID 列表
get_attachments
get_attachments(case_id=None)
获取支持请求中的附件。
此函数从类别和实体列表中获取自定义列表项的列表,并返回自定义列表项对象的列表。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| case_id | {string} | 支持请求标识符 | 234 | 如果未提供任何情形,则使用当前情形(可选) |
返回值
{dict} 个附件
示例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
result = siemplify.get_attachments(case_id="234")
结果行为
系统将返回工单 ID 为 234 的附件字典列表。
结果值
[{u'is_favorite': False, u'description': u'test', u'type': u'.exe', u'id': 4, u'name': u'chrome_proxy'}]
get_case_comments
get_case_comments(case_id=None)
获取支持请求评论。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| case_id | {string} | 支持请求标识符 | 234 | 如果未提供任何情况,系统将使用当前情况 |
返回值
工单注释的 {[dict]}
示例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
siemplify.get_case_comments(case_id)
结果行为
系统将提取相应支持请求的所有评论。
结果值
[{'comment': u'this is a comment',
u'is_deleted': False,
u'last_editor_full_name': u'example user',
u'modification_time_unix_time_in_ms_for_client': 0,
u'creation_time_unix_time_in_ms': 1681904404087, u'id': 12,
u'modification_time_unix_time_in_ms': 1681904404087,
u'case_id': 234,
u'is_favorite': False,
u'alert_identifier': None,
u'creator_user_id': u'cd1c112a-0277-44a9-b68d-98ceef9b0399',
u'last_editor': u'cd1c112a-0277-44a9-b68d-98ceef9b0399',
u'type': 5,
u'comment_for_client': None,
u'creator_full_name': u'example user'}]
get_case_context_property
get_case_context_property(property_key)
获取支持请求上下文属性。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| property_key | {string} | 所请求的键属性 | 不适用 | 不适用 |
返回值
{string} 属性值
get_configuration
get_configuration(provider, environment=None, integration_instance=None)
获取集成配置。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| provider | {string} | 集成名称 | VirusTotal | |
| 环境 | {string} | 特定环境或“全部”的配置 | 可选。 如果提供,系统将从相应的 环境配置中检索凭据。如果未指定任何环境, 默认使用案例环境。 如果没有针对特定环境的配置,则返回默认配置。 |
|
| integration_instance | {string} | 集成实例的标识符 | 不适用 | 不适用 |
返回值
{dict} 配置详情
get_similar_cases
get_similar_cases(consider_ports, consider_category_outcome, consider_rule_generator, consider_entity_identifiers, days_to_look_back, case_id=None, end_time_unix_ms=None)
获取类似支持请求。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| consider_ports | {boolean} | 参数,用于配置是否使用端口过滤条件 | True/false | 不适用 |
| consider_category_outcome | {boolean} | 参数用于配置是否考虑事件的类别结果 | True/false | 不适用 |
| consider_rule_generator | {boolean} | 参数,用于配置是否考虑提醒的规则生成器 | True/false | 不适用 |
| consider_entity_identifiers | {boolean} | 参数用于配置是否考虑提醒的实体标识符 | True/false | 不适用 |
| days_to_look_back | {int} | 参数用于配置回溯天数,以查找类似的支持请求 | 365 | 不适用 |
返回值
{[int]} 支持请求 ID 列表
示例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
result = siemplify.get_similar_cases(consider_ports=True,
consider_category_outcome=False,
consider_rule_generator=False,
consider_entity_identifiers=False,
days_to_look_back=30, case_id="234", end_time_unix_ms=None)
结果行为
系统会返回类似于支持请求 234 的支持请求 ID 列表。
结果值
[4, 231]
get_ticket_ids_for_alerts_dismissed_since_timestamp
get_ticket_ids_for_alerts_dismissed_since_timestamp(timestamp_unix_ms)
属性 is_timeout_reached
load_case_data
load_case_data()
此函数用于加载案例数据。
参数
无需任何参数。
返回值
NoneType
示例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
result = siemplify.load_case_data()
结果行为
系统会加载支持请求数据。
结果值
无
property log_location
mark_case_as_important
mark_case_as_important(case_id=None, alert_identifier=None)
将支持请求标记为重要。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| case_id | {string} | 支持请求标识符 | 234 | 不适用 |
| alert_identifier | {string} | 提醒标识符 | 12345 | 不适用 |
返回值
NoneType
示例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
siemplify.mark_case_as_important()
结果行为
当前支持请求已标记为重要。
结果值
无
raise_incident
raise_incident(case_id=None, alert_identifier=None)
提出突发事件。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| case_id | {string} | 支持请求标识符 | 234 | 不适用 |
| alert_identifier | {string} | 提醒标识符 | 12345 | 不适用 |
返回值
NoneType
示例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
siemplify.raise_incident(case_id, alert_identifier)
结果行为
支持请求已升级为突发事件。
结果值
无
remove_alert_entities_from_custom_list
remove_alert_entities_from_custom_list(category_name)
从具有指定类别的自定义列表记录中移除相应提醒的实体。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| category_name | {string} | 自定义列表类别 | `列入白名单的 HOST` | 不适用 |
返回值
已移除的 CustomList 对象的 {[CustomList]} 列表。
示例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
result = siemplify.remove_alert_entities_from_custom_list("WhiteListed HOSTs")
结果行为
已移除 WhiteListed HOSTS。
结果值
[<SiemplifyDataModel.CustomList object at 0x0000000003476E10>,
<SiemplifyDataModel.CustomList object at 0x0000000003476B00>]
save_timestamp
save_timestamp(datetime_format=False, timezone=False, new_timestamp=1683033493671)
将时间戳保存到当前脚本上下文。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| datetime_format | {boolean} | 不适用 | 对于日期时间格式,值为 True;对于 Unix,值为 False | 默认值为 False(可选) |
| timezone | 相应参数不再受支持 | |||
| new_timestamp | {long} | 要保存到上下文的时间戳 | 不适用 | 时间戳将默认为调用该方法的 Unix 时间戳 |
返回值
NoneType
示例
from SiemplifyAction import SiemplifyAction
sa = SiemplifyAction()
sa.save_timestamp(self, datetime_format=False, new_timestamp=SiemplifyUtils.unix_now())
结果行为
新时间戳将以 TIMESTAMP 文件形式保存在当前目录中。
结果值
无
set_alert_context_property
set_alert_context_property(property_key, property_value)
按键值对设置提醒上下文属性。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| property_key | {string} | 要存储到上下文中的属性的键 | 不适用 | 不适用 |
| property_value | {string} | 要存储到上下文中的属性值 | 不适用 | 不适用 |
set_alert_sla
set_alert_sla(period_time, period_type, critical_period_time, critical_period_type, case_id=None, alert_id=None)
设置指定 case_id 的 alert_identifier 的 SLA。使用此 API 设置的 SLA 应高于所有其他提醒 SLA 类型。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| period_time | {int/str} | 服务等级协议总期限 | 不适用 | period_time > 0 |
| period_type | {string} | period_time 的时间单位,由 ApiPeriodTypeEnum 表示 | 不适用 | 不适用 |
| critical_period_time | {int/str} | 关键服务等级协议 (SLA) 时段 | 不适用 | critical_period_time >= 0 关键周期(按时间单位伸缩后) 应小于总周期。 |
| critical_period_type | {string} | critical_period_time 的时间单位, 由 ApiPeriodTypeEnum 表示 |
||
| case_id | {long} | 支持请求标识符 | 234 | 不适用 |
| alert_id | {string} | 提醒标识符 | 12345 | 不适用 |
set_case_context_property
set_case_context_property(property_key, property_value)
使用键值对设置案例上下文属性。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| property_key | {string} | 相应房源的键 | 不适用 | 不适用 |
| property_value | {string} | 属性的值 | 不适用 | 不适用 |
set_case_sla
set_case_sla(period_time, period_type, critical_period_time, critical_period_type, case_id=None)
如果指定了 case_id,则设置相应实体的 SLA;否则,设置当前支持请求的 SLA。使用此 API 设置的 SLA 应高于所有其他支持请求 SLA 类型。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| period_time | {int/str} | 服务等级协议总期限 | 不适用 | period_time > 0 |
| period_type | {string} | period_time 的时间单位,由 ApiPeriodTypeEnum 表示 | 不适用 | 不适用 |
| critical_period_time | {int/str} | 关键服务等级协议 (SLA) 时段 | 不适用 | critical_period_time >0 关键周期(按其时间单位伸缩后)应小于总周期。 |
| critical_period_type | {string} | critical_period_time 的时间单位, 由 ApiPeriodTypeEnum 表示 |
不适用 | 不适用 |
| case_id | {long} | 支持请求标识符 | 不适用 | 不适用 |
signal_handler
signal_handler(sig, frame)
property target_entities
target_entities 对象是一个实体对象列表,配置的操作可以针对这些实体对象运行。每个实体对象都公开了以下属性和方法:
实体属性
以下是实体对象的直接数据保持属性:
| 属性 | 数据类型 | 说明 |
|---|---|---|
identifier |
string |
实体的唯一标识符 (UUID)。 |
creation_time |
int |
相应实体的创建 Unix 时间戳。 |
modification_time |
int |
相应实体上次被修改时的 Unix 时间戳。 |
additional_properties |
dict |
包含有关实体的额外详细信息的字典。 |
case_identifier |
string |
实体所属父级支持请求的 ID。 |
alert_identifier |
string |
与实体关联的提醒的 ID。 |
entity_type |
string |
实体类型(例如,“HOSTNAME”“USERUNQNAME”)。 |
is_internal |
bool |
表示相应实体是否为内部资源。 |
is_suspicious |
bool |
指示实体是否被标记为可疑。 |
is_artifact |
bool |
指示实体是否为制品。 |
is_enriched |
bool |
指示实体是否已扩充。 |
is_vulnerable |
bool |
指示实体是否被标记为易受攻击。 |
is_pivot |
bool |
指示实体是否为透视实体。 |
实体方法
以下是实体对象上可用的可执行函数:
| 方法 | 说明 |
|---|---|
to_dict() |
将实体对象转换为标准 Python 字典。 |
try_set_alert_context_property
try_set_alert_context_property(property_key, property_value)
try_set_case_context_property
try_set_case_context_property(property_key, property_value)
update_alerts_additional_data
update_alerts_additional_data(alerts_additional_data, case_id=None)
更新提醒附加数据。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| case_id | {string} | 支持请求标识符 | 234 | 不适用 |
| alerts_additional_data | {string:string} | 不适用 | 不适用 | 不适用 |
返回值
NoneType
示例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
additional_data = {"testKey":"testValue"}
siemplify.update_alerts_additional_data(alerts_additional_data=additional_data, case_id=caseid)
结果行为
使用其他数据(例如 testKey:testValue)更新提醒。
结果值
无