SiemplifyAction 模組
class SiemplifyAction.SiemplifyAction
SiemplifyAction.SiemplifyAction(mock_stdin=None, get_source_file=False)
基礎:Siemplify
add_alert_entities_to_custom_list
add_alert_entities_to_custom_list(category_name)
將快訊的實體新增至指定類別的自訂清單記錄。
參數
| 參數名稱 | 參數類型 | 定義 | 可能的值 | 註解 |
|---|---|---|---|---|
| category_name | {string} | 自訂清單類別 | 「CustomList」 | 不適用 |
傳回
{[CustomList]}:新增物件的清單。
範例
輸入:明確來說,category_name。隱含使用範圍的實體。
執行 add_alert_entities_to_custom_list 會產生「CustomList」物件清單,並變更設定。
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
result = siemplify.add_alert_entities_to_custom_list("WhiteListed HOSTs")
結果行為
新增 WhiteListed HOSTs 類別。
結果值
[<SiemplifyDataModel.CustomList object at 0x0000000003476E10>, <SiemplifyDataModel.CustomList object at 0x0000000003476B00>]
add_attachment
add_attachment(file_path, case_id=None, alert_identifier=None, description=None, is_favorite=False)
在案件牆新增附件。
參數
| 參數名稱 | 參數類型 | 定義 | 可能的值 | 註解 |
|---|---|---|---|---|
| file_path | {string} | 檔案路徑 | "C:\Program Files (x86)\Google\Chrome\Application\chrome_proxy.exe" | 不適用 |
| case_id | {string} | 案件 ID | 234 | 不適用 |
| alert_identifier | {string} | 快訊 ID | 12345 | 不適用 |
| 說明 | {string} | 檔案說明 | 不適用 | 不適用 |
| is_favorite | 布林值 | 不適用 | True/False | 不適用 |
傳回
{long} attachment_id
範例
輸入:明確來說,就是檔案路徑、說明和 is_favorite。隱含:case_id 和 alert_identifier。
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
result = siemplify.add_attachment("C:\Program Files (x86)\Google\Chrome\Application\chrome_proxy.exe", case_id="234", alert_identifier=None, description=None, is_favorite=True)
結果行為
路徑中提及的檔案會附加至案件 ID 234,並傳回附件 ID。
結果值
5 [附件 ID]
add_comment
add_comment(comment, case_id=None, alert_identifier=None)
在特定案件中新增註解。
參數
| 參數名稱 | 參數類型 | 定義 | 可能的值 | 註解 |
|---|---|---|---|---|
| 留言 | {string} | 要新增至案件總覽的註解 | 不適用 | 不適用 |
| case_id | {string} | 案件 ID | 234 | 如未提供 case_id,系統會使用目前的案件。預設為無 (選填) |
| alert_identifier | {string} | 快訊 ID | 12345 | 如未提供 alert_identifier,系統會使用目前的快訊。預設為無 (選填) |
傳回
NoneType
範例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
comment = "Ran some tests on the hash and it seems fine"
siemplify.add_comment(comment=comment)
結果行為
系統會將指定註解新增至目前的案件。
結果值
無
add_entity_insight
add_entity_insight(domain_entity_info, message, triggered_by=None, original_requesting_user=None)
將實體洞察資料新增至使用中的案件。
參數
| 參數名稱 | 參數類型 | 定義 | 可能的值 | 註解 |
|---|---|---|---|---|
| domain_entity_info | {DomainEntityInfo} | 代表要新增洞察資料的實體的實體物件 | 不適用 | 不適用 |
| 訊息 | {string} | 洞察訊息 | 不適用 | 不適用 |
| triggered_by | {string} | 整合作業名稱 | 不適用 | 如未提供整合名稱,系統會使用所選動作的整合功能。 預設為「無」(選用) |
| original_requesting_user | {string} | 提出要求的使用者 | 不適用 | 預設為無 (選填) |
傳回
{boolean} True if success. 否則為 False。
範例
結果行為
結果值
add_entity_to_case
add_entity_to_case(entity_identifier, entity_type, is_internal, is_suspicious, is_enriched, is_vulnerable, properties, case_id=None, alert_identifier=None, environment=None)
將實體新增至目前案件。
參數
| 參數名稱 | 參數類型 | 定義 | 可能的值 | 註解 |
|---|---|---|---|---|
| entity_identifier | {string} | 實體 ID | 192.0.2.1、example.com | 不適用 |
| entity_type | {string} | 實體類型 | 「ADDRESS」 | 不適用 |
| is_internal | {boolean} | 不適用 | 內部/外部 | 不適用 |
| is_suspicious | {boolean} | 不適用 | 可疑/不可疑 | 不適用 |
| is_enriched | {boolean} | 不適用 | True/False | 預設為 False |
| is_vulnerable | {boolean} | 不適用 | True/False | 預設為 False |
| 屬性 | {dict} | {"Property1":"PropertyValue", "Property2":"PropertyValue2"} | 不適用 | 不適用 |
傳回
NoneType
如果實體已存在,系統會顯示以下錯誤:/
500 Server Error: Internal Server Error for url:https://localhost:8443/api/external/v1/sdk/CreateEntity?format=snake:\"ErrorMessage\":\"Cannot add entity [Identifier:Entities Identifies -Type:siemplify.parameters[] to alert [MONITORED MAILBOX<EXAMPLE@EXAMPLE.COM>_633997CB-D23B-4A2B-92F2-AD1D350284FF] in case [12345]because the entity already exists >there.\"
範例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
siemplify.add_entity_to_case(entity_identifier, entity_type, is_internal, is_suspicious, is_enriched, is_vulnerable, properties, case_id, alert_identifier, environment)
結果行為
如果案件中沒有這個實體,這個函式就會將新實體新增至案件。
結果值
無
add_tag
add_tag(tag, case_id=None, alert_identifier=None)
為特定案件新增標記。
參數
| 參數名稱 | 參數類型 | 定義 | 可能的值 | 註解 |
|---|---|---|---|---|
| 標記 | {string} | 要新增的標記 | 用做標記的任何字串 | 不適用 |
| case_id | {string} | 案件 ID | 12345 | 如未提供 case_id,系統會使用目前的案件 ID。預設為無 (選填) |
| alert_identifier | {string} | 快訊 ID | 123 | 如未提供 alert_identifier,系統會使用目前的快訊 ID。預設為無(選用) |
傳回
NoneType
範例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
tag_to_be_added = "MaliciousMail"
siemplify.add_tag(tag=tag_to_be_added)
結果行為
系統會將「MaliciousMail」標記新增至目前案件。
結果值
無
any_alert_entities_in_custom_list
any_alert_entities_in_custom_list(category_name)
檢查是否有任何快訊實體具有指定類別的自訂清單記錄。
這個函式會從 CustomLists 取得類別名稱,並在範圍內的任何實體屬於該類別時,傳回 True (布林值)。如果實體的 ID 列於 CustomLists 資料表的設定中,且與該類別相關聯,系統就會將實體歸類至該類別。
參數
| 參數名稱 | 參數類型 | 定義 | 可能的值 | 註解 |
|---|---|---|---|---|
| category_name | {string} | 自訂清單類別名稱 | BlackListed IPs |
不適用 |
傳回
{boolean} True 如果類別中有實體,則為 False。
範例 1
from SiemplifyAction import SiemplifyAction \
siemplify = SiemplifyAction() \
result = siemplify.any_entity_in_custom_list("BlackListed IPs")
範例 2
from SiemplifyAction import SiemplifyAction \
siemplify = SiemplifyAction() \
result = siemplify.any_entity_in_custom_list("Executive IPs")
結果行為
程式碼範例 1 的結果為 True。程式碼範例 2 的結果為 False。
結果值
True 或 False
assign_case
assign_case(user, case_id=None, alert_identifier=None)
將案件指派給使用者。
這項功能適用於使用者 ID 或使用者角色。
參數
| 參數名稱 | 參數類型 | 定義 | 可能的值 | 註解 |
|---|---|---|---|---|
| 使用者 | {string} | 使用者 ID 或使用者角色 | USER_ID、管理員、@Tier1 | 不適用 |
| case_id | {string} | 案件 ID | 12345 | 如未提供 case_id,系統會使用目前的案件 ID。預設為無 (選填) |
| alert_identifier | {string} | 快訊 ID | 123 | 如未提供 alert_identifier,系統會使用目前的快訊 ID。預設為無 (選填) |
傳回
NoneType
範例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
assigned_user= "Admin"
siemplify.assign_case(assigned_user)
結果行為
案件會指派給管理員使用者。
結果值
無
attach_workflow_to_case
attach_workflow_to_case(workflow_name, cyber_case_id=None, indicator_identifier=None)
將應對手冊附加至目前的快訊。
參數
| 參數名稱 | 參數類型 | 定義 | 可能的值 | 註解 |
|---|---|---|---|---|
| workflow_name | {string} | 工作流程 (應對手冊) 名稱 | 不適用 | 不適用 |
| cyber_case_id | {string} | 案件 ID | 234 | 如未提供案件,則會使用目前的案件。 預設為無 (選填) |
| indicator_identifier | {string} | 快訊 ID | 12345 | 如未提供快訊 ID,則會使用目前的快訊。 預設為無 (選填) |
傳回
NoneType
範例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
siemplify.attach_workflow_to_case(workflow_name, cyber_case_id, indicator_identifier)
結果行為
將指定的工作流程附加至指定指標 ID 的案件。
結果值
無
房地產案件
change_case_priority
change_case_priority(priority, case_id=None, alert_identifier=None)
變更案件優先順序。
參數
| 參數名稱 | 參數類型 | 定義 | 可能的值 | 註解 |
|---|---|---|---|---|
| 優先順序 | {int} | 各個數字代表的優先順序分別為: 低、中、高和緊急 |
{"Low": 40, "Medium": 60, "High": 80, "Critical": 100} | 不適用 |
| case_id | {string} | 案件 ID | 12345 | 如未提供案件,則會使用目前的案件 |
| alert_identifier | {string} | 快訊 ID | 123 | 如未提供快訊 ID,系統會使用目前的快訊 |
傳回
NoneType
範例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
priority_to_change_to = 60
siemplify.change_case_priority(priority=priority_to_change_to )
結果行為
案件優先順序變更為「中」。
結果值
無
change_case_stage
change_case_stage(stage, case_id=None, alert_identifier=None)
變更案件階段
參數
| 參數名稱 | 參數類型 | 定義 | 可能的值 | 註解 |
|---|---|---|---|---|
| 在此流程的各個階段 | {string} | 階段應與案件階段表格中定義的字串完全相符 | 事件、 調查 |
不適用 |
| case_id | {string} | 案件 ID | 12345 | 如未提供案件,則會使用目前的案件 |
| alert_identifier | {string} | 快訊 ID | 123 | 如未提供快訊 ID,系統會使用目前的快訊 |
傳回
範例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
stage_to_change_to = "Investigation"
siemplify.change_case_stage(stage=stage_to_change_to)
結果行為
案件狀態會變更為「調查」。
結果值
無
close_alert
close_alert(root_cause, comment, reason, case_id=None, alert_id=None)
關閉目前的快訊。
參數
| 參數名稱 | 參數類型 | 定義 | 可能的值 | 註解 |
|---|---|---|---|---|
| root_cause | {string} | 案件關閉根本原因 | 設定中「案件關閉根本原因」 表格的字串 |
不適用 |
| 留言 | {string} | 註解 | 您可以在這裡使用任何字串 | 註解應說明案件, 但不受限制 |
| 原因 | {ApiSyncAlertCloseReasonEnum} | 手動操作時,對話方塊中會顯示三種預先定義的字串:「NotMalicious」、「Malicious」和「Maintenance」 |
請參閱 SiemplifyDataModel.ApiSyncAlertCloseReasonEnum |
傳回
伺服器作業的 {dict} 結果
範例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
reason = "Maintenance"
root_cause = "Employee Error"
comment = "User accidentally activated a correlation before it was ready to be used and triggered this alert"
siemplify.close_alert(reason=reason, root_cause=root_cause, comment=comment)
結果行為
系統會將目前的快訊移至新案件,然後連同快訊一併關閉。
結果值
無
close_case
close_case(root_cause, comment, reason, case_id=None, alert_identifier=None)
關閉案件。
參數
| 參數名稱 | 參數類型 | 定義 | 可能的值 | 註解 |
|---|---|---|---|---|
| root_cause | {string} | 案件關閉根本原因 | 不適用 | 不適用 |
| 留言 | {string} | 註解 | 您可以在這裡使用任何字串 | 註解應說明案件,但不受限制 |
| 原因 | {ApiSyncAlertCloseReasonEnum} | 案件關閉原因 | 手動操作時,對話方塊中會顯示三種預先定義的字串:「NotMalicious」、「Malicious」和「Maintenance」 | |
| case_id | {string} | 案件 ID | 12345 | 如未提供案件,則會使用目前的案件 |
| alert_identifier | {string} | 快訊 ID | 123 | 如未提供快訊 ID,系統會使用目前的快訊 |
傳回
NoneType
範例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
reason = "Maintenance"
root_cause = "Employee Error"
comment = "User accidentally activated a correlation before it was ready to be used and triggered this alert"
siemplify.close_case(reason=reason, root_cause=root_cause, comment=comment)
結果行為
案件會以指定原因、根本原因和註解結案。
結果值
無
create_case_insight
create_case_insight(triggered_by, title, content, entity_identifier, severity, insight_type, additional_data=None, additional_data_type=None, additional_data_title=None)
在案件中新增洞察。
參數
| 參數名稱 | 參數類型 | 定義 | 可能的值 | 註解 |
|---|---|---|---|---|
| triggered_by | {string} | 整合作業名稱 | VirusTotal、XForce | 不適用 |
| title | {string} | 洞察標題 | 由 VirusTotal 充實資料 | 不適用 |
| 內容 | {string} | 洞察訊息 | 洞察訊息 | 不適用 |
| entity_identifier | {string} | 實體 ID | example.com | 不適用 |
| 嚴重性 | {int} | 嚴重性等級 | 0 = 資訊、 1 = 警告、 2 = 錯誤 |
|
| insight_type | {int} | 深入分析結果類型 | 0 = 一般, 1 = 實體 |
不適用 |
| additional_data | {string} | 洞察的其他資料 | {"checked against": "VT", "malicious": "No"} | 不適用 |
| additional_data_type | {int} | 額外資料類型 | 'General'=0, 'Entity'=1 |
不適用 |
| additional_data_title | {string} | 洞察資料的其他資料標題 | VT 檢查 | 不適用 |
傳回
{boolean} True if success. 否則為 False。
範例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
siemplify.create_case_insight(triggered_by, title, content, entity_identifier, severity, insight_type, additional_data, additional_data_type, additional_data_title)
結果行為
根據定義的資料建立案件洞察。
True (如果已建立案件洞察資料)。否則為 False。
結果值
True 或 False
property current_alert
dismiss_alert
dismiss_alert(alert_group_identifier, should_close_case_if_all_alerts_were_dismissed, case_id=None)
資源環境
escalate_case
escalate_case(comment, case_id=None, alert_identifier=None)
提報案件。
參數
| 參數名稱 | 參數類型 | 定義 | 可能的值 | 註解 |
|---|---|---|---|---|
| 留言 | {string} | 提報留言 | 不適用 | 不適用 |
| case_id | {string} | 案件 ID | 12345 | 不適用 |
| alert_identifier | {string} | 快訊 ID | 123 | 不適用 |
extract_action_param
extract_action_param(param_name, default_value=None, input_type=<class 'str'>, is_mandatory=False, print_value=False)
取得動作指令碼參數。
參數
| 參數名稱 | 參數類型 | 定義 | 可能的值 | 註解 |
|---|---|---|---|---|
| param_name | {string} | 參數名稱 | 可供動作使用的任何參數名稱 | 不適用 |
| default_value | {any} | 參數的預設值 | 如果未設定參數,系統會傳回指定值 (如果 is_mandatory 設為 False) |
如果未傳遞參數,請預設使用這個值。 預設為無 (選填) |
| input_type | {obj} | 將參數轉換為其他類型 | 整數 | 預設為 str (選用) |
| is_mandatory | {boolean} | 如果參數為空白,則會引發例外狀況 | True/False | 預設為 False |
| print_value | {boolean} | 將值列印到記錄檔 | True/False | 預設為 False |
傳回
參數值,預設為 {string},除非指定 input_type。
範例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
param_value= siemplify.extract_action_param(
"Threshold",
default_value=-1,
input_type=int,
is_mandatory=False,
print_value=False)
結果行為
系統會傳回所選參數的值,並轉換為所選類型。
結果值
20
fetch_and_save_timestamp
fetch_and_save_timestamp(datetime_format=False, timezone=False, new_timestamp=1683033493671)
擷取時間戳記並儲存至案件脈絡。
參數
| 參數名稱 | 參數類型 | 定義 | 可能的值 | 註解 |
|---|---|---|---|---|
| datetime_format | {boolean} | 日期/時間格式 | True 代表取得日期時間格式,False 代表取得 Unix 格式 | 預設為 False (選用) |
| 時區 | 不再支援參數 | |||
| new_timestamp | {int} | 要儲存的時間戳記 | 不適用 | 預設為 Unix 紀元時間 (選用) |
傳回
{int} datetime。
範例
from SiemplifyAction import SiemplifyAction
sa = SiemplifyAction()
sa.fetch_and_save_timestamp(self, datetime_format=False, new_timestamp=SiemplifyUtils.Unix_now())
結果行為
系統會擷取最新的時間戳記,並以 TIMESTAMP 檔案的形式儲存在目前目錄中。
結果值
datetime.datetime(2019, 7, 16, 14, 26, 2, 26000)/1563276380
fetch_timestamp
fetch_timestamp(datetime_format=False, timezone=False)
取得透過 save_timestamp 儲存的時間戳記。
參數
| 參數名稱 | 參數類型 | 定義 | 可能的值 | 註解 |
|---|---|---|---|---|
| datetime_format | {boolean} | 如果為 True,則以 datetime 形式傳回時間戳記。否則,以 Unix 格式傳回 | True/False | 預設為 False (選用) |
| 時區 | 不再支援參數 | |||
傳回
已儲存 Unix 紀元時間和日期時間。
範例
from SiemplifyAction import SiemplifyAction
sa = SiemplifyAction()
result = sa.fetch_timestamp(datetime_format=True)
結果行為
系統會擷取最新的時間戳記,並以 TIMESTAMP 檔案的形式儲存在目前目錄中。
結果值
datetime.datetime(2019, 7, 16, 14, 26, 2, 26000)/1563276380
get_alert_context_property
get_alert_context_property(property_key)
從目前的快訊取得內容屬性。
參數
| 參數名稱 | 參數類型 | 定義 | 可能的值 | 註解 |
|---|---|---|---|---|
| property_key | {string} | 所要求屬性的鍵 | 不適用 | 不適用 |
傳回
{string} 屬性值
get_alerts_ticket_ids_from_cases_closed_since_timestamp
get_alerts_ticket_ids_from_cases_closed_since_timestamp(timestamp_unix_ms, rule_generator)
取得自時間戳記以來已結案案件的快訊。
參數
| 參數名稱 | 參數類型 | 定義 | 可能的值 | 註解 |
|---|---|---|---|---|
| timestamp_unix_ms | {long} | 時間戳記 | 1550409785000L | 不適用 |
| rule_generator | {string} | 不適用 | 網路釣魚電子郵件偵測工具 | 不適用 |
傳回
{[string]} 快訊 ID 清單
get_attachments
get_attachments(case_id=None)
從案件取得附件。
這個函式會從類別和實體清單取得自訂清單項目清單,並傳回自訂清單項目物件清單。
參數
| 參數名稱 | 參數類型 | 定義 | 可能的值 | 註解 |
|---|---|---|---|---|
| case_id | {string} | 案件 ID | 234 | 如未提供案件,系統會使用目前的案件 (選用) |
傳回
{dict} 個附件
範例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
result = siemplify.get_attachments(case_id="234")
結果行為
系統會傳回案件 ID 234 的附件字典清單。
結果值
[{u'is_favorite': False, u'description': u'test', u'type': u'.exe', u'id': 4, u'name': u'chrome_proxy'}]
get_case_comments
get_case_comments(case_id=None)
取得案件註解。
參數
| 參數名稱 | 參數類型 | 定義 | 可能的值 | 註解 |
|---|---|---|---|---|
| case_id | {string} | 案件 ID | 234 | 如未提供案件,則會使用目前的案件 |
傳回
案件註解 {[dict]}
範例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
siemplify.get_case_comments(case_id)
結果行為
系統會擷取該案件的所有留言。
結果值
[{'comment': u'this is a comment',
u'is_deleted': False,
u'last_editor_full_name': u'example user',
u'modification_time_unix_time_in_ms_for_client': 0,
u'creation_time_unix_time_in_ms': 1681904404087, u'id': 12,
u'modification_time_unix_time_in_ms': 1681904404087,
u'case_id': 234,
u'is_favorite': False,
u'alert_identifier': None,
u'creator_user_id': u'cd1c112a-0277-44a9-b68d-98ceef9b0399',
u'last_editor': u'cd1c112a-0277-44a9-b68d-98ceef9b0399',
u'type': 5,
u'comment_for_client': None,
u'creator_full_name': u'example user'}]
get_case_context_property
get_case_context_property(property_key)
取得案件內容屬性。
參數
| 參數名稱 | 參數類型 | 定義 | 可能的值 | 註解 |
|---|---|---|---|---|
| property_key | {string} | 要求的金鑰屬性 | 不適用 | 不適用 |
傳回
{string} 屬性值
get_configuration
get_configuration(provider, environment=None, integration_instance=None)
取得整合設定。
參數
| 參數名稱 | 參數類型 | 定義 | 可能的值 | 註解 |
|---|---|---|---|---|
| 供應商 | {string} | 整合作業名稱 | VirusTotal | |
| 環境 | {string} | 特定環境或「全部」的設定 | 選填。 如果提供憑證,系統會從相應的 環境設定中擷取憑證。如未指定環境,系統預設會使用案件環境。 如果特定環境沒有設定, 系統會傳回預設設定。 |
|
| integration_instance | {string} | 整合執行個體的 ID | 不適用 | 不適用 |
傳回
{dict} 設定詳細資料
get_similar_cases
get_similar_cases(consider_ports, consider_category_outcome, consider_rule_generator, consider_entity_identifiers, days_to_look_back, case_id=None, end_time_unix_ms=None)
取得類似案件。
參數
| 參數名稱 | 參數類型 | 定義 | 可能的值 | 註解 |
|---|---|---|---|---|
| consider_ports | {boolean} | 參數會設定是否要使用通訊埠篩選器 | True/false | 不適用 |
| consider_category_outcome | {boolean} | 參數會設定是否要將事件的類別結果納入考量 | True/false | 不適用 |
| consider_rule_generator | {boolean} | 參數會設定是否要將規則產生器納入快訊考量 | True/false | 不適用 |
| consider_entity_identifiers | {boolean} | 這個參數會設定是否要將實體 ID 納入快訊考量 | True/false | 不適用 |
| days_to_look_back | {int} | 參數會設定要回溯多少天,以尋找類似案件 | 365 | 不適用 |
傳回
案件 ID 清單 {[int]}
範例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
result = siemplify.get_similar_cases(consider_ports=True,
consider_category_outcome=False,
consider_rule_generator=False,
consider_entity_identifiers=False,
days_to_look_back=30, case_id="234", end_time_unix_ms=None)
結果行為
系統會傳回類似於案件 234 的案件 ID 清單。
結果值
[4, 231]
get_ticket_ids_for_alerts_dismissed_since_timestamp
get_ticket_ids_for_alerts_dismissed_since_timestamp(timestamp_unix_ms)
property is_timeout_reached
load_case_data
load_case_data()
這個函式會載入案件資料。
參數
不需要參數。
傳回
NoneType
範例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
result = siemplify.load_case_data()
結果行為
系統會載入案件資料。
結果值
無
屬性 log_location
mark_case_as_important
mark_case_as_important(case_id=None, alert_identifier=None)
將案件標示為重要。
參數
| 參數名稱 | 參數類型 | 定義 | 可能的值 | 註解 |
|---|---|---|---|---|
| case_id | {string} | 案件 ID | 234 | 不適用 |
| alert_identifier | {string} | 快訊 ID | 12345 | 不適用 |
傳回
NoneType
範例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
siemplify.mark_case_as_important()
結果行為
目前的案件已標示為重要。
結果值
無
raise_incident
raise_incident(case_id=None, alert_identifier=None)
提出事件。
參數
| 參數名稱 | 參數類型 | 定義 | 可能的值 | 註解 |
|---|---|---|---|---|
| case_id | {string} | 案件 ID | 234 | 不適用 |
| alert_identifier | {string} | 快訊 ID | 12345 | 不適用 |
傳回
NoneType
範例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
siemplify.raise_incident(case_id, alert_identifier)
結果行為
案件已提報為事件。
結果值
無
remove_alert_entities_from_custom_list
remove_alert_entities_from_custom_list(category_name)
從指定類別的自訂清單記錄中移除快訊的實體。
參數
| 參數名稱 | 參數類型 | 定義 | 可能的值 | 註解 |
|---|---|---|---|---|
| category_name | {string} | 自訂清單類別 | `WhiteListed HOSTs` | 不適用 |
傳回
已移除的 CustomList 物件清單 {[CustomList]}。
範例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
result = siemplify.remove_alert_entities_from_custom_list("WhiteListed HOSTs")
結果行為
已移除「WhiteListed HOSTS」。
結果值
[<SiemplifyDataModel.CustomList object at 0x0000000003476E10>,
<SiemplifyDataModel.CustomList object at 0x0000000003476B00>]
save_timestamp
save_timestamp(datetime_format=False, timezone=False, new_timestamp=1683033493671)
將時間戳記儲存至目前的指令碼環境。
參數
| 參數名稱 | 參數類型 | 定義 | 可能的值 | 註解 |
|---|---|---|---|---|
| datetime_format | {boolean} | 不適用 | 日期時間格式為 True,Unix 為 False | 預設值為 False (選用) |
| 時區 | 不再支援參數 | |||
| new_timestamp | {long} | 要儲存至情境的時間戳記 | 不適用 | 時間戳記預設為呼叫方法時的 Unix 時間戳記 |
傳回
NoneType
範例
from SiemplifyAction import SiemplifyAction
sa = SiemplifyAction()
sa.save_timestamp(self, datetime_format=False, new_timestamp=SiemplifyUtils.unix_now())
結果行為
新的時間戳記會以 TIMESTAMP 檔案的形式儲存在目前目錄中。
結果值
無
set_alert_context_property
set_alert_context_property(property_key, property_value)
依鍵/值組合設定快訊內容屬性。
參數
| 參數名稱 | 參數類型 | 定義 | 可能的值 | 註解 |
|---|---|---|---|---|
| property_key | {string} | 要儲存至內容的屬性鍵 | 不適用 | 不適用 |
| property_value | {string} | 要儲存至內容的屬性值 | 不適用 | 不適用 |
set_alert_sla
set_alert_sla(period_time, period_type, critical_period_time, critical_period_type, case_id=None, alert_id=None)
設定指定 alert_identifier 的 case_id 服務水準協議。使用這個 API 設定的服務等級協議應高於所有其他快訊服務等級協議類型。
參數
| 參數名稱 | 參數類型 | 定義 | 可能的值 | 註解 |
|---|---|---|---|---|
| period_time | {int/str} | 服務水準協議總期間 | 不適用 | period_time > 0 |
| period_type | {string} | period_time 的時間單位,以 ApiPeriodTypeEnum 表示 | 不適用 | 不適用 |
| critical_period_time | {int/str} | 重大服務水準協議期間 | 不適用 | critical_period_time >= 0 (以時間單位縮放後) 關鍵期應小於總期。 |
| critical_period_type | {string} | critical_period_time 的時間單位, 以 ApiPeriodTypeEnum 表示 |
||
| case_id | {long} | 案件 ID | 234 | 不適用 |
| alert_id | {string} | 快訊 ID | 12345 | 不適用 |
set_case_context_property
set_case_context_property(property_key, property_value)
使用鍵/值組合設定案件背景資訊屬性。
參數
| 參數名稱 | 參數類型 | 定義 | 可能的值 | 註解 |
|---|---|---|---|---|
| property_key | {string} | 屬性的鍵 | 不適用 | 不適用 |
| property_value | {string} | 屬性的值 | 不適用 | 不適用 |
set_case_sla
set_case_sla(period_time, period_type, critical_period_time, critical_period_type, case_id=None)
如果提供 case_id,則設定該 case_id 的服務水準協議;否則,設定目前案件的服務水準協議。使用這個 API 設定的服務等級協議應超越所有其他案件服務等級協議類型。
參數
| 參數名稱 | 參數類型 | 定義 | 可能的值 | 註解 |
|---|---|---|---|---|
| period_time | {int/str} | 服務水準協議總期間 | 不適用 | period_time > 0 |
| period_type | {string} | period_time 的時間單位,以 ApiPeriodTypeEnum 表示 | 不適用 | 不適用 |
| critical_period_time | {int/str} | 重大服務水準協議期間 | 不適用 | critical_period_time >0 關鍵期 (以時間單位縮放後) 應小於總週期。 |
| critical_period_type | {string} | critical_period_time 的時間單位, 以 ApiPeriodTypeEnum 表示 |
不適用 | 不適用 |
| case_id | {long} | 案件 ID | 不適用 | 不適用 |
signal_handler
signal_handler(sig, frame)
property target_entities
target_entities 物件是實體物件清單,設定的動作可針對這些物件執行。每個實體物件都會顯示下列屬性和方法:
實體屬性
以下是實體物件的直接資料保留屬性:
| 屬性 | 資料類型 | 說明 |
|---|---|---|
identifier |
string |
實體的專屬 ID (UUID)。 |
creation_time |
int |
實體的建立時間 (Unix 時間戳記)。 |
modification_time |
int |
實體上次修改時間的 Unix 時間戳記。 |
additional_properties |
dict |
字典,內含實體的額外詳細資料。 |
case_identifier |
string |
實體所屬父項案件的 ID。 |
alert_identifier |
string |
與實體相關聯的快訊 ID。 |
entity_type |
string |
實體類型 (例如「HOSTNAME」、「USERUNQNAME」)。 |
is_internal |
bool |
指出實體是否為內部資產。 |
is_suspicious |
bool |
指出實體是否標示為可疑。 |
is_artifact |
bool |
指出實體是否為構件。 |
is_enriched |
bool |
指出實體是否已完成擴充。 |
is_vulnerable |
bool |
指出實體是否標示為易受攻擊。 |
is_pivot |
bool |
指出實體是否為樞紐實體。 |
實體方法
以下是實體物件可執行的函式:
| 方法 | 說明 |
|---|---|
to_dict() |
將實體物件轉換為標準 Python 字典。 |
try_set_alert_context_property
try_set_alert_context_property(property_key, property_value)
try_set_case_context_property
try_set_case_context_property(property_key, property_value)
update_alerts_additional_data
update_alerts_additional_data(alerts_additional_data, case_id=None)
更新快訊的其他資料。
參數
| 參數名稱 | 參數類型 | 定義 | 可能的值 | 註解 |
|---|---|---|---|---|
| case_id | {string} | 案件 ID | 234 | 不適用 |
| alerts_additional_data | {string:string} | 不適用 | 不適用 | 不適用 |
傳回
NoneType
範例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
additional_data = {"testKey":"testValue"}
siemplify.update_alerts_additional_data(alerts_additional_data=additional_data, case_id=caseid)
結果行為
使用額外資料更新快訊,例如 testKey:testValue。
結果值
無