Siemplify 模块
类 Siemplify.Siemplify
代码库:SiemplifyBase
端点:external/v1/sdk/CaseFullDetails
add_agent_connector_logs
add_agent_connector_logs(agent_id, connector_id, logs_package)
添加远程代理的 connector_id 连接器的日志。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| agent_id | {string} | 代理的标识符 | 不适用 | 不适用 |
| connector_id | {string} | 连接器实例标识符 | 不适用 | 不适用 |
| logs_package | {dict} | ConnectorLogPackage | 不适用 | 不适用 |
add_attachment
add_attachment(file_path, case_id, alert_identifier, description=None, is_favorite=False)
此函数会向支持请求墙添加一个条目,其中包含一个文件附件(可随后从客户端下载到用户的本地计算机)。此功能与添加证据(位于支持请求概览屏幕底部)的作用基本相同。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 注释 |
|---|---|---|---|---|
| file_path | {string} | 文件的路径 | 任何无障碍路径 | 路径也可以是远程位置。 您需要拥有相应文件的读取权限 |
| case_id | {string} | 支持请求标识符 | 要将附件添加到其案例墙的案例的 ID | 默认值为当前情况 |
| alert_identifier | {string} | 提醒标识符 | 您要将附件关联到的提醒的提醒标识符字符串 | 默认值为当前正在运行的提醒 |
| 说明 | {string} | 附件说明 | 任意字符串 | 默认值为 None。 可选参数。 |
| is_favorite | {boolean} | 附件收藏 | True/False | 默认值为 False。可选参数。 |
返回值
{long} attachment_id
示例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
siemplify.add_attachment(r'C:/temp/investigation.txt', description='Deep investigation report by TIER3 team', is_favorite=True)
结果行为
在此示例中,我们将本地计算机(服务器本身)上 C:/temp 中的 investigation.txt 上传到支持请求墙。系统会在支持请求墙上相应条目中添加一条评论,其中包含说明中的字符串。is_favorite 标志已设置为 True,因此此新条目也会被加星标(设为收藏)。
add_comment
add_comment(comment, case_id, alert_identifier)
向特定支持请求添加新评论。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 注释 |
|---|---|---|---|---|
| 评论 | {string} | 要添加到案例墙的评论 | “此提醒中的事件似乎很可疑” | 与支持请求相关的注释 |
| case_id | {string} | 支持请求标识符 | 234 | 无 |
| alert_identifier | {string} | 提醒标识符 | ad6879f1-b72d-419f-990c-011a2526b16d | 无 |
返回值
NoneType
示例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
add_comment = "This alert is important"
alert_identifier = "ad6879f1-b72d-419f-990c-011a2526b16d"
case_id = "234"
siemplify.add_comment(comment, case_id, alert_identifier)
结果行为
所提供的评论已添加到支持请求 234 中。
结果值
无
add_entities_to_custom_list
add_entities_to_custom_list(custom_list_items)
将随添加的实体提供的自定义列表添加到自定义列表。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| custom_list_items | {string} | 自定义列表项的列表 | 不适用 | 不适用 |
返回值
{[CustomList]} 包含已添加的自定义列表项的列表。
结果行为
实体已添加到自定义列表类别。
add_entity_insight
add_entity_insight(domain_entity_info, message, case_id, alert_id)
添加实体分析洞见。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| domain_entity_info | {string} | 实体标识符 | "192.0.2.1" | {DomainEntityInfo} |
| 消息 | {string} | 数据分析消息 | 这是 DNS 示例 | 不适用 |
| case_id | {string} | 要添加到实体洞见的案例标识符 | 234 | 不适用 |
| alert_id | {string} | 要添加到实体数据洞见的提醒标识符 | ad6879f1-b72d-419f-990c-011a2526b16d | 不适用 |
返回值
{boolean} 如果成功,则为 True
示例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
entity = "192.0.2.1"
alert_identifier = "ad6879f1-b72d-419f-990c-011a2526b16d"
case_id = "234"
siemplify.add_entity_insight(domain_entity_info=entity, message=message, case_id=case_id, alert_id=alert_identifier)
结果行为
在案例 234 中,指定消息会作为数据洞见添加到指定提醒标识符的实体 192.0.2.1。
结果值
正确。
如果未添加数据洞见,则为 False。
add_entity_to_case
add_entity_to_case(case_id, alert_identifier, entity_identifier, entity_type, is_internal, is_suspicious, is_enriched, is_vulnerable, properties, environment)
向支持请求添加实体。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| case_id | {string} | 支持请求标识符 | 234 | 不适用 |
| alert_identifier | {string} | 提醒标识符 | ad6879f1-b72d-419f-990c-011a2526b16d | 不适用 |
| entity_identifier | {string} | 实体标识符 | 192.0.2.1、example.com | 不适用 |
| entity_type | {string} | 实体标识符的实体类型 | “ADDRESS” | 不适用 |
| is_internal | {boolean} | 不适用 | True/False | 不适用 |
| is_suspicious | {boolean} | 不适用 | True/False | |
| is_enriched | {boolean} | 不适用 | True/False | 默认值为 False |
| is_vulnerable | {boolean} | 不适用 | True/False | 默认值为 False |
| 属性 | {dict} | 实体的属性 | {"property":"value"} | 不适用 |
| 环境 | {string} | 已定义的环境之一 | 示例环境 | 不适用 |
返回值
NoneType
示例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
case_id = "234"
alert_identifier = "ad6879f1-b72d-419f-990c-011a2526b16d"
entity = "192.0.2.1"
entity_type = "ADDRESS"
properties = {"property": "value"}
siemplify.add_entity_to_case(case_id=case_id,
alert_identifier = alert_identifier,
entity_identifier = entity,
entity_type = entity_type,
is_internal = True,
is_suspicious = False,
is_enriched = False,
is_vulnerable = False,
properties = properties,
environment=None)
结果行为
系统会将包含所提供信息的实体添加到案例 234 中的指定提醒。
结果值
无
add_or_update_case_task
add_or_update_case_task(task)
添加或更新任务案例:如果有任务 ID,则更新;否则,添加(创建)。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| 任务 | {Task} | 应添加到支持请求或更新的支持请求的任务对象 | 不适用 | 不适用 |
返回值
{int} 新任务或更新后任务的 ID。
add_tag
add_tag(tag, case_id, alert_identifier)
向特定支持请求添加新标签。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| 标记 | {string} | 要添加的标记 | 不适用 | 不适用 |
| case_id | {string} | 支持请求标识符 | 234 | 不适用 |
| alert_identifier | {string} | 提醒标识符 | ad6879f1-b72d-419f-990c-011a2526b16d | 不适用 |
any_entity_in_custom_list
any_entity_in_custom_list(custom_list_items)
检查给定列表中的任何实体是否具有指定类别的自定义列表记录。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| custom_list_items | {[CustomList]} | 要检查实体的自定义列表项的列表 | 不适用 | 不适用 |
返回值
{boolean} 如果找到了实体,则为 True;否则为 False。
结果值
True 或 False
assign_case
assign_case(user, case_id, alert_identifier)
此函数会将当前支持请求分配给用户。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| 用户 | {string} | 用户/角色 | 管理员,@Tier1 | 不适用 |
| case_id | {string} | 要分配用户的支持请求标识符 | 234 | 不适用 |
| alert_identifier | {string} | 要分配给用户的提醒标识符 | ad6879f1-b72d-419f-990c-011a2526b16d | 此值是在操作的运行时提取的 |
返回值
NoneType
结果行为
系统会将支持请求分配给指定用户。
结果值
无
attach_workflow_to_case
attach_workflow_to_case(workflow_name, cyber_case_id, indicator_identifier)
将策略方案附加到支持请求。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| workflow_name | {string} | 工作流名称 | 不适用 | 不适用 |
| cyber_case_id | {string} | 支持请求标识符 | 234 | 不适用 |
| indicator_identifier | {string} | 提醒标识符 | ad6879f1-b72d-419f-990c-011a2526b16d | 不适用 |
返回值
{string} 服务器操作的状态代码
示例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
alert_identifier = "ad6879f1-b72d-419f-990c-011a2526b16d"
case_id = "234"
workflow_name = "Workflow 234"
siemplify.attach_workflow_to_case(workflow_name=workflow_name, cyber_case_id=case_id, indicator_identifier=alert_identifier)
结果行为
工作流 234 将附加到支持请求 234。
结果值
无
batch_update_case_id_matches
batch_update_case_id_matches(case_id_matches)
批量更新具有相应外部支持请求 ID 的支持请求。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| case_id_matches | {list} | SyncCaseIdMatch 对象的列表 |
返回值
{list} 已成功更新的支持请求 ID 列表。
change_case_priority
change_case_priority(priority, case_id, alert_identifier)
更改支持请求的优先级。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| 优先级 | {int} | 要更改的支持请求优先级 | 40/60/80/100 | 请参阅 ApiSyncCasePriorityEnum。 优先级映射:{"Low": 40, "Medium": 60, "High": 80, "Critical": 100} |
| case_id | {string} | 支持请求标识符 | 234 | 不适用 |
| alert_identifier | {string} | 提醒标识符 | ad6879f1-b72d-419f-990c-011a2526b16d | 不适用 |
返回值
NoneType
示例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
priority = 40
alert_identifier = "ad6879f1-b72d-419f-990c-011a2526b16d"
case_id = "234"
siemplify.change_case_priority(priority=priority, case_id=case_id, alert_identifier=alert_identifier)
结果行为
支持请求 234 的优先级更改为 40,这会映射到“低”。
结果值
无
change_case_stage
change_case_stage(stage, case_id, alert_identifier)
更改支持请求阶段。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| 流程中的 | {string} | 支持请求的当前阶段。 | 突发事件 | 不适用 |
| case_id | {string} | 支持请求标识符 | 不适用 | 不适用 |
| alert_identifier | {string} | 提醒标识符 | ad6879f1-b72d-419f-990c-011a2526b16d | 不适用 |
check_marketplace_status
check_marketplace_status()
检查应用商店状态。
如果没有错误,该函数会返回 none。否则,系统会返回异常。
参数
不适用
返回值
无
close_alert
close_alert(root_cause, comment, reason, case_id, alert_id)
此函数会关闭当前提醒。这与从案例概览中手动关闭提醒的效果相同。与关闭支持请求提醒一样,此函数需要关闭原因、根本原因和注释。
关闭提醒会关闭仅包含一条提醒的新案例。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| root_cause | {string} | 关闭案例的根本原因 | 不适用 | 不适用 |
| 评论 | {string} | 评论 | 不适用 | 不适用 |
| reason | {ApiSyncAlertCloseReasonEnum} | 不适用 | 不适用 | 请参阅 SiemplifyDataModel.ApiSyncAlertCloseReasonEnum |
| case_id | {string} | 提醒所属的支持请求标识符 | 234 | 不适用 |
| alert_id | {string} | 要关闭的提醒的标识符 | ad6879f1-b72d-419f-990c-011a2526b16d | 不适用 |
返回值
{dict} 服务器操作的结果
close_case
close_case(root_cause, comment, reason, case_id, alert_identifier)
关闭支持请求。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| root_cause | {string} | 关闭支持请求的根本原因 | 不适用 | 不适用 |
| 评论 | {string} | 评论 | 不适用 | 不适用 |
| reason | {ApiSyncAlertCloseReasonEnum} | 关闭支持请求的原因 | 请参阅 SiemplifyDataModel.ApiSyncAlertCloseReasonEnum | |
| case_id | {string} | 支持请求标识符 | 234 | 不适用 |
| alert_id | {string} | 提醒标识符 | ad6879f1-b72d-419f-990c-011a2526b16d | 不适用 |
create_case
create_case(case_info)
此函数会根据 case_info 字典中包含的提醒和事件创建支持请求。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| case_info | {CaseInfo} | 支持请求信息对象 | 不适用 | 查看SiemplifyConnectorsDataModel.CaseInfo |
返回值
NoneType
结果行为
系统会创建包含所提供支持请求数据的支持请求。
结果值
无
create_case_insight_internal
create_case_insight_internal(case_id, alert_identifier, triggered_by, title, content, entity_identifier, severity, insight_type, additional_data=None, additional_data_type=None, additional_data_title=None, original_requesting_user=None, entity_type=None)
添加分析洞见。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| case_id | {string} | 支持请求标识符 | 234 | 不适用 |
| alert_identifier | {string} | 提醒标识符 | ad6879f1-b72d-419f-990c-011a2526b16d | 不适用 |
| triggered_by | {string} | 集成名称 | 不适用 | 不适用 |
| title | {string} | 数据分析标题 | 不适用 | 不适用 |
| 内容 | {string} | 数据分析消息 | 不适用 | 不适用 |
| entity_identifier | {string} | 实体标识符 | 不适用 | 不适用 |
| 和程度上减少 | {int} | 严重程度标识符 | 0 = 信息, 1 = 警告, 2 = 错误 |
不适用 |
| insight_type | {int} | 数据分析类型 | 0 = 常规, 1 = 实体 |
不适用 |
| additional_data | 不适用 | 不适用 | 不适用 | 不适用 |
| additional_data_type | 不适用 | 不适用 | 不适用 | 不适用 |
| additional_data_title | 不适用 | 不适用 | 不适用 | 不适用 |
| original_requesting_user | 不适用 | 不适用 | 不适用 | 不适用 |
| entity_type | {string} | 实体类型 | “ADDRESS” | 不适用 |
返回值
{boolean} 如果成功,则为 True。
create_connector_package
create_connector_package(connector_package)
在系统中创建连接器软件包。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| connector_package | {string} | 以 JSON 格式表示的连接器软件包 | 不适用 | 不适用 |
dismiss_alert
dismiss_alert(alert_group_identifier, should_close_case_if_all_alerts_were_dismissed, case_id)
end
end(message, result_value, execution_state=0)
结束脚本。
end() 函数之后的任何其他代码都不会执行。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| 消息 | {string} | 要向客户端显示的消息输出 | 完成了操作 | 不适用 |
| result_value | {int/string/dict} | 返回值 | 不适用 | 不适用 |
| execution_state | {int} | 当前操作状态的指示器。主要用于异步操作,用于标记操作是否已完成。 | 0 (EXECUTION_STATE_COMPLETED)、 1 (EXECUTION_STATE_INPROGRESS)、 2 (EXECUTION_STATE_FAILED)、 3 (EXECUTION_STATE_TIMEDOUT) |
默认值为 0 |
返回值
将结果数据返回到宿主进程。
end_script
end_script()
escalate_case
escalate_case(comment, case_id, alert_identifier)
上报支持请求。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| 评论 | {string} | 上报评论 | 不适用 | 不适用 |
| case_id | {string} | 支持请求标识符 | 234 | 不适用 |
| alert_identifier | {string} | 提醒标识符 | ad6879f1-b72d-419f-990c-011a2526b16d | 不适用 |
extract_configuration_param
extract_configuration_param(provider_name, param_name, default_value=None, input_type=<class 'str'>, is_mandatory=False, print_value=False)
从集成实例获取配置参数。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| provider_name | {string} | 集成的名称 | 不适用 | 不适用 |
| param_name | {string} | 参数的名称 | 不适用 | 不适用 |
| default_value | {any} | 如果未传递参数,则默认使用此值 | 不适用 | 默认无(可选) |
| input_type | {obj} | 将参数转换为其他类型 | 不适用 | 例如,int。默认情况下为 str(可选) |
| is_mandatory | {bool} | 如果参数为空,则会引发异常 | 不适用 | 默认值为 False(可选) |
| print_value | {bool} | 将值输出到日志 | 不适用 | 默认值为 False(可选) |
返回值
参数值(默认情况下为字符串),除非指定了 input_type。
静态 generate_serialized_object
generate_serialized_object(object_filter)
get_agent_by_id
get_agent_by_id(agent_id)
按 ID 获取代理的详细信息。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| agent_id | {str} | 客服人员的 ID | 不适用 | 不适用 |
返回值
{dict} 发布商详细信息
get_alerts_ticket_ids_from_cases_closed_since_timestamp
get_alerts_ticket_ids_from_cases_closed_since_timestamp(timestamp_unix_ms, rule_generator)
接收自时间戳以来已关闭的支持请求的提醒。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| timestamp_unix_ms | {long} | 时间戳 | 1550409785000L | 不适用 |
| rule_generator | {string} | 不适用 | “钓鱼式攻击电子邮件检测器” | 不适用 |
返回值
{list} 条提醒
get_attachment
get_attachment(attachment_id)
按标识符获取附件数据。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| attachment_id | {string} | 附件标识符 | 不适用 | 不适用 |
返回值
{BytesIO} 附件数据
get_attachments
get_attachments(case_id)
从支持请求中获取附件。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| case_id | {string} | 支持请求标识符 | 234 | 不适用 |
返回值
{dict} 个附件
结果值
[{"is_favorite": False, "description": "", "type": ".txt", "id": 1, "name":
"test.py"}]
get_case_by_id
get_case_by_id(case_id)
使用支持请求 ID 获取支持请求。
此函数会与以下端点互动:
external/v1/sdk/CaseFullDetails
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| case_id | {[string]} | 支持请求 ID | 不适用 | 不适用 |
返回值
{dict} 案例数据。
get_case_closure_details
get_case_closure_details(case_id_list)
获取支持请求关闭详情。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| case_id_list | {[string]} | 支持请求 ID 列表 | 不适用 | 不适用 |
返回值
{[dict]} 包含支持服务请求关闭详情的字典列表。
结果值
[{'case_closed_action_type': 1, 'reason': NotMalicious', 'root_cause':
'Other'}]
对于 case_closed_action_type 参数,可能的值如下:
- 0 = 自动
- 1 = 手动
get_case_comments
get_case_comments(case_id)
此函数用于从提供的支持请求中获取评论。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| case_id | {string} | 支持请求标识符 | 234 | 不适用 |
返回值
列表
示例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
siemplify.get_case_comments(case_id)
结果行为
系统将提取相应支持请求的所有评论。
结果值
[
{
u 'comment': u 'Test',
u 'case_id': 10085,
u 'is_favorite': False,
u 'alert_identifier': None,
u 'creator_user_id': u 'Admin',
u 'type': 5,
u 'id': 1,
u 'modification_time_unix_time_in_ms': 1563272078332L
}, {
u 'comment': u 'jhfksdh',
u 'case_id': 10085,
u 'is_favorite': False,
u 'alert_identifier': None,
u 'creator_user_id': u 'Admin',
u 'type': 5,
u 'id': 2,
u 'modification_time_unix_time_in_ms': 1563272079941L
}, {
u 'comment': u 'kjfhsdm',
u 'case_id': 10085,
u 'is_favorite': False,
u 'alert_identifier': None,
u 'creator_user_id': u 'Admin',
u 'type': 5,
u 'id': 3,
u 'modification_time_unix_time_in_ms': 1563272080598L
}
]
get_case_tasks
get_case_tasks(case_id)
按支持请求 ID 检索所有任务。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| case_id | {int/str} | 支持请求 ID | 234 | 该函数可以接收 int 或 str |
返回值
{[Task]} 相应支持请求的任务对象列表。
请参阅 SiemplifyDataModel.Task。
get_cases_by_filter
get_cases_by_filter(environments=None, analysts=None, statuses=None, case_names=None, tags=None, priorities=None, stages=None, case_types=None, products=None, networks=None, ticked_ids_free_search='', case_ids_free_search='', wall_data_free_search='', entities_free_search='', start_time_unix_time_in_ms=-1, end_time_unix_time_in_ms=-1)
按请求的过滤条件获取支持请求。
*caseFilterValue* object - { 'Title':'Merged Case', 'Value': 'Merged', 'Title':'Involved Suspicious Entity', 'Value': 'InvolvedSuspiciousEntity', 'Title':'Manual', 'Value': 'Manual', 'Title':'Simulated Alerts', 'Value': 'Simulated',}
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| environments | {[string]} | 环境名称列表(环境) | 不适用 | 如果未提供任何环境,则使用 None(可选) |
| 分析师 | {[string]} | 分析师姓名列表(分配了支持请求的用户/角色), | 不适用 | 如果未提供分析师,则使用 None(可选) |
| statuses | {[int]} | 要按哪些状态进行过滤 | 不适用 | 请参阅 ApiSyncCaseStatusEnum。 如果未提供任何状态,则使用 None(可选) |
| case_names | {[string]} | 支持请求名称列表 | 不适用 | 如果未提供 case_names,则使用 None(可选) |
| 标签 | {[string]} | 支持请求标记列表 | 不适用 | 如果未提供任何标记,则使用 None(可选) |
| 优先事项 | {[int]} | 优先级列表 | 请参阅 ApiSyncAlertPriorityEnum。 如果未提供任何优先级,则使用 None(可选) |
|
| 阶段 | {list} | 阶段列表(caseFilterValue 对象) | 不适用 | 如果未提供任何阶段,则使用 None(可选) |
| case_types | {list} | 对象类型列表(caseFilterValue 对象) | 不适用 | 有效
如果未提供任何 |
| 产品 | {list} | 产品列表(caseFilterValue 对象) | 不适用 | 如果未提供任何商品,则使用 None(可选) |
| 网络 | {list} | 网络列表(caseFilterValue 对象) | 不适用 | 如果未提供任何网络,则使用 None(可选) |
| ticked_ids_free_search | {string} | 工单标识符 | 不适用 | 如果未提供,则默认为空字符串(可选) |
| case_ids_free_search | {string} | 支持请求标识符 | 不适用 | 如果未提供,则默认为空字符串(可选) |
| wall_data_free_search | {string} | 要搜索的字符串 | 不适用 | 如果未提供,则默认为空字符串(可选) |
| entities_free_search | {string} | 实体标识符 | 不适用 | 如果未提供,则默认为空字符串(可选) |
| start_time_unix_time_in_ms | {long} | 不适用 | 不适用 | 默认值 -1 (可选) |
| end_time_unix_time_in_ms | {long} | 不适用 | 不适用 | 默认值 -1 (可选) |
返回值
Case_ids ''
get_cases_by_ticket_id
get_cases_by_ticket_id(ticket_id)
根据工单标识符获取支持请求。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| ticket_id | {string} | 工单标识符 | 不适用 | 不适用 |
返回值
支持请求 ID 的 {[int]} 列表。
get_cases_ids_by_filter
get_cases_ids_by_filter(status, start_time_from_unix_time_in_ms=None, start_time_to_unix_time_in_ms=None, close_time_from_unix_time_in_ms=None, close_time_to_unix_time_in_ms=None, update_time_from_unix_time_in_ms=None, update_time_to_unix_time_in_ms=None, operator=None, sort_by='START_TIME', sort_order='DESC', max_results=1000)
按过滤条件获取支持请求 ID。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| 状态 | {str} | 要检索的支持请求状态 | 'OPEN'、'CLOSE'、'BOTH' | 不适用 |
| start_time_from_unix_time_in_ms | {int} | 支持请求开始时间范围(含) | 不适用 | 默认为 30 天前(可选) |
| start_time_to_unix_time_in_ms | {int} | 支持服务请求开始时间结束范围(含) | 不适用 | 默认值为当前时间(可选) |
| close_time_from_unix_time_in_ms | {int} | 支持请求结束时间起始范围(含) | 不适用 | 默认为 30 天前(可选) |
| close_time_to_unix_time_in_ms | {int} | 包含在内的结案时间结束范围。 | 不适用 | 默认值为当前时间(可选) |
| update_time_from_unix_time_in_ms | {int} | 案例修改时间起始范围(含) | 不适用 | 默认值为开始时间(可选) |
| update_time_to_unix_time_in_ms | {int} | 案例修改时间结束范围(含) | 不适用 | 默认值为当前时间(可选) |
| 运算符 | {str} | 时间过滤条件的运算符 | 或、和 | 可选 |
| sort_by | {str} | 按时间对结果进行排序 | START_TIME、UPDATE_TIME、CLOSE_TIME | 可选 |
| sort_order | {str} | 排列顺序 | 升序、降序 | 默认值为降序(可选) |
| max_results | {int} | 要返回的结果数上限 | 不适用 | 默认值为 1000,最大值为 10000(可选) |
get_configuration
get_configuration(provider, environment, integration_instance)
获取集成配置。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| provider | {string} | 集成名称 | “VirusTotal” | 不适用 |
| 环境 | {string} | 特定环境或“全部”的配置 | 不适用 | 不适用 |
| integration_instance | {string} | 集成实例的标识符 | 不适用 | 不适用 |
返回值
{dict} 配置详细信息。
get_configuration_by_provider
get_configuration_by_provider(identifier)
获取集成配置。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| provider | {string} | 集成名称 | “VirusTotal” | 不适用 |
返回值
{dict} 配置详情
get_existing_custom_list_categories
get_existing_custom_list_categories()
获取所有现有的自定义列表类别。
此函数会返回 CustomList 设置中所有类别的列表对象,而不考虑环境。
参数
不适用
返回值
包含现有类别的 {[unicode]} unicode 类型列表。
示例
from SiemplifyAction import SiemplifyAction siemplify = SiemplifyAction() result = siemplify.get_existing_custom_list_categories()
结果行为
系统会返回所有现有自定义列表的列表。
结果值
["DenyListed IPs", "AllowListed HOSTs"]
get_external_configuration
get_external_configuration(config_provider, config_name)
获取外部集成配置。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| config_provider | {string} | 不适用 | 不适用 | 不适用 |
| config_name | {string} | 不适用 | 不适用 | 不适用 |
get_integration_version
get_integration_version(integration_identifier)
获取集成版本。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| integration_identifier | {string} | 集成标识符 | 不适用 | 不适用 |
返回值
{float} 集成版本
get_publisher_by_id
get_publisher_by_id(publisher_id)
按 ID 获取发布商详细信息。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| publisher_id | {string} | 发布商的 ID | 不适用 | 不适用 |
返回值
{dict} 发布商详细信息
get_remote_connector_keys_map
get_remote_connector_keys_map(publisher_id)
按发布商 ID 获取远程连接器加密密钥。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| publisher_id | {string} | 发布商的 ID | 不适用 | 不适用 |
返回值
{dict} 键映射
get_similar_cases
get_similar_cases(case_id, ports_filter, category_outcome_filter, rule_generator_filter, entity_identifiers_filter, start_time_unix_ms, end_time_unix_ms)
获取类似支持请求。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| case_id | {string} | 支持请求标识符 | 234 | 不适用 |
| ports_filter | {boolean} | True/False 使用端口过滤条件 | True/False | 不适用 |
| category_outcome_filter | {boolean} | True/False 使用 category_outcome 过滤条件 | True/False | 不适用 |
| rule_generator_filter | {boolean} | True/False 使用 rule_generator 过滤条件 | True/False | 不适用 |
| entity_identifiers_filter | {boolean} | True/False 使用 entity_identifiers 过滤条件 | True/False | 不适用 |
| start_time_unix_ms | 不适用 | 不适用 | 不适用 | 不适用 |
| end_time_unix_ms | 不适用 | 不适用 | 不适用 | 不适用 |
返回值
{dict}
get_sync_alerts
get_sync_alerts(alert_group_ids)
检索系统同步所需的提醒信息。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| alert_group_ids | {list} | 要检索的提醒组 ID 列表 | 不适用 | 不适用 |
返回值
{[SyncAlert]} SyncAlert 对象列表。
get_sync_cases
get_sync_cases(case_ids)
检索系统同步所需的支持请求信息。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| case_ids | {list} | 要检索的支持请求 ID 的列表 | 不适用 | 不适用 |
返回值
{[SyncCase]} SyncCase 对象的列表。
get_system_info
get_system_info(start_time_unixtime_ms)
get_system_version
get_system_version()
获取当前的 Google Security Operations SOAR 版本。
参数
不适用
返回值
{string} 当前 Google Security Operations SOAR 版本
get_temp_folder_path
get_temp_folder_path()
获取临时文件夹的路径。
参数
不适用
返回值
{string} 临时文件夹的路径
get_ticket_ids_for_alerts_dismissed_since_timestamp
get_ticket_ids_for_alerts_dismissed_since_timestamp(timestamp_unix_ms)
get_updated_sync_alerts_metadata
get_updated_sync_alerts_metadata(start_timestamp_unix_ms, count, allowed_environments=None, vendor=None)
检索更新后的跟踪提醒元数据。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| start_timestamp_unix_ms | {long} | 搜索自 start_timestamp_unix_ms起更新的提醒 |
不适用 | 如果 end_timestamp_unix_ms 为 None,结束时间为请求时间。 |
| 计数 | {int} | 要提取的提醒组 ID 的数量上限 | 不适用 | 不适用 |
| allowed_environments | {[string]} | 要搜索的环境 | 不适用 | 如果 allowed_environments 为 None,则在所有环境中搜索 |
| vendor | {string} | 按供应商过滤提醒 | 不适用 | 不适用 |
返回值
{[SyncAlertMetadata]} SyncAlertMetadata 对象的列表,按 SyncAlertMetadata.tracking_time 排序。
get_updated_sync_cases_metadata
get_updated_sync_cases_metadata(start_timestamp_unix_ms, count, allowed_environments=None, vendor=None)
检索更新后的跟踪案例元数据。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| start_timestamp_unix_ms | {long} | 搜索自 start_timestamp_unix_ms起更新的支持请求 |
不适用 | 如果 end_timestamp_unix_ms 为 None,则 结束时间将为请求时间 |
| 计数 | {int} | 要提取的案例 ID 数上限 | 不适用 | 不适用 |
| allowed_environments | {[string]} | 要搜索的环境 | 不适用 | 如果 allowed_environments 为 None,则在所有环境中搜索 |
| vendor | {string} | 仅返回在 vendor 中发出的提醒所对应的支持请求 |
不适用 | 不适用 |
返回值
{[SyncCaseMetadata]} SyncCaseMetadata 对象的列表,按 SyncCaseMetadata.tracking_time 排序。
init_proxy_settings
init_proxy_settings()
参数
不适用
is_existing_category
is_existing_category(category)
检查指定类别是否存在。
给定一个类别名称,如果确切的类别名称字符串在 CustomList 设置中定义为类别,则此函数返回 True(布尔值)。
此函数会忽略环境,如果商品存在,则返回 True;否则返回 False。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| 类别 | {string} | 要检查是否存在的类别 | “列入拒绝名单的 IP 地址” | 不适用 |
返回值
{bool} 如果相应类别存在,则为 True;否则为 False。
示例 1
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
result = siemplify.is_existing_category("WhiteListed HOSTs")
示例 2
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
result = siemplify.is_existing_category("SpecialHosts")
结果行为
示例代码 1 中的结果会返回 True,而示例代码 2 中的结果会返回 False。
结果值
True 或 False
mark_case_as_important
mark_case_as_important(case_id, alert_identifier)
此函数会将当前支持请求标记为重要,并使用给定的提醒标识符。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| case_id | {string} | 支持请求标识符 | 234 | 不适用 |
| alert_identifier | {string} | 提醒标识符 | ad6879f1-b72d-419f-990c-011a2526b16d | 不适用 |
返回值
NoneType
示例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
alert_identifier = "ad6879f1-b72d-419f-990c-011a2526b16d"
case_id = "234"
siemplify.mark_case_as_important(case_id=case_id, alert_identifier=alert_identifier)
结果行为
具有所提供提醒标识符的支持请求已标记为重要。
结果值
无
raise_incident
raise_incident(case_id, alert_identifier)
此函数会以提醒标识符作为突发事件来升级当前支持请求。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| case_id | {string} | 支持请求标识符 | 234 | 不适用 |
| alert_identifier | {string} | 提醒标识符 | ad6879f1-b72d-419f-990c-011a2526b16d | 不适用 |
返回值
NoneType
示例
from SiemplifyAction import SiemplifyAction
siemplify = SiemplifyAction()
alert_identifier = "ad6879f1-b72d-419f-990c-011a2526b16d"
case_id = "234"
siemplify.raise_incident(case_id=case_id, alert_identifier=alert_identifier)
结果行为
支持请求 234 将作为突发事件提交。
结果值
无
remove_entities_from_custom_list
remove_entities_from_custom_list(custom_list_items)
从具有指定类别的自定义列表中移除实体。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| custom_list_items | {[CustomList]} | 自定义列表项的列表 | 不适用 | 不适用 |
返回值
已移除的 CustomList 对象的 {[CustomList]} 列表。
remove_temp_folder
remove_temp_folder()
删除临时文件夹及其子文件夹。
参数
不适用
媒体资源结果
send_system_notification
send_system_notification(message, message_id='SDK_CUSTOM_NOTIFICATION')
发送带有可选消息 ID 的系统通知。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| 消息 | {string} | 通知消息 | 不适用 | 不适用 |
| message_id | {string} | 通知消息标识符 | 不适用 | 不适用 |
send_system_notification_message
send_system_notification_message(message, message_id)
示例
结果行为
结果值
set_alert_sla
set_alert_sla(period_time, period_type, critical_period_time, critical_period_type, case_id, alert_identifier)
设置指定 case_id 的 alert_identifier 的 SLA。使用此 API 设置的 SLA 应高于所有其他提醒 SLA 类型。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| period_time | {int/str} | 表示整个 SLA 期限 | 不适用 | period_time > 0 |
| period_type | {str} | period_time 的时间单位, 由 ApiPeriodTypeEnum 表示 |
不适用 | 不适用 |
| critical_period_time | {int/str} | 表示关键 SLA 期限 | 不适用 | critical_period_time >= 0 关键周期(按时间单位伸缩后) 应小于总周期 |
| critical_period_type | {str} | critical_period_time 的时间单位,由 ApiPeriodTypeEnum 表示 |
不适用 | 不适用 |
| case_id | {long} | 支持请求标识符 | 不适用 | 不适用 |
| alert_identifier | {str} | 提醒标识符 | 不适用 | 不适用 |
set_case_sla
set_case_sla(period_time, period_type, critical_period_time, critical_period_type, case_id)
设置指定 case_id 的 SLA。使用此 API 设置的 SLA 应高于所有其他支持请求 SLA 类型。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| period_time | {int/string} | 表示整个 SLA 期限 | 不适用 | period_time > 0 |
| period_type | {string} | period_time 的时间单位, 由 ApiPeriodTypeEnum 表示 |
不适用 | 不适用 |
| critical_period_time | {int/string} | 表示关键 SLA 期限 | 不适用 | critical_period_time >= 0 关键周期(按时间单位伸缩后) 应小于总周期 |
| critical_period_type | {string} | critical_period_time 的时间单位,由 ApiPeriodTypeEnum 表示 |
不适用 | 不适用 |
| case_id | {long} | 支持请求标识符 | 234 | 不适用 |
update_alerts_additional_data
update_alerts_additional_data(case_id, alerts_additional_data)
更新提醒附加数据。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| case_id | {string} | 支持请求标识符 | 234 | 不适用 |
| alerts_additional_data | {dict} | 提醒的任何其他数据 | 不适用 | 不适用 |
update_entities
update_entities(updated_entities)
此函数用于更新实体。
参数
| 参数名称 | 参数类型 | 定义 | 可能的值 | 评论 |
|---|---|---|---|---|
| updated_entities | {[{string:string}]} | 不适用 | 不适用 | 不适用 |
返回值
NoneType
结果行为
使用范围后,如果所选提醒中包含新实体,系统会添加这些实体。
结果值
无