Enriquecimiento
Descripción general
El enriquecimiento es un conjunto de acciones creadas para mejorar las capacidades de las guías.
Configuración
En la pantalla de configuración, añade la API de Chronicle SOAR para enriquecer las entidades de Explorer. Para obtener una clave de API, ve a Configuración -> Avanzado -> Claves de API.
| Parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
| Clave de API | Cadena | N/A | No | Especifica la clave de API de Chronicle SOAR, que es obligatoria para enriquecer entidades de Explorer. |
Acciones
Enriquecer entidad a partir de atributos del Explorador
Descripción
Enriquece las entidades con datos de enriquecimiento históricos mediante el explorador de entidades.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
| Nombre del campo | Cadena | N/A | No | Especifica los campos del explorador de entidades que se usarán para enriquecer la entidad de destino. Admite cadenas delimitadas por comas. |
| Usar el campo Nombre como lista de permitidos | Casilla | Marcada | No | Si se marca esta opción, las entidades se enriquecerán con los campos del parámetro "Nombre del campo". Si no se marca, la lista se usará como lista de bloqueo y se añadirán otros campos. |
Ejemplo
En este caso, vamos a enriquecer todas las entidades con datos del explorador de entidades. Todos los campos disponibles se muestran en "Detalles de la entidad" en Explorador de entidades. Devuelve el resultado JSON de los pares clave-valor de los detalles de la entidad.
Configuraciones de acciones
| Parámetro | Valor |
| Entidades | Todas las entidades |
| Nombre del campo | en blanco |
| Nombre de campo de usuario como lista de permitidos | Desmarcada |
Resultados de la acción
- Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
| ScriptResult | Resultado de JSON | Resultado que se muestra a continuación |
-
Resultado de JSON
{ "193.0.0.44": {}, "ATTACHMENT.TXT": {"Source": "Added by", "size": "64", "extension": "txt", "hash_md5": "6529d73ba8183760ad174644e75684fe", "hash_sha1": "dd88508cda7bcfc71ffdbc0e26afe97d3fb9a0b6", "hash_sha256": "1f209f1560df8cb6e983dff99d7a7d2db8dc3e439226abd38ef34facdffd82ec", "hash_sha512": "310d2df6f770dafdf4f84d9851e3fad011d4eb0c5a8af9a5f6d237fb733bca41d41ad6b00efdc2b5c218207 f1a1ac99339923d3c389368f0c1d2ba58e8e1893a", "mime_type": "ASCII text, with no line terminators", "mime_type_short": "text/plain", "ole_data_1_id": "ftype", "ole_data_1_value": "Unknown file type", "ole_data_1_name": "File format", "ole_data_1_description": "", "ole_data_1_risk": "info", "ole_data_1_hide_if_false": "true", "ole_data_2_id": "container", "ole_data_2_value": "Unknown Container", "ole_data_2_name": "Container format", "ole_data_2_description": "Container type", "ole_data_2_risk": "info", "ole_data_2_hide_if_false": "true", "ole_data_3_id": "encrypted", "ole_data_3_value": "", "ole_data_3_name": "Encrypted", "ole_data_3_description": "The file is not encrypted", "ole_data_3_risk": "none", "ole_data_3_hide_if_false": "", "ole_data_4_id": "vba", "ole_data_4_value": "Yes", "ole_data_4_name": "VBA Macros", "ole_data_4_description": "This file contains VBA macros. No suspicious keyword was found. Use olevba and mraptor for more info.", "ole_data_4_risk": "Medium", "ole_data_4_hide_if_false": "", "ole_data_5_id": "xlm", "ole_data_5_value": "No", "ole_data_5_name": "XLM Macros", "ole_data_5_description": "This file does not contain Excel 4/XLM macros.", "ole_data_5_risk": "none", "ole_data_5_hide_if_false": "", "ole_data_6_id": "ext_rels", "ole_data_6_value": "", "ole_data_6_name": "External Relationships", "ole_data_6_description": "External relationships such as remote templates, remote OLE objects, etc", "ole_data_6_risk": "none", "ole_data_6_hide_if_false": "", "ole_data_7_id": "ObjectPool", "ole_data_7_value": "", "ole_data_7_name": "ObjectPool", "ole_data_7_description": "Contains an ObjectPool stream, very likely to contain embedded OLE objects or files. Use oleobj to check it.", "ole_data_7_risk": "none", "ole_data_7_hide_if_false": "true", "ole_data_8_id": "flash", "ole_data_8_value": "", "ole_data_8_name": "Flash objects", "ole_data_8_description": "Number of embedded Flash objects (SWF files) detected in OLE streams. Not 100% accurate, there may be false positives.", "ole_data_8_risk": "none", "ole_data_8_hide_if_false": "true", "content_header_content-type_1": "text/plain; name=\"attachment.txt\"", "content_header_content-transfer-encoding_1": "base64", "content_header_content-disposition_1": "attachment; filename=\"attachment.txt\"", "level": "", "attachment_id": "18"} }
Whois
Descripción
Consulta los servidores WHOIS para obtener información sobre el registro de dominios. Admite direcciones IP, URLs, correos y dominios. Permite crear entidades de dominio vinculadas a la entidad de destino y un umbral de antigüedad del dominio para marcar la entidad como sospechosa.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
| Crear entidades | Casilla | Marcada | No | Especifica si quieres crear y vincular entidades de dominio a nombres de usuario o direcciones de correo electrónico. |
| Umbral de antigüedad del dominio | Entero | Marcada | No | Si la antigüedad del dominio es inferior al número de días indicado, se marcará como sospechoso. |
Ejemplo
En este caso, las entidades de nombre de host externo asociadas a un caso con una antigüedad de dominio inferior a 365 días se marcarán como sospechosas.
Configuraciones de acciones
| Parámetro | Valor |
| Entidades | Nombres de host externos |
| Crear entidades | Marcada |
| Umbral de antigüedad del dominio | 365 |
Resultados de la acción
- Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
| ScriptResult | Verdadero/Falso | true |
-
Resultado de JSON
{ "Entity": "badsite.com", "EntityResult": {"id": ["32621649_DOMAIN_COM-VRSN"], "status": ["clientDeleteProhibited https://icann.org/epp#clientDeleteProhibited", "clientRenewProhibited https://icann.org/epp#clientRenewProhibited", "clientTransferProhibited https://icann.org/epp#clientTransferProhibited", "clientUpdateProhibited https://icann.org/epp#clientUpdateProhibited"], "creation_date": ["2000-08-09T11:17:46"], "expiration_date": ["2023-08-09T11:17:46"], "updated_date": ["2022-09-18T23:31:54"], "registrar": ["GoDaddy.com, LLC"], "whois_server": ["whois.godaddy.com"], "nameservers": ["NS49.DOMAINCONTROL.COM", "NS50.DOMAINCONTROL.COM"], "emails": ["abuse@godaddy.com"], "contacts": {"registrant": null, "tech": null, "admin": null, "billing": null}, "age_in_days": 8092} }
Enrich Entity from List with Field
Descripción
Enriquece la lista de entidades proporcionadas con un campo y un valor. Esta acción se suele usar con la acción "Selección de entidad" para enumerar las entidades.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
| Lista de entidades | Cadena | N/A | Sí | Especifica una lista de entidades del mismo tipo. |
| Tipo de entidad | Cadena | N/A | Sí | Especifica el tipo de entidad. |
| Delimitador de entidad | Cadena | , | Sí | Especifica el delimitador de las entidades de lista. |
| Campo de enriquecimiento | Cadena | N/A | Sí | Especifica el nombre del campo que se añadirá a la entidad. |
| Valor de enriquecimiento | Cadena | N/A | Sí | Especifica el valor del campo que se va a añadir a la entidad. |
Ejemplo
En este caso, seleccionaremos entidades de dirección IP mediante la acción EntitySelection y pasaremos los resultados al campo "Lista de entidades" para enriquecerlos.
Configuraciones de acciones (EntitySelection)
| Parámetro | Condición | Valor |
| Entity.Type | = | DIRECCIÓN |
Configuraciones de acciones (Enriquecer entidades de una lista con un campo)
| Parámetro | Valor |
| Entidades | Todas las entidades |
| Lista de entidades | [Entity Selection_1.SelectedEntities] |
| Tipo de entidad | DIRECCIÓN |
| Delimitador de entidad | , |
| Campo de enriquecimiento | is_risky |
| Valor de enriquecimiento | yes |
Resultados de la acción
- Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
| ScriptResult | Número de elementos con derechos enriquecidos correctamente | 3 |
Enrich Entity from Event Field (Enriquecer entidad a partir de un campo de evento)
Descripción
Extrae campos de un evento y los añade a los campos de la entidad.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
| Campos que se van a enriquecer | Cadena | N/A | Sí | Especifica el nombre de los campos del evento que se usarán para enriquecer la entidad. Admite listas separadas por comas. |
Ejemplo
En este caso, los campos payload_id y event_description se extraen de un evento de caso y se añaden a los campos de entidad de todas las entidades de nombre de archivo.
Configuraciones de acciones
| Parámetro | Valor |
| Entidades | Todas las entidades de nombres de archivo |
| Campos que se van a enriquecer | payload_id, event_description |
Resultados de la acción
- Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
| ScriptResult | Número de elementos con derechos enriquecidos correctamente | 1 |
Enrich Entity With Field
Descripción
Añade campos de enriquecimiento a la entidad en función de una lista de valores clave.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción | Ejemplo |
| Campos que se van a enriquecer | JSON | N/A | Sí | Especifica una lista de pares clave-valor que se utilizarán para enriquecer la entidad. Debe estar en formato JSON. | [ { "entity_field_name": "Title", "entity_field_value": "SalseManager" }, { "entity_field_name": "City", "entity_field_value": "NewYork" } ] |
Ejemplo
En este ejemplo, vamos a enriquecer las entidades de usuario con dos campos: Título y Ciudad.
Configuraciones de acciones
| Parámetro | Valor |
| Entidades | Todas las entidades de nombres de archivo |
| Campos que se van a enriquecer | [ { "entity_field _name": "Title", "entity_field_value":
"Manager"}, { "entity_field _name": "City", "entity_field_value": "Newyork"}] |
Resultados de la acción
- Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
| ScriptResult | Número de entidades enriquecidas correctamente | 13 |
Marcar entidad como sospechosa
Descripción
Marca las entidades del ámbito como sospechosas.
Parámetros
Especifica el ámbito de la entidad que quieras marcar como sospechoso.
Ejemplo
En este caso, vamos a marcar como sospechosas todas las entidades de IP externas. El campo de entidad "is_suspicious" del explorador de entidades se actualiza a "true".
Configuraciones de acciones
| Parámetro | Valor |
| Entidades | Direcciones IP externas |
Resultados de la acción
- Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
| ScriptResult | Número de contenido con derechos marcado como sospechoso | 3 |
Enrich FileName Entity With Path
Descripción
Analiza la ruta, el nombre de archivo y la extensión de una entidad y los enriquece con file_path, file_name y file_extensions.
Parámetros
Especifica el ámbito de la entidad de archivo del que quieras analizar los campos.
Ejemplo
En este caso, estamos recorriendo todas las entidades de nombre de archivo y analizando las rutas, los nombres de archivo y las extensiones del identificador de la entidad.
Configuraciones de acciones
| Parámetro | Valor |
| Entidades | Todas las entidades de nombre de archivo |
Resultados de la acción
- Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
| ScriptResult | Lista de entidades enriquecidas. | WORD/THEME/THEME1.XML,WORD/DOCUMENT.XML |
Enriquecer orígenes y destinos
Descripción
Añade los enlaces de origen y destino a las IPs y los nombres de host de una alerta.
Parámetros
Especifica el ámbito de la entidad del que quieres analizar los campos.
Ejemplo
En este caso, vamos a recorrer todas las entidades de IP y de nombre de host y las vamos a enriquecer con enlaces de origen y de destino. Aunque el ámbito de la entidad sea "Todas las entidades", se seleccionarán automáticamente las entidades de IP y de nombre de host.
Configuraciones de acciones
| Parámetro | Valor |
| Entidades | Todas las entidades |
Resultados de la acción
- Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
| N/A | N/A | N/A |
Enrich Entity from JSON (Enriquecer entidad a partir de JSON)
Descripción
Añade los enlaces de origen y destino a las IPs y los nombres de host de una alerta.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
| JSON de enriquecimiento | JSON | N/A | Sí | Especifica el JSON para enriquecer una entidad. |
| Identifier KeyPath | Cadena | N/A | Sí | Especifica la ruta de la clave del identificador de la entidad en el JSON |
| Separador | Cadena | . | Sí | Especifica el separador o delimitador de la ruta de la clave. |
| PrefixForErichment | Cadena | N/A | No | Especifica un prefijo que se usará para el enriquecimiento. |
| Ruta JSON de enriquecimiento | Cadena | N/A | No | Especificar el JSON |
Ejemplo
En este caso, usamos un identificador de entidad de un valor hash con el campo "sha1" para enriquecerlo con datos del campo JSON de enriquecimiento. Ten en cuenta que la entidad debe existir en la alerta antes de ejecutar esta acción.
Configuraciones de acciones
| Parámetro | Valor |
| Entidades | Todas las entidades |
| JSON de enriquecimiento | [ { "EntityResult": {"permalink": "https://www.virustotal.com/file/275a021bbfb6489e54d4718 99f7db9d1663fc695ec2fe2a2c4538aabf651fd0f/analysis/15 49381312", "sha1": "3395856ce81f267382dee72602f798b642f14140", "resource":"275A021BBFB6489E54D471899F7DB9D1663 FC695EC2FE2A24538AABF651FDOF","response_code":1, "scan_date":"2019-02-05 15:41:52", "scan_id":"275a021bbfb6489e54d471899f7db9d1663fc695 ec2fe2a2c453Saab651fd0f-1549381312","verbose_msg" : "Scan finished,information embedded","total": 60,"positives": 54, "sha256":"75a021bbfb6489e54d471899f7db9d1663fc695e c2fe2a2c4538aabf651fd0f", "Mas":"44d88612fea8a8f36de82e1278abb02f", "Bkav": {"detected": true,"result": "DOS. Eirac A.Trojan","MicroWorld-eScan": {"version": "14.0.297.0","update": "20190205""scans": {"version":"1.1.1.1","update": "20190201" "detected": true,"result*: "EICAR-Test-File","Entity": "275A021BBFB6489E54D471899F7DB9D1663FC695EC2 FE2A24538AABF651FD0F" }] |
| Identifier KeyPath | EntityResult.sha1 |
| Separador | . |
| PrefixForEnrichment | en blanco |
| Ruta JSON de enriquecimiento | en blanco |
Resultados de la acción
- Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
| Resultado de secuencia de comandos | Número de entidades enriquecidas | 1 |
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.