Enriquecimiento
Descripción general
El enriquecimiento es un conjunto de acciones creadas para potenciar las capacidades de la guía.
Configuration
En la pantalla de configuración, agrega la API de Chronicle SOAR para enriquecer las entidades del Explorador. Para recuperar una clave de API, ve a Configuración -> Avanzada -> Claves de API.
| Parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
| Clave de API | String | N/A | No | Especifica la clave de la API de Chronicle SOAR, que es necesaria para enriquecer las entidades de Explorer. |
Actions
Enrich Entity from Explorer Attributes
Descripción
Enriquece entidades con datos históricos de enriquecimiento usando el Explorador de entidades.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
| Nombre del campo | String | N/A | No | Especifica los campos del Explorador de entidades que se usarán para enriquecer la entidad objetivo. Admite cadenas delimitadas por comas. |
| Usar el campo Nombre como lista de entidades permitidas | Casilla de verificación | Marcado | No | Si se marca, las entidades se enriquecerán con los campos del parámetro “Nombre del campo”. Si no se marca, la lista se usará como una lista de bloqueo y se agregarán otros campos. |
Ejemplo
En este caso, enriqueceremos todas las entidades con datos del Explorador de entidades. Todos los campos disponibles se enumeran en "Detalles de la entidad" en el Explorador de entidades. Devuelve el resultado JSON de los pares clave-valor en los detalles de la entidad.
Configuraciones de acciones
| Parámetro | Valor |
| Entidades | Todas las entidades |
| Nombre del campo | En blanco |
| Nombre del campo del usuario como lista de entidades permitidas | Desmarcado |
Resultados de la acción
- Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
| ScriptResult | Resultado de JSON | El resultado se muestra a continuación |
-
Resultado de JSON
{ "193.0.0.44": {}, "ATTACHMENT.TXT": {"Source": "Added by", "size": "64", "extension": "txt", "hash_md5": "6529d73ba8183760ad174644e75684fe", "hash_sha1": "dd88508cda7bcfc71ffdbc0e26afe97d3fb9a0b6", "hash_sha256": "1f209f1560df8cb6e983dff99d7a7d2db8dc3e439226abd38ef34facdffd82ec", "hash_sha512": "310d2df6f770dafdf4f84d9851e3fad011d4eb0c5a8af9a5f6d237fb733bca41d41ad6b00efdc2b5c218207 f1a1ac99339923d3c389368f0c1d2ba58e8e1893a", "mime_type": "ASCII text, with no line terminators", "mime_type_short": "text/plain", "ole_data_1_id": "ftype", "ole_data_1_value": "Unknown file type", "ole_data_1_name": "File format", "ole_data_1_description": "", "ole_data_1_risk": "info", "ole_data_1_hide_if_false": "true", "ole_data_2_id": "container", "ole_data_2_value": "Unknown Container", "ole_data_2_name": "Container format", "ole_data_2_description": "Container type", "ole_data_2_risk": "info", "ole_data_2_hide_if_false": "true", "ole_data_3_id": "encrypted", "ole_data_3_value": "", "ole_data_3_name": "Encrypted", "ole_data_3_description": "The file is not encrypted", "ole_data_3_risk": "none", "ole_data_3_hide_if_false": "", "ole_data_4_id": "vba", "ole_data_4_value": "Yes", "ole_data_4_name": "VBA Macros", "ole_data_4_description": "This file contains VBA macros. No suspicious keyword was found. Use olevba and mraptor for more info.", "ole_data_4_risk": "Medium", "ole_data_4_hide_if_false": "", "ole_data_5_id": "xlm", "ole_data_5_value": "No", "ole_data_5_name": "XLM Macros", "ole_data_5_description": "This file does not contain Excel 4/XLM macros.", "ole_data_5_risk": "none", "ole_data_5_hide_if_false": "", "ole_data_6_id": "ext_rels", "ole_data_6_value": "", "ole_data_6_name": "External Relationships", "ole_data_6_description": "External relationships such as remote templates, remote OLE objects, etc", "ole_data_6_risk": "none", "ole_data_6_hide_if_false": "", "ole_data_7_id": "ObjectPool", "ole_data_7_value": "", "ole_data_7_name": "ObjectPool", "ole_data_7_description": "Contains an ObjectPool stream, very likely to contain embedded OLE objects or files. Use oleobj to check it.", "ole_data_7_risk": "none", "ole_data_7_hide_if_false": "true", "ole_data_8_id": "flash", "ole_data_8_value": "", "ole_data_8_name": "Flash objects", "ole_data_8_description": "Number of embedded Flash objects (SWF files) detected in OLE streams. Not 100% accurate, there may be false positives.", "ole_data_8_risk": "none", "ole_data_8_hide_if_false": "true", "content_header_content-type_1": "text/plain; name=\"attachment.txt\"", "content_header_content-transfer-encoding_1": "base64", "content_header_content-disposition_1": "attachment; filename=\"attachment.txt\"", "level": "", "attachment_id": "18"} }
Whois
Descripción
Consulta los servidores WHOIS para obtener información sobre el registro de dominios. Admite direcciones IP, URLs, correos electrónicos y dominios. Admite la creación de entidades de dominio vinculadas a la entidad objetivo y un umbral de antigüedad del dominio para establecer la entidad como sospechosa.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
| Crea entidades | Casilla de verificación | Marcado | No | Especifica si deseas crear y vincular entidades de dominio a nombres de usuario o direcciones de correo electrónico de URL. |
| Umbral de antigüedad del dominio | Número entero | Marcado | No | Si la antigüedad del dominio es inferior a la cantidad de días proporcionada, se marcará como sospechoso. |
Ejemplo
En este caso, todas las entidades de nombre de host externo adjuntas a un caso con una antigüedad de dominio inferior a 365 días se marcarán como sospechosas.
Configuraciones de acciones
| Parámetro | Valor |
| Entidades | Nombres de host externos |
| Crea entidades | Marcado |
| Umbral de antigüedad del dominio | 365 |
Resultados de la acción
- Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
| ScriptResult | Verdadero/Falso | verdadero |
-
Resultado de JSON
{ "Entity": "badsite.com", "EntityResult": {"id": ["32621649_DOMAIN_COM-VRSN"], "status": ["clientDeleteProhibited https://icann.org/epp#clientDeleteProhibited", "clientRenewProhibited https://icann.org/epp#clientRenewProhibited", "clientTransferProhibited https://icann.org/epp#clientTransferProhibited", "clientUpdateProhibited https://icann.org/epp#clientUpdateProhibited"], "creation_date": ["2000-08-09T11:17:46"], "expiration_date": ["2023-08-09T11:17:46"], "updated_date": ["2022-09-18T23:31:54"], "registrar": ["GoDaddy.com, LLC"], "whois_server": ["whois.godaddy.com"], "nameservers": ["NS49.DOMAINCONTROL.COM", "NS50.DOMAINCONTROL.COM"], "emails": ["abuse@godaddy.com"], "contacts": {"registrant": null, "tech": null, "admin": null, "billing": null}, "age_in_days": 8092} }
Enrich Entity from List with Field
Descripción
Enriquece la lista de entidades proporcionadas con un campo y un valor. Esta acción se suele usar con la acción "Selección de entidad" para enumerar las entidades.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
| Lista de entidades | String | N/A | Sí | Especifica una lista de entidades del mismo tipo. |
| Tipo de entidad | String | N/A | Sí | Especifica el tipo de entidad. |
| Delimitador de entidad | String | , | Sí | Especifica el delimitador de las entidades de la lista. |
| Campo de enriquecimiento | String | N/A | Sí | Especifica el nombre del campo que se agregará a la entidad. |
| Valor del enriquecimiento | String | N/A | Sí | Especifica el valor del campo que se enriquecerá con la entidad. |
Ejemplo
En este caso, seleccionaremos entidades de dirección IP con la acción EntitySelection y pasaremos los resultados al campo “Lista de entidades” para el enriquecimiento.
Configuraciones de acción (EntitySelection)
| Parámetro | Afección | Valor |
| Entity.Type | = | DIRECCIÓN |
Configuraciones de acciones (enriquecer entidades de la lista con un campo)
| Parámetro | Valor |
| Entidades | Todas las entidades |
| Lista de entidades | [Entity Selection_1.SelectedEntities] |
| Tipo de entidad | DIRECCIÓN |
| Delimitador de entidad | , |
| Campo de enriquecimiento | is_risky |
| Valor del enriquecimiento | sí |
Resultados de la acción
- Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
| ScriptResult | Cantidad de títulos enriquecidos correctamente | 3 |
Enrich Entity from Event Field
Descripción
Extrae campos de un evento y los agrega a los campos de la entidad.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
| Campos para enriquecer | String | N/A | Sí | Especifica el nombre de los campos del evento que se usarán para enriquecer la entidad. Se admite una lista separada por comas. |
Ejemplo
En este caso, los campos payload_id y event_description se extraen de un evento de caso y se agregan a los campos de la entidad para todas las entidades de nombre de archivo.
Configuraciones de acciones
| Parámetro | Valor |
| Entidades | Todas las entidades de nombres de archivos |
| Campos para enriquecer | payload_id, event_description |
Resultados de la acción
- Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
| ScriptResult | Cantidad de títulos enriquecidos correctamente | 1 |
Enrich Entity With Field
Descripción
Agrega campos de enriquecimiento a la entidad según una lista de valores clave.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción | Ejemplo |
| Campos para enriquecer | JSON | N/A | Sí | Especifica una lista de pares clave-valor que se usarán para enriquecer la entidad. Debe estar en formato JSON. | [ { "entity_field_name": "Title", "entity_field_value": "SalseManager" }, { "entity_field_name": "City", "entity_field_value": "NewYork" } ] |
Ejemplo
En este ejemplo, enriqueceremos las entidades del usuario con dos campos: Título y Ciudad.
Configuraciones de acciones
| Parámetro | Valor |
| Entidades | Todas las entidades de nombres de archivos |
| Campos para enriquecer | [ { "entity_field _name": "Title", "entity_field_value":
"Manager"}, { "entity_field _name": "City", "entity_field_value": "Newyork"}] |
Resultados de la acción
- Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
| ScriptResult | Cantidad de entidades enriquecidas correctamente | 13 |
Marcar la entidad como sospechosa
Descripción
Marca como sospechosas las entidades dentro del alcance.
Parámetros
Especifica el alcance de la entidad que deseas marcar como sospechosa.
Ejemplo
En este caso, marcamos todas las entidades de IP externas como sospechosas. El campo de entidad “is_suspicious” en el Explorador de entidades se actualiza a “true”.
Configuraciones de acciones
| Parámetro | Valor |
| Entidades | Direcciones IP externas |
Resultados de la acción
- Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
| ScriptResult | Cantidad de títulos marcados como sospechosos | 3 |
Enrich FileName Entity With Path
Descripción
Analiza la ruta de acceso, el nombre del archivo y la extensión de una entidad, y la enriquece con file_path, file_name y file_extensions.
Parámetros
Especifica el alcance de la entidad de archivo desde la que deseas analizar los campos.
Ejemplo
En este caso, iteramos todas las entidades de nombre de archivo y analizamos cualquier ruta de acceso, nombre de archivo y extensión del identificador de la entidad.
Configuraciones de acciones
| Parámetro | Valor |
| Entidades | Todas las entidades de nombre de archivo |
Resultados de la acción
- Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
| ScriptResult | Es la lista de entidades enriquecidas. | WORD/THEME/THEME1.XML,WORD/DOCUMENT.XML |
Enrich Source and Destinations
Descripción
Agrega los vínculos de origen y destino a las direcciones IP y los nombres de host en una alerta.
Parámetros
Especifica el alcance de la entidad desde la que deseas analizar los campos.
Ejemplo
En este caso, iteramos todas las entidades de IP y nombre de host, y las enriquecemos con vínculos de origen y destino. Incluso si el alcance de la entidad se establece en "Todas las entidades", se seleccionarán automáticamente las entidades de IP y nombre de host.
Configuraciones de acciones
| Parámetro | Valor |
| Entidades | Todas las entidades |
Resultados de la acción
- Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
| N/A | N/A | N/A |
Enrich Entity from JSON
Descripción
Agrega los vínculos de origen y destino a las direcciones IP y los nombres de host en una alerta.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
| JSON de enriquecimiento | JSON | N/A | Sí | Especifica el JSON para enriquecer una entidad. |
| Ruta de acceso de la clave del identificador | String | N/A | Sí | Especifica la ruta de acceso a la clave del identificador de la entidad en el JSON. |
| Separador | String | . | Sí | Especifica el separador o delimitador de la ruta de acceso de la clave. |
| PrefixForErichment | String | N/A | No | Especifica un prefijo para usar en el enriquecimiento. |
| Ruta de acceso JSON de enriquecimiento | String | N/A | No | Especifica el JSON |
Ejemplo
En este caso, usamos un identificador de entidad de un valor hash con el campo “sha1” para enriquecerlo con datos en el campo JSON de enriquecimiento. Ten en cuenta que la entidad debe existir en la alerta antes de ejecutar esta acción.
Configuraciones de acciones
| Parámetro | Valor |
| Entidades | Todas las entidades |
| JSON de enriquecimiento | [ { "EntityResult": {"permalink": "https://www.virustotal.com/file/275a021bbfb6489e54d4718 99f7db9d1663fc695ec2fe2a2c4538aabf651fd0f/analysis/15 49381312", "sha1": "3395856ce81f267382dee72602f798b642f14140", "resource":"275A021BBFB6489E54D471899F7DB9D1663 FC695EC2FE2A24538AABF651FDOF","response_code":1, "scan_date":"2019-02-05 15:41:52", "scan_id":"275a021bbfb6489e54d471899f7db9d1663fc695 ec2fe2a2c453Saab651fd0f-1549381312","verbose_msg" : "Scan finished,information embedded","total": 60,"positives": 54, "sha256":"75a021bbfb6489e54d471899f7db9d1663fc695e c2fe2a2c4538aabf651fd0f", "Mas":"44d88612fea8a8f36de82e1278abb02f", "Bkav": {"detected": true,"result": "DOS. Eirac A.Trojan","MicroWorld-eScan": {"version": "14.0.297.0","update": "20190205""scans": {"version":"1.1.1.1","update": "20190201" "detected": true,"result*: "EICAR-Test-File","Entity": "275A021BBFB6489E54D471899F7DB9D1663FC695EC2 FE2A24538AABF651FD0F" }] |
| Ruta de acceso de la clave del identificador | EntityResult.sha1 |
| Separador | . |
| PrefixForEnrichment | En blanco |
| Ruta de acceso JSON de enriquecimiento | En blanco |
Resultados de la acción
- Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
| Resultado de secuencia de comandos | Cantidad de entidades enriquecidas | 1 |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.