Cette page a été traduite par l'API Cloud Translation.

Enrichissement

Compatible avec :

Google SecOps SOAR

Présentation

L'enrichissement est un ensemble d'actions créées pour améliorer les capacités des playbooks.

Configuration

Sur l'écran de configuration, ajoutez l'API Chronicle SOAR pour enrichir les entités de l'explorateur. Pour récupérer une clé API, accédez à Paramètres > Avancé > Clés API.

Paramètre	Type	Valeur par défaut	Obligatoire	Description
Clé API	Chaîne	N/A	Non	Spécifiez la clé API Chronicle SOAR, qui est requise pour enrichir les entités à partir de l'explorateur.

Actions

Enrichir une entité à partir des attributs de l'explorateur

Description

Enrichit les entités avec des données d'enrichissement historiques à l'aide de l'explorateur d'entités.

Paramètres

Paramètre	Type	Valeur par défaut	Obligatoire	Description
Nom du champ	Chaîne	N/A	Non	Spécifiez les champs de l'explorateur d'entités qui seront utilisés pour enrichir l'entité cible. Accepte une chaîne délimitée par des virgules.
Utiliser le nom du champ comme liste d'autorisation	Case à cocher	Cochée	Non	Si cette option est cochée, les entités seront enrichies avec les champs du paramètre "Nom du champ". Si la case n'est pas cochée, la liste sera utilisée comme liste de blocage et d'autres champs seront ajoutés.

Exemple

Dans ce scénario, nous enrichissons toutes les entités avec des données provenant de l'explorateur d'entités. Tous les champs disponibles sont listés dans "Détails de l'entité" de l'explorateur d'entités. Renvoie le résultat JSON des paires clé/valeur dans les détails de l'entité.

Configurations des actions

Paramètre	Valeur
Entités	Toutes les entités
Nom du champ	Blank
Nom du champ utilisateur en tant que liste d'autorisation	Décochée

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
ScriptResult	Résultat JSON	Résultat affiché ci-dessous

Résultat JSON

{
"193.0.0.44": {}, "ATTACHMENT.TXT": {"Source": "Added by ", "size": "64", "extension": "txt", "hash_md5": "6529d73ba8183760ad174644e75684fe", "hash_sha1": "dd88508cda7bcfc71ffdbc0e26afe97d3fb9a0b6", "hash_sha256": "1f209f1560df8cb6e983dff99d7a7d2db8dc3e439226abd38ef34facdffd82ec", "hash_sha512": "310d2df6f770dafdf4f84d9851e3fad011d4eb0c5a8af9a5f6d237fb733bca41d41ad6b00efdc2b5c218207
f1a1ac99339923d3c389368f0c1d2ba58e8e1893a", "mime_type": "ASCII text, with no line terminators", "mime_type_short": "text/plain", "ole_data_1_id": "ftype", "ole_data_1_value": "Unknown file type", "ole_data_1_name": "File format", "ole_data_1_description": "", "ole_data_1_risk": "info", "ole_data_1_hide_if_false": "true", "ole_data_2_id": "container", "ole_data_2_value": "Unknown Container", "ole_data_2_name": "Container format", "ole_data_2_description": "Container type", "ole_data_2_risk": "info", "ole_data_2_hide_if_false": "true", "ole_data_3_id": "encrypted", "ole_data_3_value": "", "ole_data_3_name": "Encrypted", "ole_data_3_description": "The file is not encrypted", "ole_data_3_risk": "none", "ole_data_3_hide_if_false": "", "ole_data_4_id": "vba", "ole_data_4_value": "Yes", "ole_data_4_name": "VBA Macros", "ole_data_4_description": "This file contains VBA macros. No suspicious keyword was found. Use olevba and mraptor for more info.", "ole_data_4_risk": "Medium", "ole_data_4_hide_if_false": "", "ole_data_5_id": "xlm", "ole_data_5_value": "No", "ole_data_5_name": "XLM Macros", "ole_data_5_description": "This file does not contain Excel 4/XLM macros.", "ole_data_5_risk": "none", "ole_data_5_hide_if_false": "", "ole_data_6_id": "ext_rels", "ole_data_6_value": "", "ole_data_6_name": "External Relationships", "ole_data_6_description": "External relationships such as remote templates, remote OLE objects, etc", "ole_data_6_risk": "none", "ole_data_6_hide_if_false": "", "ole_data_7_id": "ObjectPool", "ole_data_7_value": "", "ole_data_7_name": "ObjectPool", "ole_data_7_description": "Contains an ObjectPool stream, very likely to contain embedded OLE objects or files. Use oleobj to check it.", "ole_data_7_risk": "none", "ole_data_7_hide_if_false": "true", "ole_data_8_id": "flash", "ole_data_8_value": "", "ole_data_8_name": "Flash objects", "ole_data_8_description": "Number of embedded Flash objects (SWF files) detected in OLE streams. Not 100% accurate, there may be false positives.", "ole_data_8_risk": "none", "ole_data_8_hide_if_false": "true", "content_header_content-type_1": "text/plain; name=\"attachment.txt\"", "content_header_content-transfer-encoding_1": "base64", "content_header_content-disposition_1": "attachment; filename=\"attachment.txt\"", "level": "", "attachment_id": "18"}
}

Whois

Description

Interroge les serveurs WHOIS pour obtenir des informations sur l'enregistrement de domaine. Compatible avec les adresses IP, les URL, les adresses e-mail et les domaines. Permet de créer des entités de domaine associées à l'entité cible et un seuil d'ancienneté du domaine pour définir l'entité comme suspecte.

Paramètres

Paramètre	Type	Valeur par défaut	Obligatoire	Description
Créer des entités	Case à cocher	Cochée	Non	Indiquez si vous souhaitez créer et associer des entités de domaine à des adresses e-mail/noms d'utilisateur.
Seuil d'ancienneté du domaine	Integer	Cochée	Non	Si l'âge du domaine est inférieur au nombre de jours indiqué, il sera marqué comme suspect.

Exemple

Dans ce scénario, toutes les entités de nom d'hôte externes associées à une demande dont l'âge du domaine est inférieur à 365 jours seront marquées comme suspectes.

Configurations des actions

Paramètre	Valeur
Entités	Noms d'hôte externes
Créer des entités	Cochée
Seuil d'ancienneté du domaine	365

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
ScriptResult	Vrai/Faux	vrai

Résultat JSON

{
"Entity": "badsite.com", 
"EntityResult": 
{"id": ["32621649_DOMAIN_COM-VRSN"], 
"status": ["clientDeleteProhibited https://icann.org/epp#clientDeleteProhibited", "clientRenewProhibited https://icann.org/epp#clientRenewProhibited", "clientTransferProhibited https://icann.org/epp#clientTransferProhibited", "clientUpdateProhibited https://icann.org/epp#clientUpdateProhibited"], "creation_date": ["2000-08-09T11:17:46"], 
"expiration_date": ["2023-08-09T11:17:46"], 
"updated_date": ["2022-09-18T23:31:54"], 
"registrar": ["GoDaddy.com, LLC"], 
"whois_server": ["whois.godaddy.com"], 
"nameservers": ["NS49.DOMAINCONTROL.COM", "NS50.DOMAINCONTROL.COM"], 
"emails": ["abuse@godaddy.com"], 
"contacts": {"registrant": null, "tech": null, "admin": null, "billing": null}, "age_in_days": 8092}
}

Enrichir une entité à partir d'une liste avec un champ

Description

Enrichit la liste des entités fournies avec un champ et une valeur. Cette action est souvent utilisée avec l'action "Sélection d'entités" pour lister les entités.

Paramètres

Paramètre	Type	Valeur par défaut	Obligatoire	Description
Liste des entités	Chaîne	N/A	Oui	Spécifiez une liste d'entités du même type.
Type d'entité	Chaîne	N/A	Oui	Spécifiez le type d'entité.
Délimiteur d'entité	Chaîne	,	Oui	Spécifiez le délimiteur des entités de la liste.
Champ d'enrichissement	Chaîne	N/A	Oui	Spécifiez le nom du champ qui sera ajouté à l'entité.
Valeur d'enrichissement	Chaîne	N/A	Oui	Spécifiez la valeur du champ qui sera enrichi à l'entité.

Exemple

Dans ce scénario, nous sélectionnons des entités d'adresse IP à l'aide de l'action EntitySelection et nous transmettons les résultats au champ "Liste des entités" pour l'enrichissement.

Configurations d'action (EntitySelection)

Paramètre	Condition	Valeur
Entity.Type	=	ADDRESS

Configurations d'action (enrichir les entités de la liste avec un champ)

Paramètre	Valeur
Entités	Toutes les entités
Liste des entités	[Entity Selection_1.SelectedEntities]
Type d'entité	ADDRESS
Délimiteur d'entité	,
Champ d'enrichissement	is_risky
Valeur d'enrichissement	oui

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
ScriptResult	Nombre de droits enrichis	3

Enrichir l'entité à partir du champ d'événement

Description

Extrait les champs d'un événement et les ajoute aux champs de l'entité.

Paramètres

Paramètre	Type	Valeur par défaut	Obligatoire	Description
Champs à enrichir	Chaîne	N/A	Oui	Indiquez le nom du ou des champs de l'événement qui seront utilisés pour enrichir l'entité. Accepte les listes d'éléments séparés par une virgule.

Exemple

Dans ce scénario, les champs payload_id et event_description sont extraits d'un événement de cas et ajoutés aux champs d'entité pour toutes les entités de nom de fichier.

Configurations des actions

Paramètre	Valeur
Entités	Toutes les entités de noms de fichiers
Champs à enrichir	payload_id, event_description

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
ScriptResult	Nombre de droits enrichis	1

Enrichir l'entité avec un champ

Description

Ajoute des champs d'enrichissement à l'entité en fonction d'une liste de valeurs clés.

Paramètres

Paramètre	Type	Valeur par défaut	Obligatoire	Description	Exemple
Champs à enrichir	JSON	N/A	Oui	Spécifiez une liste de paires clé/valeur qui seront utilisées pour enrichir l'entité. Il doit être au format JSON.	[ { "entity_field_name": "Title", "entity_field_value": "SalseManager" }, { "entity_field_name": "City", "entity_field_value": "NewYork" } ]

Exemple

Dans cet exemple, nous enrichissons les entités utilisateur avec deux champs : "Titre" et "Ville".

Configurations des actions

Paramètre	Valeur
Entités	Toutes les entités de noms de fichiers
Champs à enrichir	[ { "entity_field _name": "Title", "entity_field_value": "Manager"}, { "entity_field _name": "City", "entity_field_value": "Newyork"}]

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
ScriptResult	Nombre d'entités enrichies	13

Marquer l'entité comme suspecte

Description

Marque les entités concernées comme suspectes.

Paramètres

Spécifiez le champ d'application de l'entité que vous souhaitez marquer comme suspect.

Exemple

Dans ce scénario, nous marquons toutes les entités d'adresses IP externes comme suspectes. Le champ d'entité "is_suspicious" dans l'explorateur d'entités est défini sur "true".

Configurations des actions

Paramètre	Valeur
Entités	Adresses IP externes

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
ScriptResult	Nombre de titulaires marqués comme suspects	3

Enrichir l'entité FileName avec le chemin d'accès

Description

Analyse le chemin d'accès, le nom de fichier et l'extension d'une entité, et l'enrichit avec file_path, file_name et file_extensions.

Paramètres

Spécifiez le champ d'application de l'entité de fichier à partir duquel vous souhaitez analyser les champs.

Exemple

Dans ce scénario, nous parcourons toutes les entités de nom de fichier et analysons les chemins d'accès, les noms de fichier et les extensions à partir de l'identifiant d'entité.

Configurations des actions

Paramètre	Valeur
Entités	Toutes les entités de nom de fichier

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
ScriptResult	Liste des entités enrichies.	WORD/THEME/THEME1.XML,WORD/DOCUMENT.XML

Enrichir les sources et les destinations

Description

Ajoute les liens source et de destination aux adresses IP et aux noms d'hôte dans une alerte.

Paramètres

Spécifiez le champ d'application de l'entité à partir duquel vous souhaitez analyser les champs.

Exemple

Dans ce scénario, nous parcourons toutes les entités d'adresses IP et de noms d'hôte, et nous les enrichissons avec des liens source et de destination. Même si le champ d'application de l'entité est défini sur "Toutes les entités", les entités d'adresse IP et de nom d'hôte seront automatiquement sélectionnées.

Configurations des actions

Paramètre	Valeur
Entités	Toutes les entités

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
N/A	N/A	N/A

Enrichir une entité à partir de JSON

Description

Ajoute les liens source et de destination aux adresses IP et aux noms d'hôte dans une alerte.

Paramètres

Paramètre	Type	Valeur par défaut	Obligatoire	Description
JSON d'enrichissement	JSON	N/A	Oui	Spécifiez le JSON pour enrichir une entité.
Identifier KeyPath	Chaîne	N/A	Oui	Spécifiez le chemin d'accès à l'identifiant d'entité dans le fichier JSON.
Séparateur	Chaîne	.	Oui	Spécifiez le séparateur/délimiteur du chemin d'accès à la clé.
PrefixForErichment	Chaîne	N/A	Non	Spécifiez un préfixe à utiliser pour l'enrichissement.
Chemin d'accès JSON pour l'enrichissement	Chaîne	N/A	Non	Spécifier le fichier JSON

Exemple

Dans ce scénario, nous utilisons un identifiant d'entité de valeur de hachage avec le champ "sha1" pour l'enrichir avec des données dans le champ JSON d'enrichissement. Notez que l'entité doit exister dans l'alerte avant d'exécuter cette action.

Configurations des actions

Paramètre	Valeur
Entités	Toutes les entités
JSON d'enrichissement	[ { "EntityResult": {"permalink": "https://www.virustotal.com/file/275a021bbfb6489e54d4718 99f7db9d1663fc695ec2fe2a2c4538aabf651fd0f/analysis/15 49381312", "sha1": "3395856ce81f267382dee72602f798b642f14140", "resource":"275A021BBFB6489E54D471899F7DB9D1663 FC695EC2FE2A24538AABF651FDOF","response_code":1, "scan_date":"2019-02-05 15:41:52", "scan_id":"275a021bbfb6489e54d471899f7db9d1663fc695 ec2fe2a2c453Saab651fd0f-1549381312","verbose_msg" : "Scan finished,information embedded","total": 60,"positives": 54, "sha256":"75a021bbfb6489e54d471899f7db9d1663fc695e c2fe2a2c4538aabf651fd0f", "Mas":"44d88612fea8a8f36de82e1278abb02f", "Bkav": {"detected": true,"result": "DOS. Eirac A.Trojan","MicroWorld-eScan": {"version": "14.0.297.0","update": "20190205""scans": {"version":"1.1.1.1","update": "20190201" "detected": true,"result*: "EICAR-Test-File","Entity": "275A021BBFB6489E54D471899F7DB9D1663FC695EC2 FE2A24538AABF651FD0F" }]
Identifier KeyPath	EntityResult.sha1
Séparateur	.
PrefixForEnrichment	Blank
Chemin d'accès JSON pour l'enrichissement	Blank

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
Résultat du script	Nombre d'entités enrichies	1

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.