Esta página foi traduzida pela API Cloud Translation.

Enriquecimento

Compatível com:

Google secops SOAR

Overview

O enriquecimento é um conjunto de ações criadas para melhorar as capacidades do manual de estratégias.

Configuração

No ecrã de configuração, adicione a API Chronicle SOAR para enriquecer entidades a partir do Explorer. Para obter uma chave de API, aceda a Definições -> Avançadas -> Chaves de API.

Parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Chave de API	String	N/A	Não	Especifique a chave da API Chronicle SOAR, que é necessária para enriquecer entidades a partir do Explorer.

Ações

Enriqueça a entidade a partir dos atributos do explorador

Descrição

Enriquece entidades com dados de enriquecimento do histórico através do explorador de entidades.

Parâmetros

Parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Nome do campo	String	N/A	Não	Especifique os campos do explorador de entidades que vão ser usados para enriquecer a entidade de destino. Suporta string delimitada por vírgulas.
Use o nome do campo como lista de autorizações	Caixa de verificação	Marcado	Não	Se esta opção for selecionada, as entidades são enriquecidas com campos do parâmetro "Nome do campo". Se a caixa não estiver selecionada, a lista é usada como uma lista de bloqueios e são adicionados outros campos.

Exemplo

Neste cenário, estamos a enriquecer todas as entidades com dados do explorador de entidades. Todos os campos disponíveis são apresentados em "Detalhes da entidade" no explorador de entidades. Devolve o resultado JSON dos pares de chave/valor nos detalhes da entidade.

Configurações de ações

Parâmetro	Valor
Entidades	Todas as entidades
Nome do campo	Em branco
Nome do campo do utilizador como lista de autorizações	Desmarcado

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
ScriptResult	Resultado JSON	Resultado apresentado abaixo

Resultado JSON

{
"193.0.0.44": {}, "ATTACHMENT.TXT": {"Source": "Added by ", "size": "64", "extension": "txt", "hash_md5": "6529d73ba8183760ad174644e75684fe", "hash_sha1": "dd88508cda7bcfc71ffdbc0e26afe97d3fb9a0b6", "hash_sha256": "1f209f1560df8cb6e983dff99d7a7d2db8dc3e439226abd38ef34facdffd82ec", "hash_sha512": "310d2df6f770dafdf4f84d9851e3fad011d4eb0c5a8af9a5f6d237fb733bca41d41ad6b00efdc2b5c218207
f1a1ac99339923d3c389368f0c1d2ba58e8e1893a", "mime_type": "ASCII text, with no line terminators", "mime_type_short": "text/plain", "ole_data_1_id": "ftype", "ole_data_1_value": "Unknown file type", "ole_data_1_name": "File format", "ole_data_1_description": "", "ole_data_1_risk": "info", "ole_data_1_hide_if_false": "true", "ole_data_2_id": "container", "ole_data_2_value": "Unknown Container", "ole_data_2_name": "Container format", "ole_data_2_description": "Container type", "ole_data_2_risk": "info", "ole_data_2_hide_if_false": "true", "ole_data_3_id": "encrypted", "ole_data_3_value": "", "ole_data_3_name": "Encrypted", "ole_data_3_description": "The file is not encrypted", "ole_data_3_risk": "none", "ole_data_3_hide_if_false": "", "ole_data_4_id": "vba", "ole_data_4_value": "Yes", "ole_data_4_name": "VBA Macros", "ole_data_4_description": "This file contains VBA macros. No suspicious keyword was found. Use olevba and mraptor for more info.", "ole_data_4_risk": "Medium", "ole_data_4_hide_if_false": "", "ole_data_5_id": "xlm", "ole_data_5_value": "No", "ole_data_5_name": "XLM Macros", "ole_data_5_description": "This file does not contain Excel 4/XLM macros.", "ole_data_5_risk": "none", "ole_data_5_hide_if_false": "", "ole_data_6_id": "ext_rels", "ole_data_6_value": "", "ole_data_6_name": "External Relationships", "ole_data_6_description": "External relationships such as remote templates, remote OLE objects, etc", "ole_data_6_risk": "none", "ole_data_6_hide_if_false": "", "ole_data_7_id": "ObjectPool", "ole_data_7_value": "", "ole_data_7_name": "ObjectPool", "ole_data_7_description": "Contains an ObjectPool stream, very likely to contain embedded OLE objects or files. Use oleobj to check it.", "ole_data_7_risk": "none", "ole_data_7_hide_if_false": "true", "ole_data_8_id": "flash", "ole_data_8_value": "", "ole_data_8_name": "Flash objects", "ole_data_8_description": "Number of embedded Flash objects (SWF files) detected in OLE streams. Not 100% accurate, there may be false positives.", "ole_data_8_risk": "none", "ole_data_8_hide_if_false": "true", "content_header_content-type_1": "text/plain; name=\"attachment.txt\"", "content_header_content-transfer-encoding_1": "base64", "content_header_content-disposition_1": "attachment; filename=\"attachment.txt\"", "level": "", "attachment_id": "18"}
}

Whois

Descrição

Consulta os servidores WHOIS para obter informações de registo de domínios. Suporta endereços IP, URLs, emails e domínios. Suporta a criação de entidades de domínio associadas à entidade de segmentação e um limite de idade do domínio para definir a entidade como suspeita.

Parâmetros

Parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Criar entidades	Caixa de verificação	Marcado	Não	Especifique se quer criar e associar entidades de domínio a nomes de utilizador/emails.
Limite de antiguidade do domínio	Número inteiro	Marcado	Não	Se a idade do domínio for inferior ao número de dias fornecido, é marcado como suspeito.

Exemplo

Neste cenário, todas as entidades de nome do anfitrião externas anexadas a um registo com uma idade do domínio inferior a 365 dias são marcadas como suspeitas.

Configurações de ações

Parâmetro	Valor
Entidades	Nomes de anfitrião externos
Criar entidades	Marcado
Limite de antiguidade do domínio	365

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
ScriptResult	Verdadeiro/Falso	verdadeiro

Resultado JSON

{
"Entity": "badsite.com", 
"EntityResult": 
{"id": ["32621649_DOMAIN_COM-VRSN"], 
"status": ["clientDeleteProhibited https://icann.org/epp#clientDeleteProhibited", "clientRenewProhibited https://icann.org/epp#clientRenewProhibited", "clientTransferProhibited https://icann.org/epp#clientTransferProhibited", "clientUpdateProhibited https://icann.org/epp#clientUpdateProhibited"], "creation_date": ["2000-08-09T11:17:46"], 
"expiration_date": ["2023-08-09T11:17:46"], 
"updated_date": ["2022-09-18T23:31:54"], 
"registrar": ["GoDaddy.com, LLC"], 
"whois_server": ["whois.godaddy.com"], 
"nameservers": ["NS49.DOMAINCONTROL.COM", "NS50.DOMAINCONTROL.COM"], 
"emails": ["abuse@godaddy.com"], 
"contacts": {"registrant": null, "tech": null, "admin": null, "billing": null}, "age_in_days": 8092}
}

Enrich Entity from List with Field

Descrição

Enriquece a lista de entidades fornecidas com um campo e um valor. Esta ação é frequentemente usada com a ação "Seleção de entidades" para listar as entidades.

Parâmetros

Parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Lista de entidades	String	N/A	Sim	Especifique uma lista de entidades do mesmo tipo.
Tipo de entidade	String	N/A	Sim	Especifique o tipo de entidade.
Delimitador de entidades	String	,	Sim	Especifique o delimitador das entidades de lista.
Campo de enriquecimento	String	N/A	Sim	Especifique o nome do campo que vai ser adicionado à entidade.
Valor do enriquecimento	String	N/A	Sim	Especifique o valor do campo que vai ser enriquecido para a entidade.

Exemplo

Neste cenário, estamos a selecionar entidades de endereços IP através da ação EntitySelection e a transmitir os resultados para o campo "Lista de entidades" para enriquecimento.

Configurações de ações (EntitySelection)

Parâmetro	Condição	Valor
Entity.Type	=	MORADA

Configurações de ações (enriquecer entidades da lista com campo)

Parâmetro	Valor
Entidades	Todas as entidades
Lista de entidades	[Entity Selection_1.SelectedEntities]
Tipo de entidade	MORADA
Delimitador de entidades	,
Campo de enriquecimento	is_risky
Valor do enriquecimento	sim

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
ScriptResult	Número de registos elegíveis enriquecidos com êxito	3

Enrich Entity from Event Field

Descrição

Extrai campos de um evento e adiciona-os aos campos da entidade.

Parâmetros

Parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Campos a enriquecer	String	N/A	Sim	Especifique o nome dos campos no evento que vão ser usados para enriquecer a entidade. Suporta listas separadas por vírgulas.

Exemplo

Neste cenário, os campos payload_id e event_description são extraídos de um evento de registo e adicionados aos campos de entidades para todas as entidades de nomes de ficheiros.

Configurações de ações

Parâmetro	Valor
Entidades	Todas as entidades de nomes de ficheiros
Campos a enriquecer	payload_id, event_description

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
ScriptResult	Número de registos elegíveis enriquecidos com êxito	1

Enrich Entity With Field

Descrição

Adiciona campos de enriquecimento à entidade com base numa lista de chaves-valores.

Parâmetros

Parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição	Exemplo
Campos a enriquecer	JSON	N/A	Sim	Especifique uma lista de pares de chave-valor que vão ser usados para enriquecer a entidade. Tem de estar no formato JSON.	[ { "entity_field_name": "Title", "entity_field_value": "SalseManager" }, { "entity_field_name": "City", "entity_field_value": "NewYork" } ]

Exemplo

Neste exemplo, estamos a enriquecer as entidades de utilizadores com dois campos: Título e Cidade.

Configurações de ações

Parâmetro	Valor
Entidades	Todas as entidades de nomes de ficheiros
Campos a enriquecer	[ { "entity_field _name": "Title", "entity_field_value": "Manager"}, { "entity_field _name": "City", "entity_field_value": "Newyork"}]

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
ScriptResult	Número de entidades enriquecidas com êxito	13

Marcar entidade como suspeita

Descrição

Marca as entidades no âmbito como suspeitas.

Parâmetros

Especifique o âmbito da entidade que quer marcar como suspeito.

Exemplo

Neste cenário, estamos a marcar todas as entidades de IP externas como suspeitas. O campo da entidade "is_suspicious" no explorador de entidades é atualizado para "true".

Configurações de ações

Parâmetro	Valor
Entidades	Endereços IP externos

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
ScriptResult	Número de registos marcados como suspeitos	3

Enrich FileName Entity With Path

Descrição

Analisa o caminho, o nome do ficheiro e a extensão de uma entidade e enriquece-a com file_path, file_name e file_extensions.

Parâmetros

Especifique o âmbito da entidade de ficheiro a partir do qual quer analisar os campos.

Exemplo

Neste cenário, estamos a percorrer todas as entidades de nomes de ficheiros e a analisar quaisquer caminhos, nomes de ficheiros e extensões do identificador da entidade.

Configurações de ações

Parâmetro	Valor
Entidades	Todas as entidades de nomes de ficheiros

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
ScriptResult	Lista de entidades enriquecidas.	WORD/THEME/THEME1.XML,WORD/DOCUMENT.XML

Enriqueça a origem e os destinos

Descrição

Adiciona os links de origem e destino a IPs e nomes de anfitrião num alerta.

Parâmetros

Especifique o âmbito da entidade a partir do qual quer analisar os campos.

Exemplo

Neste cenário, estamos a percorrer todas as entidades de IP e nome de anfitrião e a enriquecê-las com links de origem e destino. Mesmo que o âmbito da entidade esteja definido como "Todas as entidades", seleciona automaticamente as entidades de IP e nome do anfitrião.

Configurações de ações

Parâmetro	Valor
Entidades	Todas as entidades

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
N/A	N/A	N/A

Enrich Entity from JSON

Descrição

Adiciona os links de origem e destino a IPs e nomes de anfitrião num alerta.

Parâmetros

Parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
JSON de enriquecimento	JSON	N/A	Sim	Especifique o JSON para enriquecer uma entidade.
Identifier KeyPath	String	N/A	Sim	Especifique o caminho da chave para o identificador da entidade no JSON
Separador	String	.	Sim	Especifique o separador/delimitador do caminho da chave.
PrefixForErichment	String	N/A	Não	Especifique um prefixo a usar para o enriquecimento.
Caminho JSON de enriquecimento	String	N/A	Não	Especifique o JSON

Exemplo

Neste cenário, estamos a usar um identificador de entidade de um valor de hash com o campo "sha1" para o enriquecer com dados no campo JSON de enriquecimento. Tenha em atenção que a entidade tem de existir no alerta antes de executar esta ação.

Configurações de ações

Parâmetro	Valor
Entidades	Todas as entidades
JSON de enriquecimento	[ { "EntityResult": {"permalink": "https://www.virustotal.com/file/275a021bbfb6489e54d4718 99f7db9d1663fc695ec2fe2a2c4538aabf651fd0f/analysis/15 49381312", "sha1": "3395856ce81f267382dee72602f798b642f14140", "resource":"275A021BBFB6489E54D471899F7DB9D1663 FC695EC2FE2A24538AABF651FDOF","response_code":1, "scan_date":"2019-02-05 15:41:52", "scan_id":"275a021bbfb6489e54d471899f7db9d1663fc695 ec2fe2a2c453Saab651fd0f-1549381312","verbose_msg" : "Scan finished,information embedded","total": 60,"positives": 54, "sha256":"75a021bbfb6489e54d471899f7db9d1663fc695e c2fe2a2c4538aabf651fd0f", "Mas":"44d88612fea8a8f36de82e1278abb02f", "Bkav": {"detected": true,"result": "DOS. Eirac A.Trojan","MicroWorld-eScan": {"version": "14.0.297.0","update": "20190205""scans": {"version":"1.1.1.1","update": "20190201" "detected": true,"result*: "EICAR-Test-File","Entity": "275A021BBFB6489E54D471899F7DB9D1663FC695EC2 FE2A24538AABF651FD0F" }]
Identifier KeyPath	EntityResult.sha1
Separador	.
PrefixForEnrichment	Em branco
Caminho JSON de enriquecimento	Em branco

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
Resultado do script	N.º de entidades enriquecidas	1

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.