Aprimoramento
Visão geral
O enriquecimento é um conjunto de ações criadas para aprimorar as capacidades do playbook.
Configuração
Na tela de configuração, adicione a API Chronicle SOAR para enriquecer entidades do Explorer. Para recuperar uma chave de API, acesse Configurações -> Avançado -> Chaves de API.
| Parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
| Chave de API | String | N/A | Não | Especifique a chave da API Chronicle SOAR, que é necessária para enriquecer entidades do Explorer. |
Ações
Enriquecer entidade com atributos do Explorador
Descrição
Enriquece entidades com dados históricos usando o Explorador de entidades.
Parâmetros
| Parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
| Nome do campo | String | N/A | Não | Especifique os campos do explorador de entidades que serão usados para enriquecer a entidade de destino. Aceita strings delimitadas por vírgulas. |
| Usar o campo "Nome" como lista de permissões | Caixa de seleção | Selecionado | Não | Se marcada, as entidades serão enriquecidas com campos do parâmetro "Nome do campo". Se a caixa não estiver marcada, a lista será usada como uma lista de bloqueio e outros campos serão adicionados. |
Exemplo
Neste cenário, estamos enriquecendo todas as entidades com dados do Explorador de entidades. Todos os campos disponíveis estão listados em "Detalhes da entidade" no Entity Explorer. Retorna o resultado JSON dos pares de chave/valor nos detalhes da entidade.
Configurações de ação
| Parâmetro | Valor |
| Entidades | Todas as entidades |
| Nome do campo | Em branco |
| Nome do campo de usuário como lista de permissões | Desmarcado |
Resultados da ação
- Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
| ScriptResult | Resultado do JSON | Resultado mostrado abaixo |
-
Resultado JSON
{ "193.0.0.44": {}, "ATTACHMENT.TXT": {"Source": "Added by", "size": "64", "extension": "txt", "hash_md5": "6529d73ba8183760ad174644e75684fe", "hash_sha1": "dd88508cda7bcfc71ffdbc0e26afe97d3fb9a0b6", "hash_sha256": "1f209f1560df8cb6e983dff99d7a7d2db8dc3e439226abd38ef34facdffd82ec", "hash_sha512": "310d2df6f770dafdf4f84d9851e3fad011d4eb0c5a8af9a5f6d237fb733bca41d41ad6b00efdc2b5c218207 f1a1ac99339923d3c389368f0c1d2ba58e8e1893a", "mime_type": "ASCII text, with no line terminators", "mime_type_short": "text/plain", "ole_data_1_id": "ftype", "ole_data_1_value": "Unknown file type", "ole_data_1_name": "File format", "ole_data_1_description": "", "ole_data_1_risk": "info", "ole_data_1_hide_if_false": "true", "ole_data_2_id": "container", "ole_data_2_value": "Unknown Container", "ole_data_2_name": "Container format", "ole_data_2_description": "Container type", "ole_data_2_risk": "info", "ole_data_2_hide_if_false": "true", "ole_data_3_id": "encrypted", "ole_data_3_value": "", "ole_data_3_name": "Encrypted", "ole_data_3_description": "The file is not encrypted", "ole_data_3_risk": "none", "ole_data_3_hide_if_false": "", "ole_data_4_id": "vba", "ole_data_4_value": "Yes", "ole_data_4_name": "VBA Macros", "ole_data_4_description": "This file contains VBA macros. No suspicious keyword was found. Use olevba and mraptor for more info.", "ole_data_4_risk": "Medium", "ole_data_4_hide_if_false": "", "ole_data_5_id": "xlm", "ole_data_5_value": "No", "ole_data_5_name": "XLM Macros", "ole_data_5_description": "This file does not contain Excel 4/XLM macros.", "ole_data_5_risk": "none", "ole_data_5_hide_if_false": "", "ole_data_6_id": "ext_rels", "ole_data_6_value": "", "ole_data_6_name": "External Relationships", "ole_data_6_description": "External relationships such as remote templates, remote OLE objects, etc", "ole_data_6_risk": "none", "ole_data_6_hide_if_false": "", "ole_data_7_id": "ObjectPool", "ole_data_7_value": "", "ole_data_7_name": "ObjectPool", "ole_data_7_description": "Contains an ObjectPool stream, very likely to contain embedded OLE objects or files. Use oleobj to check it.", "ole_data_7_risk": "none", "ole_data_7_hide_if_false": "true", "ole_data_8_id": "flash", "ole_data_8_value": "", "ole_data_8_name": "Flash objects", "ole_data_8_description": "Number of embedded Flash objects (SWF files) detected in OLE streams. Not 100% accurate, there may be false positives.", "ole_data_8_risk": "none", "ole_data_8_hide_if_false": "true", "content_header_content-type_1": "text/plain; name=\"attachment.txt\"", "content_header_content-transfer-encoding_1": "base64", "content_header_content-disposition_1": "attachment; filename=\"attachment.txt\"", "level": "", "attachment_id": "18"} }
Whois
Descrição
Consulta servidores WHOIS para informações de registro de domínio. Compatível com endereços IP, URLs, e-mails e domínios. Permite a criação de entidades de domínio vinculadas à entidade de destino e um limite de idade do domínio para definir a entidade como suspeita.
Parâmetros
| Parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
| Criar entidades | Caixa de seleção | Selecionado | Não | Especifique se você quer criar e vincular entidades de domínio a URL, e-mail/nomes de usuário. |
| Limite de idade do domínio | Número inteiro | Selecionado | Não | Se a idade do domínio for menor que o número de dias fornecido, ele será marcado como suspeito. |
Exemplo
Nesse cenário, todas as entidades de nome de host externo anexadas a um caso com uma idade de domínio inferior a 365 dias serão marcadas como suspeitas.
Configurações de ação
| Parâmetro | Valor |
| Entidades | Nomes de host externos |
| Criar entidades | Selecionado |
| Limite de idade do domínio | 365 |
Resultados da ação
- Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
| ScriptResult | Verdadeiro/Falso | verdadeiro |
-
Resultado JSON
{ "Entity": "badsite.com", "EntityResult": {"id": ["32621649_DOMAIN_COM-VRSN"], "status": ["clientDeleteProhibited https://icann.org/epp#clientDeleteProhibited", "clientRenewProhibited https://icann.org/epp#clientRenewProhibited", "clientTransferProhibited https://icann.org/epp#clientTransferProhibited", "clientUpdateProhibited https://icann.org/epp#clientUpdateProhibited"], "creation_date": ["2000-08-09T11:17:46"], "expiration_date": ["2023-08-09T11:17:46"], "updated_date": ["2022-09-18T23:31:54"], "registrar": ["GoDaddy.com, LLC"], "whois_server": ["whois.godaddy.com"], "nameservers": ["NS49.DOMAINCONTROL.COM", "NS50.DOMAINCONTROL.COM"], "emails": ["abuse@godaddy.com"], "contacts": {"registrant": null, "tech": null, "admin": null, "billing": null}, "age_in_days": 8092} }
Enriquecer entidade da lista com campo
Descrição
Enriquece a lista de entidades fornecidas com um campo e um valor. Essa ação é usada com frequência com a ação "Seleção de entidade" para listar as entidades.
Parâmetros
| Parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
| Lista de entidades | String | N/A | Sim | Especifique uma lista de entidades do mesmo tipo. |
| Tipo da entidade | String | N/A | Sim | Especifique o tipo de entidade. |
| Delimitador de entidade | String | , | Sim | Especifica o delimitador de entidades de lista. |
| Campo de enriquecimento | String | N/A | Sim | Especifique o nome do campo que será adicionado à entidade. |
| Valor do enriquecimento | String | N/A | Sim | Especifique o valor do campo que será enriquecido para a entidade. |
Exemplo
Neste cenário, estamos selecionando entidades de endereço IP usando a ação EntitySelection e transmitindo os resultados ao campo "Lista de entidades" para enriquecimento.
Configurações de ação (EntitySelection)
| Parâmetro | Condição | Valor |
| Entity.Type | = | ADDRESS |
Configurações de ação (enriquecer entidades da lista com campo)
| Parâmetro | Valor |
| Entidades | Todas as entidades |
| Lista de entidades | [Entity Selection_1.SelectedEntities] |
| Tipo da entidade | ADDRESS |
| Delimitador de entidade | , |
| Campo de enriquecimento | is_risky |
| Valor do enriquecimento | sim |
Resultados da ação
- Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
| ScriptResult | Número de direitos enriquecidos | 3 |
Enriquecer entidade do campo de evento
Descrição
Extrai campos de um evento e os adiciona aos campos da entidade.
Parâmetros
| Parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
| Campos a serem enriquecidos | String | N/A | Sim | Especifique o nome dos campos no evento que serão usados para enriquecer a entidade. Aceita listas separadas por vírgulas. |
Exemplo
Nesse cenário, os campos payload_id e event_description são extraídos de um evento de caso e adicionados aos campos de entidade para todas as entidades de nome de arquivo.
Configurações de ação
| Parâmetro | Valor |
| Entidades | Todas as entidades de nomes de arquivos |
| Campos a serem enriquecidos | payload_id, event_description |
Resultados da ação
- Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
| ScriptResult | Número de direitos enriquecidos | 1 |
Enriquecer entidade com campo
Descrição
Adiciona campos de enriquecimento à entidade com base em uma lista de valores de chave.
Parâmetros
| Parâmetro | Tipo | Valor padrão | É obrigatório | Descrição | Exemplo |
| Campos a serem enriquecidos | JSON | N/A | Sim | Especifique uma lista de pares de chave-valor que serão usados para enriquecer a entidade. Ele precisa estar no formato JSON. | [ { "entity_field_name": "Title", "entity_field_value": "SalseManager" }, { "entity_field_name": "City", "entity_field_value": "NewYork" } ] |
Exemplo
Neste exemplo, vamos enriquecer as entidades de usuário com dois campos: "Título" e "Cidade".
Configurações de ação
| Parâmetro | Valor |
| Entidades | Todas as entidades de nomes de arquivos |
| Campos a serem enriquecidos | [ { "entity_field _name": "Title", "entity_field_value":
"Manager"}, { "entity_field _name": "City", "entity_field_value": "Newyork"}] |
Resultados da ação
- Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
| ScriptResult | Número de entidades enriquecidas | 13 |
Marcar entidade como suspeita
Descrição
Marca entidades no escopo como suspeitas.
Parâmetros
Especifique o escopo da entidade que você quer marcar como suspeita.
Exemplo
Nesse cenário, estamos marcando todas as entidades IP externo como suspeitas. O campo "is_suspicious" no Explorador de entidades é atualizado para "true".
Configurações de ação
| Parâmetro | Valor |
| Entidades | Endereços IP externos |
Resultados da ação
- Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
| ScriptResult | Número de direitos marcados como suspeitos | 3 |
Enrich FileName Entity With Path
Descrição
Analisa o caminho, o nome do arquivo e a extensão de uma entidade e os enriquece com file_path, file_name e file_extensions.
Parâmetros
Especifique o escopo da entidade de arquivo de que você quer analisar os campos.
Exemplo
Nesse cenário, estamos fazendo um loop em todas as entidades de nome de arquivo e analisando caminhos, nomes de arquivos e extensões do identificador de entidade.
Configurações de ação
| Parâmetro | Valor |
| Entidades | Todas as entidades de nome de arquivo |
Resultados da ação
- Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
| ScriptResult | Lista de entidades enriquecidas. | WORD/THEME/THEME1.XML,WORD/DOCUMENT.XML |
Enriquecer origens e destinos
Descrição
Adiciona os links de origem e destino a IPs e nomes de host em um alerta.
Parâmetros
Especifique o escopo da entidade de que você quer analisar os campos.
Exemplo
Nesse cenário, estamos fazendo um loop em todas as entidades de IP e nome do host e enriquecendo-as com links de origem e destino. Mesmo que o escopo da entidade esteja definido como "Todas as entidades", ele vai selecionar automaticamente as entidades de IP e nome do host.
Configurações de ação
| Parâmetro | Valor |
| Entidades | Todas as entidades |
Resultados da ação
- Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
| N/A | N/A | N/A |
Enriquecer entidade com JSON
Descrição
Adiciona os links de origem e destino a IPs e nomes de host em um alerta.
Parâmetros
| Parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
| JSON de enriquecimento | JSON | N/A | Sim | Especifique o JSON para enriquecer uma entidade. |
| Identifier KeyPath | String | N/A | Sim | Especifique o keypath para o identificador da entidade no JSON. |
| Separador | String | . | Sim | Especifique o separador/delimitador de caminho da chave. |
| PrefixForErichment | String | N/A | Não | Especifique um prefixo a ser usado para o enriquecimento. |
| Caminho JSON de enriquecimento | String | N/A | Não | Especificar o JSON |
Exemplo
Neste cenário, estamos usando um identificador de entidade de um valor de hash com o campo "sha1" para enriquecer com dados no campo JSON de enriquecimento. A entidade precisa existir no alerta antes de executar essa ação.
Configurações de ação
| Parâmetro | Valor |
| Entidades | Todas as entidades |
| JSON de enriquecimento | [ { "EntityResult": {"permalink": "https://www.virustotal.com/file/275a021bbfb6489e54d4718 99f7db9d1663fc695ec2fe2a2c4538aabf651fd0f/analysis/15 49381312", "sha1": "3395856ce81f267382dee72602f798b642f14140", "resource":"275A021BBFB6489E54D471899F7DB9D1663 FC695EC2FE2A24538AABF651FDOF","response_code":1, "scan_date":"2019-02-05 15:41:52", "scan_id":"275a021bbfb6489e54d471899f7db9d1663fc695 ec2fe2a2c453Saab651fd0f-1549381312","verbose_msg" : "Scan finished,information embedded","total": 60,"positives": 54, "sha256":"75a021bbfb6489e54d471899f7db9d1663fc695e c2fe2a2c4538aabf651fd0f", "Mas":"44d88612fea8a8f36de82e1278abb02f", "Bkav": {"detected": true,"result": "DOS. Eirac A.Trojan","MicroWorld-eScan": {"version": "14.0.297.0","update": "20190205""scans": {"version":"1.1.1.1","update": "20190201" "detected": true,"result*: "EICAR-Test-File","Entity": "275A021BBFB6489E54D471899F7DB9D1663FC695EC2 FE2A24538AABF651FD0F" }] |
| Identifier KeyPath | EntityResult.sha1 |
| Separador | . |
| PrefixForEnrichment | Em branco |
| Caminho JSON de enriquecimento | Em branco |
Resultados da ação
- Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
| Resultado do script | Nº de entidades enriquecidas | 1 |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.