phantom
3.7.0
الناشر: Splunk
إصدار الموصل: 3.7.1
بائع المنتج: فانتوم
اسم المنتج: فانتوم
نسخة المنتج المدعومة (regex): ".*"
الحد الأدنى لنسخة المنتج: 6.2.1
يعرض هذا التطبيق مختلف واجهات برمجة التطبيقات الوهمية كإجراءات
معلمة config Auth_token مخصصة للاستخدام مع مثيلات الوهمية. إذا تم تقديم الرمز المميز واسم المستخدم/كلمة المرور ، فسيتم استخدام اسم المستخدم وكلمة المرور للمصادقة على مثيل Phantom.
لاحظ أن IP (أو الاسم) المستخدم يجب أن يتطابق مع IP المسموح به في تكوين أصول REST REST في مثيل Phantom.
في حالة ضبط معلمة تكوين Phantom_Server على مثيل Phantom الحالي ، أي خادم Phantom الذي يتم من خلاله استخدام التطبيق ، ثم يجب تعيين Verify_Certificate إلى خطأ في تكوين الأصول.
للحصول على معلومات حول كيفية الحصول على رمز تفويض ، راجع توفير رمز ترخيص في وثائق نظرة عامة على الراحة الوهمية.
إذا كانت القيمة الواردة في معلمة تكوين Phantom_Server هي 0.0.0.0 ، فسيتم تمرير اتصال الاختبار بنجاح وسيتم تشغيل الإجراءات على مثيل Phantom الحالي ، أي الخادم الذي يتم من خلاله استخدام التطبيق.
انظر KB المادة 7 و KB المادة 16 حول كيفية إنشاء والتحقق من شهادة HTTPS صالحة لمثيل فانتوم الخاص بك.
لأسباب أمنية ، لا يُسمح بالوصول إلى 127.0.0.1.
بالنسبة لحالات NRI ، تحتاج معلمة تكوين IP/اسم المضيف إلى تحديد رقم المنفذ أيضًا. (على سبيل المثال xxxx: 9999)
تم تعديل معلمات الإجراء الحالية في الإجراءات الواردة أدناه. وبالتالي ، يُطلب من المستخدم النهائي تحديث كتب اللعب الحالية عن طريق إعادة إدخال كتل الإجراء المقابلة أو عن طريق توفير القيم المناسبة إلى معلمات الإجراءات هذه لضمان الأداء الصحيح لكتاب اللعب الذي تم إنشاؤه على الإصدارات السابقة من التطبيق.
قائمة التحديث - تم تغيير معلمة ROW_VALUES_AS_LIST من قيم جديدة مفصولة بفاصلة إلى قائمة منسقة من القيم الجديدة. سيسمح ذلك للمستخدم بتوفير قيمة تحتوي على حرف ('،' ،). تم تحديث المثال لنفسه في قيم المثال.
إضافة Artifact - تحتوي على معلمة ، يمكن أن تأخذ سلسلة (أو قائمة مفصولة بالفاصلة من السلسلة) أو قاموس JSON ، مع مفاتيح مطابقة مفاتيح cef_dictionary والقيم التي تحتوي على قوائم ممكنة تحتوي على حقل CEF. في حالة وجود معلمة تحتوي على سلسلة (أو قائمة مفصولة بالضغط على السلسلة) ، ستقوم القيمة المقدمة بتخطيط معلمة CEF_NAME .
تم استبدال Datapaths الإخراج ، Action_result.summary.Artifact و ACTION_RESULT.SUMMARY.CONTAINER معرف ACTION_RESULT.SUMMARY.ARTIFACT_ID و ACTION_RESULT.SUMMARY.CONTAINER_ID ، على التوالي.
Find Artifacts - the action_result.summary.Artifacts تم استبدال datapath بـ action_result.summary.artifacts_found.
البحث عن ListItem - تم استبدال Action_result.summary.found Matches Datapath بـ action_result.summary.found_matches.
تحديث علامات Artifact - تمت إضافة قواعد بيانات الإخراج التالية:
تحديث قطعة أثرية - تم تعديل معلمات الإجراء لهذا الإجراء. يرجى تحديث كتب اللعب الحالية وفقًا للمعلمات الجديدة. فيما يلي قائمة المعلمات المضافة:
لمزيد من التفاصيل ، تحقق من قسم التحديث القطع الأثرية .
يستخدم التطبيق بروتوكول HTTP/ HTTPS للتواصل مع خادم Phantom. فيما يلي المنافذ الافتراضية المستخدمة بواسطة Splunk Soar.
| اسم الخدمة | بروتوكول النقل | ميناء |
|---|---|---|
| http | TCP | 80 |
| https | TCP | 443 |
مطلوب متغيرات التكوين أدناه لهذا الموصل للعمل. يتم تحديد هذه المتغيرات عند تكوين أصول فانتوم في SOAR.
| عامل | مطلوب | يكتب | وصف |
|---|---|---|---|
| phantom_server | مطلوب | خيط | Phantom IP أو اسم المضيف (على سبيل المثال 10.1.1.10 أو Valid_phantom_HostName) |
| Auth_token | خياري | كلمة المرور | الرمز المميز لـ Phantom Auth |
| اسم المستخدم | خياري | خيط | اسم المستخدم (للحصول على مصادقة HTTP الأساسية) |
| كلمة المرور | خياري | كلمة المرور | كلمة المرور (للحصول على مصادقة HTTP الأساسية) |
| Verify_Certificate | خياري | منطقية | تحقق من شهادة HTTPS (افتراضي: خطأ) |
| DEFLATE_ITEM_EXTENTENS | خياري | خيط | سيتم تقسيم الملفات التي تحتوي على امتدادات محددة فقط (مفصولة الفاصلة). إذا كان فارغًا ، فلن يتم التحقق من تمديد الملف |
اختبار الاتصال - التحقق من صحة تكوين الأصول للاتصال
تحديث القطع الأثرية - تحديث أو الكتابة فوق القنية الوهمية مع المدخلات المقدمة
أضف ملاحظة - أضف ملاحظة إلى حاوية
تحديث علامات Artifact - إضافة/إزالة العلامات من قطعة أثرية
العثور على القطع الأثرية - ابحث عن القطع الأثرية التي تحتوي على قيمة CEF
إضافة ListItem - أضف قيمة إلى قائمة مخصصة
البحث عن ListItem - ابحث عن القيمة في قائمة مخصصة
أضف قطعة أثرية - أضف قطعة أثرية جديدة إلى حاوية
العنصر المنفذ - ينقلب عنصرًا من المدفن
حاوية التصدير - تصدير الحاوية المحلية إلى أصول الوهمية المكونة
استيراد حاوية - استيراد حاوية من مثيل فانتوم خارجي
إنشاء حاوية - قم بإنشاء حاوية جديدة على مثيل فانتوم
احصل على نتيجة الإجراء - ابحث عن نتائج الإجراء الذي تم تشغيله مسبقًا
قائمة التحديث - قم بتحديث القائمة
لا OP - انتظر العدد المحدد من الثواني
التحقق من صحة تكوين الأصول للاتصال
النوع: اختبار
اقرأ فقط: صحيح
لا يلزم وجود معلمات لهذا الإجراء
لا إخراج
تحديث أو الكتابة فوق القنية الوهمية مع المدخلات المقدمة
النوع: عام
اقرأ فقط: خطأ
| المعلمة | مثال |
|---|---|
| اسم | اسم قطعة أثرية |
| ملصق | Artifact_label |
| خطورة | عالي |
| CEF_JSON | {"key1": "value1" ، "gooddomain": "www.splunk.com" ، "remove_me": ""} |
| CEF_TYPES_JSON | {"Gooddomain": ["المجال"]} |
| العلامات | TAG1 أو TAG3 أو ["TAG2" ، "TAG4"] |
| Artifact_json | {"source_data_identifier": "myticket1234" ، "label": "new_label"} |
| المعلمة | مطلوب | وصف | يكتب | يتضمن |
|---|---|---|---|---|
| Artifact_id | مطلوب | معرف القطع الأثرية للتحديث | خيط | phantom artifact id |
| اسم | خياري | اسم القطع الأثرية (الكتابة فوق دائمًا ، إذا تم توفيرها) | خيط | |
| ملصق | خياري | ملصق قطعة أثرية (الكتابة فوقها دائمًا ، إذا تم توفيرها) | خيط | |
| خطورة | خياري | شدة القطع الأثرية (الكتابة فوقها دائمًا ، إذا تم توفيرها) | خيط | |
| CEF_JSON | خياري | تنسيق JSON لحقول CEF التي تريدها في القطع الأثرية | خيط | |
| CEF_TYPES_JSON | خياري | تنسيق JSON لأنواع CEF (على سبيل المثال ، {'myip': ['ip' ، 'ipv6']}) | خيط | |
| العلامات | خياري | قائمة العلامات المفصولة بالفاصلة لإضافة أو استبدال في القطع الأثرية | خيط | |
| الكتابة فوق | خياري | الكتابة فوق القطع الأثرية مع المدخلات المقدمة (ينطبق على: CEF_JSON ، يحتوي على _JSON ، العلامات) | منطقية | |
| Artifact_json | خياري | تنسيق JSON من القطع الأثرية بأكملها (دائمًا ما توفرت الكتابة فوق مفاتيح) | خيط |
| مسار البيانات | يكتب | يتضمن | مثال القيم |
|---|---|---|---|
| Action_result.status | خيط | فشل النجاح | |
| Action_result.parameter.artifact_id | خيط | phantom artifact id | 2388 |
| Action_result.parameter.artifact_json | خيط | {"الشدة": "High" ، "Label": "Test Label" ، "Description": "Artifact by Me" ، "Source_Data_Indyfier": "My_Custom_Sdi"} | |
| Action_result.parameter.cef_json | خيط | {"new_field": "new_value" ، "deleted_field": ""} | |
| Action_result.parameter.cef_types_json | خيط | {"new_field": ["New Convens"]} | |
| Action_result.parameter.label | خيط | علامة الاختبار | |
| Action_result.parameter.name | خيط | اسم جديد | |
| Action_result.parameter.Overwrite | منطقية | خطأ حقيقي | |
| Action_result.parameter.severity | خيط | عالي | |
| Action_result.parameter.tags | خيط | ["TAG2"] | |
| Action_result.data.*. requested_artifact.cef.deleted_field | خيط | ||
| Action_result.data.*. requested_artifact.cef.new_field | خيط | new_value | |
| Action_result.data.*. requested_artifact.cef.test | خيط | FFF | |
| Action_result.data.*. requested_artifact.cef_types.new_field | خيط | جديد يحتوي | |
| Action_result.data.*. requested_artifact.description | خيط | وأضاف القطع الأثرية من قبلي | |
| Action_result.data.*. requested_artifact.label | خيط | علامة الاختبار | |
| Action_result.data.*. requested_artifact.name | خيط | اسم جديد | |
| Action_result.data.*. requested_artifact.severity | خيط | عالي | |
| Action_result.data.*. requested_artifact.source_data_identifier | خيط | my_custom_sdi | |
| Action_result.data.*. requested_artifact.tags | خيط | TAG2 | |
| ACTION_RESULT.DATA.*. استجابة | رقمية | 2388 | |
| Action_result.data.*. response.success | منطقية | خطأ حقيقي | |
| Action_result.summary | خيط | ||
| Action_result.message | خيط | تم تحديث قطعة أثرية بنجاح. | |
| Summary.total_objects | رقمية | 1 | |
| ملخص | رقمية | 1 |
أضف ملاحظة إلى حاوية
النوع: عام
اقرأ فقط: خطأ
إذا تم ترك المعلمة Container_ID فارغة ، فسيتم تهيئتها إلى معرف الحاوية الحالي (من حيث يتم تشغيل الإجراء) وستنقل الحالة وفقًا لذلك. إذا كانت الحاوية عبارة عن حالة ، فيمكن توفير معلمة phase_id لربط الملاحظة في مرحلة معينة.
| المعلمة | مطلوب | وصف | يكتب | يتضمن |
|---|---|---|---|---|
| عنوان | مطلوب | عنوان الملاحظة | خيط | |
| محتوى | خياري | لاحظ المحتوى | خيط | |
| Container_id | خياري | معرف الحاوية (الإعدادات الافتراضية للحاوية الحالية) | رقمية | phantom container id |
| phase_id | خياري | المرحلة سوف ترتبط الملاحظة مع | خيط |
| مسار البيانات | يكتب | يتضمن | مثال القيم |
|---|---|---|---|
| Action_result.status | خيط | فشل النجاح | |
| Action_result.parameter.container_id | رقمية | phantom container id | 35 |
| Action_result.parameter.content | خيط | إضافة ملاحظة عبر إجراء التطبيق | |
| Action_result.parameter.phase_id | خيط | ||
| Action_result.parameter.title | خيط | لاحظ اختبار | |
| Action_result.data | خيط | ||
| Action_result.summary | خيط | ||
| Action_result.message | خيط | ملاحظة تم إنشاؤها | |
| Summary.total_objects | رقمية | 1 | |
| ملخص | رقمية | 1 |
إضافة/إزالة العلامات من قطعة أثرية
النوع: عام
اقرأ فقط: خطأ
| المعلمة | مطلوب | وصف | يكتب | يتضمن |
|---|---|---|---|---|
| Artifact_id | مطلوب | معرف القطع الأثرية | خيط | phantom artifact id |
| add_tags | خياري | قائمة العلامات المفصولة بالفاصلة لإضافتها إلى القطع الأثرية | خيط | |
| remove_tags | خياري | قائمة مفصل الفاصلة من العلامات التي يجب إزالتها من القطع الأثرية | خيط |
| مسار البيانات | يكتب | يتضمن | مثال القيم |
|---|---|---|---|
| Action_result.status | خيط | فشل النجاح | |
| Action_result.parameter.add_tags | خيط | TAG1 ، TAG3 | |
| Action_result.parameter.artifact_id | خيط | phantom artifact id | 94 |
| Action_result.parameter.remove_tags | خيط | TAG2 ، TAG4 | |
| Action_result.data | خيط | ||
| Action_result.summary.tags_added | خيط | TAG1 | |
| Action_result.summary.tags_already_absent | خيط | TAG4 | |
| Action_result.summary.tags_already_present | خيط | TAG3 | |
| ACTION_RESULT.SUMMARY.TAGS_REMOVED | خيط | TAG2 | |
| Action_result.message | خيط | العلامات المضافة: TAG1 ، العلامات التي تمت إزالتها: TAG2 ، العلامات الموجودة بالفعل: TAG3 ، العلامات الغائبة بالفعل: TAG4 | |
| Summary.total_objects | رقمية | 1 | |
| ملخص | رقمية | 1 |
العثور على القطع الأثرية التي تحتوي على قيمة CEF
النوع: التحقيق
اقرأ فقط: صحيح
إذا تم تعيين معلمة LIMIT_Search على TRUE ، فسيقوم الإجراء بالبحث في القطع الأثرية المطلوبة في Container_ids المتوفرة فقط. خلاف ذلك ، سيتم تجاهل معلمة Container_ids .
إذا تم توفير أي قيمة غير مستقرة في معلمة Container_IDS ، فسيتم إزالة جميع قيم غير المعرفة وسيتم تحديث المعلمة وفقًا لذلك. إذا كانت قيمة معلمة Container_IDS حالية ، فسيتم استبدالها بمعرف الحاوية الحالي (الذي يتم تشغيل الإجراء منه) وسيتم انعكاس الحالة وفقًا لذلك.
إذا تم تعيين المعلمة excate_match على خطأ ، فسيقوم الإجراء بإرجاع كل تلك القطع الأثرية التي تكون معلمة القيم من أجل أي واحد من قيم CEF الخاصة به. وإلا فإنه سيعيد تلك القطع الأثرية التي تتطابق مع أي من قيمة CEF الخاصة بها تمامًا مع معلمة القيم .
بالنسبة لقيم النوع الصحيح أو التعويم أو السلسلة ، يُقترح تعيين المعلمة iscor_match على خطأ.
بشكل افتراضي ، يتم إرجاع 10 قطع أثرية. إذا كنت ترغب في إرجاع أكثر أو أقل من 10 قطعة أثرية ، فحديث معلمة Max_Results .
| المعلمة | مطلوب | وصف | يكتب | يتضمن |
|---|---|---|---|---|
| CEF_KEY | خياري | مفتاح Dict CEF الذي تستفسر عنه: ACT ، APP ، ApplicationProtocol ، BaseeventCount ، Bytesin ، إلخ. سيبحث قاموس CEF بالكامل إذا كان فارغًا | خيط | |
| قيم | مطلوب | ابحث عن هذه القيمة في القطع الأثرية | خيط | * |
| excal_match | خياري | تطابق بالضبط (افتراضي: صحيح) | منطقية | |
| limit_search | خياري | الحد من البحث إلى الحاويات المحددة (افتراضي: خطأ) | منطقية | |
| Container_ids | خياري | قائمة المساحة أو معرفات الحاوية المنفصلة عن الفاصلة. سيتم استبدال كلمة "الحالية" بمعرف الحاوية الحالي | خيط | |
| max_results | خياري | الحد الأقصى لعدد القطع الأثرية للعودة | رقمية |
| مسار البيانات | يكتب | يتضمن | مثال القيم |
|---|---|---|---|
| Action_result.status | خيط | فشل النجاح | |
| Action_result.parameter.cef_key | خيط | ACT APP ApplicationProtocol | |
| Action_result.parameter.container_ids | خيط | حاضِر | |
| Action_result.parameter.exact_match | منطقية | خطأ حقيقي | |
| Action_result.parameter.limit_search | منطقية | خطأ حقيقي | |
| Action_result.parameter.values | خيط | * | test_value |
| Action_result.data.*. حاوية | رقمية | 1234 | |
| Action_result.data.*. Container_Name | خيط | phantom_test | |
| Action_result.data.*. وجدت في | خيط | test_key | |
| Action_result.data.*. Id | رقمية | 12345 | |
| Action_result.data.* | خيط | test_value | |
| Action_result.data.*. الاسم | خيط | Artifact_demo | |
| Action_result.summary.artifacts_found | رقمية | 1 | |
| Action_result.summary.server | خيط | https://10.1.1.10 | |
| Action_result.message | خيط | تم العثور على القطع الأثرية: 1 ، الخادم: https://10.1.1.10 | |
| Summary.total_objects | رقمية | 1 | |
| ملخص | رقمية | 1 | |
| Action_result.parameter.max_results | رقمية | 2 |
أضف قيمة إلى قائمة مخصصة
النوع: عام
اقرأ فقط: خطأ
لإضافة صف يحتوي على قيمة واحدة إلى قائمة ببساطة تمرير القيمة. ومع ذلك ، لتمرير قيم متعددة في صف ، قم بتنسيقها مثل صفيف JSON (على سبيل المثال ["item1" ، "item2" ، "item3"]).
سيقوم الإجراء بتحديث القائمة ، إذا كانت القائمة موجودة بالفعل (حتى إذا تم تعيين معلمة CREATE على TRUE).
بعد إنشاء أو تحديث قائمة من خلال هذا الإجراء ، إذا تم تحديث القائمة نفسها من واجهة المستخدم ، فإن المستخدم يحتاج إلى حفظ هذه التغييرات قبل تحديث القائمة من خلال هذا الإجراء مرة أخرى ، وإلا ، سيتم تجاوز التغييرات من واجهة المستخدم.
| المعلمة | مطلوب | وصف | يكتب | يتضمن |
|---|---|---|---|---|
| قائمة | مطلوب | اسم أو معرف قائمة مخصصة | خيط | |
| new_row | مطلوب | صف جديد (سلسلة أو قائمة JSON) | خيط | * |
| يخلق | خياري | إنشاء قائمة إذا لم تكن موجودة (افتراضي: خطأ) | منطقية |
| مسار البيانات | يكتب | يتضمن | مثال القيم |
|---|---|---|---|
| Action_result.status | خيط | فشل النجاح | |
| Action_result.parameter.create | منطقية | خطأ حقيقي | |
| Action_result.parameter.list | خيط | demo_list | |
| Action_result.parameter.new_row | خيط | * | ["value1" ، "value2" ، "value3"] |
| Action_result.data.*. فشل | منطقية | ||
| Action_result.data.* | منطقية | خطأ حقيقي | |
| Action_result.summary.server | خيط | url | https://10.1.1.10 |
| Action_result.message | خيط | الخادم: https://10.1.1.10 | |
| Summary.total_objects | رقمية | 1 | |
| ملخص | رقمية | 1 |
ابحث عن القيمة في قائمة مخصصة
النوع: التحقيق
اقرأ فقط: صحيح
يمكن العثور على إحداثيات الصف والعمود لكل قيمة مطابقة في ملخص النتيجة تحت "المواقع". المباراة حساسة للحالة.
إذا تم تعيين المعلمة excate_match على خطأ ، فسيقوم الإجراء بإرجاع كل تلك الأوتار التي تكون معلمة القيم هي أسطواناتها الفرعية. وإلا فإنه سيعيد تلك الأوتار التي تتطابق تمامًا مع معلمة القيم .
| المعلمة | مطلوب | وصف | يكتب | يتضمن |
|---|---|---|---|---|
| قائمة | مطلوب | اسم أو معرف قائمة مخصصة | خيط | |
| column_index | خياري | ابحث في رقم العمود (0 على أساس) | رقمية | |
| قيم | مطلوب | قيمة للبحث عن | خيط | * |
| excal_match | خياري | تطابق بالضبط (افتراضي: صحيح) | منطقية |
| مسار البيانات | يكتب | يتضمن | مثال القيم |
|---|---|---|---|
| Action_result.status | خيط | فشل النجاح | |
| Action_result.parameter.column_index | رقمية | ||
| Action_result.parameter.exact_match | منطقية | خطأ حقيقي | |
| Action_result.parameter.list | خيط | list_demo | |
| Action_result.parameter.values | خيط | * | Value1 |
| Action_result.data | خيط | ||
| Action_result.data.* | خيط | ||
| Action_result.summary.found_matches | رقمية | 1 | |
| Action_result.summary.list_id | رقمية | 18 | |
| Action_result.summary.locations | رقمية | ||
| Action_result.summary.locations.* | رقمية | ||
| Action_result.summary.server | خيط | url | https://10.1.1.10 |
| Action_result.message | خيط | الخادم: https://10.1.1.10 ، تم العثور على المطابقة: 1 ، المواقع: [(1 ، 0)] ، معرف القائمة: 18 | |
| Summary.total_objects | رقمية | 1 | |
| ملخص | رقمية | 1 |
أضف قطعة أثرية جديدة إلى حاوية
النوع: عام
اقرأ فقط: خطأ
إذا تم ترك المعلمة Container_id فارغة ، فسيتم تهيئتها إلى معرف الحاوية الحالي (الذي يتم تشغيل الإجراء منه) وسيتم انعكاس الحالة وفقًا لذلك.
يمكن إضافة حقول CEF إلى القطع الأثرية بطريقتين ، إما باستخدام معلمة CEF_NAME و CEF_VALUE أو باستخدام معلمة CEF_Dictionary . إذا تم تضمين معلمات CEF_NAME و CEF_VALUE و CEF_DICTIONARY ، فسيضيف الإجراء حقل CEF_NAME إلى CEF_DICTINARY .
باستخدام معلمة CEF_NAME و CEF_VALUE فقط ، سيؤدي إلى الحقل القطع الأثرية التي تحتوي على حقل CEF واحد.
تأخذ المعلمة CEF_Dictionary قاموس JSON مع أزواج القيمة الرئيسية التي تمثل أزواج قيمة مفتاح CEF. لتوفير القيم التي تحتوي على Quotes مزدوجة (") ، أضف lackslash () قبل الربعات المزدوجة.
على سبيل المثال ، {"x-universally-unique-identifier": "test" ، "content-type": " multipart/alternative ؛ boundary = ، "Message-ID": "[email protected]"}
يمكن للمعلمة أن تأخذ قاموس JSON ، حيث تتطابق المفاتيح مع مفاتيح CEF_Dictionary والقيم التي تحتوي على قوائم ممكنة تحتوي على حقل CEF. إذا لم تكن قيمة معينة في cef_dictionary غير موجودة في القاموس ، فسيقوم الإجراء أولاً بالتحقق من قائمة حقول CEF الافتراضية. إذا لم يكن حقل CEF افتراضيًا ، فسيحاول الإجراء تحديد القيمة المناسبة التي تحتوي عليها.
يمكن أن تأخذ المعلمة أيضًا سلسلة (أو قائمة مفصل بين السلاسل) التي تمثل تحتوي على معلمة CEF_VALUE . يجب استخدام هذه الطريقة فقط إذا تم استخدام معلمات CEF_NAME و CEF_VALUE .
إذا تم ضبط معلمة Run_automation على True ، فسيتم تشغيل كتاب Playbooks النشط تلقائيًا بعد إضافة القطع الأثرية. سيتم تشغيل كتب اللعب النشطة على نفس الحاوية التي تتم إضافة قطعة أثرية.
راجع وثائق REST API لمزيد من المعلومات حول القطع الأثرية وحقول CEF ، وتحتوي.
| المعلمة | مطلوب | وصف | يكتب | يتضمن |
|---|---|---|---|---|
| اسم | خياري | اسم القطع الأثرية الجديدة | خيط | |
| Container_id | خياري | معرف حاوية رقمي للقطع الأثرية الجديدة | رقمية | phantom container id |
| ملصق | خياري | تسمية القطع الأثرية (الافتراضي: الحدث) | خيط | |
| source_data_identifier | مطلوب | مصدر بيانات المصدر | خيط | |
| CEF_NAME | خياري | اسم CEF | خيط | |
| CEF_VALUE | خياري | قيمة | خيط | * |
| cef_dictionary | خياري | CEF JSON | خيط | |
| يتضمن | خياري | نوع البيانات لكل حقل CEF | خيط | |
| Run_automation | خياري | قم بتشغيل الأتمتة على القطع الأثرية التي تم إنشاؤها حديثًا (افتراضي: خطأ) | منطقية | |
| تحديد _contains | خياري | تحديد يحتوي على أي حقول CEF دون توفير يحتوي على قيمة (افتراضي: صحيح) | منطقية |
| مسار البيانات | يكتب | يتضمن | مثال القيم |
|---|---|---|---|
| Action_result.status | خيط | فشل النجاح | |
| Action_result.parameter.cef_dictionary | خيط | {"test_key": "test_value"} | |
| Action_result.parameter.cef_name | خيط | ||
| Action_result.parameter.cef_value | خيط | * | |
| Action_result.parameter.container_id | رقمية | phantom container id | 1234 |
| Action_result.parameter.contains | خيط | اِختِصاص | |
| Action_result.parameter.label | خيط | حدث | |
| Action_result.parameter.name | خيط | Artifact_demo | |
| Action_result.parameter.run_automation | خيط | خطأ حقيقي | |
| Action_result.parameter.source_data_identifier | خيط | ||
| Action_result.parameter.determine_contains | منطقية | ||
| Action_result.data.* | رقمية | ||
| Action_result.data.*. فشل | منطقية | ||
| Action_result.data.*. Id | رقمية | 123 | |
| Action_result.data.* | منطقية | خطأ حقيقي | |
| Action_result.summary.artifact_id | رقمية | 12345 | |
| Action_result.summary.container_id | رقمية | 1234 | |
| Action_result.summary.server | خيط | url | https://10.1.1.10 |
| Action_result.message | خيط | معرف القطع الأثرية: 12345 ، معرف الحاوية: 1234 ، الخادم: https://10.1.1.10 | |
| Summary.total_objects | رقمية | 1 | |
| ملخص | رقمية | 1 |
ينقلب عنصر من قبو
النوع: عام
اقرأ فقط: خطأ
سيتم دعم الإجراء فقط إذا تم تكوين معلمة Phantom_Server (في تكوينات الأصول) إلى مثيل Phantom المحلي ، أي المثيل الذي يتم تشغيل الإجراء منه.
يكتشف الإجراء ما إذا كان عنصر إدخال Vault هو ملف مضغوط ويقوم بتنفيذه. ثم يتم إضافة كل ملف موجود بعد الانكماش إلى Vault. إذا تم تحديد Container_ID ، فسيضيف إلى قبوه ، وإلا إلى حاوية التيار (الحاوية التي يتم تنفيذ الإجراء). يدعم الإجراء أنواع ملفات ملفات ZIP و GZIP و BZ2 و TAR و TGZ . في الحالة التي يحتوي فيها الملف المضغوط على ملف مضغوط آخر فيه ، قم بتعيين المعلمة العودية على True لتحريك الملف المضغوط الداخلي.
إذا تم تمكين التكرار وتم تحديد كلمة المرور ، فسيستخدم التطبيق كلمة المرور لملف zip المعطى فقط. سيتم استخراج ملف zip الداخلي فقط إذا لم يكن الملف محميًا بكلمة مرور. من بين طرق الضغط المختلفة ، يدعم ZIP وظائف حماية كلمة المرور فقط.
بالنسبة لبعض أحرف Unicode ، لا يتم إلغاء ضغط اسم الملف كما هو ، بواسطة وحدة zipfile.
| المعلمة | مطلوب | وصف | يكتب | يتضمن |
|---|---|---|---|---|
| Vault_id | مطلوب | معرف قبو | خيط | vault id sha1 |
| Container_id | خياري | معرف حاوية الوجهة | رقمية | phantom container id |
| كلمة المرور | خياري | كلمة المرور للملف | خيط | |
| العودية | خياري | استخراج متكرر (افتراضي: خطأ) | منطقية |
| مسار البيانات | يكتب | يتضمن | مثال القيم |
|---|---|---|---|
| Action_result.status | خيط | فشل النجاح | |
| Action_result.parameter.container_id | رقمية | phantom container id | 3 |
| Action_result.parameter.password | خيط | P@$$ W0RD | |
| Action_result.parameter.recursive | منطقية | خطأ حقيقي | |
| Action_result.parameter.vault_id | خيط | vault id sha1 | F582ED9120FA3BE94852C7E1CD188F2948F677F |
| Action_result.data.*. | خيط | test.txt | |
| Action_result.data.*. حاوية | خيط | phantom_test | |
| Action_result.data.*. Container_id | رقمية | phantom container id | 1234 |
| Action_result.data.*. يحتوي على.* | خيط | معرف قبو | |
| Action_result.data.*. create_time | خيط | منذ 0 دقيقة | |
| Action_result.data.*. Create_via | خيط | الأتمتة | |
| Action_result.data.*. hash | خيط | sha1 | 0A0E6C7AB7F77D058EFD44279B81C4C6A9CF4CE |
| Action_result.data.*. Id | رقمية | 12 | |
| Action_result.data.* | خيط | معرف قبو | |
| Action_result.data.* | خيط | md5 | 0DB33A0790B6D6D5C2E4425646EEE7FC |
| Action_result.data.* | خيط | sha1 | PECE6C7AB7F77D058EFD444279B81C4C6A9CF4CE |
| Action_result.data.* | خيط | sha256 | 4F2155212CB0F74207BD0E4FD5ECAE548EE2BAE1D2DCD36C1D0BA0B6254BD4A1 |
| Action_result.data.* | رقمية | 33 | |
| Action_result.data.*. mime_type | خيط | نص/عادي | |
| Action_result.data.*. الاسم | خيط | TGZ-Test | |
| Action_result.data.*. المسار | خيط | ||
| Action_result.data.*. الحجم | رقمية | 10240 | |
| Action_result.data.*. المهمة | خيط | ||
| Action_result.data.*. المستخدم | خيط | ||
| Action_result.data.*. Vault_Document | رقمية | ||
| Action_result.data.*. Vault_id | خيط | vault id sha1 | B90E6C7AB7F77D058EFD444279B81C4C6A9CF4CE |
| Action_result.summary.total_vault_items | رقمية | 9 | |
| Action_result.message | خيط | إجمالي عناصر قبو: 9 | |
| Summary.total_objects | رقمية | 1 | |
| ملخص | رقمية | 1 |
تصدير الحاوية المحلية إلى أصول الوهمية المكونة
النوع: عام
اقرأ فقط: خطأ
يقوم هذا الإجراء بتصدير حاوية (التي تتوافق مع Container_ID ) من مثيل الوهمية المحلية (المثيل من حيث يتم تشغيل الإجراء) إلى أصول الوهمية المكونة (يتم تنفيذ الإجراء على).
سيفشل الإجراء في رسالة خطأ مثل مثيل الشدة مع الاسم U'critical 'غير موجود ، إذا كانت بيانات التعريف الحاوية على مثيل الوهمية المحلية ولا يتطابق أصول الوهمية التي تم تكوينها.
قم بتعيين معلمة Keep_Owner إلى صواب إذا كنت تريد مالك الحاوية على مثيل Phantom الذي تم تكوينه لمطابقة المالك على المثيل المحلي. لاحظ أن هذا سيستند إلى معرف المالك ، وليس اسم المالك.
| المعلمة | مطلوب | وصف | يكتب | يتضمن |
|---|---|---|---|---|
| Container_id | مطلوب | معرف الحاوية لنسخه | رقمية | phantom container id |
| Keep_Owner | خياري | الحفاظ على المالك | منطقية | |
| ملصق | خياري | تسمية لتسمية حاوية التصدير. إذا كان فارغًا ، فستكون لحاوية التصدير نفس اسم الحاوية المحلية | خيط | |
| Run_automation | خياري | تشغيل كتب اللعب النشطة | منطقية |
| مسار البيانات | يكتب | يتضمن | مثال القيم |
|---|---|---|---|
| Action_result.status | خيط | فشل النجاح | |
| Action_result.parameter.container_id | رقمية | phantom container id | 3 |
| Action_result.parameter.keep_owner | منطقية | خطأ حقيقي | |
| Action_result.parameter.label | خيط | الأحداث | |
| Action_result.parameter.run_automation | منطقية | خطأ حقيقي | |
| Action_result.data | خيط | ||
| Action_result.summary.artifact_count | رقمية | 268 | |
| Action_result.summary.container_id | رقمية | phantom container id | 94 |
| Action_result.message | خيط | معرف الحاوية: 94 ، عدد القطع الأثرية: 268 | |
| Summary.total_objects | رقمية | 1 | |
| ملخص | رقمية | 1 |
استيراد حاوية من مثيل فانتوم خارجي
النوع: عام
اقرأ فقط: خطأ
يستورد هذا الإجراء حاوية (تتوافق مع Container_ID ) من أصول Phantom المكونة (التي يتم تنفيذ الإجراء) في مثيل Phantom المحلي (المثيل من حيث يتم تشغيل الإجراء).
سيفشل الإجراء مع رسالة خطأ مثل مثيل الشدة مع الاسم U'critical 'غير موجود ، إذا كانت بيانات التعريف الحاوية على أصول الوهمية المكونة ولا تتطابق مثيل الوهمية المحلية.
قم بتعيين معلمة Keep_Owner إلى True إذا كنت تريد مالك الحاوية على مثيل Phantom المحلي لمطابقة المالك على المثيل الذي تم تكوينه. لاحظ أن هذا سيستند إلى معرف المالك ، وليس اسم المالك.
| المعلمة | مطلوب | وصف | يكتب | يتضمن |
|---|---|---|---|---|
| Container_id | مطلوب | معرف الحاوية لنسخه | رقمية | phantom container id |
| Keep_Owner | خياري | الحفاظ على المالك | منطقية |
| مسار البيانات | يكتب | يتضمن | مثال القيم |
|---|---|---|---|
| Action_result.status | خيط | فشل النجاح | |
| Action_result.parameter.container_id | خيط | phantom container id | 3 |
| Action_result.parameter.keep_owner | منطقية | خطأ حقيقي | |
| Action_result.data | خيط | ||
| Action_result.summary.artifact_count | رقمية | 268 | |
| Action_result.summary.container_id | رقمية | phantom container id | 94 |
| Action_result.message | خيط | معرف الحاوية: 94 ، عدد القطع الأثرية: 268 | |
| Summary.total_objects | رقمية | 1 | |
| ملخص | رقمية | 1 |
قم بإنشاء حاوية جديدة على مثيل فانتوم
النوع: عام
اقرأ فقط: خطأ
ينشئ هذا الإجراء حاوية جديدة على خادم Phantom ، الذي تم تكوينه في معلمة أصول Phantom_Server . يجب أن تكون معلمة Container_json سلسلة JSON. من الضروري توفير مفتاح تسمية في معلمة Container_json . سيفشل الإجراء إذا كان لدى Container_json تسمية غير موجودة على Asset Fantom Destination.
على سبيل المثال ، {"name": "Test Container" ، "Label": "Events"}
Container_artifacts هي معلمة اختيارية تحتاج إلى أن تكون قائمة بالكائنات القوية كسلسلة JSON. يجب أن يحتوي كل كائن JSON على المفاتيح التالية: CEF ، CEF_TYPES ، البيانات ، الوصف ، end_time ، ingest_app_id ، kill_chain ، التسمية ، الاسم ، owner_id ، الشدة ، source_data_identifier ، start_time ، tags ، type . سيتم تجاهل جميع المفاتيح الأخرى.
على سبيل المثال ، [{"name": "Artifact 1" ، "Label": "Label1" ، "CEF": {"Test": "123"}} ، {"name": "Artifact 2" ، "Label": "Label2" ، "CEF": {"Test": "456"}}]
انظر وثائق Splunk Phantom لمزيد من التفاصيل.
| المعلمة | مطلوب | وصف | يكتب | يتضمن |
|---|---|---|---|---|
| Container_json | مطلوب | كائن الحاوية JSON | خيط | |
| Container_artifacts | خياري | قائمة كائنات JSON Artifact | خيط |
| مسار البيانات | يكتب | يتضمن | مثال القيم |
|---|---|---|---|
| Action_result.status | خيط | فشل النجاح | |
| Action_result.parameter.container_artifacts | خيط | [{"name": "اسم صديق للإنسان لـ Artifact (1)" ، "Label": "Event" ، "source_data_identifier": 1} ، {"name": "a Human Friends for Artifact (2)" ، "التسمية": "الحدث" ، "source_data_identifier": 2} ، {"name": "اسم صديق للإنسان لـ Artifact (3)" ، "label": "event" ، "source_data_identifier": 3}] | |
| Action_result.parameter.container_json | خيط | {"شدة": "متوسطة" ، "تسمية": "الأحداث" ، "الإصدار": 1 ، "أصول": 7 ، "الحالة": "جديدة" ، "الوصف": "حاوية جديدة من فانتوم هايد" ، "،" العلامات ": [] ،" بيانات ": {} ،" الاسم ":" هذه حاوية "} | |
| Action_result.data | خيط | ||
| Action_result.summary.artifact_count | رقمية | 3 | |
| Action_result.summary.container_id | رقمية | phantom container id | |
| Action_result.summary.failed_artifact_count | رقمية | 7 | |
| Action_result.message | خيط | معرف الحاوية: 82 ، عدد القطع الأثرية: 3 | |
| Summary.total_objects | رقمية | 1 | |
| ملخص | رقمية | 1 |
ابحث عن نتائج الإجراء الذي تم تشغيله مسبقًا
النوع: التحقيق
اقرأ فقط: صحيح
يقوم هذا الإجراء بإرجاع أحدث النتائج لـ Action_name المعطى مع المعلمات المحددة خلال الوقت المحدد.
سيحدد الإجراء من عدد النتائج التي يتم إرجاعها إلى القيمة في Max_Results . بشكل افتراضي ، يكون الحد 10. للحصول على جميع النتائج ، قم بتعيين معلمة MAX_RESULTS إلى 0.
تأخذ المعلمة المعلمات سلسلة JSON بالتنسيق:
{
"parameter_name1": "parameter_value1"
"parameter_name2": "parameter_value2"
...
}| المعلمة | مطلوب | وصف | يكتب | يتضمن |
|---|---|---|---|---|
| Action_name | مطلوب | اسم العمل | خيط | |
| حدود | خياري | json سلسلة من معلمات الإجراء | خيط | |
| برنامج | خياري | اسم التطبيق | خيط | |
| أصل | خياري | اسم الأصول | خيط | |
| time_limit | خياري | عدد الساعات للبحث مرة أخرى | رقمية | |
| max_results | خياري | الحد الأقصى لعدد نتائج الإجراءات للعودة | رقمية |
| مسار البيانات | يكتب | يتضمن | مثال القيم |
|---|---|---|---|
| Action_result.status | خيط | فشل النجاح | |
| Action_result.parameter.action_name | خيط | IP القائمة السوداء | |
| Action_result.parameter.app | خيط | الوهمية | |
| Action_result.parameter.asset | خيط | test_phantom | |
| Action_result.parameter.max_results | رقمية | 5 | |
| Action_result.parameter.parameters | خيط | {"IP": "1.8.9.0"} | |
| Action_result.parameter.time_limit | رقمية | 24 | |
| Action_result.data.* | خيط | IP القائمة السوداء | |
| Action_result.data.*. Action_run | رقمية | 2724 | |
| Action_result.data.*. التطبيق | رقمية | 121 | |
| Action_result.data.*. app_name | خيط | الوهمية | |
| Action_result.data.*. app_version | خيط | 1.0.0 | |
| Action_result.data.*. الأصول | رقمية | 137 | |
| Action_result.data.*. حاوية | رقمية | 1154 | |
| Action_result.data.* | خيط | ||
| Action_result.data.*. end_time | خيط | 2017-11-06T20: 30: 27.991000Z | |
| Action_result.data.* | منطقية | خطأ حقيقي | |
| Action_result.data.*. extra_data | خيط | ||
| Action_result.data.*. Id | رقمية | 2761 | |
| Action_result.data.*. الرسالة | خيط | بنجاح مدرج في القائمة السوداء | |
| Action_result.data.*. Playbook_run | رقمية | 1056 | |
| Action_result.data.*. result_data.*. البيانات | رقمية | ||
| Action_result.data.*. result_data.*. message | خيط | IP مدرج في القائمة السوداء بنجاح | |
| Action_result.data.*. result_data.*. المعلمة | خيط | ||
| Action_result.data.* | رقمية | 0 | |
| Action_result.data.*. result_data.*. parameter.context.guid | خيط | 293D0369-4801-417D-A1AF-A73CF1200D3D | |
| Action_result.data.* | خيط | ||
| Action_result.data.*. result_data.*. الحالة | خيط | نجاح | |
| Action_result.data.*. result_data.*. ملخص | خيط | ||
| Action_result.data.*. result_summary.total_objects | رقمية | 1 | |
| Action_result.data.* | رقمية | 1 | |
| Action_result.data.*. start_time | خيط | 2017-11-06T20: 30: 04.879000Z | |
| Action_result.data.*. الحالة | خيط | فشل النجاح | |
| Action_result.data.*. الإصدار | رقمية | 1 | |
| Action_result.summary.action_run_id | رقمية | 2761 | |
| Action_result.summary.num_results | رقمية | ||
| Action_result.message | خيط | معرف التشغيل: 2761 | |
| Summary.total_objects | رقمية | 1 | |
| ملخص | رقمية | 1 |
تحديث القائمة
النوع: عام
اقرأ فقط: خطأ
إما أن يكون القائمة أو المعرف مطلوبًا. إذا تم توفير معلمات LIST_NAME و ID ويشير كلاهما إلى قوائم مختلفة ، فسيتم تفضيل معلمة LIST_NAME وسيقوم الإجراء بتحديث القائمة المحددة في معلمة list_name.
| المعلمة | مطلوب | وصف | يكتب | يتضمن |
|---|---|---|---|---|
| list_name | خياري | اسم القائمة | خيط | |
| بطاقة تعريف | خياري | معرف قائمة | رقمية | |
| row_number | مطلوب | رقم الصف في القائمة المراد تعديله | رقمية | |
| row_values_as_list | مطلوب | قائمة تنسيق JSON من القيم الجديدة للصف | خيط |
| مسار البيانات | يكتب | يتضمن | مثال القيم |
|---|---|---|---|
| Action_result.status | خيط | فشل النجاح | |
| Action_result.parameter.id | رقمية | ||
| Action_result.parameter.list_name | خيط | قائمتي الأولى | |
| Action_result.parameter.row_number | رقمية | 0 | |
| Action_result.parameter.row_values_as_list | خيط | ["هذا" ، "هو" ، "أ" ، "اختبار"] | |
| Action_result.data.* | منطقية | حقيقي | |
| Action_result.summary | خيط | ||
| Action_result.message | خيط | ||
| Summary.total_objects | رقمية | 1 | |
| ملخص | رقمية | 1 |
انتظر العدد المحدد من الثواني
النوع: التحقيق
اقرأ فقط: صحيح
| المعلمة | مطلوب | وصف | يكتب | يتضمن |
|---|---|---|---|---|
| Sleep_seconds | مطلوب | نوم لهذه الثواني العديدة | رقمية |
| مسار البيانات | يكتب | يتضمن | مثال القيم |
|---|---|---|---|
| Action_result.status | خيط | فشل النجاح | |
| Action_result.parameter.sleep_seconds | رقمية | 15 | |
| Action_result.data | خيط | ||
| Action_result.summary | خيط | ||
| Action_result.message | خيط | نام لمدة 15 ثانية | |
| Summary.total_objects | رقمية | 1 | |
| ملخص | رقمية | 1 |
