phantom
3.7.0
Verlag: Splunk
Connector -Version: 3.7.1
Produktanbieter: Phantom
Produktname: Phantom
Produktversion unterstützt (Regex): ".*"
Mindestproduktversion: 6.2.1
Diese App enthält verschiedene Phantom -APIs als Aktionen
Der auth_token -Konfigurationsparameter ist für die Verwendung mit Phantominstanzen verwendet. Wenn sowohl das Token als auch der Benutzername/das Passwort angegeben sind, wird der Benutzername und das Passwort verwendet, um sich mit der Phantominstanz zu authentifizieren.
Beachten Sie, dass der verwendete IP (oder Name) mit der zulässigen IP in der Ruhe -Asset -Konfiguration der Remote -Phantominstanz übereinstimmt.
Falls der Parameter von Phantom_Server -Konfiguration auf die aktuelle Phantominstanz eingestellt ist, dh der Phantomserver, über den die App verwendet wird, sollte das Verify_Certificat in der Asset -Konfiguration auf False eingestellt werden.
Informationen zum Erhalten eines Autorisierungs -Tokens finden Sie unter Bereitstellung eines Autorisierungs -Tokens in der Dokumentation zur Übersicht über die Phantom -Ruhe.
Wenn der im Konfigurationsparameter von Phantom_Server bereitgestellte Wert 0,0.0.0 beträgt, wird die Testkonnektivität erfolgreich übergeben und die Aktionen werden auf der aktuellen Phantominstanz ausgeführt, dh dem Server, über den die App verwendet wird.
Siehe KB Artikel 7 und KB Artikel 16, um ein gültiges HTTPS -Zertifikat für Ihre Phantom -Instanz zu erstellen und zu überprüfen.
Aus Sicherheitsgründen ist der Zugriff auf 127.0.0.1 nicht zulässig.
Für NRI -Instanzen muss der Parameter von IP/Hostname -Konfiguration von Geräte auch die Portnummer angeben. (ZB XXXX: 9999)
Die vorhandenen Aktionsparameter wurden in den unten angegebenen Aktionen geändert. Daher wird an den Endbenutzer gebeten, ihre vorhandenen Playbooks bitte zu aktualisieren, indem sie die entsprechenden Aktionsblöcke neu investieren oder diese Aktionsparameter entsprechende Werte bereitstellen, um die korrekte Funktionsweise der in den früheren Versionen der App erstellten Playbooks sicherzustellen.
Aktualisierungsliste - Der Parameter von row_values_as_list wurde von den von den Kommas getrennten neuen Werten in eine Liste neuer Werte geändert. Auf diese Weise kann der Benutzer einen Wert mit einem Comma (',') -Charakter anbieten. Das Beispiel für dasselbe wurde in den Beispielwerten aktualisiert.
Artefakt hinzufügen - Der Parameter enthält eine Zeichenfolge (oder eine von Kommas getrennte Liste von String) oder ein JSON -Wörterbuch, wobei die Schlüssel zu den Tasten des CEF_Dictionary und den Werten möglich sind, die für das CEF -Feld Listen enthält. Falls der Parameter enthält , ist eine Zeichenfolge (oder eine von Kommas getrennte Liste der Zeichenfolge), der angegebene Wert wird dem Parameter CEF_NAME zugeordnet.
Die Ausgabedatapaths, action_result.summary.Artifact ID und action_result.summary.Container -ID wurden durch action_result.summary.artifact_id bzw. action_result.summary.container_id ersetzt.
Finden Sie Artefakte - die Action_Result.summary.Artifacts gefunden, dass DataPath durch action_result.summary.Artifacts_found ersetzt wurde.
Suchen Sie ListItem - Die DataPath von Action_Result.summary.Found Matches wurde durch action_result.summary.found_matches ersetzt.
Aktualisieren Sie Artefakt -Tags - Die folgenden Ausgabedatenapathen wurden hinzugefügt:
Aktualisieren Sie Artefakte - Die Aktionsparameter dieser Aktion wurden geändert. Bitte aktualisieren Sie Ihre vorhandenen Playbooks entsprechend den neuen Parametern. Unten finden Sie die Liste der hinzugefügten Parameter:
Weitere Informationen finden Sie im Abschnitt "ANDAGE ARBELITUNG" .
Die App verwendet das HTTP/ HTTPS -Protokoll zur Kommunikation mit dem Phantomserver. Im Folgenden finden Sie die Standardports, die von Splunk Soar verwendet werden.
| Servicename | Transportprotokoll | HAFEN |
|---|---|---|
| http | TCP | 80 |
| https | TCP | 443 |
Die folgenden Konfigurationsvariablen sind für diesen Anschluss erforderlich. Diese Variablen werden angegeben, wenn ein Phantom -Asset in SOAR konfiguriert wird.
| VARIABLE | ERFORDERLICH | TYP | BESCHREIBUNG |
|---|---|---|---|
| Phantom_Server | erforderlich | Saite | Phantom IP oder Hostname (z. B. 10.1.1.10 oder valid_phantom_hostname) |
| auth_token | optional | Passwort | Phantom Auth Token |
| Benutzername | optional | Saite | Benutzername (für HTTP Basic Auth) |
| Passwort | optional | Passwort | Passwort (für HTTP Basic Auth) |
| verify_certificate | optional | boolean | Überprüfen Sie das HTTPS -Zertifikat (Standard: Falsch) |
| Deflate_item_extensions | optional | Saite | Es werden nur Dateien mit den angegebenen Erweiterungen (Komma-getrennt) abgeleitet. Wenn leer, wird die Dateierweiterung nicht überprüft |
Testkonnektivität - Validieren Sie die Asset -Konfiguration für die Konnektivität
Update -Artefakt - Aktualisieren oder Überschreiben von Phantom -Artefakten mit dem bereitgestellten Eingang
Hinweis hinzufügen - Fügen Sie einem Container eine Notiz hinzu
ARTIFACT -Tags aktualisieren - Fügen/Entfernen von Tags aus einem Artefakt hinzugefügt/entfernen
Finden Sie Artefakte - Finden Sie Artefakte mit einem CEF -Wert
ListItem hinzufügen - Wert zu einer benutzerdefinierten Liste hinzufügen
ListItem finden - Wert in einer benutzerdefinierten Liste finden
Fügen Sie Artefakt hinzu - fügen Sie einem Container ein neues Artefakt hinzu
Entledelement - entleert ein Element aus dem Tresor
Exportieren Sie Container - Exportieren Sie den lokalen Container in das konfigurierte Phantom -Asset
Container importieren - Importieren Sie einen Container aus einer externen Phantominstanz
Container erstellen - Erstellen Sie einen neuen Container auf einer Phantominstanz
Aktionsergebnis erhalten - Finden Sie die Ergebnisse einer zuvor ausgeführten Aktion
Aktualisieren Sie die Liste - Aktualisieren Sie eine Liste
KEIN OP - Warten Sie auf die angegebene Anzahl von Sekunden
Validieren Sie die Asset -Konfiguration für die Konnektivität
Typ: Test
Nur lesen: wahr
Für diese Aktion sind keine Parameter erforderlich
Keine Ausgabe
Aktualisieren oder überschreiben Sie das Phantom -Artefakt mit dem bereitgestellten Eingang
Typ: Generikum
Nur lesen: Falsch
| PARAMETER | BEISPIEL |
|---|---|
| Name | Artefaktname |
| Etikett | artifact_label |
| Schwere | hoch |
| CEF_JSON | {"key1": "value1", "gooddomain": "www.splunk.com", "remove_me": "} |
| cef_types_json | {"Gooddomain": ["Domain"]} |
| Tags | Tag1, Tag3 oder ["Tag2", "Tag4"] |
| artifact_json | {"Source_Data_identifier": "MyTicket1234", "Label": "new_label"} |
| PARAMETER | ERFORDERLICH | BESCHREIBUNG | TYP | Enthält |
|---|---|---|---|---|
| artifact_id | erforderlich | ID des Artefakts zu aktualisieren | Saite | phantom artifact id |
| Name | optional | Artefaktname (immer überschreibt, falls vorhanden) | Saite | |
| Etikett | optional | Artefaktetikett (immer überschreibt, falls vorhanden) | Saite | |
| Schwere | optional | Artefaktschwere (immer überschreibt, falls vorhanden) | Saite | |
| CEF_JSON | optional | JSON -Format der CEF -Felder, die Sie im Artefakt wollen | Saite | |
| cef_types_json | optional | JSON -Format der CEF -Typen (z. B. {'myip': ['IP', 'IPv6']}) | Saite | |
| Tags | optional | Komma getrennte Liste von Tags zum Hinzufügen oder Ersetzen im Artefakt | Saite | |
| überschreiben | optional | Überschreiben Sie Artefakte mit der bereitgestellten Eingabe (gilt für: cef_json, enthält_json, Tags) | boolean | |
| artifact_json | optional | JSON -Format des gesamten Artefakts (immer überschreibende Tasten) | Saite |
| Datenpfad | TYP | Enthält | Beispielwerte |
|---|---|---|---|
| action_result.status | Saite | Erfolg scheiterte | |
| action_result.parameter.Artifact_id | Saite | phantom artifact id | 2388 |
| action_result.parameter.artifact_json | Saite | {"Schweregrad": "High", "Label": "Test Label", "Beschreibung": "Artefakt von mir hinzugefügt", "Source_Data_Identifier": "my_custom_sdi"} | |
| action_result.parameter.cef_json | Saite | {"new_field": "new_value", "deleted_field": ""} | |
| action_result.parameter.cef_types_json | Saite | {"new_field": ["new enthält"]} | |
| action_result.parameter.label | Saite | Testetikett | |
| action_result.parameter.name | Saite | Neuer Name | |
| action_result.parameter.overwrite | boolean | Richtig Falsch | |
| action_result.parameter. durchschnitt | Saite | hoch | |
| action_result.parameter.tags | Saite | ["Tag2"] | |
| action_result.data.*. Requested_artifact.cef.deleted_field | Saite | ||
| action_result.data.*. Requested_artifact.cef.new_field | Saite | NEW_VALUE | |
| action_result.data.*. Requested_artifact.cef.test | Saite | fff | |
| action_result.data.*. Requested_artifact.cef_types.new_field | Saite | Neu enthält | |
| action_result.data.*. Requested_artifact.Description | Saite | Artefakt von mir hinzugefügt | |
| action_result.data.*. Requested_artifact.label | Saite | Testetikett | |
| action_result.data.*. Requested_artifact.name | Saite | Neuer Name | |
| action_result.data.*. Requested_artifact.Severity | Saite | hoch | |
| action_result.data.*. Requested_artifact.Source_Data_identifier | Saite | my_custom_sdi | |
| action_result.data.*. Requested_artifact.tags | Saite | Tag2 | |
| action_result.data.*. reaktion.id | numerisch | 2388 | |
| action_result.data.*. response.success | boolean | Richtig Falsch | |
| action_result.summary | Saite | ||
| action_result.message | Saite | Artefakt erfolgreich aktualisiert. | |
| summary.total_objects | numerisch | 1 | |
| summary.total_objects_successful | numerisch | 1 |
Fügen Sie einem Container eine Notiz hinzu
Typ: Generikum
Nur lesen: Falsch
Wenn der Parameter container_id leer bleibt, wird er in die ID des aktuellen Containers initialisiert (von wo aus die Aktion ausgeführt wird) und der Status entsprechend reflektiert. Wenn der Container ein Fall ist, kann ein Phase_ID -Parameter bereitgestellt werden, um die Notiz einer bestimmten Phase zu verbinden.
| PARAMETER | ERFORDERLICH | BESCHREIBUNG | TYP | Enthält |
|---|---|---|---|---|
| Titel | erforderlich | Titel für die Notiz | Saite | |
| Inhalt | optional | Beachten Sie den Inhalt | Saite | |
| Container_id | optional | Die Container -ID (standardmäßig zum aktuellen Container) | numerisch | phantom container id |
| Phase_id | optional | Phase der Notiz wird zugeordnet | Saite |
| Datenpfad | TYP | Enthält | Beispielwerte |
|---|---|---|---|
| action_result.status | Saite | Erfolg scheiterte | |
| action_result.parameter.container_id | numerisch | phantom container id | 35 |
| action_result.parameter.Content | Saite | Hinzufügen einer Notiz über App -Aktion | |
| action_result.parameter.phase_id | Saite | ||
| action_result.parameter.title | Saite | Hinweis Test | |
| action_result.data | Saite | ||
| action_result.summary | Saite | ||
| action_result.message | Saite | Notiz erstellt | |
| summary.total_objects | numerisch | 1 | |
| summary.total_objects_successful | numerisch | 1 |
Fügen Sie Tags aus einem Artefakt hinzu/entfernen Sie
Typ: Generikum
Nur lesen: Falsch
| PARAMETER | ERFORDERLICH | BESCHREIBUNG | TYP | Enthält |
|---|---|---|---|---|
| artifact_id | erforderlich | Die Artefakt -ID | Saite | phantom artifact id |
| add_tags | optional | Komma getrennte Liste von Tags, die zum Artefakt hinzugefügt werden, | Saite | |
| entfernen_tags | optional | Komma getrennte Liste von Tags, die aus dem Artefakt entfernen können | Saite |
| Datenpfad | TYP | Enthält | Beispielwerte |
|---|---|---|---|
| action_result.status | Saite | Erfolg scheiterte | |
| action_result.parameter.add_tags | Saite | Tag1, Tag3 | |
| action_result.parameter.Artifact_id | Saite | phantom artifact id | 94 |
| action_result.parameter.remove_tags | Saite | Tag2, Tag4 | |
| action_result.data | Saite | ||
| action_result.summary.tags_added | Saite | Tag1 | |
| action_result.summary.tags_already_abSent | Saite | Tag4 | |
| action_result.summary.tags_already_present | Saite | Tag3 | |
| action_result.summary.tags_removed | Saite | Tag2 | |
| action_result.message | Saite | Tags hinzugefügt: Tag1, Tags entfernt: Tag2, Tags bereits vorhanden: Tag3, Tags bereits abwesend: Tag4 | |
| summary.total_objects | numerisch | 1 | |
| summary.total_objects_successful | numerisch | 1 |
Finden Sie Artefakte, die einen CEF -Wert enthalten
Typ: Untersuchung
Nur lesen: wahr
Wenn der Parameter limit_search auf true eingestellt ist, durchsucht die Aktion nur das erforderliche Artefakt in den bereitgestellten Container_IDs . Andernfalls wird der Parameter container_ids ignoriert.
Wenn im Parameter container_ids ein Nichtteger-Wert angegeben ist, werden alle Nichttegerwerte entfernt und der Parameter entsprechend aktualisiert. Wenn der Wert des Parameters container_ids aktuell ist, wird er durch die ID des aktuellen Containers (aus der die Aktion ausgeführt wird) ersetzt und der Status entsprechend reflektiert.
Wenn der Parameter von exact_match auf false eingestellt ist, gibt die Aktion alle Artefakte zurück, für die der Parameter der Werte eine Substring eines seiner CEF -Werte ist. Andernfalls gibt es diese Artefakte zurück, für die ein CEF -Wert genau mit dem Parameter der Werte übereinstimmt.
Für die Werte des Typs Ganzzahl, Float oder String wird vorgeschlagen, den Parameter von CAUFAL_MATCH auf False festzulegen.
Standardmäßig werden 10 Artefakte zurückgegeben. Wenn Sie mehr oder weniger als 10 Artefakte zurückgeben möchten, aktualisieren Sie den Parameter max_results .
| PARAMETER | ERFORDERLICH | BESCHREIBUNG | TYP | Enthält |
|---|---|---|---|---|
| CEF_Key | optional | Schlüssel des CEF -DICT, das Sie abfragen: ACT, App, ApplicationProtocol, BasEEventCount, Bytesin usw. Es wird das gesamte CEF -Wörterbuch durchsucht, wenn es leer ist | Saite | |
| Werte | erforderlich | Finden Sie diesen Wert in Artefakten | Saite | * |
| exact_match | optional | Genaue Übereinstimmung (Standard: True) | boolean | |
| limit_search | optional | Begrenzen Sie die Suche auf angegebene Container (Standard: Falsch) | boolean | |
| Container_ids | optional | Liste der Raum- oder Kommas -Container -IDs. Das Wort "Strom" wird durch die aktuelle Container -ID ersetzt | Saite | |
| max_results | optional | Maximale Anzahl von Artefakten zur Rückkehr | numerisch |
| Datenpfad | TYP | Enthält | Beispielwerte |
|---|---|---|---|
| action_result.status | Saite | Erfolg scheiterte | |
| action_result.parameter.cef_key | Saite | ACT App ApplicationProtocol | |
| action_result.parameter.container_ids | Saite | aktuell | |
| action_result.parameter.exact_match | boolean | Richtig Falsch | |
| action_result.parameter.limit_search | boolean | Richtig Falsch | |
| action_result.parameter.Values | Saite | * | test_value |
| action_result.data.*. Container | numerisch | 1234 | |
| action_result.data.*. container_name | Saite | Phantom_test | |
| action_result.data.*. gefunden in | Saite | test_key | |
| action_result.data.*. id | numerisch | 12345 | |
| action_result.data.*. Matched | Saite | test_value | |
| action_result.data.*. Name | Saite | Artifact_demo | |
| action_result.summary.artifacts_found | numerisch | 1 | |
| action_result.summary.server | Saite | https://10.1.1.10 | |
| action_result.message | Saite | Artefakte gefunden: 1, Server: https://10.1.1.10 | |
| summary.total_objects | numerisch | 1 | |
| summary.total_objects_successful | numerisch | 1 | |
| action_result.parameter.max_results | numerisch | 2 |
Wert auf eine benutzerdefinierte Liste verleihen
Typ: Generikum
Nur lesen: Falsch
So fügen Sie eine Zeile mit einem einzelnen Wert zu einer Liste hinzu, die einfach den Wert übergeben. Um jedoch mehrere Werte in einer Zeile zu übergeben, formatieren Sie es jedoch wie ein JSON -Array (z. B. ["item1", "item2", "item3"]).
Die Aktion aktualisiert die Liste , wenn die Liste bereits vorhanden ist (auch wenn der Parameter erstellen auf true festgelegt ist).
Nachdem die gleiche Liste eine Liste über diese Aktion erstellt oder aktualisiert wird, muss der Benutzer diese Änderungen speichern, bevor die Liste erneut über diese Aktion aktualisiert wird. Andernfalls werden die von der Benutzeroberfläche vorgenommenen Änderungen überschrieben.
| PARAMETER | ERFORDERLICH | BESCHREIBUNG | TYP | Enthält |
|---|---|---|---|---|
| Liste | erforderlich | Name oder ID einer benutzerdefinierten Liste | Saite | |
| NEW_ROW | erforderlich | Neue Zeile (String- oder JSON -Liste) | Saite | * |
| erstellen | optional | Liste erstellen, wenn es nicht vorhanden ist (Standard: Falsch) | boolean |
| Datenpfad | TYP | Enthält | Beispielwerte |
|---|---|---|---|
| action_result.status | Saite | Erfolg scheiterte | |
| action_result.parameter.create | boolean | Richtig Falsch | |
| action_result.parameter.list | Saite | Demo_List | |
| action_result.parameter.new_row | Saite | * | ["value1", "value2", "value3"] |
| action_result.data.*. fehlgeschlagen | boolean | ||
| action_result.data.*. Erfolg | boolean | Richtig Falsch | |
| action_result.summary.server | Saite | url | https://10.1.1.10 |
| action_result.message | Saite | Server: https://10.1.1.10 | |
| summary.total_objects | numerisch | 1 | |
| summary.total_objects_successful | numerisch | 1 |
Wert in einer benutzerdefinierten Liste finden
Typ: Untersuchung
Nur lesen: wahr
Zeilen- und Spaltenkoordinaten für jeden Matching -Wert finden Sie in der Ergebniszusammenfassung unter "Standorten". Die Übereinstimmung ist fallsempfindlich.
Wenn der Parameter von exact_match auf false eingestellt ist, gibt die Aktion alle Zeichenfolgen zurück, für die der Parameter der Werte sein Substring ist. Andernfalls gibt es diese Zeichenfolgen zurück, die genau mit dem Parameter der Werte übereinstimmen.
| PARAMETER | ERFORDERLICH | BESCHREIBUNG | TYP | Enthält |
|---|---|---|---|---|
| Liste | erforderlich | Name oder ID einer benutzerdefinierten Liste | Saite | |
| column_index | optional | Suche in der Spaltennummer (0 basiert) | numerisch | |
| Werte | erforderlich | Wert zu suchen | Saite | * |
| exact_match | optional | Genaue Übereinstimmung (Standard: True) | boolean |
| Datenpfad | TYP | Enthält | Beispielwerte |
|---|---|---|---|
| action_result.status | Saite | Erfolg scheiterte | |
| action_result.parameter.column_index | numerisch | ||
| action_result.parameter.exact_match | boolean | Richtig Falsch | |
| action_result.parameter.list | Saite | list_demo | |
| action_result.parameter.Values | Saite | * | Wert1 |
| action_result.data | Saite | ||
| action_result.data.* | Saite | ||
| action_result.summary.found_matches | numerisch | 1 | |
| action_result.summary.list_id | numerisch | 18 | |
| action_result.summary.locations | numerisch | ||
| action_result.summary.locations.* | numerisch | ||
| action_result.summary.server | Saite | url | https://10.1.1.10 |
| action_result.message | Saite | Server: https://10.1.1.10, gefundene Übereinstimmungen: 1, Standorte: [(1, 0)], Listen -ID: 18 | |
| summary.total_objects | numerisch | 1 | |
| summary.total_objects_successful | numerisch | 1 |
Fügen Sie einem Container ein neues Artefakt hinzu
Typ: Generikum
Nur lesen: Falsch
Wenn der Parameter container_id leer bleibt, wird er in die ID des aktuellen Containers (aus der die Aktion ausgeführt wird) initialisiert und der Status entsprechend reflektiert.
CEF -Felder können dem Artefakt auf zwei Arten hinzugefügt werden, entweder durch Verwendung des Parameters cef_name und CEF_Value oder unter Verwendung des Parameters cef_dictionary . Wenn die Parameter von CEF_NAME , CEF_VALUE und CEF_Dictionary enthalten sind, fügt die Aktion dem Feld cef_name dem CEF_Dictionary hinzu.
Wenn Sie nur den Parameter CEF_NAME und CEF_VALUE verwenden, wird das Artefakt ein CEF -Feld enthält.
Der Parameter CEF_Dictionary ist ein JSON-Wörterbuch mit Schlüsselwertpaaren, die CEF-Schlüsselwertepaare darstellen. Um Werte mit doppelter Zitat (") zu liefern, fügen Sie vor den Doppelquoten einen Backslash () hinzu.
Für z . , "Message-id": "[email protected]"}
Der Parameter enthält ein JSON -Wörterbuch, wobei die Schlüssel den Schlüssel des CEF_Dictionary entsprechen und die Werte für mögliche Listen für das Feld CEF enthält. Wenn ein gegebener Wert im CEF_Dictionary im enthaltenden Wörterbuch nicht vorhanden ist, überprüft die Aktion zunächst die Liste der Standard -CEF -Felder. Wenn nicht ein Standard -CEF -Feld, wird die Aktion versucht, den entsprechenden Wert für die entsprechenden Wert zu identifizieren.
Der Parameter enthält möglicherweise auch eine Zeichenfolge (oder eine von Kommas getrennte Liste von Zeichenfolgen), die die Enthaltungen für den Parameter cef_value darstellt. Diese Methode sollte nur verwendet werden, wenn die Parameter CEF_NAME und CEF_VALUE verwendet werden.
Wenn der Parameter run_automation auf true eingestellt ist, werden die aktiven Playbooks automatisch ausgeführt, nachdem das Artefakt hinzugefügt wurde. Die aktiven Playbooks werden auf demselben Container ausgeführt, in dem das Artefakt hinzugefügt wird.
Weitere Informationen zu Artefakten, CEF -Feldern und Enthalten finden Sie in der REST -API -Dokumentation.
| PARAMETER | ERFORDERLICH | BESCHREIBUNG | TYP | Enthält |
|---|---|---|---|---|
| Name | optional | Name des neuen Artefakts | Saite | |
| Container_id | optional | Numerische Container -ID für das neue Artefakt | numerisch | phantom container id |
| Etikett | optional | Artefaktetikett (Standard: Ereignis) | Saite | |
| SCRECT_DATA_IDIENTIFIER | erforderlich | Quelldaten -Identifizierung | Saite | |
| CEF_NAME | optional | CEF -Name | Saite | |
| CEF_VALUE | optional | Wert | Saite | * |
| CEF_Dictionary | optional | CEF JSON | Saite | |
| enthält | optional | Datentyp für jedes CEF -Feld | Saite | |
| run_automation | optional | Führen Sie die Automatisierung auf neu erstellten Artefakten aus (Standard: Falsch) | boolean | |
| bestimmen_contains | optional | Bestimmen Sie die Enthaltungen für alle CEF -Felder ohne angegebene Bereitstellung enthält Wert (Standard: TRUE) | boolean |
| Datenpfad | TYP | Enthält | Beispielwerte |
|---|---|---|---|
| action_result.status | Saite | Erfolg scheiterte | |
| action_result.parameter.cef_dictionary | Saite | {"test_key": "test_value"} | |
| action_result.parameter.cef_name | Saite | ||
| action_result.parameter.cef_value | Saite | * | |
| action_result.parameter.container_id | numerisch | phantom container id | 1234 |
| action_result.parameter.Contains | Saite | Domain | |
| action_result.parameter.label | Saite | Ereignis | |
| action_result.parameter.name | Saite | Artifact_demo | |
| action_result.parameter.run_automation | Saite | Richtig Falsch | |
| action_result.parameter.source_data_identifier | Saite | ||
| action_result.parameter.determinine_contains | boolean | ||
| action_result.data.*. vorhanden_artifact_id | numerisch | ||
| action_result.data.*. fehlgeschlagen | boolean | ||
| action_result.data.*. id | numerisch | 123 | |
| action_result.data.*. Erfolg | boolean | Richtig Falsch | |
| action_result.summary.artifact_id | numerisch | 12345 | |
| action_result.summary.container_id | numerisch | 1234 | |
| action_result.summary.server | Saite | url | https://10.1.1.10 |
| action_result.message | Saite | Artefakt -ID: 12345, Container -ID: 1234, Server: https://10.1.1.10 | |
| summary.total_objects | numerisch | 1 | |
| summary.total_objects_successful | numerisch | 1 |
Deflatiert ein Element aus dem Gewölbe
Typ: Generikum
Nur lesen: Falsch
Die Aktion wird nur unterstützt, wenn der Parameter phantom_server (in den Asset -Konfigurationen) an der lokalen Phantominstanz konfiguriert ist, dh der Instanz, aus der die Aktion ausgeführt wird.
Die Aktion erkennt, ob es sich bei dem Eingabesverlustelement um eine komprimierte Datei handelt, und entleert sie. Jede nach der Deflation gefundene Datei wird dann zum Tresor hinzugefügt. Wenn Container_ID angegeben wird, fügt er seinen Gewölbe hinzu, sonst zum aktuellen (dem Container, dessen Kontext die Aktion ausgeführt wird) Container. Die Aktion unterstützt ZIP- , GZIP- , BZ2- , TAR- und TGZ -Dateitypen. In dem Fall, in dem die komprimierte Datei eine weitere komprimierte Datei enthält, setzen Sie den rekursiven Parameter auf True ein, um die innere komprimierte Datei zu entleeren.
Wenn eine Rekursion aktiviert und ein Kennwort angegeben ist, verwendet die Anwendung das Kennwort nur für die gegebene ZIP -Datei. Die innere Zip -Datei wird nur extrahiert, wenn die Datei nicht passwortgeschützt ist. Unter den verschiedenen Komprimierungsmethoden unterstützt nur der ZIP die Funktionalität des Kennwortschutzes.
Für bestimmte Unicode -Zeichen wird der Dateiname nicht so nicht wie er nach dem Zipfile -Modul gepackt.
| PARAMETER | ERFORDERLICH | BESCHREIBUNG | TYP | Enthält |
|---|---|---|---|---|
| vault_id | erforderlich | Gewölbe -ID | Saite | sha1 vault id |
| Container_id | optional | Zielcontainer -ID | numerisch | phantom container id |
| Passwort | optional | Passwort für die Datei | Saite | |
| rekursiv | optional | Rekursiv extrahieren (Standard: Falsch) | boolean |
| Datenpfad | TYP | Enthält | Beispielwerte |
|---|---|---|---|
| action_result.status | Saite | Erfolg scheiterte | |
| action_result.parameter.container_id | numerisch | phantom container id | 3 |
| action_result.parameter.Password | Saite | P@$$ W0rd | |
| action_result.parameter.recursive | boolean | Richtig Falsch | |
| action_result.parameter.vault_id | Saite | sha1 vault id | F582ED9120FA3BE94852C73E1CD188F2948F677F |
| action_result.data.*. aka.* | Saite | test.txt | |
| action_result.data.*. Container | Saite | Phantom_test | |
| action_result.data.*. container_id | numerisch | phantom container id | 1234 |
| action_result.data.*. enthält.* | Saite | Gewölbe -ID | |
| action_result.data.*. create_time | Saite | Vor 0 Minuten | |
| action_result.data.*. Created_via | Saite | Automatisierung | |
| action_result.data.*. Hash | Saite | sha1 | 0A0E6C7AB7F77D058EFD444279B81C4C6A9CF4CE |
| action_result.data.*. id | numerisch | 12 | |
| action_result.data.*. metadata.contains | Saite | Gewölbe -ID | |
| action_result.data.*. metadata.md5 | Saite | md5 | 0DB33A0790B6D6D5C2E4425646EEE7FC |
| action_result.data.*. metadata.sha1 | Saite | sha1 | FECE6C7AB7F77D058EFD44279B81C4C6A9CF4CE |
| action_result.data.*. metadata.sha256 | Saite | sha256 | 4F2155212CB0F74207BD0E4FD5ECAE548EE2BAE1D2DCD36C1D0BA0B6254BD4A1 |
| action_result.data.*. metadata.size | numerisch | 33 | |
| action_result.data.*. mime_type | Saite | Text/einfach | |
| action_result.data.*. Name | Saite | TGZ-Test | |
| action_result.data.*. Pfad | Saite | ||
| action_result.data.*. Größe | numerisch | 10240 | |
| action_result.data.*. Aufgabe | Saite | ||
| action_result.data.*. Benutzer | Saite | ||
| action_result.data.*. vault_document | numerisch | ||
| action_result.data.*. vault_id | Saite | sha1 vault id | B90E6C7AB7F77D058EFD444279B81C4C6A9CF4CE |
| action_result.summary.total_vault_items | numerisch | 9 | |
| action_result.message | Saite | Gesamthilfeelemente: 9 | |
| summary.total_objects | numerisch | 1 | |
| summary.total_objects_successful | numerisch | 1 |
Exportieren Sie den lokalen Container in den konfigurierten Phantom -Asset
Typ: Generikum
Nur lesen: Falsch
Diese Aktion exportiert einen Container (der dem Container_ID entspricht) von der lokalen Phantominstanz (die Instanz, von der die Aktion ausgeführt wird) zum konfigurierten Phantom -Asset (dass die Aktion ausgeführt wird).
Die Aktion fällt mit einer Fehlermeldung wie Schweregradinstanz mit Namen U'critical 'nicht vor .
Stellen Sie den Parameter keep_owner auf true ein, wenn der Eigentümer des Containers auf der konfigurierten Phantominstanz den Eigentümer der lokalen Instanz entspricht. Beachten Sie, dass dies auf der Eigentümer -ID und nicht auf dem Besitzernamen basiert.
| PARAMETER | ERFORDERLICH | BESCHREIBUNG | TYP | Enthält |
|---|---|---|---|---|
| Container_id | erforderlich | Container -ID zu kopieren | numerisch | phantom container id |
| Keep_owner | optional | Halten Sie den Besitzer | boolean | |
| Etikett | optional | Beschriftet, um den Exportbehälter zu nennen. Wenn leer, hat der Exportbehälter den gleichen Namen wie der lokale Container | Saite | |
| run_automation | optional | Führen Sie aktive Playbooks aus | boolean |
| Datenpfad | TYP | Enthält | Beispielwerte |
|---|---|---|---|
| action_result.status | Saite | Erfolg scheiterte | |
| action_result.parameter.container_id | numerisch | phantom container id | 3 |
| action_result.parameter.keep_owner | boolean | Richtig Falsch | |
| action_result.parameter.label | Saite | Ereignisse | |
| action_result.parameter.run_automation | boolean | Richtig Falsch | |
| action_result.data | Saite | ||
| action_result.summary.artifact_count | numerisch | 268 | |
| action_result.summary.container_id | numerisch | phantom container id | 94 |
| action_result.message | Saite | Container -ID: 94, Artefaktzahl: 268 | |
| summary.total_objects | numerisch | 1 | |
| summary.total_objects_successful | numerisch | 1 |
Importieren Sie einen Behälter aus einer externen Phantominstanz
Typ: Generikum
Nur lesen: Falsch
Diese Aktion importiert einen Container (der dem Container_ID übereinstimmt) aus dem konfigurierten Phantom -Asset (auf die die Aktion ausgeführt wird) in die lokale Phantominstanz (die Instanz, von der die Aktion ausgeführt wird).
Die Aktion fällt mit einer Fehlermeldung wie Schweregradinstanz mit Namen U'critical 'nicht vor .
Stellen Sie den Parameter keep_owner auf true ein, wenn der Eigentümer des Containers auf der lokalen Phantominstanz dem Eigentümer der konfigurierten Instanz entspricht. Beachten Sie, dass dies auf der Eigentümer -ID und nicht auf dem Besitzernamen basiert.
| PARAMETER | ERFORDERLICH | BESCHREIBUNG | TYP | Enthält |
|---|---|---|---|---|
| Container_id | erforderlich | Container -ID zu kopieren | numerisch | phantom container id |
| Keep_owner | optional | Halten Sie den Besitzer | boolean |
| Datenpfad | TYP | Enthält | Beispielwerte |
|---|---|---|---|
| action_result.status | Saite | Erfolg scheiterte | |
| action_result.parameter.container_id | Saite | phantom container id | 3 |
| action_result.parameter.keep_owner | boolean | Richtig Falsch | |
| action_result.data | Saite | ||
| action_result.summary.artifact_count | numerisch | 268 | |
| action_result.summary.container_id | numerisch | phantom container id | 94 |
| action_result.message | Saite | Container -ID: 94, Artefaktzahl: 268 | |
| summary.total_objects | numerisch | 1 | |
| summary.total_objects_successful | numerisch | 1 |
Erstellen Sie einen neuen Behälter auf einer Phantominstanz
Typ: Generikum
Nur lesen: Falsch
Diese Aktion erstellt einen neuen Container auf dem Phantom -Server, der im Parameter Phantom_Server Asset konfiguriert ist. Der Parameter container_json muss eine JSON -Zeichenfolge sein. Es ist obligatorisch, im Parameter container_json einen Etikettenschlüssel bereitzustellen. Die Aktion schlägt fehl, wenn der Container_JSON ein Etikett hat, das nicht auf dem Ziell -Phantom -Vermögenswert vorhanden ist.
ZB, {"Name": "Test Container", "Label": "Ereignisse"}
Das Container_artifacts ist ein optionaler Parameter, der eine Liste von Artefaktobjekten als JSON -Zeichenfolge sein muss. Jedes Artefakt -JSON -Objekt sollte die folgenden Schlüssel enthalten: CEF, CEF_TYPES, Daten, Beschreibung, end_time, ingest_app_id, Kill_Chain, Etikett, Name, Eigentümer_ID, Schweregrad, Source_Data_identifier, Start_time, Tags, Typ . Alle anderen Schlüssel werden ignoriert.
Z. "Label2", "CEF": {"Test": "456"}}]
Weitere Informationen finden Sie unter Splunk Phantom -Dokumentation .
| PARAMETER | ERFORDERLICH | BESCHREIBUNG | TYP | Enthält |
|---|---|---|---|---|
| Container_json | erforderlich | Das Container -JSON -Objekt | Saite | |
| Container_Artifacts | optional | Liste der Artefakt -JSON -Objekte | Saite |
| Datenpfad | TYP | Enthält | Beispielwerte |
|---|---|---|---|
| action_result.status | Saite | Erfolg scheiterte | |
| action_result.parameter.container_artifacts | Saite | [{"Name": "Ein menschlicher freundlicher Name für Artefakt (1)", "Label": "Ereignis", "Source_Data_Identifier": 1}, {"Name": "Ein menschlicher freundlicher Name für Artefact (2)", "Label": "Ereignis", "Source_Data_Identifier": 2}, {"Name": "Ein menschlicher freundlicher Name für Artefakt (3)", "Label": "Ereignis", "Source_Data_identifier": 3}] | |
| action_result.parameter.container_json | Saite | {"Schweregrad": "Medium", "Label": "Ereignisse", "Version": 1, "Asset": 7, "Status": "Neu", "Beschreibung": "Neues Container von Phantom Helper", ",", ",", "," Tags ": []," Daten ": {}," Name ":" Dies ist ein Container "} | |
| action_result.data | Saite | ||
| action_result.summary.artifact_count | numerisch | 3 | |
| action_result.summary.container_id | numerisch | phantom container id | |
| action_result.summary.failed_artifact_count | numerisch | 7 | |
| action_result.message | Saite | Container -ID: 82, Artefaktzahl: 3 | |
| summary.total_objects | numerisch | 1 | |
| summary.total_objects_successful | numerisch | 1 |
Ermitteln Sie die Ergebnisse einer zuvor Laufaktion
Typ: Untersuchung
Nur lesen: wahr
Diese Aktion gibt die neuesten Ergebnisse des angegebenen Action_Name zurück, der mit den angegebenen Parametern innerhalb des angegebenen Time_limit gestartet wurde.
Die Aktion begrenzt die Anzahl der Ergebnisse, die in max_results an den Wert zurückgegeben wurden. Standardmäßig beträgt die Grenze 10. Um alle Ergebnisse zu erhalten, setzen Sie den Parameter max_results auf 0.
Der Parameter Parameter nimmt eine JSON -Zeichenfolge im Format ein:
{
"parameter_name1": "parameter_value1"
"parameter_name2": "parameter_value2"
...
}| PARAMETER | ERFORDERLICH | BESCHREIBUNG | TYP | Enthält |
|---|---|---|---|---|
| action_name | erforderlich | Aktionsname | Saite | |
| Parameter | optional | JSON -Zeichenfolge von Aktionsparametern | Saite | |
| App | optional | App -Name | Saite | |
| Vermögenswert | optional | Vermögensname | Saite | |
| time_limit | optional | Anzahl der Stunden, um zurück zu suchen | numerisch | |
| max_results | optional | Maximale Anzahl von Aktionsergebnissen zur Rückgabe | numerisch |
| Datenpfad | TYP | Enthält | Beispielwerte |
|---|---|---|---|
| action_result.status | Saite | Erfolg scheiterte | |
| action_result.parameter.action_name | Saite | Blacklist IP | |
| action_result.parameter.app | Saite | Phantom | |
| action_result.parameter.asset | Saite | test_phantom | |
| action_result.parameter.max_results | numerisch | 5 | |
| Action_Result.Parameter.Parameters | Saite | {"IP": "1.8.9.0"} | |
| action_result.parameter.time_limit | numerisch | 24 | |
| action_result.data.*. Aktion | Saite | Blacklist IP | |
| action_result.data.*. action_run | numerisch | 2724 | |
| action_result.data.*. App | numerisch | 121 | |
| action_result.data.*. app_name | Saite | Phantom | |
| action_result.data.*. app_version | Saite | 1.0.0 | |
| action_result.data.*. Asset | numerisch | 137 | |
| action_result.data.*. Container | numerisch | 1154 | |
| action_result.data.*. effektiv_user | Saite | ||
| action_result.data.*. end_time | Saite | 2017-11-06t20: 30: 27.991000Z | |
| action_result.data.*. AUCECT_OCCORED | boolean | Richtig Falsch | |
| action_result.data.*. extra_data | Saite | ||
| action_result.data.*. id | numerisch | 2761 | |
| action_result.data.*. Nachricht | Saite | Erfolgreich auf die schwarze Liste IP | |
| action_result.data.*. Playbook_run | numerisch | 1056 | |
| action_result.data.*. result_data.*. Daten | numerisch | ||
| action_result.data.*. result_data.*. Nachricht | Saite | IP Blacklist erfolgreich | |
| action_result.data.*. result_data.*. Parameter | Saite | ||
| action_result.data.*. result_data.*. parameter.context.artifact_id | numerisch | 0 | |
| action_result.data.*. result_data.*. parameter.context.guid | Saite | 293D0369-4801-417D-A1AF-A73CF1200D3D | |
| action_result.data.*. result_data.*. parameter.context.parent_action_run | Saite | ||
| action_result.data.*. result_data.*. Status | Saite | Erfolg | |
| action_result.data.*. result_data.*. Zusammenfassung | Saite | ||
| action_result.data.*. result_summary.total_objects | numerisch | 1 | |
| action_result.data.*. result_summary.total_objects_successful | numerisch | 1 | |
| action_result.data.*. start_time | Saite | 2017-11-06t20: 30: 04.879000Z | |
| action_result.data.*. Status | Saite | Erfolg scheiterte | |
| action_result.data.*. Version | numerisch | 1 | |
| action_result.summary.action_run_id | numerisch | 2761 | |
| action_result.summary.num_results | numerisch | ||
| action_result.message | Saite | Aktionslauf -ID: 2761 | |
| summary.total_objects | numerisch | 1 | |
| summary.total_objects_successful | numerisch | 1 |
Aktualisieren Sie eine Liste
Typ: Generikum
Nur lesen: Falsch
Entweder ist die List_name oder die ID erforderlich. Wenn sowohl die List_Name- als auch die ID -Parameter bereitgestellt werden, und beide verweisen auf verschiedene Listen, wird der Parameter List_name bevorzugt und die Aktion aktualisiert die im Parameter List List_name angegebene Liste.
| PARAMETER | ERFORDERLICH | BESCHREIBUNG | TYP | Enthält |
|---|---|---|---|---|
| list_name | optional | Listen Sie den Namen auf | Saite | |
| Ausweis | optional | List -ID | numerisch | |
| row_number | erforderlich | Zeilennummer in der Liste, die geändert werden soll | numerisch | |
| row_values_as_list | erforderlich | JSON -formatierte Liste neuer Werte für die Zeile | Saite |
| Datenpfad | TYP | Enthält | Beispielwerte |
|---|---|---|---|
| action_result.status | Saite | Erfolg scheiterte | |
| action_result.parameter.id | numerisch | ||
| action_result.parameter.list_name | Saite | Meine erste Liste | |
| action_result.parameter.row_number | numerisch | 0 | |
| action_result.parameter.row_values_as_list | Saite | ["this", "ist", "a", "test"] | |
| action_result.data.*. Erfolg | boolean | WAHR | |
| action_result.summary | Saite | ||
| action_result.message | Saite | ||
| summary.total_objects | numerisch | 1 | |
| summary.total_objects_successful | numerisch | 1 |
Warten Sie auf die angegebene Anzahl von Sekunden
Typ: Untersuchung
Nur lesen: wahr
| PARAMETER | ERFORDERLICH | BESCHREIBUNG | TYP | Enthält |
|---|---|---|---|---|
| sleep_seconds | erforderlich | Schlaf für so viele Sekunden | numerisch |
| Datenpfad | TYP | Enthält | Beispielwerte |
|---|---|---|---|
| action_result.status | Saite | Erfolg scheiterte | |
| action_result.parameter.sleep_seconds | numerisch | 15 | |
| action_result.data | string | ||
| action_result.summary | string | ||
| action_result.message | string | Slept for 15 seconds | |
| summary.total_objects | numeric | 1 | |
| summary.total_objects_successful | numeric | 1 |
