phantom
3.7.0
Editor: Splunk
Versión del conector: 3.7.1
Proveedor de productos: Phantom
Nombre del producto: Phantom
Versión del producto compatible (regex): ".*"
Versión mínima del producto: 6.2.1
Esta aplicación expone varias API fantasmas como acciones
El parámetro de configuración Auth_Token es para usar con instancias Phantom. Si se dan tanto el token como el nombre de usuario/contraseña, el nombre de usuario y la contraseña se utilizarán para autenticarse en la instancia de Phantom.
Tenga en cuenta que la IP (o nombre) que se utiliza debe coincidir con la IP permitida en la configuración de activo BEST de la instancia de Phantom Remote.
En caso de que el parámetro de configuración Phantom_Server esté configurado en la instancia Phantom actual, es decir, el servidor Phantom a través del cual se está utilizando la aplicación, entonces el Verify_Certificate debe establecerse en False en la configuración de activos.
Para obtener información sobre cómo obtener un token de autorización, consulte el aprovisionamiento de un token de autorización en la documentación de descripción general del reposo fantasma.
Si el valor proporcionado en el parámetro de configuración Phantom_Server es 0.0.0.0, entonces la conectividad de prueba pasa correctamente y las acciones se ejecutarán en la instancia Phantom actual, es decir, el servidor a través del cual se usa la aplicación.
Consulte KB Artículo 7 y KB Artículo 16 sobre cómo crear y verificar un certificado HTTPS válido para su instancia de Phantom.
Por razones de seguridad, no está permitido acceder a 127.0.0.1.
Para instancias NRI, el parámetro de configuración del nombre de host del dispositivo también debe especificar el número de puerto. (Por ejemplo, xxxx: 9999)
Los parámetros de acción existentes se han modificado en las acciones que se dan a continuación. Por lo tanto, se solicita al usuario final que actualice sus libros de jugadas existentes volviendo a insertar los bloques de acción correspondientes o proporcionando valores apropiados a estos parámetros de acción para garantizar el funcionamiento correcto de los libros de jugadas creados en las versiones anteriores de la aplicación.
Lista de actualizaciones: el parámetro Row_Values_AS_List , se ha cambiado de los nuevos valores separados por comas a una lista formateada JSON de nuevos valores. Esto permitirá al usuario proporcionar un valor que contenga un carácter de coma (','). El ejemplo de lo mismo se ha actualizado en los valores de ejemplo.
Agregar artefacto: el parámetro contiene , puede tomar una cadena (o una lista de cadenas separada por comas) o un diccionario JSON, con las teclas que coinciden con las claves del CEF_Dictionary y los valores son listas de contenidos posibles para el campo CEF. En el caso de que el parámetro Contiene es una cadena (o una lista separada por comas), el valor proporcionado se asignará al parámetro CEF_NAME .
Los datos de salida, Action_Result.summary.Artifact ID y Action_Result.summary.Container ID se han reemplazado con Action_Result.summary.Artifact_id y Action_Result.summary.Container_id , respectivamente.
Encuentre artefactos: el Action_Result.summary.Artifacts encontrado DataPath ha sido reemplazado por Action_Result.summary.Artifacts_Found.
Find ListItem - The Action_Result.summary.cound Matches Datapath ha sido reemplazado por Action_Result.summary.found_matches.
Actualizar etiquetas de artefacto: se han agregado los siguientes datos de salida de salida:
Actualización de artefacto: los parámetros de acción de esta acción se han modificado. Actualice sus libros de jugadas existentes de acuerdo con los nuevos parámetros. A continuación se muestra la lista de los parámetros agregados:
Para obtener más detalles, consulte la sección de artefactos de actualización .
La aplicación utiliza el protocolo HTTP/ HTTPS para comunicarse con el servidor Phantom. A continuación se presentan los puertos predeterminados utilizados por Splunk Soar.
| Nombre de servicio | Protocolo de transporte | PUERTO |
|---|---|---|
| http | TCP | 80 |
| https | TCP | 443 |
Las variables de configuración a continuación son necesarias para que este conector funcione. Estas variables se especifican al configurar un activo fantasma en SOAR.
| VARIABLE | REQUERIDO | TIPO | DESCRIPCIÓN |
|---|---|---|---|
| Phantom_Server | requerido | cadena | Phantom IP o nombre de host (por ejemplo, 10.1.1.10 o válido_phantom_hostname) |
| auth_token | opcional | contraseña | Token de autenticación fantasma |
| nombre de usuario | opcional | cadena | Nombre de usuario (para http básico auth) |
| contraseña | opcional | contraseña | Contraseña (para http básico auth) |
| Verify_certificate | opcional | booleano | Verificar el certificado HTTPS (predeterminado: falso) |
| Deflate_item_extensions | opcional | cadena | Solo se desinflarán los archivos con las extensiones especificadas (separadas por comas). Si está en blanco, la extensión del archivo no se verificará |
Conectividad de prueba: valida la configuración de activos para la conectividad
Actualizar artefacto: actualizar o sobrescribir el artefacto fantasma con la entrada proporcionada
Agregar nota: agregue una nota a un contenedor
Actualizar etiquetas de artefactos: agregar/eliminar etiquetas de un artefacto
Encuentre artefactos: encuentre artefactos que contengan un valor de CEF
Agregar ListItem - Agregar valor a una lista personalizada
Buscar listItem - Buscar valor en una lista personalizada
Agregar artefacto: agregue un nuevo artefacto a un contenedor
Desinfeccionar el elemento: desinfla un elemento de la bóveda
Contenedor de exportación: exportar contenedor local al activo fantasma configurado
Importar contenedor: importe un contenedor desde una instancia fantasma externa
Crear contenedor: cree un nuevo contenedor en una instancia fantasma
Obtener resultado de la acción: encuentre los resultados de una acción previamente ejecutada
Lista de actualización: actualizar una lista
No OP - Espere el número especificado de segundos
Validar la configuración de activos para la conectividad
Tipo: prueba
Solo leer: verdadero
No se requieren parámetros para esta acción
Sin salida
Actualizar o sobrescribir el artefacto fantasma con la entrada proporcionada
Tipo: genérico
Solo leer: falso
| PARÁMETRO | EJEMPLO |
|---|---|
| nombre | Nombre de artefacto |
| etiqueta | artefacto_label |
| gravedad | alto |
| cef_json | {"Key1": "Value1", "GoodDomain": "www.splunk.com", "remove_me": ""} |
| cef_types_json | {"GoodDomain": ["Dominio"]} |
| etiquetas | TAG1, TAG3 o ["TAG2", "TAG4"] |
| artefacto_json | {"fuente_data_identifier": "myTicket1234", "etiqueta": "new_label"} |
| PARÁMETRO | REQUERIDO | DESCRIPCIÓN | TIPO | CONTIENE |
|---|---|---|---|---|
| artefacto_id | requerido | ID de artefacto para actualizar | cadena | phantom artifact id |
| nombre | opcional | Nombre del artefacto (siempre sobrescribe, si se proporciona) | cadena | |
| etiqueta | opcional | Etiqueta de artefacto (siempre sobrescribe, si se proporciona) | cadena | |
| gravedad | opcional | Severidad de artefactos (siempre sobrescribe, si se proporciona) | cadena | |
| cef_json | opcional | Formato json de los campos CEF que desea en el artefacto | cadena | |
| cef_types_json | opcional | Formato JSON de los tipos CEF (por ejemplo, {'myip': ['ip', 'ipv6']}) | cadena | |
| etiquetas | opcional | Lista de etiquetas separadas por comas para agregar o reemplazar en el artefacto | cadena | |
| exagerar | opcional | Sobrescribir artefactos con entrada proporcionada (se aplica a: cef_json, contiene_json, etiquetas) | booleano | |
| artefacto_json | opcional | Formato JSON de artefacto completo (siempre sobrescribidas proporcionadas llaves) | cadena |
| Ruta de datos | TIPO | CONTIENE | Valores de ejemplo |
|---|---|---|---|
| Action_Result.status | cadena | El éxito falló | |
| Action_result.parameter.Artifact_id | cadena | phantom artifact id | 2388 |
| Action_result.parameter.Artifact_json | cadena | {"Severity": "High", "Etiqueta": "Etiqueta de prueba", "Descripción": "Artifacto agregado por mí", "Source_Data_identifier": "My_Custom_Sdi"} | |
| Action_result.parameter.cef_json | cadena | {"New_field": "New_Value", "Deleted_field": ""} | |
| Action_result.parameter.cef_types_json | cadena | {"New_field": ["New Contiene"]} | |
| Action_Result.Parameter.Label | cadena | etiqueta de prueba | |
| action_result.parameter.name | cadena | Nuevo nombre | |
| Action_Result.Parameter.Overwrite | booleano | Verdadero falso | |
| Action_Result.Parameter.severity | cadena | alto | |
| action_result.parameter.tags | cadena | ["tag2"] | |
| action_result.data.*. Soliced_artifact.cef.deleted_field | cadena | ||
| action_result.data.*. Soliced_artifact.cef.new_field | cadena | New_Value | |
| action_result.data.*. Soliced_artifact.cef.test | cadena | FFF | |
| action_result.data.*. Soliced_artifact.cef_types.new_field | cadena | Nuevo contiene | |
| action_result.data.*. Soliced_artifact.Description | cadena | Artefacto agregado por mi | |
| action_result.data.*. Soliced_artifact.label | cadena | etiqueta de prueba | |
| action_result.data.*. Soliced_artifact.name | cadena | Nuevo nombre | |
| action_result.data.*. Soliced_artifact.severity | cadena | alto | |
| action_result.data.*. Soliced_artifact.source_data_identifier | cadena | my_custom_sdi | |
| action_result.data.*. Soliced_artifact.tags | cadena | TAG2 | |
| Action_Result.Data.*. Respuesta.id | numérico | 2388 | |
| Action_Result.Data.*. Respuesta.Success | booleano | Verdadero falso | |
| Action_Result.Summary | cadena | ||
| action_result.message | cadena | Artefacto actualizado con éxito. | |
| resumen.total_objects | numérico | 1 | |
| resumen.total_objects_successful | numérico | 1 |
Agregue una nota a un contenedor
Tipo: genérico
Solo leer: falso
Si el parámetro contenedor_id se deja vacío, se inicializará al ID del contenedor actual (desde donde se ejecuta la acción) y el estado se reflejará en consecuencia. Si el contenedor es un caso, se puede proporcionar un parámetro Phase_ID para asociar la nota a una fase en particular.
| PARÁMETRO | REQUERIDO | DESCRIPCIÓN | TIPO | CONTIENE |
|---|---|---|---|---|
| título | requerido | Título para la nota | cadena | |
| contenido | opcional | Nota contenido | cadena | |
| contenedor_id | opcional | La ID del contenedor (el valor predeterminado al contenedor actual) | numérico | phantom container id |
| fase_id | opcional | Fase La nota se asociará con | cadena |
| Ruta de datos | TIPO | CONTIENE | Valores de ejemplo |
|---|---|---|---|
| Action_Result.status | cadena | El éxito falló | |
| action_result.parameter.container_id | numérico | phantom container id | 35 |
| action_result.parameter.content | cadena | Agregar una nota a través de la acción de la aplicación | |
| action_result.parameter.phase_id | cadena | ||
| action_result.parameter.title | cadena | Prueba de notas | |
| Action_result.data | cadena | ||
| Action_Result.Summary | cadena | ||
| action_result.message | cadena | Nota creada | |
| resumen.total_objects | numérico | 1 | |
| resumen.total_objects_successful | numérico | 1 |
Agregar/eliminar etiquetas de un artefacto
Tipo: genérico
Solo leer: falso
| PARÁMETRO | REQUERIDO | DESCRIPCIÓN | TIPO | CONTIENE |
|---|---|---|---|---|
| artefacto_id | requerido | La identificación del artefacto | cadena | phantom artifact id |
| add_tags | opcional | Lista de etiquetas separadas por comas para agregar al artefacto | cadena | |
| eliminar_tags | opcional | Lista de etiquetas separadas por comas para eliminar del artefacto | cadena |
| Ruta de datos | TIPO | CONTIENE | Valores de ejemplo |
|---|---|---|---|
| Action_Result.status | cadena | El éxito falló | |
| Action_result.parameter.add_tags | cadena | TAG1, TAG3 | |
| Action_result.parameter.Artifact_id | cadena | phantom artifact id | 94 |
| Action_result.parameter.remove_tags | cadena | TAG2, TAG4 | |
| Action_result.data | cadena | ||
| action_result.summary.tags_added | cadena | TAG1 | |
| action_result.summary.tags_already_absent | cadena | tag4 | |
| action_result.summary.tags_already_present | cadena | tag3 | |
| action_result.summary.tags_removed | cadena | TAG2 | |
| action_result.message | cadena | Etiquetas agregadas: etiqueta1, etiquetas eliminadas: etiqueta2, etiquetas ya presentes: tag3, etiquetas ya ausentes: tag4 | |
| resumen.total_objects | numérico | 1 | |
| resumen.total_objects_successful | numérico | 1 |
Encuentra artefactos que contengan un valor de CEF
Tipo: Investigar
Solo leer: verdadero
Si el parámetro Limit_Search se establece en True, la acción buscará el artefacto requerido en el contenedor proporcionado solamente. De lo contrario, se ignorará el parámetro Contener_IDS .
Si se proporciona algún valor no inteligente en el parámetro Contener_IDS , entonces se eliminarán todos los valores que no son inteligentes y el parámetro se actualizará en consecuencia. Si el valor del parámetro contenedor_ids es actual , se reemplazará por la ID del contenedor actual (desde el cual se ejecuta la acción) y el estado se reflejará en consecuencia.
Si el parámetro Exact_Match se establece en False, la acción devolverá todos esos artefactos para los cuales el parámetro de valores es una subcadena de cualquiera de sus valores de CEF. De lo contrario, devolverá esos artefactos para los cuales cualquiera de su valor CEF coincide exactamente con el parámetro de valores .
Para los valores de tipo entero, flotante o cadena, se sugiere establecer el parámetro Exact_Match en falso.
Por defecto, se devuelven 10 artefactos. Si desea devolver más o menos de 10 artefactos, actualice el parámetro Max_Results .
| PARÁMETRO | REQUERIDO | DESCRIPCIÓN | TIPO | CONTIENE |
|---|---|---|---|---|
| cef_key | opcional | Clave del CEF dict que está consultando: ACT, APP, ApplicationProtocol, BaseEventCount, Bytesin, etc. Búsqueda de todo el diccionario CEF si está en blanco | cadena | |
| valores | requerido | Encuentra este valor en artefactos | cadena | * |
| Exact_match | opcional | Match exacta (predeterminado: verdadero) | booleano | |
| Limit_search | opcional | Limite la búsqueda a los contenedores especificados (predeterminado: falso) | booleano | |
| contenedor_ids | opcional | Lista de ID de contenedor separados de espacio o coma. La palabra "actual" será reemplazada por la identificación del contenedor actual | cadena | |
| Max_Results | opcional | Número máximo de artefactos para devolver | numérico |
| Ruta de datos | TIPO | CONTIENE | Valores de ejemplo |
|---|---|---|---|
| Action_Result.status | cadena | El éxito falló | |
| action_result.parameter.cef_key | cadena | ACT Application ApplicationProtocol | |
| action_result.parameter.container_ids | cadena | actual | |
| action_result.parameter.exact_match | booleano | Verdadero falso | |
| action_result.parameter.limit_search | booleano | Verdadero falso | |
| Action_Result.Parameter.Values | cadena | * | test_value |
| action_result.data.*. Contenedor | numérico | 1234 | |
| action_result.data.*. Container_name | cadena | phantom_test | |
| action_result.data.*. Encontrado en | cadena | test_key | |
| action_result.data.*. Id | numérico | 12345 | |
| action_result.data.*. | cadena | test_value | |
| action_result.data.*. Nombre | cadena | Artefacto_demo | |
| Action_result.summary.Artifacts_found | numérico | 1 | |
| action_result.summary.server | cadena | https://10.1.1.10 | |
| action_result.message | cadena | Artifactos encontrados: 1, servidor: https://10.1.1.10 | |
| resumen.total_objects | numérico | 1 | |
| resumen.total_objects_successful | numérico | 1 | |
| Action_result.parameter.max_results | numérico | 2 |
Agregar valor a una lista personalizada
Tipo: genérico
Solo leer: falso
Para agregar una fila que contiene un solo valor a una lista, simplemente pase el valor. Sin embargo, para pasar múltiples valores seguidos, formatearlo como una matriz JSON (por ejemplo, ["item1", "item2", "item3"]).
La acción actualizará la lista , si la lista ya existe (incluso si el parámetro Crear se establece en True).
Después de crear o actualizar una lista a través de esta acción, si la misma lista se actualiza desde la interfaz de usuario, el usuario necesita guardar esos cambios antes de actualizar la lista a través de esta acción nuevamente, de lo contrario, los cambios realizados de la interfaz de usuario se anularán.
| PARÁMETRO | REQUERIDO | DESCRIPCIÓN | TIPO | CONTIENE |
|---|---|---|---|---|
| lista | requerido | Nombre o identificación de una lista personalizada | cadena | |
| New_row | requerido | Nueva fila (cadena o lista de json) | cadena | * |
| crear | opcional | Crear lista si no existe (predeterminado: falso) | booleano |
| Ruta de datos | TIPO | CONTIENE | Valores de ejemplo |
|---|---|---|---|
| Action_Result.status | cadena | El éxito falló | |
| action_result.parameter.create | booleano | Verdadero falso | |
| action_result.parameter.list | cadena | demo_list | |
| Action_result.parameter.new_row | cadena | * | ["Value1", "Value2", "Value3"] |
| Action_Result.Data.*. Falló | booleano | ||
| action_result.data.*. éxito | booleano | Verdadero falso | |
| action_result.summary.server | cadena | url | https://10.1.1.10 |
| action_result.message | cadena | Servidor: https://10.1.1.10 | |
| resumen.total_objects | numérico | 1 | |
| resumen.total_objects_successful | numérico | 1 |
Encontrar valor en una lista personalizada
Tipo: Investigar
Solo leer: verdadero
Las coordenadas de fila y columna para cada valor coincidente se pueden encontrar en el resumen de resultados en "ubicaciones". La coincidencia es sensible a la caja.
Si el parámetro Exact_Match se establece en False, la acción devolverá todas esas cadenas para las cuales el parámetro de valores es su subcadena. De lo contrario, devolverá aquellas cadenas que coincidan exactamente con el parámetro de valores .
| PARÁMETRO | REQUERIDO | DESCRIPCIÓN | TIPO | CONTIENE |
|---|---|---|---|---|
| lista | requerido | Nombre o identificación de una lista personalizada | cadena | |
| column_index | opcional | Buscar en el número de columna (basado en 0) | numérico | |
| valores | requerido | Valor para buscar | cadena | * |
| Exact_match | opcional | Match exacta (predeterminado: verdadero) | booleano |
| Ruta de datos | TIPO | CONTIENE | Valores de ejemplo |
|---|---|---|---|
| Action_Result.status | cadena | El éxito falló | |
| Action_result.parameter.column_index | numérico | ||
| action_result.parameter.exact_match | booleano | Verdadero falso | |
| action_result.parameter.list | cadena | list_demo | |
| Action_Result.Parameter.Values | cadena | * | valor1 |
| Action_result.data | cadena | ||
| action_result.data.* | cadena | ||
| action_result.summary.found_matches | numérico | 1 | |
| action_result.summary.list_id | numérico | 18 | |
| action_result.summary.locations | numérico | ||
| Action_result.summary.locations.* | numérico | ||
| action_result.summary.server | cadena | url | https://10.1.1.10 |
| action_result.message | cadena | Servidor: https://10.1.1.10, coincidencias encontradas: 1, ubicaciones: [(1, 0)], ID de lista: 18 | |
| resumen.total_objects | numérico | 1 | |
| resumen.total_objects_successful | numérico | 1 |
Agregue un nuevo artefacto a un contenedor
Tipo: genérico
Solo leer: falso
Si el parámetro contenedor_id se deja vacío, se inicializará al ID del contenedor actual (desde el cual se ejecuta la acción) y el estado se reflejará en consecuencia.
Los campos de CEF se pueden agregar al artefacto de dos maneras, ya sea utilizando el parámetro CEF_NAME y CEF_VALUE o utilizando el parámetro CEF_Dictionary . Si se incluyen los parámetros CEF_NAME , CEF_VALUE y CEF_DICCIONARY , la acción agregará el campo CEF_NAME al CEF_DICCIONARY .
Usar solo el parámetro CEF_NAME y CEF_VALUE dará como resultado que el artefacto tenga un campo CEF.
El parámetro CEF_Dictionary toma un diccionario JSON con pares de valor clave que representan pares de valor clave CEF. Para proporcionar valores que contienen cotas dobles ("), agregue una barra inalcadora () antes de las cotas dobles.
Para EG, {"X-Universally-Unique-Identifier": "Test", "Content-Type": "Multipart/Alternative; Boundary = " Apple-Mail = _0DA95D7E-B791-4751-8043-175949088a2c " >" , "Message-id": "[email protected]"}
El parámetro contiene puede tomar un diccionario JSON, con las teclas que coinciden con las claves del CEF_Dictionary y los valores son listas de posibles contenidos para el campo CEF. Si un valor dado en el CEF_Dictionary no está presente en el diccionario Contiene , la acción verificará primero la lista de campos CEF predeterminados. Si no es un campo CEF predeterminado, la acción intentará identificar el valor apropiado para contiene.
El parámetro Contiene también puede tomar una cadena (o una lista de cuerdas separadas por comas) que representa el contenido para el parámetro CEF_VALUE . Este método debe usarse solo si se utilizan los parámetros CEF_NAME y CEF_VALUE .
Si el parámetro Run_Automation se establece en True, los libros de jugadas activos se ejecutarán automáticamente después de agregar el artefacto. Los libros de jugadas activos se ejecutarán en el mismo contenedor en el que se agrega el artefacto.
Consulte la documentación de la API REST para obtener más información sobre artefactos, CEF Fields y contiene.
| PARÁMETRO | REQUERIDO | DESCRIPCIÓN | TIPO | CONTIENE |
|---|---|---|---|---|
| nombre | opcional | Nombre del nuevo artefacto | cadena | |
| contenedor_id | opcional | ID de contenedor numérico para el nuevo artefacto | numérico | phantom container id |
| etiqueta | opcional | Etiqueta de artefacto (predeterminado: evento) | cadena | |
| fuente_data_identifier | requerido | Idenitificador de datos de origen | cadena | |
| CEF_NAME | opcional | Nombre de CEF | cadena | |
| cef_value | opcional | Valor | cadena | * |
| cef_diccionario | opcional | CEF JSON | cadena | |
| contiene | opcional | Tipo de datos para cada campo CEF | cadena | |
| run_automation | opcional | Ejecute la automatización en artefactos recién creados (predeterminado: falso) | booleano | |
| determinar_contains | opcional | Determine contiene para cualquier CEF Fields sin un valor contenido proporcionado (predeterminado: Verdadero) | booleano |
| Ruta de datos | TIPO | CONTIENE | Valores de ejemplo |
|---|---|---|---|
| Action_Result.status | cadena | El éxito falló | |
| Action_result.parameter.cef_dictionary | cadena | {"test_key": "test_value"} | |
| action_result.parameter.cef_name | cadena | ||
| action_result.parameter.cef_value | cadena | * | |
| action_result.parameter.container_id | numérico | phantom container id | 1234 |
| action_result.parameter.contains | cadena | dominio | |
| Action_Result.Parameter.Label | cadena | evento | |
| action_result.parameter.name | cadena | Artefacto_demo | |
| action_result.parameter.run_automation | cadena | Verdadero falso | |
| action_result.parameter.source_data_identifier | cadena | ||
| action_result.parameter.determine_contains | booleano | ||
| action_result.data.*. Exist_artifact_id | numérico | ||
| Action_Result.Data.*. Falló | booleano | ||
| action_result.data.*. Id | numérico | 123 | |
| action_result.data.*. éxito | booleano | Verdadero falso | |
| action_result.summary.artifact_id | numérico | 12345 | |
| action_result.summary.container_id | numérico | 1234 | |
| action_result.summary.server | cadena | url | https://10.1.1.10 |
| action_result.message | cadena | ID de artefacto: 12345, ID de contenedor: 1234, servidor: https://10.1.1.10 | |
| resumen.total_objects | numérico | 1 | |
| resumen.total_objects_successful | numérico | 1 |
Desinfla un artículo de la bóveda
Tipo: genérico
Solo leer: falso
La acción se admitirá solo si el parámetro Phantom_Server (en las configuraciones de activos) está configurado en la instancia local de Phantom, es decir, la instancia desde la cual se ejecuta la acción.
La acción detecta si el elemento de bóveda de entrada es un archivo comprimido y lo desinfla. Cada archivo encontrado después de la deflación se agrega a la bóveda. Si se especifica Container_ID se agregará a su bóveda, de lo contrario, al contenedor actual (el contenedor cuyo contexto se ejecuta la acción). La acción admite tipos de archivos ZIP , GZIP , BZ2 , TAR y TGZ . En el caso en que el archivo comprimido contiene otro archivo comprimido en él, establezca el parámetro recursivo en verdadero para desinflar el archivo comprimido interno.
Si la recursión está habilitada y se especifica una contraseña, la aplicación usará la contraseña solo para el archivo zip dado. El archivo zip interno se extraerá solo si el archivo no está protegido con contraseña. Entre los diferentes métodos de compresión, solo el ZIP admite la funcionalidad de protección de contraseña.
Para ciertos caracteres de Unicode, el nombre del archivo no está descomprimido como lo es, por el módulo ZipFile.
| PARÁMETRO | REQUERIDO | DESCRIPCIÓN | TIPO | CONTIENE |
|---|---|---|---|---|
| bóveda_id | requerido | ID de bóveda | cadena | vault id sha1 |
| contenedor_id | opcional | ID de contenedor de destino | numérico | phantom container id |
| contraseña | opcional | Contraseña para el archivo | cadena | |
| recursivo | opcional | Extraer recursivamente (predeterminado: falso) | booleano |
| Ruta de datos | TIPO | CONTIENE | Valores de ejemplo |
|---|---|---|---|
| Action_Result.status | cadena | El éxito falló | |
| action_result.parameter.container_id | numérico | phantom container id | 3 |
| action_result.parameter.password | cadena | P@$$ w0rd | |
| action_result.parameter.recursivo | booleano | Verdadero falso | |
| Action_Result.Parameter.Vault_id | cadena | vault id sha1 | F582ED9120FA3BE94852C73E1CD188F2948F677F |
| Action_Result.Data.*. AKA.* | cadena | test.txt | |
| action_result.data.*. Contenedor | cadena | phantom_test | |
| action_result.data.*. Container_id | numérico | phantom container id | 1234 |
| action_result.data.*. Contiene.* | cadena | ID de bóveda | |
| action_result.data.*. create_time | cadena | Hace 0 minutos | |
| Action_result.data.*. Create_via | cadena | automatización | |
| action_result.data.*. Hash | cadena | sha1 | 0A0E6C7AB7F77D058EFD444279B81C4C6A9CF4CE |
| action_result.data.*. Id | numérico | 12 | |
| action_result.data.*. metadata.contains | cadena | ID de bóveda | |
| action_result.data.*. metadata.md5 | cadena | md5 | 0DB33A0790B6D6D5C2E4425646EE7FC |
| action_result.data.*. metadata.sha1 | cadena | sha1 | FECE6C7AB7F77D058EFD444279B81C4C6A9CF4CE |
| action_result.data.*. metadata.sha256 | cadena | sha256 | 4F2155212CB0F74207BD0E4FD5ECAE548EE2BAE1D2DCD36C1D0BA0B6254BD4A1 |
| action_result.data.*. metadata.size | numérico | 33 | |
| action_result.data.*. mime_type | cadena | texto/simple | |
| action_result.data.*. Nombre | cadena | prueba TGZ | |
| action_result.data.*. | cadena | ||
| action_result.data.*. tamaño | numérico | 10240 | |
| action_result.data.*. Tarea | cadena | ||
| action_result.data.*. Usuario | cadena | ||
| action_result.data.*. Vault_document | numérico | ||
| action_result.data.*. Vault_id | cadena | vault id sha1 | B90E6C7AB7F77D058EFD444279B81C4C6A9CF4CE |
| action_result.summary.total_vault_items | numérico | 9 | |
| action_result.message | cadena | Total de la bóveda: 9 | |
| resumen.total_objects | numérico | 1 | |
| resumen.total_objects_successful | numérico | 1 |
Exportar contenedor local al activo fantasma configurado
Tipo: genérico
Solo leer: falso
Esta acción exporta un contenedor (que coincide con el contenedor_id ) desde la instancia fantasma local (la instancia desde donde se ejecuta la acción) al activo fantasma configurado (en el que la acción se está ejecutando).
La acción fallará con un mensaje de error como la instancia de gravedad con el nombre U'Critical 'no existe , si los metadatos del contenedor en la instancia fantasma local y el activo Phantom configurado no coincide.
Establezca el parámetro Keep_owner en verdadero si desea que el propietario del contenedor en la instancia Phantom configurada coincida con el propietario en la instancia local. Tenga en cuenta que esto se basará en la identificación del propietario, no el nombre del propietario.
| PARÁMETRO | REQUERIDO | DESCRIPCIÓN | TIPO | CONTIENE |
|---|---|---|---|---|
| contenedor_id | requerido | ID de contenedor para copiar | numérico | phantom container id |
| Keep_owner | opcional | Mantener al propietario | booleano | |
| etiqueta | opcional | Etiqueta para nombrar el contenedor de exportación. Si está en blanco, el contenedor de exportación tendrá el mismo nombre que el contenedor local | cadena | |
| run_automation | opcional | Ejecutar libros de jugadas activos | booleano |
| Ruta de datos | TIPO | CONTIENE | Valores de ejemplo |
|---|---|---|---|
| Action_Result.status | cadena | El éxito falló | |
| action_result.parameter.container_id | numérico | phantom container id | 3 |
| action_result.parameter.keep_owner | booleano | Verdadero falso | |
| Action_Result.Parameter.Label | cadena | eventos | |
| action_result.parameter.run_automation | booleano | Verdadero falso | |
| Action_result.data | cadena | ||
| action_result.summary.artifact_count | numérico | 268 | |
| action_result.summary.container_id | numérico | phantom container id | 94 |
| action_result.message | cadena | ID de contenedor: 94, recuento de artefactos: 268 | |
| resumen.total_objects | numérico | 1 | |
| resumen.total_objects_successful | numérico | 1 |
Importar un contenedor desde una instancia fantasma externa
Tipo: genérico
Solo leer: falso
Esta acción importa un contenedor (que coincida con el contenedor_id ) del activo fantasma configurado (que la acción se está ejecutando) en la instancia fantasma local (la instancia desde donde se ejecuta la acción).
La acción fallará con un mensaje de error como la instancia de gravedad con el nombre U'Critical 'no existe , si los metadatos del contenedor en el activo fantasma configurado y la instancia fantasma local no coinciden.
Establezca el parámetro Keep_owner en verdadero si desea que el propietario del contenedor en la instancia de Phantom local coincida con el propietario en la instancia configurada. Tenga en cuenta que esto se basará en la identificación del propietario, no el nombre del propietario.
| PARÁMETRO | REQUERIDO | DESCRIPCIÓN | TIPO | CONTIENE |
|---|---|---|---|---|
| contenedor_id | requerido | ID de contenedor para copiar | numérico | phantom container id |
| Keep_owner | opcional | Mantener al propietario | booleano |
| Ruta de datos | TIPO | CONTIENE | Valores de ejemplo |
|---|---|---|---|
| Action_Result.status | cadena | El éxito falló | |
| action_result.parameter.container_id | cadena | phantom container id | 3 |
| action_result.parameter.keep_owner | booleano | Verdadero falso | |
| Action_result.data | cadena | ||
| action_result.summary.artifact_count | numérico | 268 | |
| action_result.summary.container_id | numérico | phantom container id | 94 |
| action_result.message | cadena | ID de contenedor: 94, recuento de artefactos: 268 | |
| resumen.total_objects | numérico | 1 | |
| resumen.total_objects_successful | numérico | 1 |
Cree un nuevo contenedor en una instancia fantasma
Tipo: genérico
Solo leer: falso
Esta acción crea un nuevo contenedor en el servidor Phantom, que está configurado en el parámetro Phantom_Server Asset. El parámetro contenedor_json debe ser una cadena JSON. Es obligatorio proporcionar una clave de etiqueta en el parámetro Contenge_json . La acción fallará si el contenedor_json tiene una etiqueta que no existe en el activo fantasma de destino.
Por ejemplo, {"Nombre": "Container de prueba", "Etiqueta": "Eventos"}
El contenedor_artifacts es un parámetro opcional que debe ser una lista de objetos de artefactos como una cadena JSON. Cada objeto JSON de artefacto debe contener las siguientes claves: CEF, CEF_TYPES, Data, Descripción, End_Time, Ingest_App_id, Kill_chain, etiqueta, nombre, propietario_id, gravedad, fuente_data_identifier, start_time, etiquetas, tipo . Todas las demás claves serán ignoradas.
Por ejemplo, [{"nombre": "Artifact 1", "Label": "Label1", "Cef": {"Test": "123"}}, {"Nombre": "Artifact 2", "Label": "Label2", "Cef": {"Test": "456"}}]
Consulte la documentación de Splunk Phantom para obtener más detalles.
| PARÁMETRO | REQUERIDO | DESCRIPCIÓN | TIPO | CONTIENE |
|---|---|---|---|---|
| contenedor_json | requerido | El contenedor JSON Object | cadena | |
| contenedor_artifacts | opcional | Lista de objetos JSON de artefactos | cadena |
| Ruta de datos | TIPO | CONTIENE | Valores de ejemplo |
|---|---|---|---|
| Action_Result.status | cadena | El éxito falló | |
| action_result.parameter.container_artifacts | cadena | [{"Nombre": "Un nombre amigable humano para Artifact (1)", "Etiqueta": "Evento", "Source_Data_identifier": 1}, {"Nombre": "Un nombre amigable humano para Artifact (2)", ", "Etiqueta": "Evento", "Source_Data_identifier": 2}, {"Nombre": "Un nombre amigable humano para Artifact (3)", "Etiqueta": "Evento", "Source_Data_identifier": 3}] | |
| Action_result.parameter.container_json | cadena | {"Severidad": "Medium", "Label": "Eventos", "Versión": 1, "Asset": 7, "Estado": "Nuevo", "Descripción": "Nuevo contenedor de Phantom Helper", ",", ",", ",". etiquetas ": []," datos ": {}," nombre ":" Este es un contenedor "} | |
| Action_result.data | cadena | ||
| action_result.summary.artifact_count | numérico | 3 | |
| action_result.summary.container_id | numérico | phantom container id | |
| action_result.summary.failed_artifact_count | numérico | 7 | |
| action_result.message | cadena | ID de contenedor: 82, recuento de artefactos: 3 | |
| resumen.total_objects | numérico | 1 | |
| resumen.total_objects_successful | numérico | 1 |
Encuentre los resultados de una acción previamente ejecutada
Tipo: Investigar
Solo leer: verdadero
Esta acción devuelve los resultados más recientes del nombre de acción dado lanzado con los parámetros dados dentro de Time_limit dados.
La acción limitará el número de resultados devueltos al valor en max_results . Por defecto, el límite es 10. Para obtener todos los resultados, establezca el parámetro max_results en 0.
El parámetro de parámetros toma una cadena JSON en el formato:
{
"Parameter_Name1": "Parameter_Value1"
"Parameter_Name2": "Parameter_Value2"
...
}| PARÁMETRO | REQUERIDO | DESCRIPCIÓN | TIPO | CONTIENE |
|---|---|---|---|---|
| action_name | requerido | Nombre de acción | cadena | |
| parámetros | opcional | JSON Cadena de parámetros de acción | cadena | |
| aplicación | opcional | Nombre de la aplicación | cadena | |
| activo | opcional | Nombre de activo | cadena | |
| TIME_LIMIT | opcional | Número de horas para buscar | numérico | |
| Max_Results | opcional | Número máximo de resultados de acción para devolver | numérico |
| Ruta de datos | TIPO | CONTIENE | Valores de ejemplo |
|---|---|---|---|
| Action_Result.status | cadena | El éxito falló | |
| action_result.parameter.action_name | cadena | IP de lista negra | |
| Action_Result.Parameter.App | cadena | Fantasma | |
| Action_Result.Parameter.Asset | cadena | test_phantom | |
| Action_result.parameter.max_results | numérico | 5 | |
| action_result.parameter.parameters | cadena | {"IP": "1.8.9.0"} | |
| Action_result.parameter.time_limit | numérico | 24 | |
| action_result.data.*. Acción | cadena | IP de lista negra | |
| action_result.data.*. Action_run | numérico | 2724 | |
| action_result.data.*. App | numérico | 121 | |
| action_result.data.*. App_name | cadena | Fantasma | |
| action_result.data.*. App_version | cadena | 1.0.0 | |
| action_result.data.*. Asset | numérico | 137 | |
| action_result.data.*. Contenedor | numérico | 1154 | |
| Action_Result.Data.*. Efective_User | cadena | ||
| action_result.data.*. End_time | cadena | 2017-11-06T20: 30: 27.991000Z | |
| action_result.data.*. Exception_OCCURAD | booleano | Verdadero falso | |
| action_result.data.*. extra_data | cadena | ||
| action_result.data.*. Id | numérico | 2761 | |
| action_result.data.*. Mensaje | cadena | IP con lista negra con lista negra | |
| action_result.data.*. Playbook_run | numérico | 1056 | |
| action_result.data.*. result_data.*. Data | numérico | ||
| action_result.data.*. result_data.*. Mensaje | cadena | IP en la lista negra con éxito | |
| action_result.data.*. result_data.*. Parámetro | cadena | ||
| action_result.data.*. result_data.*. parameter.context.artifact_id | numérico | 0 | |
| action_result.data.*. result_data.*. parameter.context.guid | cadena | 293D0369-4801-417D-A1AF-A73CF1200D3D | |
| action_result.data.*. result_data.*. parameter.context.parent_action_run | cadena | ||
| action_result.data.*. result_data.*. Status | cadena | éxito | |
| action_result.data.*. result_data.*. Resumen | cadena | ||
| action_result.data.*. result_summary.total_objects | numérico | 1 | |
| action_result.data.*. result_summary.total_objects_successful | numérico | 1 | |
| action_result.data.*. start_time | cadena | 2017-11-06T20: 30: 04.879000Z | |
| Action_Result.Data.*. Estado | cadena | El éxito falló | |
| action_result.data.*. Versión | numérico | 1 | |
| Action_result.summary.action_run_id | numérico | 2761 | |
| Action_result.summary.num_results | numérico | ||
| action_result.message | cadena | ID de acción de acción: 2761 | |
| resumen.total_objects | numérico | 1 | |
| resumen.total_objects_successful | numérico | 1 |
Actualizar una lista
Tipo: genérico
Solo leer: falso
Se requiere el List_Name o ID. Si se proporcionan tanto los parámetros LIST_NAME e ID y ambos apuntan a diferentes listas, entonces se preferirá el parámetro list_name y la acción actualizará la lista especificada en el parámetro list_name.
| PARÁMETRO | REQUERIDO | DESCRIPCIÓN | TIPO | CONTIENE |
|---|---|---|---|---|
| list_name | opcional | Nombre de la lista | cadena | |
| identificación | opcional | ID de lista | numérico | |
| Row_number | requerido | Número de fila en la lista a modificar | numérico | |
| row_values_as_list | requerido | JSON Lista formateada de nuevos valores para la fila | cadena |
| Ruta de datos | TIPO | CONTIENE | Valores de ejemplo |
|---|---|---|---|
| Action_Result.status | cadena | El éxito falló | |
| action_result.parameter.id | numérico | ||
| action_result.parameter.list_name | cadena | Mi primera lista | |
| action_result.parameter.row_number | numérico | 0 | |
| Action_result.parameter.row_values_as_list | cadena | ["esto", "es", "a", "prueba"] | |
| action_result.data.*. éxito | booleano | Verdadero | |
| Action_Result.Summary | cadena | ||
| action_result.message | cadena | ||
| resumen.total_objects | numérico | 1 | |
| resumen.total_objects_successful | numérico | 1 |
Espere el número especificado de segundos
Tipo: Investigar
Solo leer: verdadero
| PARÁMETRO | REQUERIDO | DESCRIPCIÓN | TIPO | CONTIENE |
|---|---|---|---|---|
| Sleep_seconds | requerido | Dormir por tantos segundos | numérico |
| Ruta de datos | TIPO | CONTIENE | Valores de ejemplo |
|---|---|---|---|
| Action_Result.status | cadena | El éxito falló | |
| Action_result.parameter.sleep_seconds | numérico | 15 | |
| Action_result.data | cadena | ||
| Action_Result.Summary | cadena | ||
| action_result.message | cadena | Durmió durante 15 segundos | |
| resumen.total_objects | numérico | 1 | |
| resumen.total_objects_successful | numérico | 1 |
