phantom

Éditeur: splunk
Version du connecteur: 3.7.1
Vendeur de produits: Phantom
Nom du produit: Phantom
Version du produit pris en charge (regex): ". *"
Version du produit minimum: 6.2.1

Cette application expose diverses API fantômes comme actions

Le paramètre de configuration Auth_Token est à utiliser avec des instances Phantom. Si le jeton et le nom d'utilisateur / mot de passe sont donnés, le nom d'utilisateur et le mot de passe seront utilisés pour s'authentifier avec l'instance fantôme.

Notez que l'IP (ou le nom) utilisé doit correspondre à l'IP autorisé dans la configuration de l'actif REST de l'instance fantôme distante.

Dans le cas où le paramètre de configuration Phantom_Server est défini sur l'instance Phantom actuelle, c'est-à-dire le serveur fantôme par lequel l'application est utilisée, alors le Verify_certificate doit être défini sur False dans la configuration de l'actif.

Pour plus d'informations sur la façon d'obtenir un jeton d'autorisation, voir Provisioning d'un jeton d'autorisation dans la documentation de l'aperçu du Phantom REST.

Si la valeur fournie dans le paramètre de configuration Phantom_Server est de 0,0.0.0, la connectivité de test passe avec succès et les actions s'exécuteront sur l'instance fantôme actuelle, c'est-à-dire le serveur par lequel l'application est utilisée.

Voir KB Article 7 et KB Article 16 sur la façon de créer et de vérifier un certificat HTTPS valide pour votre instance fantôme.

Pour des raisons de sécurité, l'accès à 127.0.0.1 n'est pas autorisé.

Pour les instances NRI, le paramètre de configuration IP / Hostname du périphérique doit également spécifier le numéro de port. (Par exemple xxxx: 9999)

• Les paramètres d'action existants ont été modifiés dans les actions ci-dessous. Par conséquent, il est demandé à l'utilisateur final de mettre à jour leurs playbooks existants en réinservant les blocs d'action correspondants ou en fournissant des valeurs appropriées à ces paramètres d'action pour assurer le bon fonctionnement des playbooks créés sur les versions précédentes de l'application.

  • Liste de mise à jour - Le paramètre ROW_VALUES_AS_LIST , a été modifié parmi les nouvelles valeurs séparées par les virgules à une liste de nouvelles valeurs formatée JSON. Cela permettra à l'utilisateur de fournir une valeur contenant un caractère virgule (','). L'exemple de la même chose a été mis à jour dans les valeurs d'exemple.

  • Ajouter un artefact - le paramètre contient , peut prendre une chaîne (ou une liste de chaîne séparée par des virgules) ou un dictionnaire JSON, les touches correspondant aux clés du CEF_Dictionary et les valeurs étant des listes possibles contient pour le champ CEF. Dans le cas, le paramètre contient est une chaîne (ou une liste de chaîne séparée par des virgules), la valeur fournie mappera au paramètre CEF_NAME .
    Les données de données de sortie, l'action_result.summary.artifact ID et l'action_result.summary.Container ID ont été remplacées par Action_result.summary.artifact_id et Action_result.summary.container_id , respectivement.

  • Find Artefacts - L' action_result.summary.artifacts a trouvé que Datapath a été remplacé par Action_result.summary.artifacts_found.

  • Find listItem - L' action_result.summary.found correspond à Datapath a été remplacé par Action_result.summary.found_matches.

  • Mettre à jour les balises d'artefacts - Les forces de données de sortie suivantes ont été ajoutées:

    • action_result.summary.tags_added
    • action_result.summary.tags_already_absent
    • action_result.summary.tags_already_present
    • action_result.summary.tags_removed

  • Mettre à jour l'artefact - Les paramètres d'action de cette action ont été modifiés. Veuillez mettre à jour vos playbooks existants en fonction des nouveaux paramètres. Vous trouverez ci-dessous la liste des paramètres ajoutés:

    • Nom: Nom de l'artefact (toujours écraser, s'il est fourni)
    • Étiquette: étiquette d'artefact (toujours écraser, si fourni)
    • Gravité: gravité des artefacts (toujours écraser, si elle est fournie)
    • CEF_TYPES_JSON: Format JSON des types CEF (par exemple, {'MYIP': ['ip', 'ipv6']})
    • Tags: liste de balises séparées par des virgules à ajouter ou à remplacer dans l'artefact
    • Écraser: écraser les artefacts avec une entrée fournie (s'applique à: cef_json, contient_json, tags)
    • artefact_json: format JSON de tout artefact (toujours écraser les clés)

    Pour plus de détails, consultez la section Artefacte de mise à jour .

L'application utilise le protocole HTTP / HTTPS pour communiquer avec le serveur Phantom. Vous trouverez ci-dessous les ports par défaut utilisés par Splunk Soar.

Nom de service	Protocole de transport	PORT
http	TCP	80
https	TCP	443

• L'action Find ListItem n'est pas en mesure de récupérer la liste, où le nom de la liste contient un caractère SLASH ('/').
• L'action Add ListItem n'est pas en mesure de mettre à jour la liste, où le nom de la liste contient un caractère Slash ('/') avant.
• L'action FIND Artefacts ne fonctionne pas selon l'attente, pour le cas où nous avons un caractère bombardé ('') dans le CEF_VALUE. Cela se produit à la fois pour la correspondance exacte et le match non exact.
• L'action FIND Artefacts n'est pas en mesure de récupérer les artefacts, où les valeurs CEF contiennent des caractères Unicode, sur la version Phantom 4.8.23319. L'action fonctionne bien sur Phantom Version 4.5.15922.

Les variables de configuration ci-dessous sont nécessaires pour que ce connecteur fonctionne. Ces variables sont spécifiées lors de la configuration d'un actif fantôme dans SOAR.

VARIABLE	REQUIS	TAPER	DESCRIPTION
Phantom_Server	requis	chaîne	Phantom IP ou nom d'hôte (par exemple 10.1.1.10 ou valid_phantom_hostname)
auth_token	facultatif	mot de passe	Token Phantom Auth
nom d'utilisateur	facultatif	chaîne	Nom d'utilisateur (pour HTTP Basic Auth)
mot de passe	facultatif	mot de passe	Mot de passe (pour HTTP Basic Auth)
Verify_certificate	facultatif	booléen	Vérifiez le certificat HTTPS (par défaut: false)
Deflate_Item_Extensions	facultatif	chaîne	Seuls les fichiers avec les extensions spécifiés (séparés par les virgules) seront dégonflés. Si vide, l'extension du fichier ne sera pas vérifiée

Connectivité de test - valider la configuration de l'actif pour la connectivité
Mettre à jour l'artefact - Mettre à jour ou écraser l'artefact Phantom avec l'entrée fournie
Ajouter une note - Ajoutez une note à un conteneur
Mettre à jour les balises d'artefacts - Ajouter / supprimer les balises d'un artefact
Trouver des artefacts - Trouver des artefacts contenant une valeur CEF
Ajouter ListItem - ajouter de la valeur à une liste personnalisée
Rechercher ListItem - Recherchez de la valeur dans une liste personnalisée
Ajouter un artefact - Ajoutez un nouvel artefact à un conteneur
Déflasger l'élément - dégonfle un élément de la voûte
Conteneur d'exportation - Exporter un conteneur local vers l'actif fantôme configuré
Importer un conteneur - Importer un conteneur à partir d'une instance fantôme externe
Créer un conteneur - Créez un nouveau conteneur sur une instance fantôme
Obtenir un résultat d'action - Trouvez les résultats d'une action précédemment exécutée
Liste de mise à jour - Mettez à jour une liste
Pas d'OP - attendez le nombre spécifié de secondes

Valider la configuration des actifs pour la connectivité

Type: tester
Lire uniquement: vrai

Aucun paramètre n'est requis pour cette action

Pas de sortie

Mettre à jour ou écraser l'artefact fantôme avec l'entrée fournie

Type: générique
Lire uniquement: faux

Par défaut, cette action ajoutera ou mettra à jour ces champs: "CEF_JSON", "CEF_TYPES_JSON" et "Tags", à moins que "l'écrasement" soit activé. Dans ce cas, ces paramètres remplaceront l'intégralité des versions actuelles de ce que contient cet artefact. Bien que tous ne soient pas nécessaires, pour que l'action fonctionne, au moins l'un des paramètres facultatifs suivants doit être fourni:

PARAMÈTRE	EXEMPLE
nom	Nom d'artefact
étiquette	artefact_label
gravité	haut
cef_json	?
cef_types_json	{"gooddomain": ["domaine"]}
balises	Tag1, Tag3 ou ["Tag2", "Tag4"]
artefact_json	{"source_data_identifier": "myticket1234", "label": "new_label"}

L'artefact JSON doit être utilisé pour des aspects plus avancés des artefacts fantômes. Voir Phantom REST API Docs, en particulier en ce qui concerne les artefacts.

PARAMÈTRE	REQUIS	DESCRIPTION	TAPER	CONTIENT
artefact_id	requis	ID de l'artefact à mettre à jour	chaîne	phantom artifact id
nom	facultatif	Nom de l'artefact (toujours écraser, s'il est fourni)	chaîne
étiquette	facultatif	Étiquette d'artefacts (toujours écraser, s'il est fourni)	chaîne
gravité	facultatif	Gravité des artefacts (toujours écraser, s'il est fourni)	chaîne
cef_json	facultatif	Format JSON des champs CEF que vous voulez dans l'artefact	chaîne
cef_types_json	facultatif	Format JSON des types CEF (par exemple, {'myip': ['ip', 'ipv6']})	chaîne
balises	facultatif	Liste des balises séparées par des virgules à ajouter ou à remplacer dans l'artefact	chaîne
écraser	facultatif	Écraser des artefacts avec une entrée fournie (s'applique à: CEF_JSON, contient_json, tags)	booléen
artefact_json	facultatif	Format JSON de tout artefact (toujours écraser les clés) des clés)	chaîne

Chemin de données	TAPER	CONTIENT	Exemples de valeurs
action_result.status	chaîne		Le succès a échoué
action_result.paramètre.artifact_id	chaîne	phantom artifact id	2388
action_result.paramètre.artifact_json	chaîne		?
action_result.paramètre.cef_json	chaîne		{"new_field": "new_value", "deleted_field": ""}
action_result.paramètre.cef_types_json	chaîne		{"new_field": ["new contient"]}
action_result.paramètre.label	chaîne		étiquette d'essai
action_result.paramètre.name	chaîne		Nouveau nom
action_result.paramètre.overwrite	booléen		Vrai Faux
action_result.Parameter.Severity	chaîne		haut
action_result.paramètre.tags	chaîne		["Tag2"]
action_result.data. *. Demanded_artifact.cef.deleted_field	chaîne
action_result.data. *. Demanded_artifact.cef.new_field	chaîne		new_value
action_result.data. *. Demanded_artifact.cef.test	chaîne		FFF
action_result.data. *. Demanded_artifact.cef_types.new_field	chaîne		Nouveau contient
action_result.data. *. Demanded_artifact.description	chaîne		Artefact ajouté par moi
action_result.data. *. Devided_artifact.label	chaîne		étiquette d'essai
action_result.data. *. Demanded_artifact.name	chaîne		Nouveau nom
action_result.data. *. Devided_artifact.severity	chaîne		haut
action_result.data. *. Demanded_artifact.source_data_identifier	chaîne		my_custom_sdi
action_result.data. *. Demanded_artifact.tags	chaîne		tag2
action_result.data. *. Response.id	numérique		2388
action_result.data. *. Response.success	booléen		Vrai Faux
action_result.summary	chaîne
action_result.message	chaîne		Artefact mis à jour avec succès.
résumé.total_objects	numérique		1
résumé.total_objects_successful	numérique		1

Ajouter une note à un conteneur

Type: générique
Lire uniquement: faux

Si le paramètre Container_ID est laissé vide, il sera initialisé à l'ID du conteneur actuel (d'où l'action est exécutée) et que l'état sera reflété en conséquence. Si le conteneur est un cas, un paramètre phase_id peut être fourni pour associer la note à une phase particulière.

PARAMÈTRE	REQUIS	DESCRIPTION	TAPER	CONTIENT
titre	requis	Titre de la note	chaîne
contenu	facultatif	Noter le contenu	chaîne
conteneur_id	facultatif	L'ID de conteneur (par défaut dans le conteneur actuel)	numérique	phantom container id
phase_id	facultatif	Phase la note sera associée à	chaîne

Chemin de données	TAPER	CONTIENT	Exemples de valeurs
action_result.status	chaîne		Le succès a échoué
action_result.Parameter.container_id	numérique	phantom container id	35
action_result.Parameter.Content	chaîne		Ajout d'une note via l'action de l'application
action_result.paramètre.phase_id	chaîne
action_result.paramètre.title	chaîne		Test de note
action_result.data	chaîne
action_result.summary	chaîne
action_result.message	chaîne		Note créée
résumé.total_objects	numérique		1
résumé.total_objects_successful	numérique		1

Ajouter / supprimer les balises d'un artefact

Type: générique
Lire uniquement: faux

PARAMÈTRE	REQUIS	DESCRIPTION	TAPER	CONTIENT
artefact_id	requis	L'identité d'artefact	chaîne	phantom artifact id
add_tags	facultatif	Liste des balises séparées par des virgules à ajouter à l'artefact	chaîne
supprimer_tags	facultatif	Liste des balises séparées par des virgules à supprimer de l'artefact	chaîne

Chemin de données	TAPER	CONTIENT	Exemples de valeurs
action_result.status	chaîne		Le succès a échoué
action_result.paramètre.add_tags	chaîne		Tag1, tag3
action_result.paramètre.artifact_id	chaîne	phantom artifact id	94
action_result.paramètre.remove_tags	chaîne		Tag2, tag4
action_result.data	chaîne
action_result.summary.tags_added	chaîne		tag1
action_result.summary.tags_already_absent	chaîne		tag4
action_result.summary.tags_already_present	chaîne		tag3
action_result.summary.tags_removed	chaîne		tag2
action_result.message	chaîne		Tags ajoutés: tag1, balises supprimées: tag2, tags déjà présents: tag3, tags déjà absents: tag4
résumé.total_objects	numérique		1
résumé.total_objects_successful	numérique		1

Trouver des artefacts contenant une valeur CEF

Type: enquêter
Lire uniquement: vrai

Si le paramètre LIMIT_SEARCH est défini sur true, l'action recherchera uniquement l'artefact requis dans le conteneur fourni_ids fourni. Sinon, le paramètre Container_IDS sera ignoré.

Si une valeur non-inteer est fournie dans le paramètre Container_IDS , toutes les valeurs non entières seront supprimées et le paramètre sera mis à jour en conséquence. Si la valeur du paramètre Container_IDS est actuelle , elle sera remplacée par l'ID du conteneur actuel (à partir de laquelle l'action est exécutée) et que l'état sera reflété en conséquence.

Si le paramètre exact_match est défini sur FALSE, l'action renvoie tous ces artefacts pour lesquels le paramètre de valeurs est une sous-chaîne de l'une de ses valeurs CEF. Sinon, il renverra ces artefacts pour lesquels l'une de sa valeur CEF correspond exactement au paramètre VALEUR .

Pour les valeurs de type entier, float ou chaîne, il est suggéré de définir le paramètre exact_match sur FALSE.

Par défaut, 10 artefacts sont retournés. Si vous souhaitez retourner plus ou moins de 10 artefacts, mettez à jour le paramètre Max_Results .

PARAMÈTRE	REQUIS	DESCRIPTION	TAPER	CONTIENT
CEF_KEY	facultatif	Clé du CEF Dict que vous interrogez: acte, application, applicationProtocol, BaseeventCount, bytesin, etc. Il recherchera l'ensemble du dictionnaire CEF si vide	chaîne
valeurs	requis	Trouver cette valeur dans les artefacts	chaîne	*
exact_match	facultatif	Correspondance exacte (par défaut: true)	booléen
limit_search	facultatif	Limiter la recherche aux conteneurs spécifiés (par défaut: false)	booléen
conteneur_ids	facultatif	Liste des ID de conteneurs séparés d'espace ou de virgule. Le mot "courant" sera remplacé par l'ID de conteneur actuel	chaîne
max_results	facultatif	Nombre maximum d'artefacts à retourner	numérique

Chemin de données	TAPER	CONTIENT	Exemples de valeurs
action_result.status	chaîne		Le succès a échoué
action_result.paramètre.cef_key	chaîne		ACT APP APPLICATION PROTOCOL
action_result.Parameter.container_ids	chaîne		actuel
action_result.paramètre.exact_match	booléen		Vrai Faux
action_result.paramètre.limit_search	booléen		Vrai Faux
action_result.Parameter.Values	chaîne	*	test_value
action_result.data. *. conteneur	numérique		1234
action_result.data. *. Container_name	chaîne		Phantom_test
action_result.data. *. Trouvé dans	chaîne		test_key
action_result.data. *. id	numérique		12345
action_result.data. *. Match	chaîne		test_value
action_result.data. *. Nom	chaîne		Artefact_demo
action_result.summary.artifacts_found	numérique		1
action_result.summary.server	chaîne		https://10.1.1.10
action_result.message	chaîne		Artefacts trouvés: 1, serveur: https://10.1.1.10
résumé.total_objects	numérique		1
résumé.total_objects_successful	numérique		1
action_result.paramètre.max_results	numérique		2

Ajouter de la valeur à une liste personnalisée

Type: générique
Lire uniquement: faux

Pour ajouter une ligne contenant une seule valeur à une liste, passez simplement la valeur. Cependant, pour transmettre plusieurs valeurs dans une ligne, formatez-le comme un tableau JSON (par exemple ["item1", "item2", "item3"]).

L'action mettra à jour la liste , si la liste existe déjà (même si le paramètre Créer est défini sur true).

Après avoir créé ou mis à jour une liste via cette action, si la même liste est mise à jour à partir de l'interface utilisateur, l'utilisateur doit enregistrer ces modifications avant de mettre à jour la liste via cette action, sinon, les modifications apportées à l'interface utilisateur seront remplacées.

PARAMÈTRE	REQUIS	DESCRIPTION	TAPER	CONTIENT
liste	requis	Nom ou identifiant d'une liste personnalisée	chaîne
new_row	requis	Nouvelle ligne (chaîne ou liste JSON)	chaîne	*
créer	facultatif	Créer une liste si elle n'existe pas (par défaut: false)	booléen

Chemin de données	TAPER	CONTIENT	Exemples de valeurs
action_result.status	chaîne		Le succès a échoué
action_result.paramètre.create	booléen		Vrai Faux
action_result.Parameter.List	chaîne		démo_list
action_result.paramètre.new_row	chaîne	*	["Value1", "Value2", "Value3"]
action_result.data. *. Échec	booléen
action_result.data. *. Succès	booléen		Vrai Faux
action_result.summary.server	chaîne	url	https://10.1.1.10
action_result.message	chaîne		Serveur: https://10.1.1.10
résumé.total_objects	numérique		1
résumé.total_objects_successful	numérique		1

Trouver de la valeur dans une liste personnalisée

Type: enquêter
Lire uniquement: vrai

Les coordonnées des lignes et des colonnes pour chaque valeur de correspondance peuvent être trouvées dans le résumé des résultats sous «Emplacements». Le match est sensible à la casse.

Si le paramètre exact_match est défini sur FALSE, l'action renvoie toutes ces chaînes pour lesquelles le paramètre de valeurs est sa sous-chaîne. Sinon, il renverra les chaînes qui correspondent exactement au paramètre de valeurs .

PARAMÈTRE	REQUIS	DESCRIPTION	TAPER	CONTIENT
liste	requis	Nom ou identifiant d'une liste personnalisée	chaîne
Column_index	facultatif	Recherche dans le numéro de colonne (0 basé)	numérique
valeurs	requis	Valeur à la recherche de	chaîne	*
exact_match	facultatif	Correspondance exacte (par défaut: true)	booléen

Chemin de données	TAPER	CONTIENT	Exemples de valeurs
action_result.status	chaîne		Le succès a échoué
action_result.paramètre.column_index	numérique
action_result.paramètre.exact_match	booléen		Vrai Faux
action_result.Parameter.List	chaîne		list_demo
action_result.Parameter.Values	chaîne	*	valeur 1
action_result.data	chaîne
action_result.data. *	chaîne
action_result.summary.found_matches	numérique		1
action_result.summary.list_id	numérique		18
action_result.summary.locations	numérique
action_result.summary.locations. *	numérique
action_result.summary.server	chaîne	url	https://10.1.1.10
action_result.message	chaîne		Serveur: https://10.1.1.10, correspondances trouvées: 1, emplacements: [(1, 0)], ID de liste: 18
résumé.total_objects	numérique		1
résumé.total_objects_successful	numérique		1

Ajoutez un nouvel artefact à un conteneur

Type: générique
Lire uniquement: faux

Si le paramètre Container_ID est laissé vide, il sera initialisé à l'ID du conteneur actuel (à partir de laquelle l'action est exécutée) et que l'état sera reflété en conséquence.

Les champs CEF peuvent être ajoutés à l'artefact de deux manières, soit en utilisant le paramètre CEF_NAME et CEF_VALUE , soit en utilisant le paramètre CEF_Dictionary . Si les paramètres CEF_NAME , CEF_VALUE et CEF_DICTIONNAIRE sont tous inclus, l'action ajoutera le champ CEF_NAME au CEF_Dictionary .

L'utilisation unique du paramètre CEF_NAME et CEF_VALUE entraînera l'artefact ayant un champ CEF.

Le paramètre CEF_Dictionary prend un dictionnaire JSON avec des paires de valeurs clés représentant les paires de valeurs clés CEF. Pour fournir des valeurs contenant des doubles quotes ("), ajoutez une barre oblique inverse () avant les doubles quotes.
Pour EG, {"x-Universally-Unique-Identifier": "Test", "Content-Type": "Multipart / Alternative; Boundary = " Apple-Mail = _0DA95D7E-B791-4751-8043-175949088A2C " >" , "Message-id": "[email protected]"}

Le paramètre contient peut prendre un dictionnaire JSON, les touches correspondant aux clés du CEF_DICTIONNAIRE et les valeurs étant des listes de possible contient pour le champ CEF. Si une valeur donnée dans le CEF_Dictionary n'est pas présente dans le dictionnaire contient , l'action vérifiera d'abord la liste des champs CEF par défaut. Si ce n'est pas un champ CEF par défaut, l'action tentera d'identifier la valeur appropriée pour contient.
Le paramètre contient peut également prendre une chaîne (ou une liste de chaînes séparée par des virgules) représentant les contient pour le paramètre CEF_VALUE . Cette méthode ne doit être utilisée que si les paramètres CEF_NAME et CEF_VALUE sont utilisés.

Si le paramètre run_automation est défini sur true, les PlayBooks actifs s'exécuteront automatiquement après l'ajout de l'artefact. Les PlayBooks actifs fonctionneront sur le même conteneur dans lequel l'artefact est ajouté.

Voir la documentation de l'API REST pour plus d'informations sur les artefacts, les champs CEF et contient.

PARAMÈTRE	REQUIS	DESCRIPTION	TAPER	CONTIENT
nom	facultatif	Nom du nouvel artefact	chaîne
conteneur_id	facultatif	ID de conteneur numérique pour le nouvel artefact	numérique	phantom container id
étiquette	facultatif	Étiquette d'artefact (par défaut: événement)	chaîne
source_data_identifier	requis	Idénitifier des données source	chaîne
CEF_NAME	facultatif	Nom du CEC	chaîne
CEF_VALUE	facultatif	Valeur	chaîne	*
CEF_DICTIONNAIRE	facultatif	CEF JSON	chaîne
contient	facultatif	Type de données pour chaque champ CEF	chaîne
run_automation	facultatif	Exécutez l'automatisation sur des artefacts nouvellement créés (par défaut: false)	booléen
déterminer_consents	facultatif	Déterminer contient pour tous les champs CEF sans une valeur fournie contenue (par défaut: true)	booléen

Chemin de données	TAPER	CONTIENT	Exemples de valeurs
action_result.status	chaîne		Le succès a échoué
action_result.paramètre.cef_dictionary	chaîne		{"test_key": "test_value"}
action_result.paramètre.cef_name	chaîne
action_result.paramètre.cef_value	chaîne	*
action_result.Parameter.container_id	numérique	phantom container id	1234
action_result.Parameter.CONTAINS	chaîne		domaine
action_result.paramètre.label	chaîne		événement
action_result.paramètre.name	chaîne		Artefact_demo
action_result.paramètre.run_automation	chaîne		Vrai Faux
action_result.paramètre.source_data_identifier	chaîne
action_result.paramètre.determine_contivain	booléen
action_result.data. *. existant_artifact_id	numérique
action_result.data. *. Échec	booléen
action_result.data. *. id	numérique		123
action_result.data. *. Succès	booléen		Vrai Faux
action_result.summary.artifact_id	numérique		12345
action_result.summary.contitainer_id	numérique		1234
action_result.summary.server	chaîne	url	https://10.1.1.10
action_result.message	chaîne		ID d'artefact: 12345, ID de conteneur: 1234, serveur: https://10.1.1.10
résumé.total_objects	numérique		1
résumé.total_objects_successful	numérique		1

Dégonfle un article de la voûte

Type: générique
Lire uniquement: faux

L'action ne sera prise en charge que si le paramètre Phantom_Server (dans les configurations d'actifs) est configuré sur l'instance fantôme locale, c'est-à-dire l'instance à partir de laquelle l'action est exécutée.

L'action détecte si l'élément Vault d'entrée est un fichier compressé et le dégonfle. Chaque fichier trouvé après déflation est ensuite ajouté au coffre-fort. Si Container_ID est spécifié ajoutera à son coffre-fort, sinon le conteneur actuel (le conteneur dont le contexte est exécuté). L'action prend en charge les types de fichiers ZIP , GZIP , BZ2 , TAR et TGZ . Dans le cas où le fichier compressé contient un autre fichier compressé, définissez le paramètre récursif sur true pour dégonfler le fichier compressé intérieur.

Si la récursivité est activée et qu'un mot de passe est spécifié, l'application utilisera le mot de passe pour un fichier zip donné uniquement. Le fichier zip intérieur ne sera extrait que si le fichier n'est pas protégé par mot de passe. Parmi les différentes méthodes de compression, seul le ZIP prend en charge les fonctionnalités de protection des mots de passe.

Pour certains caractères Unicode, le nom du fichier n'est pas dézippé tel quel, par le module ZipFile.

PARAMÈTRE	REQUIS	DESCRIPTION	TAPER	CONTIENT
vault_id	requis	ID de coffre-fort	chaîne	vault id sha1
conteneur_id	facultatif	ID de conteneur de destination	numérique	phantom container id
mot de passe	facultatif	Mot de passe pour le fichier	chaîne
récursif	facultatif	Extraire récursivement (par défaut: false)	booléen

Chemin de données	TAPER	CONTIENT	Exemples de valeurs
action_result.status	chaîne		Le succès a échoué
action_result.Parameter.container_id	numérique	phantom container id	3
action_result.paramètre.password	chaîne		P @ $$ W0RD
action_result.paramètre.recursive	booléen		Vrai Faux
action_result.paramètre.vault_id	chaîne	vault id sha1	F582ED9120FA3BE94852C73E1CD188F2948F677F
action_result.data. *. AKA. *	chaîne		test.txt
action_result.data. *. conteneur	chaîne		Phantom_test
action_result.data. *. Container_id	numérique	phantom container id	1234
action_result.data. *. Contient. *	chaîne		ID de coffre-fort
action_result.data. *. create_time	chaîne		Il y a 0 minutes
action_result.data. *. Created_via	chaîne		automation
action_result.data. *. Hash	chaîne	sha1	0A0E6C7AB7F77D058EFD444279B81C4C6A9CF4CE
action_result.data. *. id	numérique		12
Action_result.data. *. Metadata.contains	chaîne		ID de coffre-fort
action_result.data. *. Metadata.md5	chaîne	md5	0DB33A0790B6D6D5C2E4425646EEEE7FC
action_result.data. *. Metadata.sha1	chaîne	sha1	FECE6C7AB7F77D058EFD444279B81C4C6A9CF4CE
action_result.data. *. metadata.sha256	chaîne	sha256	4F2155212CB0F74207BD0E4FD5ECAE548EE2BAE1D2DCD36C1D0BA0B6254BD4A1
action_result.data. *. Metadata.Size	numérique		33
action_result.data. *. MIME_TYPE	chaîne		texte / plaine
action_result.data. *. Nom	chaîne		test TGZ
action_result.data. *. Chemin	chaîne
action_result.data. *. Taille	numérique		10240
action_result.data. *. Tâche	chaîne
action_result.data. *. Utilisateur	chaîne
action_result.data. *. Vault_Document	numérique
action_result.data. *. Vault_id	chaîne	vault id sha1	B90E6C7AB7F77D058EFD444279B81C4C6A9CF4CE
action_result.summary.total_vault_items	numérique		9
action_result.message	chaîne		Total des articles de coffre-fort: 9
résumé.total_objects	numérique		1
résumé.total_objects_successful	numérique		1

Exporter un conteneur local vers l'actif fantôme configuré

Type: générique
Lire uniquement: faux

Cette action exporte un conteneur (qui correspond au conteneur_id ) de l'instance fantôme locale (l'instance d'où l'action est exécutée) vers l'actif fantôme configuré (sur lequel l'action est exécutée).

L'action échouera avec un message d'erreur comme l'instance de gravité avec le nom u'critical 'n'existe pas , si les métadonnées du conteneur sur l'instance fantôme locale et que l'actif fantôme configuré ne correspond pas.

Définissez le paramètre keep_owner sur true si vous souhaitez que le propriétaire du conteneur sur l'instance fantôme configurée corresponde au propriétaire sur l'instance locale. Notez que cela sera basé sur l'ID du propriétaire, pas le nom du propriétaire.

PARAMÈTRE	REQUIS	DESCRIPTION	TAPER	CONTIENT
conteneur_id	requis	ID de conteneur à copier	numérique	phantom container id
keep_owner	facultatif	Garder le propriétaire	booléen
étiquette	facultatif	Étiquetez pour nommer le conteneur d'exportation. Si vide, le conteneur d'exportation aura le même nom que le conteneur local	chaîne
run_automation	facultatif	Exécuter des livres de jeu actifs	booléen

Chemin de données	TAPER	CONTIENT	Exemples de valeurs
action_result.status	chaîne		Le succès a échoué
action_result.Parameter.container_id	numérique	phantom container id	3
action_result.paramètre.keep_owner	booléen		Vrai Faux
action_result.paramètre.label	chaîne		événements
action_result.paramètre.run_automation	booléen		Vrai Faux
action_result.data	chaîne
action_result.summary.artifact_count	numérique		268
action_result.summary.contitainer_id	numérique	phantom container id	94
action_result.message	chaîne		ID de conteneur: 94, décompte des artefacts: 268
résumé.total_objects	numérique		1
résumé.total_objects_successful	numérique		1

Importer un conteneur à partir d'une instance fantôme externe

Type: générique
Lire uniquement: faux

Cette action importe un conteneur (qui correspond au conteneur_id ) à partir de l'actif Phantom configuré (sur lequel l'action est exécutée) dans l'instance fantôme locale (l'instance d'où l'action est exécutée).

L'action échouera avec un message d'erreur comme l'instance de gravité avec le nom u'critical 'n'existe pas , si les métadonnées du conteneur sur l'actif fantôme configuré et que l'instance fantôme locale ne correspond pas.

Définissez le paramètre keep_owner sur true si vous souhaitez que le propriétaire du conteneur sur l'instance fantôme locale corresponde au propriétaire sur l'instance configurée. Notez que cela sera basé sur l'ID du propriétaire, pas le nom du propriétaire.

PARAMÈTRE	REQUIS	DESCRIPTION	TAPER	CONTIENT
conteneur_id	requis	ID de conteneur à copier	numérique	phantom container id
keep_owner	facultatif	Garder le propriétaire	booléen

Chemin de données	TAPER	CONTIENT	Exemples de valeurs
action_result.status	chaîne		Le succès a échoué
action_result.Parameter.container_id	chaîne	phantom container id	3
action_result.paramètre.keep_owner	booléen		Vrai Faux
action_result.data	chaîne
action_result.summary.artifact_count	numérique		268
action_result.summary.contitainer_id	numérique	phantom container id	94
action_result.message	chaîne		ID de conteneur: 94, décompte des artefacts: 268
résumé.total_objects	numérique		1
résumé.total_objects_successful	numérique		1

Créer un nouveau conteneur sur une instance fantôme

Type: générique
Lire uniquement: faux

Cette action crée un nouveau conteneur sur le serveur Phantom, qui est configuré dans le paramètre Asset Phantom_Server . Le paramètre Container_JSON doit être une chaîne JSON. Il est obligatoire de fournir une clé d'étiquette dans le paramètre Container_JSON . L'action échouera si le conteneur_json a une étiquette qui n'existe pas sur la destination Phantom Asset.
Par exemple, {"Name": "Tester Container", "Label": "Events"}

Le conteneur_artifacts est un paramètre facultatif qui doit être une liste d'objets artefacts en tant que chaîne JSON. Chaque objet JSON Artefact doit contenir les clés suivantes: CEF, CEF_TYPES, DONNÉES, DESCRIPTION, end_time, ingest_app_id, kill_chain, étiquette, nom, propriétaire_id, gravité, source_data_identifier, start_time, balises, type . Toutes les autres clés seront ignorées.
Par exemple, [{"name": "artefact 1", "label": "label1", "cef": {"test": "123"}}, {"name": "artefact 2", "label": "label2", "cef": {"test": "456"}}]

Voir la documentation Splunk Phantom pour plus de détails.

PARAMÈTRE	REQUIS	DESCRIPTION	TAPER	CONTIENT
conteneur_json	requis	L'objet JSON à conteneur	chaîne
conteneur_artifacts	facultatif	Liste des objets JSON artefacts	chaîne

Chemin de données	TAPER	CONTIENT	Exemples de valeurs
action_result.status	chaîne		Le succès a échoué
action_result.Parameter.container_artifacts	chaîne		[{"Name": "Un nom amical pour artefact (1)", "Label": "Event", "Source_Data_Identifier": 1}, {"Name": "Un nom amical pour artefact (2)", "Label": "Event", "Source_Data_Identifier": 2}, {"Name": "Un nom amical pour artefact (3)", "Label": "Event", "Source_Data_Identifier": 3}]
action_result.Parameter.container_json	chaîne		{"Gravité": "Medium", "Label": "Events", "Version": 1, "Asset": 7, "Status": "New", "Description": "Nouveau conteneur de Phantom Helper", " Tags ": []," data ": {}," name ":" Ceci est un conteneur "}
action_result.data	chaîne
action_result.summary.artifact_count	numérique		3
action_result.summary.contitainer_id	numérique	phantom container id
action_result.summary.failed_artifact_count	numérique		7
action_result.message	chaîne		ID de conteneur: 82, nombre d'artefact: 3
résumé.total_objects	numérique		1
résumé.total_objects_successful	numérique		1

Trouvez les résultats d'une action précédemment exécutée

Type: enquêter
Lire uniquement: vrai

Cette action renvoie les résultats les plus récents de l' action donnée_Name lancée avec les paramètres donnés dans le temps donné_limit.

L'action limitera le nombre de résultats renvoyés à la valeur dans Max_Results . Par défaut, la limite est de 10. Pour obtenir tous les résultats, définissez le paramètre MAX_RESULTS sur 0.

Le paramètre Paramètres prend une chaîne JSON au format:

 {
 "paramètre_name1": "paramètre_value1"
 "paramètre_name2": "paramètre_value2"
 ...
 }

Le paramètre de l'application prend un nom d'application, et s'il est inclus, l'action ne recherchera que les résultats de l'action de cette application. De même, le paramètre d'actif prend un nom d'actif, et s'il est inclus, l'action ne recherchera que les résultats de l'action de cet actif.

PARAMÈTRE	REQUIS	DESCRIPTION	TAPER	CONTIENT
Action_name	requis	Nom d'action	chaîne
paramètres	facultatif	JSON String of Action Paramètres	chaîne
appliquer	facultatif	Nom de l'application	chaîne
actif	facultatif	Nom de l'actif	chaîne
Time_limit	facultatif	Nombre d'heures pour rechercher	numérique
max_results	facultatif	Nombre maximum de résultats d'action à retourner	numérique

Chemin de données	TAPER	CONTIENT	Exemples de valeurs
action_result.status	chaîne		Le succès a échoué
action_result.paramètre.action_name	chaîne		IP de liste noire
action_result.Parameter.app	chaîne		Fantôme
action_result.paramètre.asset	chaîne		test_phantom
action_result.paramètre.max_results	numérique		5
action_result.Parameter.Parameters	chaîne		{"ip": "1.8.9.0"}
action_result.paramètre.time_limit	numérique		24
action_result.data. *. Action	chaîne		IP de liste noire
action_result.data. *. Action_run	numérique		2724
action_result.data. *. App	numérique		121
action_result.data. *. App_name	chaîne		Fantôme
action_result.data. *. App_version	chaîne		1.0.0
action_result.data. *.	numérique		137
action_result.data. *. conteneur	numérique		1154
action_result.data. *. efficace_user	chaîne
action_result.data. *. end_time	chaîne		2017-11-06T20: 30: 27.991000Z
action_result.data. *. Exception_occured	booléen		Vrai Faux
action_result.data. *. Extra_data	chaîne
action_result.data. *. id	numérique		2761
action_result.data. *. Message	chaîne		IP sur liste noire avec succès
action_result.data. *. playbook_run	numérique		1056
action_result.data. *. result_data. *. Données	numérique
action_result.data. *. result_data. *. Message	chaîne		IP Black sur liste avec succès
action_result.data. *. result_data. *. Paramètre	chaîne
action_result.data. *. result_data. *. paramètre.context.artifact_id	numérique		0
action_result.data. *. result_data. *. paramètre.context.guid	chaîne		293d0369-4801-417d-a1af-a73cf1200d3d
action_result.data. *. result_data. *. paramètre.context.parent_action_run	chaîne
action_result.data. *. result_data. *. Status	chaîne		succès
action_result.data. *. result_data. *. Résumé	chaîne
action_result.data. *. result_summary.total_objects	numérique		1
action_result.data. *. result_summary.total_objects_successful	numérique		1
action_result.data. *. start_time	chaîne		2017-11-06T20: 30: 04.879000Z
action_result.data. *. Statut	chaîne		Le succès a échoué
action_result.data. *. Version	numérique		1
action_result.summary.action_run_id	numérique		2761
action_result.summary.num_results	numérique
action_result.message	chaîne		ID de course d'action: 2761
résumé.total_objects	numérique		1
résumé.total_objects_successful	numérique		1

Mettre à jour une liste

Type: générique
Lire uniquement: faux

Soit le list_name ou l'ID est requis. Si les paramètres List_Name et ID sont fournis et que les deux pointent vers différentes listes, le paramètre List_name sera préféré et l'action mettra à jour la liste spécifiée dans le paramètre List_Name.

PARAMÈTRE	REQUIS	DESCRIPTION	TAPER	CONTIENT
list_name	facultatif	Nom de liste	chaîne
identifiant	facultatif	ID de liste	numérique
row_number	requis	Numéro de ligne dans la liste à modifier	numérique
row_values_as_list	requis	JSON a formaté la liste de nouvelles valeurs pour la ligne	chaîne

Chemin de données	TAPER	CONTIENT	Exemples de valeurs
action_result.status	chaîne		Le succès a échoué
action_result.Parameter.id	numérique
action_result.paramètre.list_name	chaîne		Ma première liste
action_result.paramètre.row_number	numérique		0
action_result.paramètre.row_values_as_list	chaîne		["this", "is", "a", "test"]
action_result.data. *. Succès	booléen		Vrai
action_result.summary	chaîne
action_result.message	chaîne
résumé.total_objects	numérique		1
résumé.total_objects_successful	numérique		1

Attendez le nombre spécifié de secondes

Type: enquêter
Lire uniquement: vrai

PARAMÈTRE	REQUIS	DESCRIPTION	TAPER	CONTIENT
Sleep_seconds	requis	Dormez pendant cette plusieurs secondes	numérique

Chemin de données	TAPER	CONTIENT	Exemples de valeurs
action_result.status	chaîne		Le succès a échoué
action_result.paramètre.sleep_seconds	numérique		15
action_result.data	chaîne
action_result.summary	chaîne
action_result.message	chaîne		Dormi pendant 15 secondes
résumé.total_objects	numérique		1
résumé.total_objects_successful	numérique		1