phantom

Penerbit: Splunk
Versi Konektor: 3.7.1
Vendor Produk: Phantom
Nama Produk: Phantom
Versi Produk Didukung (Regex): ".*"
Versi Produk Minimum: 6.2.1

Aplikasi ini memperlihatkan berbagai API hantu sebagai tindakan

Parameter konfigurasi auth_token untuk digunakan dengan instance phantom. Jika token dan nama pengguna/kata sandi diberikan, nama pengguna dan kata sandi akan digunakan untuk mengotentikasi ke instance phantom.

Perhatikan bahwa IP (atau nama) yang digunakan harus cocok dengan IP yang diizinkan dalam konfigurasi aset REST instance dari jarak jauh.

Jika parameter konfigurasi phantom_server diatur ke instance phantom saat ini, yaitu, server hantu yang melaluinya aplikasi digunakan, maka verifikasi_certificate harus diatur ke false dalam konfigurasi aset.

Untuk informasi tentang cara mendapatkan token otorisasi, lihat menyediakan token otorisasi dalam dokumentasi tinjauan hantu REST.

Jika nilai yang disediakan dalam parameter konfigurasi phantom_server adalah 0.0.0.0 maka konektivitas uji berhasil berlalu dan tindakan akan berjalan pada instance Phantom saat ini, yaitu, server yang melaluinya aplikasi digunakan.

Lihat KB Artikel 7 dan KB Pasal 16 tentang cara membuat dan memverifikasi sertifikat HTTPS yang valid untuk instance Phantom Anda.

Untuk alasan keamanan, mengakses 127.0.0.1 tidak diizinkan.

Untuk instance NRI, parameter konfigurasi IP/hostname perangkat perlu menentukan nomor port juga. (Mis. Xxxx: 9999)

• Parameter tindakan yang ada telah dimodifikasi dalam tindakan yang diberikan di bawah ini. Oleh karena itu, diminta ke pengguna akhir untuk memperbarui buku pedoman yang ada dengan memasukkan kembali blok tindakan yang sesuai atau dengan memberikan nilai yang sesuai untuk parameter tindakan ini untuk memastikan fungsi yang benar dari buku pedoman yang dibuat pada versi aplikasi sebelumnya.

  • Daftar Perbarui - Parameter Row_Values_AS_LIST , telah diubah dari nilai -nilai baru yang dipisahkan koma ke daftar nilai baru yang diformat oleh JSON. Ini akan memungkinkan pengguna untuk memberikan nilai yang berisi karakter koma (','). Contoh untuk hal yang sama telah diperbarui dalam nilai contoh.

  • Tambahkan Artefak - Parameter berisi , dapat mengambil string (atau daftar string yang dipisahkan koma) atau kamus JSON, dengan kunci yang cocok dengan kunci CEF_DICTIONARY dan nilai -nilai yang dimungkinkan oleh daftar kemungkinan untuk bidang CEF. Dalam hal, parameter berisi adalah string (atau daftar string yang dipisahkan koma), nilai yang disediakan akan memetakan ke parameter CEF_NAME .
    Output datapaths, action_result.summary.artifact id dan action_result.summary.container id telah diganti dengan action_result.summary.artifact_id dan action_result.summary.container_id , masing -masing.

  • Temukan Artefak - The Action_result.summary.artifacts Ditemukan Datapath telah diganti dengan action_result.summary.artifacts_found.

  • Temukan ListItem - Action_result.summary.found cocok dengan Datapath telah diganti dengan action_result.summary.found_matches.

  • Perbarui Tag Artefak - Datapath output berikut telah ditambahkan:

    • action_result.summary.tags_added
    • action_result.summary.tags_already_absent
    • action_result.summary.tags_already_present
    • action_result.summary.tags_removed

  • Perbarui Artefak - Parameter tindakan dari tindakan ini telah dimodifikasi. Harap perbarui buku pedoman Anda yang ada sesuai dengan parameter baru. Di bawah ini adalah daftar parameter yang ditambahkan:

    • Nama: Nama Artefak (selalu ditimpa, jika disediakan)
    • Label: label artefak (selalu ditimpa, jika disediakan)
    • Keparahan: Severity Artefak (selalu ditimpa, jika disediakan)
    • cef_types_json: format json dari tipe CEF (misalnya, {'miip': ['ip', 'ipv6']})
    • Tag: daftar tag yang dipisahkan koma untuk ditambahkan atau diganti dalam artefak
    • Timpa: Timpa artefak dengan input yang disediakan (berlaku untuk: cef_json, contains_json, tag)
    • Artifact_json: Format JSON dari seluruh artefak (selalu menimpa kunci yang disediakan)

    Untuk perincian lebih lanjut, periksa bagian pembaruan artefak .

Aplikasi ini menggunakan protokol http/ https untuk berkomunikasi dengan server phantom. Di bawah ini adalah port default yang digunakan oleh Splunk Soar.

Nama Layanan	Protokol transportasi	PELABUHAN
http	TCP	80
https	TCP	443

• Tindakan Find ListItem tidak dapat mengambil daftar, di mana nama daftar berisi karakter forward slash ('/').
• Tindakan Add ListItem tidak dapat memperbarui daftar, di mana nama daftar berisi karakter slash ('/') yang maju.
• Tindakan artefak Find tidak berfungsi sesuai harapan, untuk kasus di mana kita memiliki karakter backslash ('') dalam cef_value. Ini terjadi untuk pertandingan yang tepat dan non-ekstasi.
• Tindakan artefak Find tidak dapat mengambil artefak, di mana nilai CEF berisi karakter unicode, pada hantu versi 4.8.23319. Tindakan ini berfungsi dengan baik pada Phantom versi 4.5.15922.

Variabel konfigurasi di bawah ini diperlukan untuk konektor ini untuk beroperasi. Variabel -variabel ini ditentukan saat mengkonfigurasi aset hantu di Soar.

Variabel	DIPERLUKAN	JENIS	KETERANGAN
phantom_server	diperlukan	rangkaian	Phantom IP atau hostname (mis. 10.1.1.10 atau valid_phantom_hostname)
auth_token	opsional	kata sandi	Token Phantom Auth
nama belakang	opsional	rangkaian	Nama pengguna (untuk HTTP Basic Auth)
kata sandi	opsional	kata sandi	Kata sandi (untuk HTTP Basic Auth)
verifikasi_certificate	opsional	Boolean	Verifikasi sertifikat https (default: false)
deflate_item_extensions	opsional	rangkaian	Hanya file dengan ekstensi yang ditentukan (dipisahkan koma) yang akan dikempiskan. Jika kosong, ekstensi file tidak akan diperiksa

Tes Konektivitas - Validasi Konfigurasi Aset untuk Konektivitas
Perbarui Artefak - Perbarui atau menimpa artefak hantu dengan input yang disediakan
Tambahkan Catatan - Tambahkan catatan ke wadah
Perbarui Tag Artefak - Tambah/Hapus tag dari artefak
Temukan Artefak - Temukan Artefak yang Berisi Nilai CEF
Tambah ListItem - Tambah Nilai ke Daftar Kustom
Temukan ListItem - Temukan Nilai dalam Daftar Kustom
Tambahkan artefak - tambahkan artefak baru ke dalam wadah
Lempeng Item - Menguraikan item dari lemari besi
Ekspor Container - Ekspor Wadah Lokal ke Aset Phantom yang Dikonfigurasi
Impor Container - Impor wadah dari instance phantom eksternal
Buat wadah - Buat wadah baru pada instance Phantom
Dapatkan hasil tindakan - temukan hasil dari tindakan yang dijalankan sebelumnya
Perbarui Daftar - Perbarui daftar
tidak ada op - tunggu jumlah detik yang ditentukan

Validasi konfigurasi aset untuk konektivitas

Jenis: Tes
Baca saja: Benar

Tidak ada parameter yang diperlukan untuk tindakan ini

Tidak ada output

Perbarui atau menimpa artefak hantu dengan input yang disediakan

Jenis: Generik
Baca saja: Salah

Secara default, tindakan ini akan menambahkan atau memperbarui bidang -bidang ini: "cef_json", "cef_types_json", dan "tag", kecuali "ditimpa" diaktifkan. Dalam hal ini, parameter -parameter tersebut akan menggantikan keseluruhan versi saat ini dari apa yang dikandung artefak itu. Meskipun semua tidak diperlukan, agar tindakan dijalankan, setidaknya satu dari parameter opsional berikut perlu disediakan:

PARAMETER	CONTOH
nama	Nama Artefak
label	Artifact_label
kerasnya	tinggi
cef_json	{"KEY1": "Value1", "GoodDomain": "www.splunk.com", "Remove_Me": ""}
cef_types_json	{"GoodDomain": ["Domain"]}
tag	TAG1, TAG3 atau ["TAG2", "TAG4"]
Artifact_json	{"Source_Data_Identifier": "myTicket1234", "label": "new_label"}

Artefak JSON harus digunakan untuk aspek yang lebih canggih dari artefak hantu. Lihat dokumen API Phantom Rest, khususnya tentang artefak.

PARAMETER	DIPERLUKAN	KETERANGAN	JENIS	Berisi
Artifact_id	diperlukan	ID artefak untuk memperbarui	rangkaian	phantom artifact id
nama	opsional	Nama artefak (selalu ditimpa, jika disediakan)	rangkaian
label	opsional	Label artefak (selalu ditimpa, jika disediakan)	rangkaian
kerasnya	opsional	Keparahan artefak (selalu ditimpa, jika disediakan)	rangkaian
cef_json	opsional	Format JSON dari bidang CEF yang Anda inginkan dalam artefak	rangkaian
cef_types_json	opsional	Format JSON dari tipe CEF (misalnya, {'myip': ['ip', 'ipv6']})	rangkaian
tag	opsional	Daftar tag yang dipisahkan koma untuk ditambahkan atau diganti dalam artefak	rangkaian
timpa	opsional	Timpa artefak dengan input yang disediakan (berlaku untuk: cef_json, contains_json, tag)	Boolean
Artifact_json	opsional	Format JSON dari seluruh artefak (selalu menimpa kunci yang disediakan)	rangkaian

Jalur data	JENIS	Berisi	Nilai contoh
action_result.status	rangkaian		Sukses gagal
action_result.parameter.artifact_id	rangkaian	phantom artifact id	2388
action_result.parameter.artifact_json	rangkaian		{"Severity": "High", "Label": "Test Label", "Description": "Artifact Ditambahkan oleh saya", "Source_Data_Identifier": "my_custom_sdi"}
action_result.parameter.cef_json	rangkaian		{"new_field": "new_value", "deleted_field": ""}
action_result.parameter.cef_types_json	rangkaian		{"new_field": ["new contains"]}
action_result.parameter.label	rangkaian		label uji
action_result.parameter.name	rangkaian		Nama baru
action_result.parameter.overwrite	Boolean		Benar salah
action_result.parameter.severity	rangkaian		tinggi
action_result.parameter.tags	rangkaian		["tag2"]
Action_result.data.*. permintaan_artifact.cef.deleted_field	rangkaian
Action_result.data.*. Ditanya_artifact.cef.new_field	rangkaian		new_value
Action_result.data.*. Ditanya_artifact.cef.test	rangkaian		fff
Action_result.data.*. Ditanya_artifact.cef_types.new_field	rangkaian		Berisi baru
Action_result.data.*. Ditanya_artifact.description	rangkaian		Artefak ditambahkan oleh saya
Action_result.data.*. Dituntut_artifact.label	rangkaian		label uji
Action_result.data.*. Ditanya_artifact.name	rangkaian		Nama baru
Action_result.data.*. permintaan_artifact.severity	rangkaian		tinggi
Action_result.data.*. Ditanya_ARTIFACT.SOURCE_DATA_IdENtifier	rangkaian		my_custom_sdi
Action_result.data.*. Dituntut_artifact.tags	rangkaian		tag2
action_result.data.*. Response.id	numerik		2388
action_result.data.*. Response.success	Boolean		Benar salah
action_result.summary	rangkaian
action_result.message	rangkaian		Artifact berhasil diperbarui.
ringkasan.total_objects	numerik		1
ringkasan.total_objects_successful	numerik		1

Tambahkan catatan ke wadah

Jenis: Generik
Baca saja: Salah

Jika parameter container_id dibiarkan kosong, maka itu akan diinisialisasi ke ID wadah saat ini (dari mana tindakan sedang dijalankan) dan status akan tercermin sesuai. Jika wadah adalah casing, parameter fase_id dapat disediakan untuk mengaitkan catatan ke fase tertentu.

PARAMETER	DIPERLUKAN	KETERANGAN	JENIS	Berisi
judul	diperlukan	Judul untuk catatan tersebut	rangkaian
isi	opsional	CATATAN Konten	rangkaian
container_id	opsional	ID kontainer (default ke wadah saat ini)	numerik	phantom container id
fase_id	opsional	Fase catatan akan dikaitkan	rangkaian

Jalur data	JENIS	Berisi	Nilai contoh
action_result.status	rangkaian		Sukses gagal
action_result.parameter.container_id	numerik	phantom container id	35
action_result.parameter.content	rangkaian		Menambahkan catatan melalui tindakan aplikasi
action_result.parameter.phase_id	rangkaian
action_result.parameter.title	rangkaian		Catatan tes
action_result.data	rangkaian
action_result.summary	rangkaian
action_result.message	rangkaian		Catatan dibuat
ringkasan.total_objects	numerik		1
ringkasan.total_objects_successful	numerik		1

Tambah/Hapus Tag dari Artefak

Jenis: Generik
Baca saja: Salah

PARAMETER	DIPERLUKAN	KETERANGAN	JENIS	Berisi
Artifact_id	diperlukan	ID artefak	rangkaian	phantom artifact id
add_tags	opsional	Daftar tag yang dipisahkan koma untuk ditambahkan ke artefak	rangkaian
lepaskan_tags	opsional	Daftar tag yang dipisahkan koma untuk dihapus dari artefak	rangkaian

Jalur data	JENIS	Berisi	Nilai contoh
action_result.status	rangkaian		Sukses gagal
action_result.parameter.add_tags	rangkaian		TAG1, TAG3
action_result.parameter.artifact_id	rangkaian	phantom artifact id	94
action_result.parameter.remove_tags	rangkaian		TAG2, TAG4
action_result.data	rangkaian
action_result.summary.tags_added	rangkaian		tag1
action_result.summary.tags_already_absent	rangkaian		TAG4
action_result.summary.tags_already_present	rangkaian		TAG3
action_result.summary.tags_removed	rangkaian		tag2
action_result.message	rangkaian		Tag ditambahkan: tag1, tag dihapus: tag2, tag sudah ada: tag3, tag sudah tidak ada: tag4
ringkasan.total_objects	numerik		1
ringkasan.total_objects_successful	numerik		1

Temukan artefak yang berisi nilai CEF

Jenis: Selidiki
Baca saja: Benar

Jika parameter Limit_Search diatur ke True, maka tindakan tersebut akan mencari artefak yang diperlukan hanya dalam container_ids yang disediakan. Kalau tidak, parameter Container_ids akan diabaikan.

Jika nilai non-integer disediakan dalam parameter Container_ids , maka semua nilai non-integer akan dihapus dan parameter akan diperbarui sesuai. Jika nilai parameter container_ids saat ini , maka itu akan digantikan oleh ID wadah saat ini (dari mana tindakan sedang dijalankan) dan status akan tercermin sesuai.

Jika parameter Exact_Match diatur ke false, maka tindakan akan mengembalikan semua artefak yang parameter nilai -nilai tersebut merupakan substring dari salah satu nilai CEF -nya. Kalau tidak, ia akan mengembalikan artefak yang mana salah satu dari nilai CEF -nya cocok persis dengan parameter nilai .

Untuk nilai -nilai tipe integer, float atau string, disarankan untuk mengatur parameter exact_match ke false.

Secara default, 10 artefak dikembalikan. Jika Anda ingin mengembalikan lebih dari 10 artefak, perbarui parameter Max_Results .

PARAMETER	DIPERLUKAN	KETERANGAN	JENIS	Berisi
cef_key	opsional	Kunci dari dikt CEF Anda bertanya: bertindak, aplikasi, applicationprotocol, baseeventcount, bytesin, dll. Ini akan mencari seluruh kamus CEF jika kosong	rangkaian
nilai	diperlukan	Temukan nilai ini dalam artefak	rangkaian	*
Exact_match	opsional	Pertandingan persis (default: true)	Boolean
Limit_search	opsional	Batasi pencarian ke wadah yang ditentukan (default: false)	Boolean
container_ids	opsional	Daftar ruang atau koma ID kontainer terpisah. Kata "saat ini" akan digantikan oleh ID kontainer saat ini	rangkaian
MAX_RESULTS	opsional	Jumlah maksimum artefak untuk kembali	numerik

Jalur data	JENIS	Berisi	Nilai contoh
action_result.status	rangkaian		Sukses gagal
action_result.parameter.cef_key	rangkaian		ACT Application ApplicationProtocol
action_result.parameter.container_ids	rangkaian		saat ini
action_result.parameter.exact_match	Boolean		Benar salah
action_result.parameter.limit_search	Boolean		Benar salah
Action_result.parameter.values	rangkaian	*	test_value
action_result.data.*. Container	numerik		1234
action_result.data.*. container_name	rangkaian		phantom_test
action_result.data.*. Ditemukan di	rangkaian		test_key
action_result.data.*. Id	numerik		12345
action_result.data.*. Cocok	rangkaian		test_value
action_result.data.*. Nama	rangkaian		Artifact_demo
action_result.summary.artifacts_found	numerik		1
action_result.summary.server	rangkaian		https://10.1.1.10
action_result.message	rangkaian		Artefak Ditemukan: 1, Server: https://10.1.1.10
ringkasan.total_objects	numerik		1
ringkasan.total_objects_successful	numerik		1
action_result.parameter.max_results	numerik		2

Tambahkan Nilai ke Daftar Kustom

Jenis: Generik
Baca saja: Salah

Untuk menambahkan baris yang berisi nilai tunggal ke daftar cukup lulus nilainya. Namun, untuk melewati beberapa nilai dalam satu baris, format seperti array JSON (misalnya ["item1", "item2", "item3"]).

Tindakan akan memperbarui daftar , jika daftar sudah ada (bahkan jika parameter Buat diatur ke True).

Setelah membuat atau memperbarui daftar melalui tindakan ini, jika daftar yang sama diperbarui dari UI, maka pengguna perlu menyimpan perubahan tersebut sebelum memperbarui daftar melalui tindakan ini lagi, jika tidak, perubahan yang dibuat dari UI akan diganti.

PARAMETER	DIPERLUKAN	KETERANGAN	JENIS	Berisi
daftar	diperlukan	Nama atau ID Daftar Kustom	rangkaian
new_row	diperlukan	Baris Baru (Daftar String atau JSON)	rangkaian	*
membuat	opsional	Buat daftar jika tidak ada (default: false)	Boolean

Jalur data	JENIS	Berisi	Nilai contoh
action_result.status	rangkaian		Sukses gagal
action_result.parameter.create	Boolean		Benar salah
action_result.parameter.list	rangkaian		demo_list
action_result.parameter.new_row	rangkaian	*	["value1", "value2", "value3"]
action_result.data.*. Gagal	Boolean
action_result.data.*. Sukses	Boolean		Benar salah
action_result.summary.server	rangkaian	url	https://10.1.1.10
action_result.message	rangkaian		Server: https://10.1.1.10
ringkasan.total_objects	numerik		1
ringkasan.total_objects_successful	numerik		1

Temukan nilai dalam daftar khusus

Jenis: Selidiki
Baca saja: Benar

Koordinat baris dan kolom untuk setiap nilai pencocokan dapat ditemukan dalam ringkasan hasil di bawah "lokasi". Pertandingannya peka huruf besar -kecil.

Jika parameter Exact_Match diatur ke false, maka tindakan akan mengembalikan semua string yang parameter nilai adalah substringnya. Kalau tidak, ia akan mengembalikan string yang cocok dengan parameter nilai .

PARAMETER	DIPERLUKAN	KETERANGAN	JENIS	Berisi
daftar	diperlukan	Nama atau ID Daftar Kustom	rangkaian
kolom_index	opsional	Cari Nomor Kolom (berbasis 0)	numerik
nilai	diperlukan	Nilai untuk dicari	rangkaian	*
Exact_match	opsional	Pertandingan persis (default: true)	Boolean

Jalur data	JENIS	Berisi	Nilai contoh
action_result.status	rangkaian		Sukses gagal
action_result.parameter.column_index	numerik
action_result.parameter.exact_match	Boolean		Benar salah
action_result.parameter.list	rangkaian		List_demo
Action_result.parameter.values	rangkaian	*	nilai1
action_result.data	rangkaian
action_result.data.*	rangkaian
action_result.summary.found_matches	numerik		1
action_result.summary.list_id	numerik		18
action_result.summary.locations	numerik
action_result.summary.locations.*	numerik
action_result.summary.server	rangkaian	url	https://10.1.1.10
action_result.message	rangkaian		Server: https://10.1.1.10, ditemukan kecocokan: 1, lokasi: [(1, 0)], daftar ID: 18
ringkasan.total_objects	numerik		1
ringkasan.total_objects_successful	numerik		1

Tambahkan artefak baru ke wadah

Jenis: Generik
Baca saja: Salah

Jika parameter container_id dibiarkan kosong, maka itu akan diinisialisasi ke ID wadah saat ini (dari mana tindakan sedang dijalankan) dan status akan tercermin sesuai.

Bidang CEF dapat ditambahkan ke artefak dalam dua cara, baik dengan menggunakan parameter CEF_NAME dan CEF_VALUE atau dengan menggunakan parameter CEF_Dictionary . Jika parameter cef_name , cef_value , dan cef_dictionary semuanya disertakan, tindakan akan menambahkan bidang CEF_NAME ke CEF_DICTIONARY .

Hanya menggunakan parameter CEF_NAME dan CEF_VALUE akan menghasilkan artefak yang memiliki satu bidang CEF.

Parameter CEF_Dictionary mengambil kamus JSON dengan pasangan nilai kunci yang mewakili pasangan nilai kunci CEF. Untuk memberikan nilai yang mengandung tanda kutip ganda ("), tambahkan backslash () sebelum kutipan ganda.
Sebagai misalnya, {"X-universally-unik-identifikasi": "test", "tipe konten": "multipart/alternatif; batas = " apple-mail = _0da95d7e-b791-4751-8043-1759490888a2c " >"> " , "Pesan-id": "[email protected]"}

Parameter yang berisi dapat mengambil kamus JSON, dengan kunci yang cocok dengan kunci CEF_DICTIONARY dan nilai -nilai yang dimasukkan ke bidang CEF. Jika nilai yang diberikan dalam CEF_Dictionary tidak ada dalam kamus Contains , tindakan tersebut pertama -tama akan memeriksa daftar bidang CEF default. Jika bukan bidang CEF default, maka tindakan akan berusaha mengidentifikasi nilai yang sesuai untuk berisi.
Parameter yang berisi juga dapat mengambil string (atau daftar string yang dipisahkan koma) yang mewakili berisi untuk parameter CEF_VALUE . Metode ini harus digunakan hanya jika parameter CEF_NAME dan CEF_VALUE digunakan.

Jika parameter run_automation diatur ke true maka buku pedoman aktif akan berjalan secara otomatis setelah artefak ditambahkan. Buku pedoman aktif akan berjalan pada wadah yang sama di mana artefak ditambahkan.

Lihat dokumentasi API REST untuk informasi lebih lanjut tentang artefak, bidang CEF, dan berisi.

PARAMETER	DIPERLUKAN	KETERANGAN	JENIS	Berisi
nama	opsional	Nama artefak baru	rangkaian
container_id	opsional	ID Kontainer Numerik untuk artefak baru	numerik	phantom container id
label	opsional	Label artefak (default: acara)	rangkaian
source_data_Identifier	diperlukan	Sumber Data Idenitifier	rangkaian
cef_name	opsional	Nama CEF	rangkaian
CEF_VALUE	opsional	Nilai	rangkaian	*
cef_dictionary	opsional	CEF JSON	rangkaian
berisi	opsional	Jenis data untuk setiap bidang CEF	rangkaian
run_automation	opsional	Jalankan otomatisasi pada artefak yang baru dibuat (default: false)	Boolean
tentukan_contains	opsional	Tentukan berisi untuk bidang CEF apa pun tanpa nilai yang disediakan (default: true)	Boolean

Jalur data	JENIS	Berisi	Nilai contoh
action_result.status	rangkaian		Sukses gagal
action_result.parameter.cef_dictionary	rangkaian		{"test_key": "test_value"}
action_result.parameter.cef_name	rangkaian
action_result.parameter.cef_value	rangkaian	*
action_result.parameter.container_id	numerik	phantom container id	1234
action_result.parameter.contains	rangkaian		domain
action_result.parameter.label	rangkaian		peristiwa
action_result.parameter.name	rangkaian		Artifact_demo
action_result.parameter.run_automation	rangkaian		Benar salah
Action_result.parameter.source_data_Identifier	rangkaian
action_result.parameter.determine_contains	Boolean
action_result.data.*. Extent_artifact_id	numerik
action_result.data.*. Gagal	Boolean
action_result.data.*. Id	numerik		123
action_result.data.*. Sukses	Boolean		Benar salah
action_result.summary.artifact_id	numerik		12345
action_result.summary.container_id	numerik		1234
action_result.summary.server	rangkaian	url	https://10.1.1.10
action_result.message	rangkaian		ID Artefak: 12345, ID Kontainer: 1234, Server: https://10.1.1.10
ringkasan.total_objects	numerik		1
ringkasan.total_objects_successful	numerik		1

Mengempiskan item dari lemari besi

Jenis: Generik
Baca saja: Salah

Tindakan akan didukung hanya jika parameter phantom_server (dalam konfigurasi aset) dikonfigurasi ke instance phantom lokal, yaitu, contoh dari mana tindakan sedang dijalankan.

Tindakan mendeteksi jika item input vault adalah file terkompresi dan mengempiskannya. Setiap file yang ditemukan setelah deflasi kemudian ditambahkan ke lemari besi. Jika container_id ditentukan akan menambah lemari besi, selain itu ke arus (wadah yang konteksnya tindakan dieksekusi). Tindakan ini mendukung jenis file ZIP , GZIP , BZ2 , TAR , dan TGZ . Dalam kasus di mana file terkompresi berisi file terkompresi lain di dalamnya, atur parameter rekursif ke true untuk mengempiskan file terkompresi dalam.

Jika rekursi diaktifkan dan kata sandi ditentukan, aplikasi akan menggunakan kata sandi hanya untuk file zip yang diberikan. File zip bagian dalam akan diekstraksi hanya jika file tidak dilindungi kata sandi. Di antara metode kompresi yang berbeda, hanya ZIP yang mendukung fungsionalitas perlindungan kata sandi.

Untuk karakter unicode tertentu, nama file tidak unit seperti itu, oleh modul zipfile.

PARAMETER	DIPERLUKAN	KETERANGAN	JENIS	Berisi
vault_id	diperlukan	ID Vault	rangkaian	sha1 vault id
container_id	opsional	ID Kontainer Tujuan	numerik	phantom container id
kata sandi	opsional	Kata Sandi untuk File	rangkaian
rekursif	opsional	Ekstrak secara rekursif (default: false)	Boolean

Jalur data	JENIS	Berisi	Nilai contoh
action_result.status	rangkaian		Sukses gagal
action_result.parameter.container_id	numerik	phantom container id	3
action_result.parameter.password	rangkaian		P@$$ w0rd
action_result.parameter.recursive	Boolean		Benar salah
action_result.parameter.vault_id	rangkaian	sha1 vault id	F582ED9120FA3BE94852C73E1CD188F2948F677F
action_result.data.*. alias.*	rangkaian		test.txt
action_result.data.*. Container	rangkaian		phantom_test
action_result.data.*. Container_id	numerik	phantom container id	1234
action_result.data.*. berisi.*	rangkaian		ID Vault
action_result.data.*. Create_time	rangkaian		0 menit yang lalu
action_result.data.*. Create_via	rangkaian		otomatisasi
action_result.data.*. Hash	rangkaian	sha1	0A0E6C7AB7F77D058EFD444279B81C4C6A9CF4CE
action_result.data.*. Id	numerik		12
action_result.data.*. Metadata.contains	rangkaian		ID Vault
action_result.data.*. Metadata.md5	rangkaian	md5	0DB33A0790B6D6D5C2E4425646EEEE7FC
action_result.data.*. Metadata.sha1	rangkaian	sha1	fece6c7ab7f77d058efd444279b81c4c6a9cf4ce
action_result.data.*. Metadata.sha256	rangkaian	sha256	4F2155212CB0F74207BD0E4FD5ECAE548EE2BAE1D2DCD36C1D0BA0B6254BD4A1
action_result.data.*. Metadata.size	numerik		33
action_result.data.*. mime_type	rangkaian		teks/polos
action_result.data.*. Nama	rangkaian		tes tgz
Action_result.data.*	rangkaian
Action_result.data.*	numerik		10240
Action_result.data.*. Tugas	rangkaian
Action_result.data.*. Pengguna	rangkaian
action_result.data.*. Vault_document	numerik
action_result.data.*. Vault_id	rangkaian	sha1 vault id	B90E6C7AB7F77D058EFD444279B81C4C6A9CF4CE
action_result.summary.total_vault_items	numerik		9
action_result.message	rangkaian		Total Item Vault: 9
ringkasan.total_objects	numerik		1
ringkasan.total_objects_successful	numerik		1

Ekspor wadah lokal ke aset hantu yang dikonfigurasi

Jenis: Generik
Baca saja: Salah

Tindakan ini mengekspor wadah (yang cocok dengan container_id ) dari instance phantom lokal (contoh dari tempat tindakan sedang dijalankan) ke aset hantu yang dikonfigurasi (bahwa tindakan sedang dieksekusi).

Tindakan akan gagal dengan pesan kesalahan seperti instance keparahan dengan nama u'critik 'tidak ada , jika metadata wadah pada instance phantom lokal dan aset hantu yang dikonfigurasi tidak cocok.

Atur parameter Keep_owner ke true jika Anda ingin pemilik wadah pada instance phantom yang dikonfigurasi untuk mencocokkan pemilik pada instance lokal. Perhatikan bahwa ini akan didasarkan pada ID pemilik, bukan nama pemilik.

PARAMETER	DIPERLUKAN	KETERANGAN	JENIS	Berisi
container_id	diperlukan	ID Kontainer untuk Disalin	numerik	phantom container id
Keep_owner	opsional	Jaga pemilik	Boolean
label	opsional	Label untuk memberi nama wadah ekspor. Jika kosong, wadah ekspor akan memiliki nama yang sama dengan wadah lokal	rangkaian
run_automation	opsional	Jalankan buku pedoman aktif	Boolean

Jalur data	JENIS	Berisi	Nilai contoh
action_result.status	rangkaian		Sukses gagal
action_result.parameter.container_id	numerik	phantom container id	3
action_result.parameter.keep_owner	Boolean		Benar salah
action_result.parameter.label	rangkaian		Acara
action_result.parameter.run_automation	Boolean		Benar salah
action_result.data	rangkaian
action_result.summary.artifact_count	numerik		268
action_result.summary.container_id	numerik	phantom container id	94
action_result.message	rangkaian		ID Kontainer: 94, Hitung Artefak: 268
ringkasan.total_objects	numerik		1
ringkasan.total_objects_successful	numerik		1

Impor wadah dari instance phantom eksternal

Jenis: Generik
Baca saja: Salah

Tindakan ini mengimpor sebuah wadah (yang cocok dengan container_id ) dari aset hantu yang dikonfigurasi (bahwa tindakan sedang dieksekusi) ke dalam instance phantom lokal (contoh dari tempat tindakan sedang dijalankan).

Tindakan akan gagal dengan pesan kesalahan seperti instance keparahan dengan nama u'critik 'tidak ada , jika metadata wadah pada aset hantu yang dikonfigurasi dan instance phantom lokal tidak cocok.

Atur parameter Keep_owner ke true jika Anda ingin pemilik wadah pada instance phantom lokal untuk mencocokkan pemilik pada instance yang dikonfigurasi. Perhatikan bahwa ini akan didasarkan pada ID pemilik, bukan nama pemilik.

PARAMETER	DIPERLUKAN	KETERANGAN	JENIS	Berisi
container_id	diperlukan	ID Kontainer untuk Disalin	numerik	phantom container id
Keep_owner	opsional	Jaga pemilik	Boolean

Jalur data	JENIS	Berisi	Nilai contoh
action_result.status	rangkaian		Sukses gagal
action_result.parameter.container_id	rangkaian	phantom container id	3
action_result.parameter.keep_owner	Boolean		Benar salah
action_result.data	rangkaian
action_result.summary.artifact_count	numerik		268
action_result.summary.container_id	numerik	phantom container id	94
action_result.message	rangkaian		ID Kontainer: 94, Hitung Artefak: 268
ringkasan.total_objects	numerik		1
ringkasan.total_objects_successful	numerik		1

Buat wadah baru pada instance Phantom

Jenis: Generik
Baca saja: Salah

Tindakan ini membuat wadah baru di server phantom, yang dikonfigurasi dalam parameter aset phantom_server . Parameter container_json harus menjadi string JSON. Adalah wajib untuk memberikan kunci label dalam parameter Container_Json . Tindakan akan gagal jika container_json memiliki label yang tidak ada pada aset hantu tujuan.
Misalnya, {"name": "test container", "label": "Events"}

Container_artifacts adalah parameter opsional yang perlu menjadi daftar objek artefak sebagai string JSON. Setiap objek Artefak JSON harus berisi tombol -tombol berikut: CEF, CEF_TYPES, Data, Deskripsi, end_time, ingest_app_id, kill_chain, label, nama, pemilik_id, keparahan, sumber_data_identifier, start_time, tag, ketik . Semua kunci lainnya akan diabaikan.
Misalnya, [{"name": "artefact 1", "label": "label1", "cef": {"test": "123"}}, {"name": "Artifact 2", "Label": "label2", "cef": {"test": "456"}}]

Lihat Dokumentasi Splunk Phantom untuk perincian lebih lanjut.

PARAMETER	DIPERLUKAN	KETERANGAN	JENIS	Berisi
container_json	diperlukan	Objek wadah json	rangkaian
container_artifacts	opsional	Daftar objek JSON artefak	rangkaian

Jalur data	JENIS	Berisi	Nilai contoh
action_result.status	rangkaian		Sukses gagal
action_result.parameter.container_artifacts	rangkaian		[{"name": "Nama ramah manusia untuk Artifact (1)", "Label": "Event", "Source_Data_Identifier": 1}, {"name": "Nama ramah manusia untuk Artifact (2)", "Label": "Event", "Source_Data_Identifier": 2}, {"name": "Nama ramah manusia untuk Artifact (3)", "Label": "Event", "Source_Data_Identifier": 3}]
action_result.parameter.container_json	rangkaian		{"Severity": "Medium", "Label": "Events", "Versi": 1, "Asset": 7, "Status": "Baru", "Deskripsi": "Wadah Baru dari Phantom Helper", " tag ": []," data ": {}," name ":" Ini adalah wadah "}
action_result.data	rangkaian
action_result.summary.artifact_count	numerik		3
action_result.summary.container_id	numerik	phantom container id
action_result.summary.failed_artifact_count	numerik		7
action_result.message	rangkaian		ID Kontainer: 82, Hitung Artefak: 3
ringkasan.total_objects	numerik		1
ringkasan.total_objects_successful	numerik		1

Temukan hasil aksi yang dijalankan sebelumnya

Jenis: Selidiki
Baca saja: Benar

Tindakan ini mengembalikan hasil terbaru dari Action_Name yang diberikan diluncurkan dengan parameter yang diberikan dalam Time_Limit yang diberikan.

Tindakan akan membatasi jumlah hasil yang dikembalikan ke nilai dalam max_results . Secara default, batasnya 10. Untuk mendapatkan semua hasil, atur parameter max_result ke 0.

Parameter parameter mengambil string JSON dalam format:

 {
 "parameter_name1": "parameter_value1"
 "parameter_name2": "parameter_value2"
 ...
 }

Parameter aplikasi mengambil nama aplikasi, dan jika disertakan, tindakan hanya akan mencari hasil tindakan dari aplikasi itu. Demikian pula, parameter aset mengambil nama aset, dan jika dimasukkan, tindakan hanya akan mencari hasil tindakan dari aset itu.

PARAMETER	DIPERLUKAN	KETERANGAN	JENIS	Berisi
action_name	diperlukan	Nama tindakan	rangkaian
parameter	opsional	JSON String of Action Parameter	rangkaian
aplikasi	opsional	Nama Aplikasi	rangkaian
aset	opsional	Nama aset	rangkaian
TIME_LIMIT	opsional	Jumlah jam untuk mencari kembali	numerik
MAX_RESULTS	opsional	Jumlah maksimum hasil tindakan untuk dikembalikan	numerik

Jalur data	JENIS	Berisi	Nilai contoh
action_result.status	rangkaian		Sukses gagal
action_result.parameter.action_name	rangkaian		IP Blacklist
action_result.parameter.app	rangkaian		Hantu
action_result.parameter.asset	rangkaian		test_phantom
action_result.parameter.max_results	numerik		5
action_result.parameter.parameters	rangkaian		{"ip": "1.8.9.0"}
action_result.parameter.time_limit	numerik		24
action_result.data.*. Action	rangkaian		IP Blacklist
action_result.data.*. Action_run	numerik		2724
Action_result.data.*. Aplikasi	numerik		121
action_result.data.*. App_name	rangkaian		Hantu
action_result.data.*. App_version	rangkaian		1.0.0
action_result.data.*. Asset	numerik		137
action_result.data.*. Container	numerik		1154
action_result.data.*. Efektif_user	rangkaian
action_result.data.*. end_time	rangkaian		2017-11-06t20: 30: 27.991000z
action_result.data.*. Exception_occured	Boolean		Benar salah
action_result.data.*. Extra_data	rangkaian
action_result.data.*. Id	numerik		2761
Action_result.data.*	rangkaian		IP daftar hitam yang berhasil
action_result.data.*. Playbook_run	numerik		1056
Action_result.data.*. result_data.*. Data	numerik
Action_result.data.*. result_data.*. Pesan	rangkaian		IP daftar hitam berhasil
Action_result.data.*. Parameter result_data.*	rangkaian
Action_result.data.*. result_data.*. Parameter.context.artifact_id	numerik		0
Action_result.data.*. result_data.*. Parameter.context.guid	rangkaian		293D0369-4801-417D-A1AF-A73CF1200D3D
Action_result.data.*. result_data.*. Parameter.context.parent_action_run	rangkaian
Action_result.data.*. result_data.*. Status	rangkaian		kesuksesan
Action_result.data.*. result_data.*. Ringkasan	rangkaian
Action_result.data.*. RAZING_SUMMARY.TOTAL_OBJECTS	numerik		1
Action_result.data.*. RESHESS_SUMMARY.TOTAL_OBJECTS_SUCCESSFUL	numerik		1
action_result.data.*. Start_time	rangkaian		2017-11-06t20: 30: 04.879000z
Action_result.data.*. Status	rangkaian		Sukses gagal
Action_result.data.*Versi	numerik		1
action_result.summary.action_run_id	numerik		2761
action_result.summary.num_results	numerik
action_result.message	rangkaian		Action Run ID: 2761
ringkasan.total_objects	numerik		1
ringkasan.total_objects_successful	numerik		1

Perbarui daftar

Jenis: Generik
Baca saja: Salah

Entah diperlukan list_name atau ID. Jika keduanya, parameter List_Name dan ID disediakan dan keduanya menunjuk ke daftar yang berbeda, maka parameter List_Name akan lebih disukai dan tindakan akan memperbarui daftar yang ditentukan dalam parameter List_Name.

PARAMETER	DIPERLUKAN	KETERANGAN	JENIS	Berisi
list_name	opsional	Nama daftar	rangkaian
pengenal	opsional	ID Daftar	numerik
row_number	diperlukan	Nomor baris dalam daftar yang akan dimodifikasi	numerik
row_values_as_list	diperlukan	JSON Daftar nilai baru yang diformat untuk baris	rangkaian

Jalur data	JENIS	Berisi	Nilai contoh
action_result.status	rangkaian		Sukses gagal
action_result.parameter.id	numerik
action_result.parameter.list_name	rangkaian		Daftar pertama saya
action_result.parameter.row_number	numerik		0
action_result.parameter.row_values_as_list	rangkaian		["Ini", "adalah", "A", "tes"]
action_result.data.*. Sukses	Boolean		BENAR
action_result.summary	rangkaian
action_result.message	rangkaian
ringkasan.total_objects	numerik		1
ringkasan.total_objects_successful	numerik		1

Tunggu jumlah detik yang ditentukan

Jenis: Selidiki
Baca saja: Benar

PARAMETER	DIPERLUKAN	KETERANGAN	JENIS	Berisi
sleep_seconds	diperlukan	Tidur selama ini beberapa detik	numerik

Jalur data	JENIS	Berisi	Nilai contoh
action_result.status	rangkaian		Sukses gagal
action_result.parameter.sleep_seconds	numerik		15
action_result.data	rangkaian
action_result.summary	rangkaian
action_result.message	rangkaian		Tidur selama 15 detik
ringkasan.total_objects	numerik		1
ringkasan.total_objects_successful	numerik		1