phantom
3.7.0
出版社:Splunk
コネクタバージョン:3.7.1
製品ベンダー:ファントム
製品名:ファントム
製品バージョンサポート(Regex): "。*"
最小製品バージョン:6.2.1
このアプリは、アクションとしてさまざまなファントムAPIを公開します
Auth_Token Configパラメーターは、Phantomインスタンスで使用するためです。トークンとユーザー名/パスワードの両方が指定されている場合、ユーザー名とパスワードを使用して、Phantomインスタンスに認証されます。
使用されているIP(または名前)は、リモートPhantomインスタンスのRESTアセット構成の許可されたIPと一致する必要があることに注意してください。
Phantom_server構成パラメーターが現在のPhantomインスタンス、つまりアプリが使用されているPhantomサーバーに設定されている場合、Asset構成ではverify_certifificateをfalsに設定する必要があります。
承認トークンを取得する方法については、Phantom RESTの概要ドキュメントにおける承認トークンのプロビジョニングを参照してください。
phantom_server構成パラメーターで提供される値が0.0.0.0の場合、テスト接続は正常に通過し、アクションは現在のPhantomインスタンス、つまりアプリが使用されているサーバーで実行されます。
Phantomインスタンスの有効なHTTPS証明書を作成および検証する方法については、KB第7条およびKB第16条を参照してください。
セキュリティ上の理由から、127.0.0.1へのアクセスは許可されていません。
NRIインスタンスの場合、デバイスIP/ホスト名構成パラメーターもポート番号を指定する必要があります。 (例:xxxx:9999)
既存のアクションパラメーターは、以下のアクションで変更されています。したがって、対応するアクションブロックを再挿入するか、これらのアクションパラメーターに適切な値を提供して、アプリの以前のバージョンで作成されたプレイブックの正しい機能を確保することにより、既存のプレイブックを更新することがエンドユーザーに要求されます。
更新リスト-Row_Values_AS_LISTパラメーターは、コンマ分離された新しい値からJSONフォーマットされた新しい値のリストに変更されました。これにより、ユーザーはコンマ( '、')文字を含む値を提供できます。同じことの例は、例の値で更新されています。
ADD ARTIFACT -CONTINE PARAMETER、文字列(またはコンマ区切りの文字列のリスト)またはJSON Dictionaryを使用できます。CEF_Dictionaryのキーと一致するキーと、可能性のある値はCEFフィールドに含まれます。 contingパラメーターが文字列(またはcomma分離された文字列のリスト)である場合、提供された値はCEF_NAMEパラメーターにマッピングされます。
出力データパス、 action_result.summary.artifact id and action_result.summary.container idは、それぞれaction_result.artifact_idおよびaction_result.summary.container_idに置き換えられています。
artifacts -action_result.summary.artifacts datapathが見つかったことを見つけました。
listitem -action_result.summary.found matches datapathは、 action_result.summary.found_matchesに置き換えられました。
Artifactタグの更新 - 次の出力データパスが追加されました。
Artifactの更新 - このアクションのアクションパラメーターが変更されました。新しいパラメーターに従って既存のプレイブックを更新してください。以下は、追加されたパラメーターのリストです。
詳細については、更新アーティファクトセクションを確認してください。
このアプリは、Phantomサーバーと通信するためにHTTP/ HTTPSプロトコルを使用します。以下は、Splunk Soarが使用するデフォルトのポートです。
| サービス名 | 輸送プロトコル | ポート |
|---|---|---|
| http | TCP | 80 |
| https | TCP | 443 |
このコネクタが動作するには、以下の構成変数が必要です。これらの変数は、SOARでPhantomアセットを構成するときに指定されています。
| 変数 | 必須 | タイプ | 説明 |
|---|---|---|---|
| phantom_server | 必須 | 弦 | Phantom IPまたはHOSTNAME(例えば10.1.1.10またはvalid_phantom_hostname) |
| auth_token | オプション | パスワード | Phantom Authトークン |
| ユーザー名 | オプション | 弦 | ユーザー名(HTTP Basic Auth用) |
| パスワード | オプション | パスワード | パスワード(HTTP基本認証用) |
| verify_certificate | オプション | ブール | HTTPS証明書を確認する(デフォルト:false) |
| deflate_item_extensions | オプション | 弦 | 指定された拡張機能(コンマセパート)を持つファイルのみが収縮します。空白の場合、ファイル拡張子はチェックされません |
テスト接続 - 接続のアセット構成を検証します
Artifactの更新-Phantomアーティファクトを提供された入力で更新または上書きします
メモを追加 - コンテナにメモを追加します
Artifactタグを更新 - アーティファクトからタグを追加/削除します
アーティファクトを見つける - CEF値を含むアーティファクトを見つけます
listitem -add値カスタムリストに追加します
listitem-カスタムリストで値を見つける
アーティファクトを追加 - コンテナに新しいアーティファクトを追加します
デフレートアイテム - 金庫からアイテムを収縮させます
エクスポートコンテナ - 構成されたファントムアセットにローカルコンテナをエクスポートする
輸入コンテナ - 外部ファントムインスタンスからコンテナを輸入する
コンテナの作成 - ファントムインスタンスで新しいコンテナを作成します
アクション結果を取得 - 以前に実行されるアクションの結果を見つける
更新リスト - リストを更新します
opなし - 指定された秒数を待ちます
接続のためにアセット構成を検証します
タイプ:テスト
読む唯一: true
このアクションにはパラメーターは必要ありません
出力なし
提供された入力でPhantomアーティファクトを更新または上書きします
タイプ:ジェネリック
読み取りのみ: false
| パラメーター | 例 |
|---|---|
| 名前 | アーティファクト名 |
| ラベル | artifact_label |
| 重大度 | 高い |
| CEF_JSON | {"key1": "value1"、 "gooddomain": "www.splunk.com"、 "remove_me": ""} |
| CEF_TYPES_JSON | {"gooddomain":["domain"]} |
| タグ | tag1、tag3または["tag2"、 "tag4"]] |
| artifact_json | {"source_data_identifier": "myticket1234"、 "label": "new_label"} |
| パラメーター | 必須 | 説明 | タイプ | 含む |
|---|---|---|---|---|
| artifact_id | 必須 | 更新するアーティファクトのID | 弦 | phantom artifact id |
| 名前 | オプション | アーティファクト名(提供されている場合は常に上書き) | 弦 | |
| ラベル | オプション | アーティファクトラベル(提供されている場合は常に上書き) | 弦 | |
| 重大度 | オプション | アーティファクトの重大度(提供されている場合は常に上書き) | 弦 | |
| CEF_JSON | オプション | アーティファクトで必要なCEFフィールドのJSON形式 | 弦 | |
| CEF_TYPES_JSON | オプション | CEFタイプのJSON形式(eg、{'myip':['ip'、 'ipv6']})) | 弦 | |
| タグ | オプション | アーティファクトに追加または交換するためのタグの分離されたリスト | 弦 | |
| 上書きします | オプション | 提供された入力でアーティファクトを上書きします(適用:CEF_JSON、contains_json、タグ) | ブール | |
| artifact_json | オプション | アーティファクト全体のJSON形式(常に上書きされたキー) | 弦 |
| データパス | タイプ | 含む | 値の例 |
|---|---|---|---|
| action_result.status | 弦 | 成功は失敗しました | |
| action_result.parameter.artifact_id | 弦 | phantom artifact id | 2388 |
| action_result.parameter.artifact_json | 弦 | {"severity": "high"、 "label": "test label"、 "description": "artifact add by me"、 "source_data_identifier": "my_custom_sdi"} | |
| action_result.parameter.cef_json | 弦 | {"new_field": "new_value"、 "deleted_field": ""} | |
| action_result.parameter.cef_types_json | 弦 | {"new_field":["new contains"]} | |
| Action_result.parameter.label | 弦 | テストラベル | |
| action_result.parameter.name | 弦 | 新しい名前 | |
| action_result.parameter.overwrite | ブール | 真の偽 | |
| action_result.parameter.severity | 弦 | 高い | |
| action_result.parameter.tags | 弦 | ["tag2"] | |
| action_result.data | 弦 | ||
| action_result.data | 弦 | new_value | |
| action_result.data。*。要求ed_artifact.cef.test | 弦 | fff | |
| Action_result.data | 弦 | 新しいcontains | |
| action_result.data。*。要求ed_artifact.description | 弦 | 私が追加したアーティファクト | |
| action_result.data。*。要求ed_artifact.label | 弦 | テストラベル | |
| action_result.data。*。requested_artifact.name | 弦 | 新しい名前 | |
| action_result.data。*。要求ed_artifact.severity | 弦 | 高い | |
| action_result.data | 弦 | my_custom_sdi | |
| action_result.data。*。requested_artifact.tags | 弦 | タグ2 | |
| action_result.data。*。respons.id | 数値 | 2388 | |
| action_result.data。*。respons.success | ブール | 真の偽 | |
| Action_Result.Summary | 弦 | ||
| action_result.message | 弦 | アーティファクトは正常に更新されました。 | |
| summary.otal_objects | 数値 | 1 | |
| summary.otal_objects_successful | 数値 | 1 |
コンテナにメモを追加します
タイプ:ジェネリック
読み取りのみ: false
container_idパラメーターが空のままになっている場合、現在のコンテナのID(アクションが実行されている場所から)に初期化され、それに応じてステータスが反映されます。コンテナがケースの場合、 Phase_IDパラメーターを提供して、メモを特定のフェーズに関連付けることができます。
| パラメーター | 必須 | 説明 | タイプ | 含む |
|---|---|---|---|---|
| タイトル | 必須 | メモのタイトル | 弦 | |
| コンテンツ | オプション | コンテンツに注意してください | 弦 | |
| container_id | オプション | コンテナID(デフォルトは現在のコンテナになります) | 数値 | phantom container id |
| phase_id | オプション | フェーズメモは関連付けられます | 弦 |
| データパス | タイプ | 含む | 値の例 |
|---|---|---|---|
| action_result.status | 弦 | 成功は失敗しました | |
| action_result.parameter.container_id | 数値 | phantom container id | 35 |
| action_result.parameter.content | 弦 | アプリアクションを介してメモを追加します | |
| Action_result.parameter.phase_id | 弦 | ||
| action_result.parameter.title | 弦 | テストに注意してください | |
| action_result.data | 弦 | ||
| Action_Result.Summary | 弦 | ||
| action_result.message | 弦 | 作成されたメモ | |
| summary.otal_objects | 数値 | 1 | |
| summary.otal_objects_successful | 数値 | 1 |
アーティファクトからタグを追加/削除します
タイプ:ジェネリック
読み取りのみ: false
| パラメーター | 必須 | 説明 | タイプ | 含む |
|---|---|---|---|---|
| artifact_id | 必須 | アーティファクトID | 弦 | phantom artifact id |
| add_tags | オプション | アーティファクトに追加するタグのコンマ区切りリスト | 弦 | |
| remove_tags | オプション | アーティファクトから削除するためのタグのコンマ区切りリスト | 弦 |
| データパス | タイプ | 含む | 値の例 |
|---|---|---|---|
| action_result.status | 弦 | 成功は失敗しました | |
| Action_result.parameter.add_tags | 弦 | tag1、tag3 | |
| action_result.parameter.artifact_id | 弦 | phantom artifact id | 94 |
| action_result.parameter.remove_tags | 弦 | tag2、tag4 | |
| action_result.data | 弦 | ||
| action_result.summary.tags_added | 弦 | タグ1 | |
| action_result.summary.tags_already_absent | 弦 | タグ4 | |
| action_result.summary.tags_already_present | 弦 | タグ3 | |
| action_result.summary.tags_removed | 弦 | タグ2 | |
| action_result.message | 弦 | タグ追加:tag1、タグ削除:tag2、タグ既に存在するタグ、タグはすでに存在しない:tag4 | |
| summary.otal_objects | 数値 | 1 | |
| summary.otal_objects_successful | 数値 | 1 |
CEF値を含むアーティファクトを見つけます
タイプ:調査
読む唯一: true
limit_searchパラメーターがtrueに設定されている場合、アクションは、提供されたcontainer_idsのみの必要なアーティファクトを検索します。それ以外の場合、 container_idsパラメーターは無視されます。
container_idsパラメーターに非整数値が提供されている場合、すべての非整数値が削除され、パラメーターがそれに応じて更新されます。 container_idsパラメーターの値が現在の場合、現在のコンテナのID(アクションが実行されている)に置き換えられ、それに応じてステータスが反映されます。
exact_matchパラメーターがfalseに設定されている場合、アクションは、値パラメーターがCEF値のいずれかのサブストリングであるすべてのアーティファクトを返します。それ以外の場合は、CEF値のいずれかが値パラメーターと正確に一致するアーティファクトを返します。
整数、float、または文字列の値については、 exact_matchパラメーターをfalseに設定することをお勧めします。
デフォルトでは、10個のアーティファクトが返されます。 10個以上のアーティファクトを返したい場合は、 max_resultsパラメーターを更新します。
| パラメーター | 必須 | 説明 | タイプ | 含む |
|---|---|---|---|---|
| CEF_KEY | オプション | クエリをしているCEF DICTのキー:ACT、APP、ApplicationProtoCol、BaseeVentcount、Bytesinなど。 | 弦 | |
| 値 | 必須 | アーティファクトでこの値を見つけます | 弦 | * |
| exact_match | オプション | 正確な一致(デフォルト:真) | ブール | |
| limit_search | オプション | 指定されたコンテナへの検索を制限する(デフォルト:false) | ブール | |
| container_ids | オプション | スペースまたはコンマ分離コンテナIDのリスト。 「現在」という言葉は現在のコンテナIDに置き換えられます | 弦 | |
| max_results | オプション | 返すアーティファクトの最大数 | 数値 |
| データパス | タイプ | 含む | 値の例 |
|---|---|---|---|
| action_result.status | 弦 | 成功は失敗しました | |
| Action_result.parameter.cef_key | 弦 | ACT App ApplicationProtocol | |
| Action_result.parameter.container_ids | 弦 | 現在 | |
| action_result.parameter.exact_match | ブール | 真の偽 | |
| action_result.parameter.limit_search | ブール | 真の偽 | |
| action_result.parameter.values | 弦 | * | test_value |
| action_result.data。*。コンテナ | 数値 | 1234 | |
| action_result.data。*。container_name | 弦 | phantom_test | |
| action_result.data。* | 弦 | test_key | |
| action_result.data。*。id | 数値 | 12345 | |
| action_result.data。*。マッチング | 弦 | test_value | |
| action_result.data。*。名前 | 弦 | artifact_demo | |
| action_result.summary.artifacts_found | 数値 | 1 | |
| Action_result.summary.server | 弦 | https://10.1.1.10 | |
| action_result.message | 弦 | 発見されたアーティファクト:1、サーバー:https://10.1.1.10 | |
| summary.otal_objects | 数値 | 1 | |
| summary.otal_objects_successful | 数値 | 1 | |
| action_result.parameter.max_results | 数値 | 2 |
カスタムリストに値を追加します
タイプ:ジェネリック
読み取りのみ: false
リストに単一の値を含む行を追加するだけで、値を渡すだけです。ただし、複数の値を連続して渡すには、JSONアレイ(["item1"、 "item2"、 "item3")のように形成されます。
リストが既に存在する場合、アクションはリストを更新します(作成パラメーターがtrueに設定されている場合でも)。
このアクションを通じてリストを作成または更新した後、同じリストがUIから更新された場合、ユーザーはこのアクションを介してリストを更新する前にそれらの変更を保存する必要があります。
| パラメーター | 必須 | 説明 | タイプ | 含む |
|---|---|---|---|---|
| リスト | 必須 | カスタムリストの名前またはID | 弦 | |
| new_row | 必須 | 新しい行(文字列またはJSONリスト) | 弦 | * |
| 作成する | オプション | 存在しない場合はリストを作成します(デフォルト:false) | ブール |
| データパス | タイプ | 含む | 値の例 |
|---|---|---|---|
| action_result.status | 弦 | 成功は失敗しました | |
| action_result.parameter.create | ブール | 真の偽 | |
| action_result.parameter.list | 弦 | demo_list | |
| action_result.parameter.new_row | 弦 | * | ["value1"、 "value2"、 "value3"] |
| action_result.data。*。失敗 | ブール | ||
| action_result.data。*。成功 | ブール | 真の偽 | |
| Action_result.summary.server | 弦 | url | https://10.1.1.10 |
| action_result.message | 弦 | サーバー:https://10.1.1.10 | |
| summary.otal_objects | 数値 | 1 | |
| summary.otal_objects_successful | 数値 | 1 |
カスタムリストで値を見つけます
タイプ:調査
読む唯一: true
各マッチング値の行と列座標は、「場所」の下の結果要約にあります。試合はケースに敏感です。
exact_matchパラメーターがfalseに設定されている場合、アクションは、値パラメーターがそのサブストリングであるすべての文字列を返します。それ以外の場合は、値パラメーターと正確に一致する文字列を返します。
| パラメーター | 必須 | 説明 | タイプ | 含む |
|---|---|---|---|---|
| リスト | 必須 | カスタムリストの名前またはID | 弦 | |
| column_index | オプション | 列番号(0ベース)で検索 | 数値 | |
| 値 | 必須 | 検索する価値 | 弦 | * |
| exact_match | オプション | 正確な一致(デフォルト:真) | ブール |
| データパス | タイプ | 含む | 値の例 |
|---|---|---|---|
| action_result.status | 弦 | 成功は失敗しました | |
| action_result.parameter.column_index | 数値 | ||
| action_result.parameter.exact_match | ブール | 真の偽 | |
| action_result.parameter.list | 弦 | list_demo | |
| action_result.parameter.values | 弦 | * | 値1 |
| action_result.data | 弦 | ||
| Action_result.data。* | 弦 | ||
| action_result.summary.found_matches | 数値 | 1 | |
| action_result.summary.list_id | 数値 | 18 | |
| action_result.summary.locations | 数値 | ||
| Action_result.summary.locations。* | 数値 | ||
| Action_result.summary.server | 弦 | url | https://10.1.1.10 |
| action_result.message | 弦 | サーバー:https://10.1.1.10、見つかった一致:1、場所:[(1、0)]、リストID:18 | |
| summary.otal_objects | 数値 | 1 | |
| summary.otal_objects_successful | 数値 | 1 |
コンテナに新しいアーティファクトを追加します
タイプ:ジェネリック
読み取りのみ: false
container_idパラメーターが空のままになっている場合、現在のコンテナのID(アクションが実行されている)に初期化され、それに応じてステータスが反映されます。
CEFフィールドは、 CEF_NAMEおよびCEF_VALUEパラメーターを使用するか、 CEF_Dictionaryパラメーターを使用することにより、2つの方法でアーティファクトに追加できます。 CEF_NAME 、 CEF_VALUE 、およびCEF_Dictionaryパラメーターがすべて含まれている場合、アクションはCEF_DictionaryにCEF_NAMEフィールドを追加します。
CEF_NAMEとCEF_VALUEパラメーターのみを使用すると、アーティファクトに1つのCEFフィールドがあります。
CEF_Dictionaryパラメーターは、CEFキー価値ペアを表すキー値ペアを備えたJSON辞書を取ります。ダブルクォート( ")を含む値を提供するには、ダブルクォートの前にバックスラッシュ()を追加します。
例えば、{"x-universaly-unique-identifier": "test"、 "content-type": "multipart/alternative; boundary = " apple-mail = _0da95d7e-b791-4751-8043-175949088a2c " >"> 、「Message-id」:「[email protected]」}
contapleパラメーターはJSON辞書を使用できます。キーはCEF_Dictionaryのキーと一致し、可能性のある値はCEFフィールドに含まれます。 CEF_Dictionaryの特定の値がconting dictionaryに存在しない場合、アクションは最初にデフォルトのCEFフィールドのリストを確認します。デフォルトのCEFフィールドではない場合、アクションは、含まれる適切な値を特定しようとします。
continasパラメーターは、 CEF_Valueパラメーターのcontainsを表す文字列(または文字列のコンマ区切りリスト)を取得することもできます。この方法は、 CEF_NAMEおよびCEF_VALUEパラメーターが使用される場合にのみ使用する必要があります。
run_automationパラメーターがtrueに設定されている場合、アーティファクトが追加された後、アクティブなプレイブックは自動的に実行されます。アクティブなプレイブックは、アーティファクトが追加されたのと同じコンテナで実行されます。
アーティファクト、CEFフィールド、および含まれる詳細については、REST APIドキュメントを参照してください。
| パラメーター | 必須 | 説明 | タイプ | 含む |
|---|---|---|---|---|
| 名前 | オプション | 新しいアーティファクトの名前 | 弦 | |
| container_id | オプション | 新しいアーティファクト用の数値コンテナID | 数値 | phantom container id |
| ラベル | オプション | アーティファクトラベル(デフォルト:イベント) | 弦 | |
| source_data_identifier | 必須 | ソースデータIdenitifier | 弦 | |
| CEF_NAME | オプション | CEF名 | 弦 | |
| CEF_VALUE | オプション | 価値 | 弦 | * |
| CEF_Dictionary | オプション | CEF JSON | 弦 | |
| 含む | オプション | 各CEFフィールドのデータ型 | 弦 | |
| run_automation | オプション | 新しく作成されたアーティファクトで自動化を実行する(デフォルト:false) | ブール | |
| sechine_contains | オプション | 提供されたcONTの任意のCEFフィールドのコンテンツを決定する値が含まれます(デフォルト:true) | ブール |
| データパス | タイプ | 含む | 値の例 |
|---|---|---|---|
| action_result.status | 弦 | 成功は失敗しました | |
| action_result.parameter.cef_dictionary | 弦 | {"test_key": "test_value"} | |
| action_result.parameter.cef_name | 弦 | ||
| action_result.parameter.cef_value | 弦 | * | |
| action_result.parameter.container_id | 数値 | phantom container id | 1234 |
| action_result.parameter.contains | 弦 | ドメイン | |
| Action_result.parameter.label | 弦 | イベント | |
| action_result.parameter.name | 弦 | artifact_demo | |
| action_result.parameter.run_automation | 弦 | 真の偽 | |
| Action_result.parameter.source_data_identifier | 弦 | ||
| action_result.parameter.determine_contains | ブール | ||
| action_result.data。*。既存の_artifact_id | 数値 | ||
| action_result.data。*。失敗 | ブール | ||
| action_result.data。*。id | 数値 | 123 | |
| action_result.data。*。成功 | ブール | 真の偽 | |
| action_result.summary.artifact_id | 数値 | 12345 | |
| action_result.summary.container_id | 数値 | 1234 | |
| Action_result.summary.server | 弦 | url | https://10.1.1.10 |
| action_result.message | 弦 | アーティファクトID:12345、コンテナID:1234、サーバー:https://10.1.1.10 | |
| summary.otal_objects | 数値 | 1 | |
| summary.otal_objects_successful | 数値 | 1 |
金庫からアイテムを収縮させます
タイプ:ジェネリック
読み取りのみ: false
アクションは、 PHANTOM_SERVERパラメーター(アセット構成内)がローカルPHANTOMインスタンス、つまりアクションが実行されているインスタンスに構成されている場合にのみサポートされます。
アクションは、入力ボールトアイテムが圧縮ファイルであるかどうかを検出し、それをデフレートします。デフレ後に見つかったすべてのファイルがボールトに追加されます。 Container_idが指定されている場合、その金庫に追加されます。このアクションは、 ZIP 、 GZIP 、 BZ2 、 TAR 、およびTGZファイルタイプをサポートします。圧縮されたファイルに別の圧縮ファイルが含まれている場合、再帰パラメーターをTrueに設定して、内側の圧縮ファイルをデフレートします。
再帰が有効になり、パスワードが指定されている場合、アプリケーションは指定されたzipファイルのみのパスワードを使用します。内側のzipファイルは、ファイルがパスワードで保護されていない場合にのみ抽出されます。さまざまな圧縮方法の中で、ZIPのみがパスワード保護機能をサポートしています。
特定のUnicode文字の場合、ファイル名はZipfileモジュールによって解凍されません。
| パラメーター | 必須 | 説明 | タイプ | 含む |
|---|---|---|---|---|
| vault_id | 必須 | ボールトID | 弦 | sha1 vault id |
| container_id | オプション | 宛先コンテナID | 数値 | phantom container id |
| パスワード | オプション | ファイルのパスワード | 弦 | |
| 再帰 | オプション | 再帰的に抽出する(デフォルト:false) | ブール |
| データパス | タイプ | 含む | 値の例 |
|---|---|---|---|
| action_result.status | 弦 | 成功は失敗しました | |
| action_result.parameter.container_id | 数値 | phantom container id | 3 |
| Action_result.parameter.password | 弦 | p@$$ w0rd | |
| Action_Result.Parameter.Recursive | ブール | 真の偽 | |
| action_result.parameter.vault_id | 弦 | sha1 vault id | F582ED9120FA3BE94852C73E1CD188F2948F677F |
| action_result.data。*。別名。* | 弦 | test.txt | |
| action_result.data。*。コンテナ | 弦 | phantom_test | |
| action_result.data。*。container_id | 数値 | phantom container id | 1234 |
| action_result.data。*。contains。* | 弦 | ボールトID | |
| action_result.data。*。create_time | 弦 | 0分前 | |
| action_result.data。*。created_via | 弦 | オートメーション | |
| action_result.data。*。ハッシュ | 弦 | sha1 | 0A0E6C7AB7F77D058EFD444279B81C4C6A9CF4CE |
| action_result.data。*。id | 数値 | 12 | |
| action_result.data。*。Metadata.Contains | 弦 | ボールトID | |
| action_result.data。*。Metadata.md5 | 弦 | md5 | 0DB33A0790B6D6D5C2E4425646EEE7FC |
| action_result.data。*。Metadata.sha1 | 弦 | sha1 | fece6c7ab7f77d058efd444279b81c4c6a9cf4ce |
| action_result.data。*。Metadata.sha256 | 弦 | sha256 | 4F2155212CB0F74207BD0E4FD5ECAE548EE2BAE1D2DCD36C1D0BA0B6254BD4A1 |
| action_result.data。*。Metadata.size | 数値 | 33 | |
| action_result.data。*。mime_type | 弦 | テキスト/プレーン | |
| action_result.data。*。名前 | 弦 | TGZテスト | |
| action_result.data。*。パス | 弦 | ||
| action_result.data。*。サイズ | 数値 | 10240 | |
| action_result.data。*。タスク | 弦 | ||
| action_result.data。*。ユーザー | 弦 | ||
| action_result.data。*。vault_document | 数値 | ||
| action_result.data。*。vault_id | 弦 | sha1 vault id | B90E6C7AB7F77D058EFD444279B81C4C6A9CF4CE |
| Action_result.summary.total_vault_items | 数値 | 9 | |
| action_result.message | 弦 | 総ボールト項目:9 | |
| summary.otal_objects | 数値 | 1 | |
| summary.otal_objects_successful | 数値 | 1 |
構成されたファントム資産にローカルコンテナをエクスポートします
タイプ:ジェネリック
読み取りのみ: false
このアクションは、ローカルPhantomインスタンス(アクションが実行されているインスタンス)から構成されたPhantomアセット(アクションが実行されていること)にコンテナ(コンテナ_IDと一致する)をエクスポートします。
local Phantomインスタンスのコンテナメタデータと構成されたPhantomアセットが一致しない場合、名前はu'criticalという名前の重大度インスタンスのようなエラーメッセージでアクションが失敗します。
設定されたPhantomインスタンスのコンテナの所有者にローカルインスタンスの所有者を一致させる場合は、 keep_ownerパラメーターをtrueに設定します。これは、所有者名ではなく所有者IDに基づいていることに注意してください。
| パラメーター | 必須 | 説明 | タイプ | 含む |
|---|---|---|---|---|
| container_id | 必須 | コピーするコンテナID | 数値 | phantom container id |
| Keep_owner | オプション | 所有者を維持します | ブール | |
| ラベル | オプション | 輸出コンテナに名前を付けるラベル。空白の場合、輸出容器はローカルコンテナと同じ名前を持っています | 弦 | |
| run_automation | オプション | アクティブなプレイブックを実行します | ブール |
| データパス | タイプ | 含む | 値の例 |
|---|---|---|---|
| action_result.status | 弦 | 成功は失敗しました | |
| action_result.parameter.container_id | 数値 | phantom container id | 3 |
| action_result.parameter.keep_owner | ブール | 真の偽 | |
| Action_result.parameter.label | 弦 | イベント | |
| action_result.parameter.run_automation | ブール | 真の偽 | |
| action_result.data | 弦 | ||
| action_result.summary.artifact_count | 数値 | 268 | |
| action_result.summary.container_id | 数値 | phantom container id | 94 |
| action_result.message | 弦 | コンテナID:94、アーティファクトカウント:268 | |
| summary.otal_objects | 数値 | 1 | |
| summary.otal_objects_successful | 数値 | 1 |
外部ファントムインスタンスからコンテナをインポートします
タイプ:ジェネリック
読み取りのみ: false
このアクションは、構成されたファントム資産(アクションが実行されている)からコンテナ(コンテナ_IDと一致する)をローカルファントムインスタンス(アクションが実行されている場合)にインポートします。
構成されたPhantomアセットのコンテナメタデータとローカルPhantomインスタンスが一致しない場合、名前はu'criticalという名前の重大度インスタンスのようなエラーメッセージでアクションが失敗します。
keep_ownerパラメーターをtrueに設定します。ローカルファントムインスタンスのコンテナの所有者に設定されたインスタンスの所有者を一致させたい場合。これは、所有者名ではなく所有者IDに基づいていることに注意してください。
| パラメーター | 必須 | 説明 | タイプ | 含む |
|---|---|---|---|---|
| container_id | 必須 | コピーするコンテナID | 数値 | phantom container id |
| Keep_owner | オプション | 所有者を維持します | ブール |
| データパス | タイプ | 含む | 値の例 |
|---|---|---|---|
| action_result.status | 弦 | 成功は失敗しました | |
| action_result.parameter.container_id | 弦 | phantom container id | 3 |
| action_result.parameter.keep_owner | ブール | 真の偽 | |
| action_result.data | 弦 | ||
| action_result.summary.artifact_count | 数値 | 268 | |
| action_result.summary.container_id | 数値 | phantom container id | 94 |
| action_result.message | 弦 | コンテナID:94、アーティファクトカウント:268 | |
| summary.otal_objects | 数値 | 1 | |
| summary.otal_objects_successful | 数値 | 1 |
Phantomインスタンスで新しいコンテナを作成します
タイプ:ジェネリック
読み取りのみ: false
このアクションは、 Phantom_serverアセットパラメーターで構成されているPhantomサーバーに新しいコンテナを作成します。 container_jsonパラメーターはJSON文字列である必要があります。 container_jsonパラメーターにラベルキーを提供することが必須です。 container_jsonに宛先Phantomアセットに存在しないラベルがある場合、アクションは失敗します。
例:{"name": "Test container"、 "label": "events"}
container_artifactsは、JSON文字列としてのアーティファクトオブジェクトのリストである必要があるオプションのパラメーターです。各アーティファクトJSONオブジェクトには、CEF、CEF_TYPES、データ、説明、END_TIME、INGEST_APP_ID、KILL_CHAIN、LABEL、NAME、OWNER_ID、SEVERITY、SOURTY_DATA_IDENTIFIER、START_TIME、TAGS、TYPEを含める必要があります。他のすべてのキーは無視されます。
eg、[{"name": "artifact 1"、 "label": "label1"、 "cef":{"test": "123"}}、{"name": "artifact 2"、 "label": "label2"、 "cef":{"test": "456"}}]
詳細については、 Splunk Phantomのドキュメントを参照してください。
| パラメーター | 必須 | 説明 | タイプ | 含む |
|---|---|---|---|---|
| container_json | 必須 | コンテナJSONオブジェクト | 弦 | |
| container_artifacts | オプション | アーティファクトJSONオブジェクトのリスト | 弦 |
| データパス | タイプ | 含む | 値の例 |
|---|---|---|---|
| action_result.status | 弦 | 成功は失敗しました | |
| action_result.parameter.container_artifacts | 弦 | [{"name": "artifact(1)"の人間に優しい名前(1)、 "label": "event"、 "source_data_identifier":1}、{"name": "Artifactの人間に優しい名前(2)"、 "label": "event"、 "source_data_identifier":2}、{"name": "Artifact(3)"の人間に優しい名前(3)、 "ラベル": "event"、 "source_data_identifier":3}] | |
| Action_result.parameter.container_json | 弦 | {"severity": "medium"、 "label": "events"、 "version":1、 "asset":7、 "status": "new"、 "description": "ファントムヘルパーからの新しいコンテナ"、 "タグ ":[]、" data ":{}、" name ":"これはコンテナです}} | |
| action_result.data | 弦 | ||
| action_result.summary.artifact_count | 数値 | 3 | |
| action_result.summary.container_id | 数値 | phantom container id | |
| action_result.summary.failed_artifact_count | 数値 | 7 | |
| action_result.message | 弦 | コンテナID:82、アーティファクトカウント:3 | |
| summary.otal_objects | 数値 | 1 | |
| summary.otal_objects_successful | 数値 | 1 |
以前に実行されるアクションの結果を見つけます
タイプ:調査
読む唯一: true
このアクションは、指定されたtime_limit内の指定されたパラメーターを使用して起動された指定されたaction_nameの最新の結果を返します。
このアクションにより、 MAX_RESULTSの値に返される結果の数が制限されます。デフォルトでは、制限は10です。すべての結果を取得するには、 max_resultsパラメーターを0に設定します。
パラメーターパラメーターは、次の形式でJSON文字列を取得します。
{
「parameter_name1」:「parameter_value1」
"parameter_name2": "parameter_value2"
...
}| パラメーター | 必須 | 説明 | タイプ | 含む |
|---|---|---|---|---|
| action_name | 必須 | アクション名 | 弦 | |
| パラメーター | オプション | JSON一連のアクションパラメーター | 弦 | |
| アプリ | オプション | アプリ名 | 弦 | |
| 資産 | オプション | 資産名 | 弦 | |
| time_limit | オプション | 検索する時間数 | 数値 | |
| max_results | オプション | 戻るアクション結果の最大数 | 数値 |
| データパス | タイプ | 含む | 値の例 |
|---|---|---|---|
| action_result.status | 弦 | 成功は失敗しました | |
| action_result.parameter.action_name | 弦 | ブラックリストIP | |
| Action_result.parameter.app | 弦 | ファントム | |
| Action_result.parameter.asset | 弦 | test_phantom | |
| action_result.parameter.max_results | 数値 | 5 | |
| Action_Result.Parameter.Parameters | 弦 | {"ip": "1.8.9.0"} | |
| action_result.parameter.time_limit | 数値 | 24 | |
| action_result.data。*。アクション | 弦 | ブラックリストIP | |
| action_result.data。*。action_run | 数値 | 2724 | |
| action_result.data。*。アプリ | 数値 | 121 | |
| action_result.data。*。app_name | 弦 | ファントム | |
| action_result.data。*。app_version | 弦 | 1.0.0 | |
| action_result.data。*。資産 | 数値 | 137 | |
| action_result.data。*。コンテナ | 数値 | 1154 | |
| action_result.data | 弦 | ||
| action_result.data。*。end_time | 弦 | 2017-11-06T20:30:27.991000Z | |
| action_result.data。*。exception_occured | ブール | 真の偽 | |
| action_result.data。*。extra_data | 弦 | ||
| action_result.data。*。id | 数値 | 2761 | |
| action_result.data。*。メッセージ | 弦 | ブラックリストに登録されたIP | |
| action_result.data。*。playbook_run | 数値 | 1056 | |
| action_result.data。*。result_data。*。データ | 数値 | ||
| action_result.data。*。result_data。*。メッセージ | 弦 | IPは正常にブラックリストに登録されました | |
| action_result.data。*。result_data。*。パラメーター | 弦 | ||
| action_result.data。*。result_data。*。parameter.context.artifact_id | 数値 | 0 | |
| action_result.data。*。result_data。*。parameter.context.guid | 弦 | 293D0369-4801-417D-A1AF-A73CF1200D3D | |
| action_result.data。*。result_data | 弦 | ||
| action_result.data。*。result_data。*。ステータス | 弦 | 成功 | |
| action_result.data。*。result_data。*。概要 | 弦 | ||
| action_result.data。*。result_summary.total_objects | 数値 | 1 | |
| action_result.data。*。result_summary.total_objects_successful | 数値 | 1 | |
| action_result.data。*。start_time | 弦 | 2017-11-06T20:30:04.879000Z | |
| action_result.data。*。ステータス | 弦 | 成功は失敗しました | |
| action_result.data。*。バージョン | 数値 | 1 | |
| action_result.summary.action_run_id | 数値 | 2761 | |
| Action_result.summary.num_results | 数値 | ||
| action_result.message | 弦 | アクション実行ID:2761 | |
| summary.otal_objects | 数値 | 1 | |
| summary.otal_objects_successful | 数値 | 1 |
リストを更新します
タイプ:ジェネリック
読み取りのみ: false
list_nameまたはidが必要です。両方の場合、 list_nameパラメーターとIDパラメーターが提供され、両方が異なるリストを指している場合、 list_nameパラメーターが優先され、アクションがlist_nameパラメーターで指定されたリストを更新します。
| パラメーター | 必須 | 説明 | タイプ | 含む |
|---|---|---|---|---|
| list_name | オプション | リスト名 | 弦 | |
| id | オプション | リストID | 数値 | |
| row_number | 必須 | 変更するリストの行番号 | 数値 | |
| row_values_as_list | 必須 | JSONは、行の新しい値のリストをフォーマットしました | 弦 |
| データパス | タイプ | 含む | 値の例 |
|---|---|---|---|
| action_result.status | 弦 | 成功は失敗しました | |
| action_result.parameter.id | 数値 | ||
| action_result.parameter.list_name | 弦 | 私の最初のリスト | |
| action_result.parameter.row_number | 数値 | 0 | |
| action_result.parameter.row_values_as_list | 弦 | ["this"、 "is"、 "a"、 "test"] | |
| action_result.data。*。成功 | ブール | 真実 | |
| Action_Result.Summary | 弦 | ||
| action_result.message | 弦 | ||
| summary.otal_objects | 数値 | 1 | |
| summary.otal_objects_successful | 数値 | 1 |
指定された秒数を待ちます
タイプ:調査
読む唯一: true
| パラメーター | 必須 | 説明 | タイプ | 含む |
|---|---|---|---|---|
| sleep_seconds | 必須 | これは何秒間も眠ります | 数値 |
| データパス | タイプ | 含む | 値の例 |
|---|---|---|---|
| action_result.status | 弦 | 成功は失敗しました | |
| action_result.parameter.sleep_seconds | 数値 | 15 | |
| action_result.data | 弦 | ||
| Action_Result.Summary | 弦 | ||
| action_result.message | 弦 | 15秒間眠りました | |
| summary.otal_objects | 数値 | 1 | |
| summary.otal_objects_successful | 数値 | 1 |
