phantom
3.7.0
출판사 : Splunk
커넥터 버전 : 3.7.1
제품 공급 업체 : 팬텀
제품 이름 : 팬텀
제품 버전 지원 (Regex) : ".*"
최소 제품 버전 : 6.2.1
이 앱은 다양한 팬텀 API를 동작으로 노출시킵니다
Auth_token 구성 매개 변수는 Phantom 인스턴스와 함께 사용하기위한 것입니다. 토큰과 사용자 이름/비밀번호가 모두 제공되면 사용자 이름과 비밀번호를 사용하여 Phantom 인스턴스에 인증됩니다.
사용중인 IP (또는 이름)는 원격 팬텀 인스턴스의 REST 자산 구성에서 허용 IP와 일치해야합니다.
Phantom_Server 구성 매개 변수가 현재 Phantom 인스턴스 (즉, 앱이 사용되는 Phantom 서버)로 설정된 경우 gryify_certificate가 자산 구성에서 False로 설정되어야합니다.
인증 토큰을 얻는 방법에 대한 자세한 내용은 Phantom Rest 개요 문서에서 권한 부여 토큰 프로비저닝을 참조하십시오.
Phantom_Server 구성 매개 변수에 제공된 값이 0.0.0.0 인 경우 테스트 연결이 성공적으로 전달되고 현재 Phantom 인스턴스 (즉, 앱을 사용하는 서버)에서 작업이 실행됩니다.
Phantom 인스턴스에 대한 유효한 HTTPS 인증서를 작성하고 확인하는 방법은 KB 제 7 조 및 KB 제 16 조를 참조하십시오.
보안상의 이유로, 127.0.0.1에 액세스하는 것은 허용되지 않습니다.
NRI 인스턴스의 경우 장치 IP/HostName 구성 매개 변수는 포트 번호도 지정해야합니다. (예 : xxxx : 9999)
기존 동작 매개 변수는 아래 주어진 조치에서 수정되었습니다. 따라서 최종 사용자에게 해당 액션 블록을 다시 삽입하거나 이러한 작업 매개 변수에 적절한 값을 제공하여 이전 버전의 앱 버전에서 생성 된 플레이 북의 올바른 기능을 보장하여 기존 플레이 북을 업데이트하도록 요청받습니다.
업데이트 목록 - row_values_as_list 매개 변수는 쉼표로 구분 된 새 값에서 JSON 형식의 새 값 목록으로 변경되었습니다. 이를 통해 사용자는 쉼표 ( ',') 문자를 포함하는 값을 제공 할 수 있습니다. 이에 대한 예제는 예제 값에서 업데이트되었습니다.
아티팩트 추가 - 포함 된 매개 변수는 문자열 (또는 쉼표로 구분 된 문자열 목록) 또는 JSON 사전을 가져갈 수 있으며 키는 cef_dictionary 의 키와 일치하고 CEF 필드에 가능한 값이 포함됩니다. 포함 된 매개 변수가 문자열 (또는 쉼표로 구분 된 문자열 목록) 인 경우 제공된 값은 CEF_NAME 매개 변수에 매핑됩니다.
출력 Datapaths, action_result.summary.artifact id 및 action_result.summary.container id가 action_result.summary.artifact_id 및 action_result.summary.container_id 로 대체되었습니다.
아티팩트 찾기 -Action_result.summary.artifacts Datapath가 Action_Result.summary.artifacts_found로 대체되었습니다.
ListItem 찾기 -Action_Result.summary.Found MATCHES DATAPATH가 Action_Result.Summary.Found_matches로 대체되었습니다.
아티팩트 태그 업데이트 - 다음 출력 데이터 패스가 추가되었습니다.
아티팩트 업데이트 -이 작업의 조치 매개 변수가 수정되었습니다. 새로운 매개 변수에 따라 기존 플레이 북을 업데이트하십시오. 아래는 추가 된 매개 변수 목록입니다.
자세한 내용은 업데이트 아티팩트 섹션을 확인하십시오.
이 앱은 HTTP/ HTTPS 프로토콜을 사용하여 Phantom 서버와 통신합니다. 다음은 Splunk Soar가 사용하는 기본 포트입니다.
| 서비스 이름 | 전송 프로토콜 | 포트 |
|---|---|---|
| http | TCP | 80 |
| https | TCP | 443 |
이 커넥터가 작동하려면 아래 구성 변수가 필요합니다. 이러한 변수는 SOAR에서 팬텀 자산을 구성 할 때 지정됩니다.
| 변하기 쉬운 | 필수의 | 유형 | 설명 |
|---|---|---|---|
| Phantom_server | 필수의 | 끈 | Phantom IP 또는 HostName (예 : 10.1.1.10 또는 valid_phantom_hostname) |
| Auth_token | 선택 과목 | 비밀번호 | 팬텀 인증 토큰 |
| 사용자 이름 | 선택 과목 | 끈 | 사용자 이름 (HTTP 기본 인증) |
| 비밀번호 | 선택 과목 | 비밀번호 | 비밀번호 (HTTP 기본 인증) |
| gryify_certificate | 선택 과목 | 부울 | HTTPS 인증서 확인 (기본값 : False) |
| deflate_item_extensions | 선택 과목 | 끈 | 지정된 확장자 (쉼표로 구분 된)가있는 파일 만 디 플리치됩니다. 비워지면 파일 확장자가 확인되지 않습니다 |
테스트 연결 - 연결을위한 자산 구성을 검증하십시오
Artifact 업데이트 - 제공된 입력으로 Phantom Artifact 업데이트 또는 덮어 쓰기
참고 추가 - 컨테이너에 메모를 추가하십시오
아티팩트 태그 업데이트 - 아티팩트에서 태그를 추가/제거합니다
아티팩트를 찾으십시오 - CEF 값이 포함 된 아티팩트를 찾으십시오
ListItem 추가 - 사용자 정의 목록에 값을 추가하십시오
ListItem을 찾으십시오 - 사용자 정의 목록에서 값을 찾으십시오
아티팩트 추가 - 컨테이너에 새로운 아티팩트 추가
디플레이트 항목 - 금고에서 항목을 디 플라이트합니다
내보내기 컨테이너 - 구성된 팬텀 자산으로 로컬 컨테이너를 내보내기
컨테이너 가져 오기 - 외부 팬텀 인스턴스에서 컨테이너 가져 오기
컨테이너 생성 - 팬텀 인스턴스에 새 컨테이너 생성
행동 결과 얻기 - 이전에 실행되는 작업 결과 찾기
업데이트 목록 - 목록 업데이트
없음 OP- 지정된 초를 기다립니다.
연결을위한 자산 구성을 확인하십시오
유형 : 테스트
읽기 전용 : True
이 조치에는 매개 변수가 필요하지 않습니다
출력이 없습니다
제공된 입력으로 팬텀 아티팩트를 업데이트하거나 덮어 씁니다
유형 : 제네릭
읽기 전용 : 거짓
| 매개 변수 | 예 |
|---|---|
| 이름 | 아티팩트 이름 |
| 상표 | artifact_label |
| 심각성 | 높은 |
| cef_json | { "key1": "value1", "gooddomain": "www.splunk.com", "remove_me": ""} |
| cef_types_json | { "gooddomain": [ "도메인"]} |
| 태그 | tag1, tag3 또는 [ "tag2", "tag4"] |
| artifact_json | { "source_data_identifier": "myticket1234", "label": "new_label"} |
| 매개 변수 | 필수의 | 설명 | 유형 | 포함 |
|---|---|---|---|---|
| artifact_id | 필수의 | 아티팩트의 ID 업데이트 | 끈 | phantom artifact id |
| 이름 | 선택 과목 | Artifact Name (항상 과다 쓰기, 제공되는 경우) | 끈 | |
| 상표 | 선택 과목 | Artifact 레이블 (항상 제공되는 경우 항상 덮어 쓰기) | 끈 | |
| 심각성 | 선택 과목 | 아티팩트 심각도 (항상 제공되는 경우 항상 덮어 쓰기) | 끈 | |
| cef_json | 선택 과목 | 아티팩트에서 원하는 CEF 필드의 JSON 형식 | 끈 | |
| cef_types_json | 선택 과목 | CEF 유형의 JSON 형식 (예 : 'Myip': [ 'IP', 'IPv6']}) | 끈 | |
| 태그 | 선택 과목 | 아티팩트에서 추가 또는 교체 할 쉼표로 구분 된 태그 목록 | 끈 | |
| 덮어 쓰기 | 선택 과목 | 제공된 입력으로 아티팩트를 덮어 쓰기 (적용 : cef_json, contains_json, tags) | 부울 | |
| artifact_json | 선택 과목 | 전체 아티팩트의 JSON 형식 (항상 제공된 키를 덮어 쓰기) | 끈 |
| 데이터 경로 | 유형 | 포함 | 예제 값 |
|---|---|---|---|
| action_result.status | 끈 | 성공 실패 | |
| action_result.parameter.artifact_id | 끈 | phantom artifact id | 2388 |
| action_result.parameter.artifact_json | 끈 | { "심각도": "High", "Label": "Test Label", "Description": "Artifact가 Me By Me", "Source_data_identifier": "My_Custom_Sdi"}} | |
| action_result.parameter.cef_json | 끈 | { "new_field": "new_value", "deleted_field": ""} | |
| action_result.parameter.cef_types_json | 끈 | { "new_field": [ "New Contains"]} | |
| action_result.parameter.label | 끈 | 테스트 레이블 | |
| action_result.parameter.name | 끈 | 새로운 이름 | |
| action_result.parameter.overwrite | 부울 | 참 거짓 | |
| action_result.parameter.severity | 끈 | 높은 | |
| action_result.parameter.tags | 끈 | [ "tag2"] | |
| action_result.data.*. requested_artifact.cef.deleted_field | 끈 | ||
| action_result.data.*. requested_artifact.cef.new_field | 끈 | new_value | |
| action_result.data.*. requested_artifact.cef.test | 끈 | FFF | |
| action_result.data.*. requested_artifact.cef_types.new_field | 끈 | 새로운 포함 | |
| action_result.data.*. requested_artifact.description | 끈 | 저에 의해 추가되었습니다 | |
| action_result.data.*. requested_artifact.label | 끈 | 테스트 레이블 | |
| action_result.data.*. requested_artifact.name | 끈 | 새로운 이름 | |
| action_result.data.*. requested_artifact.severity | 끈 | 높은 | |
| action_result.data.*. requested_artifact.source_data_identifier | 끈 | my_custom_sdi | |
| action_result.data.*. requested_artifact.tags | 끈 | TAG2 | |
| action_result.data.*. response.id | 숫자 | 2388 | |
| action_result.data.*. response.success | 부울 | 참 거짓 | |
| action_result.summary | 끈 | ||
| action_result.message | 끈 | 아티팩트가 성공적으로 업데이트되었습니다. | |
| summary.total_objects | 숫자 | 1 | |
| summary.total_objects_successful | 숫자 | 1 |
컨테이너에 메모를 추가하십시오
유형 : 제네릭
읽기 전용 : 거짓
container_id 매개 변수가 비어 있으면 현재 컨테이너의 ID (조치가 실행되는 위치)로 초기화되고 그에 따라 상태가 반영됩니다. 컨테이너가 경우 인 경우, 주석을 특정 단계에 연결하기 위해 Phase_ID 매개 변수를 제공 할 수 있습니다.
| 매개 변수 | 필수의 | 설명 | 유형 | 포함 |
|---|---|---|---|---|
| 제목 | 필수의 | 메모 제목 | 끈 | |
| 콘텐츠 | 선택 과목 | 참고 내용 | 끈 | |
| container_id | 선택 과목 | 컨테이너 ID (현재 컨테이너에 대한 기본값) | 숫자 | phantom container id |
| phase_id | 선택 과목 | 단계가 연관됩니다 | 끈 |
| 데이터 경로 | 유형 | 포함 | 예제 값 |
|---|---|---|---|
| action_result.status | 끈 | 성공 실패 | |
| action_result.parameter.container_id | 숫자 | phantom container id | 35 |
| action_result.parameter.content | 끈 | 앱 작업을 통해 메모 추가 | |
| action_result.parameter.phase_id | 끈 | ||
| action_result.parameter.title | 끈 | 참고 테스트 | |
| action_result.data | 끈 | ||
| action_result.summary | 끈 | ||
| action_result.message | 끈 | 생성 된 참고 | |
| summary.total_objects | 숫자 | 1 | |
| summary.total_objects_successful | 숫자 | 1 |
아티팩트에서 태그를 추가/제거합니다
유형 : 제네릭
읽기 전용 : 거짓
| 매개 변수 | 필수의 | 설명 | 유형 | 포함 |
|---|---|---|---|---|
| artifact_id | 필수의 | 아티팩트 ID | 끈 | phantom artifact id |
| add_tags | 선택 과목 | 아티팩트에 추가 할 쉼표로 구분 된 태그 목록 | 끈 | |
| 제거 _tags | 선택 과목 | 아티팩트에서 제거 할 쉼표로 구분 된 태그 목록 | 끈 |
| 데이터 경로 | 유형 | 포함 | 예제 값 |
|---|---|---|---|
| action_result.status | 끈 | 성공 실패 | |
| action_result.parameter.add_tags | 끈 | tag1, tag3 | |
| action_result.parameter.artifact_id | 끈 | phantom artifact id | 94 |
| action_result.parameter.remove_tags | 끈 | tag2, tag4 | |
| action_result.data | 끈 | ||
| action_result.summary.tags_added | 끈 | tag1 | |
| action_result.summary.tags_already_absent | 끈 | TAG4 | |
| action_result.summary.tags_already_present | 끈 | TAG3 | |
| action_result.summary.tags_Removed | 끈 | TAG2 | |
| action_result.message | 끈 | 태그 추가 : Tag1, Tags 제거 : Tag2, Tags 이미 존재하는 태그 : TAG3, 이미없는 태그 : TAG4 | |
| summary.total_objects | 숫자 | 1 | |
| summary.total_objects_successful | 숫자 | 1 |
CEF 값이 포함 된 아티팩트를 찾으십시오
유형 : 조사
읽기 전용 : True
limit_search 매개 변수가 true로 설정된 경우, 조치는 제공된 container_ids 에서만 필요한 아티팩트를 검색합니다. 그렇지 않으면 container_ids 매개 변수는 무시됩니다.
컨테이너 _IDS 매개 변수에 비인간 값이 제공되면 모든 비 integer 값이 제거되고 그에 따라 매개 변수가 업데이트됩니다. Container_IDS 매개 변수의 값이 현재 인 경우 현재 컨테이너의 ID (동작이 실행되는)로 대체되고 그에 따라 상태가 반영됩니다.
acc 그렇지 않으면 CEF 값 중 하나가 값 매개 변수와 정확히 일치하는 아티팩트를 반환합니다.
Type Integer, Float 또는 String의 값 의 경우 Exact_match 매개 변수를 False로 설정하는 것이 좋습니다.
기본적으로 10 개의 아티팩트가 반환됩니다. 10 개 이상의 아티팩트를 반환하려면 max_results 매개 변수를 업데이트하십시오.
| 매개 변수 | 필수의 | 설명 | 유형 | 포함 |
|---|---|---|---|---|
| cef_key | 선택 과목 | 쿼리중인 CEF DICT의 키 : ACT, APP, ApplicationProtocol, BaineVentCount, Bytesin 등이 전체 CEF 사전을 검색합니다. | 끈 | |
| 값 | 필수의 | 아티팩트 에서이 값을 찾으십시오 | 끈 | * |
| 정확한 _match | 선택 과목 | 정확히 일치 (기본값 : true) | 부울 | |
| limit_search | 선택 과목 | 지정된 컨테이너로의 검색 제한 (기본값 : False) | 부울 | |
| container_ids | 선택 과목 | 공간 또는 쉼표 분리 된 컨테이너 ID 목록. "현재"라는 단어는 현재 컨테이너 ID로 대체됩니다. | 끈 | |
| max_results | 선택 과목 | 반환 할 최대 인공물 수 | 숫자 |
| 데이터 경로 | 유형 | 포함 | 예제 값 |
|---|---|---|---|
| action_result.status | 끈 | 성공 실패 | |
| action_result.parameter.cef_key | 끈 | App App ApplicationProtocol | |
| action_result.parameter.container_ids | 끈 | 현재의 | |
| action_result.parameter.exact_match | 부울 | 참 거짓 | |
| action_result.parameter.limit_search | 부울 | 참 거짓 | |
| action_result.parameter.values | 끈 | * | test_value |
| action_result.data.*. 컨테이너 | 숫자 | 1234 | |
| action_result.data.*. container_name | 끈 | Phantom_test | |
| action_result.data.*. 발견 | 끈 | test_key | |
| action_result.data.*. id | 숫자 | 12345 | |
| action_result.data.*. 일치합니다 | 끈 | test_value | |
| action_result.data.*. 이름 | 끈 | artifact_demo | |
| action_result.summary.artifacts_found | 숫자 | 1 | |
| action_result.summary.server | 끈 | https://10.1.1.10 | |
| action_result.message | 끈 | 아티팩트 발견 : 1, 서버 : https://10.1.1.10 | |
| summary.total_objects | 숫자 | 1 | |
| summary.total_objects_successful | 숫자 | 1 | |
| action_result.parameter.max_results | 숫자 | 2 |
사용자 정의 목록에 값을 추가하십시오
유형 : 제네릭
읽기 전용 : 거짓
단일 값이 포함 된 행을 목록에 추가하려면 단순히 값을 전달합니다. 그러나 여러 값을 연속으로 전달하려면 JSON 배열 (예 : [ "item1", "item2", "item3"])와 같이 형식화하십시오.
목록이 이미 존재하는 경우 조치가 목록을 업데이트합니다 ( Create Parameter가 True로 설정된 경우에도).
이 작업을 통해 목록을 작성하거나 업데이트 한 후 UI에서 동일한 목록이 업데이트되면 사용자는이 작업을 통해 목록을 다시 업데이트하기 전에 해당 변경 사항을 저장해야합니다. 그렇지 않으면 UI에서 작성된 변경 사항이 재정의됩니다.
| 매개 변수 | 필수의 | 설명 | 유형 | 포함 |
|---|---|---|---|---|
| 목록 | 필수의 | 사용자 정의 목록의 이름 또는 ID | 끈 | |
| NEW_ROW | 필수의 | 새 행 (문자열 또는 JSON 목록) | 끈 | * |
| 만들다 | 선택 과목 | 존재하지 않는 경우 목록 작성 (기본값 : False) | 부울 |
| 데이터 경로 | 유형 | 포함 | 예제 값 |
|---|---|---|---|
| action_result.status | 끈 | 성공 실패 | |
| action_result.parameter.create | 부울 | 참 거짓 | |
| action_result.parameter.list | 끈 | demo_list | |
| action_result.parameter.new_row | 끈 | * | [ "value1", "value2", "value3"] |
| action_result.data.*. 실패 | 부울 | ||
| action_result.data.*. 성공 | 부울 | 참 거짓 | |
| action_result.summary.server | 끈 | url | https://10.1.1.10 |
| action_result.message | 끈 | 서버 : https://10.1.1.10 | |
| summary.total_objects | 숫자 | 1 | |
| summary.total_objects_successful | 숫자 | 1 |
사용자 정의 목록에서 값을 찾으십시오
유형 : 조사
읽기 전용 : True
각 일치하는 값의 행 및 열 좌표는 "위치"의 결과 요약에서 찾을 수 있습니다. 일치는 사례에 민감합니다.
acc 그렇지 않으면 값 매개 변수와 정확히 일치하는 문자열을 반환합니다.
| 매개 변수 | 필수의 | 설명 | 유형 | 포함 |
|---|---|---|---|---|
| 목록 | 필수의 | 사용자 정의 목록의 이름 또는 ID | 끈 | |
| column_index | 선택 과목 | 열 번호 검색 (0 기반) | 숫자 | |
| 값 | 필수의 | 검색 할 가치 | 끈 | * |
| 정확한 _match | 선택 과목 | 정확히 일치 (기본값 : true) | 부울 |
| 데이터 경로 | 유형 | 포함 | 예제 값 |
|---|---|---|---|
| action_result.status | 끈 | 성공 실패 | |
| action_result.parameter.column_index | 숫자 | ||
| action_result.parameter.exact_match | 부울 | 참 거짓 | |
| action_result.parameter.list | 끈 | list_demo | |
| action_result.parameter.values | 끈 | * | value1 |
| action_result.data | 끈 | ||
| action_result.data.* | 끈 | ||
| action_result.summary.found_matches | 숫자 | 1 | |
| action_result.summary.list_id | 숫자 | 18 | |
| action_result.summary.locations | 숫자 | ||
| action_result.summary.locations.* | 숫자 | ||
| action_result.summary.server | 끈 | url | https://10.1.1.10 |
| action_result.message | 끈 | 서버 : https://10.1.1.10, 발견 된 매치 : 1, 위치 : [(1, 0)], List ID : 18 | |
| summary.total_objects | 숫자 | 1 | |
| summary.total_objects_successful | 숫자 | 1 |
컨테이너에 새로운 아티팩트를 추가하십시오
유형 : 제네릭
읽기 전용 : 거짓
container_id 매개 변수가 비어 있으면 현재 컨테이너의 ID (동작이 실행되는)로 초기화되고 그에 따라 상태가 반영됩니다.
CEF 필드는 CEF_NAME 및 CEF_VALUE 매개 변수를 사용하거나 CEF_Dictionary 매개 변수를 사용하여 두 가지 방법으로 아티팩트에 추가 할 수 있습니다. cef_name , cef_value 및 cef_dictionary 매개 변수가 모두 포함되면이 작업은 CEF_NAME 필드를 CEF_Dictionary 에 추가합니다.
cef_name 및 cef_value 매개 변수 만 사용하면 아티팩트가 하나의 CEF 필드를 갖습니다.
CEF_Dictionary 매개 변수는 CEF 키 값 쌍을 나타내는 키 값 쌍의 JSON 사전을 취합니다. 이중 인용문 ( ")을 포함하는 값을 제공하려면 이중 인용문 전에 백 슬래시 ()를 추가하십시오.
예를 들어, { "X-Universally-Unique-Inifier": "Test", "Content-Type": "multipart/antlanster; boundary = " Apple-Mail = _0DA95D7E-B791-4751-8043-17594908A2C " >" , "message-id": "[email protected]"}
포함 된 매개 변수는 JSON 사전을 취할 수 있으며, 키는 CEF_Dictionary 의 키와 일치하고 CEF 필드에 가능한 값이 포함 된 값이 포함됩니다. CEF_Dictionary 의 주어진 값이 사전 에 포함되지 않은 경우, 작업은 먼저 기본 CEF 필드 목록을 확인합니다. 기본 CEF 필드가 아닌 경우 동작은 포함 된 적절한 값을 식별하려고 시도합니다.
포함 된 매개 변수는 CEF_VALUE 매개 변수에 포함 된 문자열 (또는 쉼표로 구분 된 문자열 목록)을 취할 수 있습니다. 이 방법은 cef_name 및 cef_value 매개 변수를 사용하는 경우에만 사용해야합니다.
run_automation 매개 변수가 true로 설정되면 아티팩트가 추가 된 후 활성 플레이 북이 자동으로 실행됩니다. 활성 플레이 북은 아티팩트가 추가되는 동일한 컨테이너에서 실행됩니다.
아티팩트, CEF 필드 및 포함 된에 대한 자세한 내용은 나머지 API 문서를 참조하십시오.
| 매개 변수 | 필수의 | 설명 | 유형 | 포함 |
|---|---|---|---|---|
| 이름 | 선택 과목 | 새로운 유물의 이름 | 끈 | |
| container_id | 선택 과목 | 새로운 인공물의 숫자 컨테이너 ID | 숫자 | phantom container id |
| 상표 | 선택 과목 | 아티팩트 레이블 (기본값 : 이벤트) | 끈 | |
| source_data_identifier | 필수의 | 소스 데이터 iDenitifier | 끈 | |
| cef_name | 선택 과목 | CEF 이름 | 끈 | |
| cef_value | 선택 과목 | 값 | 끈 | * |
| cef_dictionary | 선택 과목 | CEF JSON | 끈 | |
| 포함 | 선택 과목 | 각 CEF 필드의 데이터 유형 | 끈 | |
| run_automation | 선택 과목 | 새로 생성 된 아티팩트에서 자동화 실행 (기본값 : False) | 부울 | |
| 결정 _contains | 선택 과목 | 제공된 값이없는 CEF 필드에 대한 포함을 결정합니다 (기본값 : true) | 부울 |
| 데이터 경로 | 유형 | 포함 | 예제 값 |
|---|---|---|---|
| action_result.status | 끈 | 성공 실패 | |
| action_result.parameter.cef_dictionary | 끈 | { "test_key": "test_value"} | |
| action_result.parameter.cef_name | 끈 | ||
| action_result.parameter.cef_value | 끈 | * | |
| action_result.parameter.container_id | 숫자 | phantom container id | 1234 |
| action_result.parameter.contains | 끈 | 도메인 | |
| action_result.parameter.label | 끈 | 이벤트 | |
| action_result.parameter.name | 끈 | artifact_demo | |
| action_result.parameter.run_automation | 끈 | 참 거짓 | |
| action_result.parameter.source_data_identifier | 끈 | ||
| action_result.parameter.determine_contains | 부울 | ||
| action_result.data.*. 기존_artifact_id | 숫자 | ||
| action_result.data.*. 실패 | 부울 | ||
| action_result.data.*. id | 숫자 | 123 | |
| action_result.data.*. 성공 | 부울 | 참 거짓 | |
| action_result.summary.artifact_id | 숫자 | 12345 | |
| action_result.summary.container_id | 숫자 | 1234 | |
| action_result.summary.server | 끈 | url | https://10.1.1.10 |
| action_result.message | 끈 | 아티팩트 ID : 12345, 컨테이너 ID : 1234, 서버 : https://10.1.1.10 | |
| summary.total_objects | 숫자 | 1 | |
| summary.total_objects_successful | 숫자 | 1 |
금고에서 항목을 편향시킵니다
유형 : 제네릭
읽기 전용 : 거짓
이 작업은 Phantom_Server 매개 변수 (자산 구성에서)가 로컬 Phantom 인스턴스 (즉, 조치가 실행되는 인스턴스)로 구성된 경우에만 지원됩니다.
작업은 입력 금고 항목이 압축 파일인지 여부를 감지하고 디 플라이트합니다. 디플레이션 후 발견 된 모든 파일은 금고에 추가됩니다. container_id가 지정되면 금고에 추가됩니다. 그렇지 않으면 현재 (작업이 실행되는 컨테이너) 컨테이너에 추가됩니다. 이 작업은 ZIP , GZIP , BZ2 , TAR 및 TGZ 파일 유형을 지원합니다. 압축 파일에 다른 압축 파일이 포함 된 경우, 재귀 매개 변수를 true로 설정하여 내부 압축 파일을 수축시킵니다.
재귀가 활성화되고 암호가 지정된 경우 응용 프로그램은 주어진 ZIP 파일에만 비밀번호를 사용합니다. 내부 zip 파일은 파일이 비밀번호 보호되지 않은 경우에만 추출됩니다. 다른 압축 방법 중에서도 ZIP 만 암호 보호 기능을 지원합니다.
특정 유니 코드 문자의 경우 파일 이름이 ZipFile 모듈에 의해 제대로 제거되지 않습니다.
| 매개 변수 | 필수의 | 설명 | 유형 | 포함 |
|---|---|---|---|---|
| vault_id | 필수의 | 금고 ID | 끈 | sha1 vault id |
| container_id | 선택 과목 | 대상 컨테이너 ID | 숫자 | phantom container id |
| 비밀번호 | 선택 과목 | 파일의 비밀번호 | 끈 | |
| 재귀 | 선택 과목 | 재귀 적으로 추출 (기본값 : False) | 부울 |
| 데이터 경로 | 유형 | 포함 | 예제 값 |
|---|---|---|---|
| action_result.status | 끈 | 성공 실패 | |
| action_result.parameter.container_id | 숫자 | phantom container id | 3 |
| Action_Result.Parameter.Password | 끈 | p@$$ w0rd | |
| action_result.parameter.recursive | 부울 | 참 거짓 | |
| action_result.parameter.vault_id | 끈 | sha1 vault id | F582ED9120FA3BE94852C73E1CD188F2948F677F |
| action_result.data.*. aka.* | 끈 | test.txt | |
| action_result.data.*. 컨테이너 | 끈 | Phantom_test | |
| action_result.data.*. container_id | 숫자 | phantom container id | 1234 |
| action_result.data.*. 포함.* | 끈 | 금고 ID | |
| Action_Result.Data.*. Create_Time | 끈 | 0 분 전 | |
| Action_Result.Data.*. Create_via | 끈 | 오토메이션 | |
| action_result.data.*. 해시 | 끈 | sha1 | 0A0E6C7AB7F77D058EFD444279B81C4C6A9CF4CE |
| action_result.data.*. id | 숫자 | 12 | |
| action_result.data.*. 메타 데이터 | 끈 | 금고 ID | |
| Action_Result.Data.*. Metadata.md5 | 끈 | md5 | 0DB33A0790B6D6D5C2E4425646EEE7FC |
| Action_Result.Data.*. Metadata.sha1 | 끈 | sha1 | FECE6C7AB7F77D058EFD444279B81C4C6A9CF4CE |
| Action_Result.Data.*. Metadata.sha256 | 끈 | sha256 | 4F2155212CB0F74207BD0E4FD5ECAE548EE2BAE1D2DCD36C1D0BA0B6254BD4A1 |
| Action_Result.Data.*. Metadata.size | 숫자 | 33 | |
| Action_Result.Data.*. MIME_TYPE | 끈 | 텍스트/평원 | |
| action_result.data.*. 이름 | 끈 | TGZ-TEST | |
| action_result.data.*. 경로 | 끈 | ||
| action_result.data.*. 크기 | 숫자 | 10240 | |
| action_result.data.*. 작업 | 끈 | ||
| action_result.data.*. 사용자 | 끈 | ||
| action_result.data.*. vault_document | 숫자 | ||
| action_result.data.*. vault_id | 끈 | sha1 vault id | B90E6C7AB7F77D058EFD444279B81C4C6A9CF4CE |
| action_result.summary.total_vault_items | 숫자 | 9 | |
| action_result.message | 끈 | 총 금고 항목 : 9 | |
| summary.total_objects | 숫자 | 1 | |
| summary.total_objects_successful | 숫자 | 1 |
로컬 컨테이너를 구성된 팬텀 자산으로 내보내십시오
유형 : 제네릭
읽기 전용 : 거짓
이 조치는 로컬 팬텀 인스턴스 (조치가 실행되는 경우)에서 구성된 팬텀 자산 (조치가 실행되고 있음)으로 컨테이너 (컨테이너 _id와 일치하는 컨테이너 _id 와 일치하는 컨테이너)를 내 보냅니다.
로컬 팬텀 인스턴스의 컨테이너 메타 데이터와 구성된 팬텀 자산이 일치하지 않으면 이름 u'critical '이 존재하지 않는 심각도 인스턴스와 같은 오류 메시지가 실패합니다.
구성된 Phantom 인스턴스의 컨테이너 소유자가 로컬 인스턴스의 소유자와 일치하도록하려면 keep_owner 매개 변수를 true로 설정하십시오. 이것은 소유자 이름이 아닌 소유자 ID를 기반으로합니다.
| 매개 변수 | 필수의 | 설명 | 유형 | 포함 |
|---|---|---|---|---|
| container_id | 필수의 | 복사 할 컨테이너 ID | 숫자 | phantom container id |
| Keep_owner | 선택 과목 | 소유자를 유지하십시오 | 부울 | |
| 상표 | 선택 과목 | 내보내기 컨테이너의 이름을 지정하십시오. 비어있는 경우 내보내기 컨테이너의 이름이 동일합니다. | 끈 | |
| run_automation | 선택 과목 | 활성 플레이 북을 실행하십시오 | 부울 |
| 데이터 경로 | 유형 | 포함 | 예제 값 |
|---|---|---|---|
| action_result.status | 끈 | 성공 실패 | |
| action_result.parameter.container_id | 숫자 | phantom container id | 3 |
| action_result.parameter.keep_owner | 부울 | 참 거짓 | |
| action_result.parameter.label | 끈 | 이벤트 | |
| action_result.parameter.run_automation | 부울 | 참 거짓 | |
| action_result.data | 끈 | ||
| action_result.summary.artifact_count | 숫자 | 268 | |
| action_result.summary.container_id | 숫자 | phantom container id | 94 |
| action_result.message | 끈 | 컨테이너 ID : 94, 아티팩트 수 : 268 | |
| summary.total_objects | 숫자 | 1 | |
| summary.total_objects_successful | 숫자 | 1 |
외부 팬텀 인스턴스에서 컨테이너를 가져옵니다
유형 : 제네릭
읽기 전용 : 거짓
이 조치는 구성된 Phantom Asset (조치가 실행되고 있음)에서 컨테이너 ( 컨테이너 _id 와 일치하는)를 가져옵니다 (조치가 실행중인 인스턴스)로 가져옵니다.
구성된 Phantom Asset의 컨테이너 메타 데이터와 로컬 Phantom 인스턴스가 일치하지 않으면 이름 u'critical '이 존재하지 않는 심각도 인스턴스 와 같은 오류 메시지가 실패합니다.
로컬 팬텀 인스턴스의 컨테이너 소유자가 구성된 인스턴스의 소유자와 일치하도록하려면 keep_owner 매개 변수를 true로 설정하십시오. 이것은 소유자 이름이 아닌 소유자 ID를 기반으로합니다.
| 매개 변수 | 필수의 | 설명 | 유형 | 포함 |
|---|---|---|---|---|
| container_id | 필수의 | 복사 할 컨테이너 ID | 숫자 | phantom container id |
| Keep_owner | 선택 과목 | 소유자를 유지하십시오 | 부울 |
| 데이터 경로 | 유형 | 포함 | 예제 값 |
|---|---|---|---|
| action_result.status | 끈 | 성공 실패 | |
| action_result.parameter.container_id | 끈 | phantom container id | 3 |
| action_result.parameter.keep_owner | 부울 | 참 거짓 | |
| action_result.data | 끈 | ||
| action_result.summary.artifact_count | 숫자 | 268 | |
| action_result.summary.container_id | 숫자 | phantom container id | 94 |
| action_result.message | 끈 | 컨테이너 ID : 94, 아티팩트 수 : 268 | |
| summary.total_objects | 숫자 | 1 | |
| summary.total_objects_successful | 숫자 | 1 |
팬텀 인스턴스에 새 컨테이너를 만듭니다
유형 : 제네릭
읽기 전용 : 거짓
이 작업은 Phantom 서버에 새 컨테이너를 생성하며 Phantom_Server 자산 매개 변수에 구성됩니다. Container_json 매개 변수는 JSON 문자열이어야합니다. Container_JSON 매개 변수에 레이블 키를 제공해야합니다. Container_json 에 대상 팬텀 자산에 존재하지 않는 레이블이 있으면 조치가 실패합니다.
예 : "이름": "테스트 컨테이너", "레이블": "이벤트"}}
container_artifacts 는 JSON 문자열로 인공물 객체 목록이어야하는 선택적 매개 변수입니다. 각 아티팩트 JSON 객체에는 CEF, CEF_TYPES, 데이터, 설명, END_TIME, Ingest_App_ID, Kill_chain, 이름, 소유자 _ID, 심각도, Source_Data_Indifier, Start_Time, Tags, Type, Type, Name, Label, Label, Label, Label, Laine, Laine, Laine, Laine, Name, Name, Name, Name, Name. 다른 모든 키는 무시됩니다.
예 : [{ "name": "artifact 1", "label": "label1", "cef": { "test": "123"}}, { "name": "artifact 2", "label": "label2", "cef": { "test": "456"}}]
자세한 내용은 Splunk Phantom 문서를 참조하십시오.
| 매개 변수 | 필수의 | 설명 | 유형 | 포함 |
|---|---|---|---|---|
| 컨테이너 _json | 필수의 | 컨테이너 json 물체 | 끈 | |
| container_artifacts | 선택 과목 | 아티팩트 JSON 개체 목록 | 끈 |
| 데이터 경로 | 유형 | 포함 | 예제 값 |
|---|---|---|---|
| action_result.status | 끈 | 성공 실패 | |
| action_result.parameter.container_artifacts | 끈 | [{ "name": "Artifact (1)의 인간 친화적 인 이름", "레이블": "이벤트", "source_data_identifier": 1}, { "name": "Artifact (2)의 인간 친화적 인 이름", "label": "event", "source_data_identifier": 2}, { "name": "아티팩트의 인간 친화적 인 이름 (3)", "레이블": "이벤트", "Source_data_identifier": 3}] | |
| action_result.parameter.container_json | 끈 | { "심각도": "medium", "label": "events", "버전": 1, "자산": 7, "상태": "New", "Description": "Phantom Helper의 새로운 컨테이너", " 태그 ": [],"data ": {},"name ":"이것은 컨테이너입니다 "} | |
| action_result.data | 끈 | ||
| action_result.summary.artifact_count | 숫자 | 3 | |
| action_result.summary.container_id | 숫자 | phantom container id | |
| action_result.summary.failed_artifact_count | 숫자 | 7 | |
| action_result.message | 끈 | 컨테이너 ID : 82, 아티팩트 수 : 3 | |
| summary.total_objects | 숫자 | 1 | |
| summary.total_objects_successful | 숫자 | 1 |
이전에 실행되는 작업의 결과를 찾으십시오
유형 : 조사
읽기 전용 : True
이 조치는 주어진 time_limit 내에서 주어진 매개 변수 로 시작된 주어진 Action_name 의 가장 최근 결과를 반환합니다.
이 작업은 Max_Results 에서 값으로 반환 된 결과 수를 제한합니다. 기본적으로 한계는 10입니다. 모든 결과를 얻으려면 max_Results 매개 변수를 0으로 설정하십시오.
매개 변수 매개 변수는 형식으로 JSON 문자열을 취합니다.
{
"parameter_name1": "parameter_value1"
"parameter_name2": "parameter_value2"
...
}| 매개 변수 | 필수의 | 설명 | 유형 | 포함 |
|---|---|---|---|---|
| action_name | 필수의 | 행동 이름 | 끈 | |
| 매개 변수 | 선택 과목 | JSON 액션 매개 변수 | 끈 | |
| 앱 | 선택 과목 | 앱 이름 | 끈 | |
| 유산 | 선택 과목 | 자산 이름 | 끈 | |
| time_limit | 선택 과목 | 다시 검색 할 시간 수 | 숫자 | |
| max_results | 선택 과목 | 반환 할 최대 조치 결과 | 숫자 |
| 데이터 경로 | 유형 | 포함 | 예제 값 |
|---|---|---|---|
| action_result.status | 끈 | 성공 실패 | |
| action_result.parameter.action_name | 끈 | 블랙리스트 IP | |
| action_result.parameter.app | 끈 | 환상 | |
| action_result.parameter.asset | 끈 | test_phantom | |
| action_result.parameter.max_results | 숫자 | 5 | |
| action_result.parameter.parameters | 끈 | { "IP": "1.8.9.0"} | |
| action_result.parameter.time_limit | 숫자 | 24 | |
| action_result.data.*. 액션 | 끈 | 블랙리스트 IP | |
| Action_Result.Data.*. Action_Run | 숫자 | 2724 | |
| action_result.data.*. 앱 | 숫자 | 121 | |
| action_result.data.*. App_name | 끈 | 환상 | |
| action_result.data.*. App_version | 끈 | 1.0.0 | |
| action_result.data.*. 자산 | 숫자 | 137 | |
| action_result.data.*. 컨테이너 | 숫자 | 1154 | |
| action_result.data.*. Effective_user | 끈 | ||
| action_result.data.*. end_time | 끈 | 2017-11-06T20 : 30 : 27.991000Z | |
| action_result.data.*. Exception_occured | 부울 | 참 거짓 | |
| action_result.data.*. extr. | 끈 | ||
| action_result.data.*. id | 숫자 | 2761 | |
| action_result.data.*. 메시지 | 끈 | 성공적으로 블랙리스트 IP | |
| Action_Result.Data.*. PlayBook_Run | 숫자 | 1056 | |
| action_result.data.*. result_data.*. 데이터 | 숫자 | ||
| action_result.data.*. result_data.*. 메시지 | 끈 | IP는 성공적으로 블랙리스트에 올랐습니다 | |
| action_result.data.*. result_data.*. 매개 변수 | 끈 | ||
| action_result.data.*. result_data.*. Parameter.context.artifact_id | 숫자 | 0 | |
| action_result.data.*. result_data.*. Parameter.context.guid | 끈 | 293d0369-4801-417D-A1AF-A73CF1200D3D | |
| action_result.data.*. result_data.*. parameter.context.parent_action_run | 끈 | ||
| action_result.data.*. result_data.*. 상태 | 끈 | 성공 | |
| action_result.data.*. result_data.*. 요약 | 끈 | ||
| action_result.data.*. result_summary.total_objects | 숫자 | 1 | |
| action_result.data.*. result_summary.total_objects_successful | 숫자 | 1 | |
| action_result.data.*. start_time | 끈 | 2017-11-06T20 : 30 : 04.879000Z | |
| action_result.data.*. 상태 | 끈 | 성공 실패 | |
| action_result.data.*. 버전 | 숫자 | 1 | |
| action_result.summary.action_run_id | 숫자 | 2761 | |
| action_result.summary.num_results | 숫자 | ||
| action_result.message | 끈 | 액션 실행 ID : 2761 | |
| summary.total_objects | 숫자 | 1 | |
| summary.total_objects_successful | 숫자 | 1 |
목록을 업데이트하십시오
유형 : 제네릭
읽기 전용 : 거짓
list_name 또는 id가 필요합니다. List_Name 및 ID 매개 변수가 모두 제공되고 둘 다 다른 목록을 가리키면 List_Name 매개 변수가 선호되고 조치는 list_name 매개 변수에 지정된 목록을 업데이트합니다.
| 매개 변수 | 필수의 | 설명 | 유형 | 포함 |
|---|---|---|---|---|
| list_name | 선택 과목 | 목록 이름 | 끈 | |
| ID | 선택 과목 | 목록 ID | 숫자 | |
| row_number | 필수의 | 수정할 목록의 행 번호 | 숫자 | |
| row_values_as_list | 필수의 | JSON은 행의 새 값 목록을 형식화했습니다 | 끈 |
| 데이터 경로 | 유형 | 포함 | 예제 값 |
|---|---|---|---|
| action_result.status | 끈 | 성공 실패 | |
| action_result.parameter.id | 숫자 | ||
| action_result.parameter.list_name | 끈 | 내 첫 번째 목록 | |
| action_result.parameter.row_number | 숫자 | 0 | |
| action_result.parameter.row_values_as_list | 끈 | [ "this", "is", "a", "test"]]] | |
| action_result.data.*. 성공 | 부울 | 진실 | |
| action_result.summary | 끈 | ||
| action_result.message | 끈 | ||
| summary.total_objects | 숫자 | 1 | |
| summary.total_objects_successful | 숫자 | 1 |
지정된 초를 기다립니다
유형 : 조사
읽기 전용 : True
| 매개 변수 | 필수의 | 설명 | 유형 | 포함 |
|---|---|---|---|---|
| 수면 _seconds | 필수의 | 이 몇 초 동안 잠을 자십시오 | 숫자 |
| DATA PATH | 유형 | CONTAINS | EXAMPLE VALUES |
|---|---|---|---|
| action_result.status | 끈 | success failed | |
| action_result.parameter.sleep_seconds | numeric | 15 | |
| action_result.data | 끈 | ||
| action_result.summary | 끈 | ||
| action_result.message | 끈 | Slept for 15 seconds | |
| summary.total_objects | numeric | 1 | |
| summary.total_objects_successful | numeric | 1 |
