phantom
3.7.0
Editor: Splunk
Versão do conector: 3.7.1
Fornecedor de produtos: Phantom
Nome do produto: Phantom
Versão do produto suportada (regex): ".*"
Versão mínima do produto: 6.2.1
Este aplicativo expõe várias APIs fantasmas como ações
O parâmetro de configuração auth_token é para uso com instâncias fantasmas. Se o token e o nome de usuário/senha forem fornecidos, o nome de usuário e a senha serão usados para se autenticar na instância Phantom.
Observe que o IP (ou nome) que está sendo usado deve corresponder ao IP permitido na configuração do ativo de Remote Phantom Instância.
Caso o parâmetro Phantom_Server Configuration seja definido como a instância Phantom atual, isto é, o servidor Phantom, através do qual o aplicativo está sendo usado, o verify_certificate deve ser definido como false na configuração de ativos.
Para obter informações sobre como obter um token de autorização, consulte Provisionando um token de autorização na documentação da visão geral do Phantom Rest.
Se o valor fornecido no parâmetro Phantom_server de configuração for 0.0.0.0, a conectividade do teste passar com sucesso e as ações serão executadas na instância Phantom atual, ou seja, o servidor através do qual o aplicativo está sendo usado.
Consulte o Artigo 7 e KB do KB e KB sobre como criar e verificar um certificado HTTPS válido para sua instância Phantom.
Por razões de segurança, o acesso ao 127.0.0.1 não é permitido.
Para instâncias NRI, o parâmetro de configuração do nome do dispositivo IP/host também precisa especificar o número da porta. (Por exemplo, xxxx: 9999)
Os parâmetros de ação existentes foram modificados nas ações fornecidas abaixo. Portanto, é solicitado ao usuário final para atualizar seus manuais existentes, reinserindo os blocos de ação correspondentes ou fornecendo valores apropriados a esses parâmetros de ação para garantir o funcionamento correto dos manuais criados nas versões anteriores do aplicativo.
Lista de atualizações - O parâmetro row_values_as_list , foi alterado dos novos valores separados por vírgula para uma lista formatada JSON de novos valores. Isso permitirá que o usuário forneça um valor contendo um caractere de vírgula (','). O exemplo para o mesmo foi atualizado nos valores de exemplo.
Adicionar artefato - o parâmetro contém , pode pegar uma string (ou uma lista de string separada por vírgula) ou um dicionário JSON, com as teclas que correspondem às teclas do CEF_Dictionary e os valores sendo possíveis contêm para o campo CEF. No caso, o parâmetro contém é uma string (ou uma lista de string separada por vírgula), o valor fornecido mapeará o parâmetro CEF_NAME .
Os dados de saída, action_result.summary.artifact ID e Action_result.summary.container ID foram substituídos por action_result.summary.artifact_id e ação_result.summary.container_id , respectivamente.
Encontre artefatos - o action_result.summary.artifacts descobriu que o Datapath foi substituído por action_result.summary.artifacts_found.
Encontre o ListItem - o Datapath do Action_Result.Summary.Found Matches foi substituído pelo Action_Result.summary.found_matches.
Atualizar tags de artefatos - os seguintes dados de saída foram adicionados:
Atualizar artefato - Os parâmetros de ação desta ação foram modificados. Atualize seus manuais existentes de acordo com os novos parâmetros. Abaixo está a lista dos parâmetros adicionados:
Para mais detalhes, verifique a seção de artefato de atualização .
O aplicativo usa o protocolo HTTP/ HTTPS para se comunicar com o servidor Phantom. Abaixo estão as portas padrão usadas pelo Splunk Soar.
| Nome do serviço | Protocolo de transporte | PORTA |
|---|---|---|
| http | TCP | 80 |
| https | TCP | 443 |
As variáveis de configuração abaixo são necessárias para que este conector opere. Essas variáveis são especificadas ao configurar um ativo fantasma em Soar.
| VARIÁVEL | OBRIGATÓRIO | TIPO | DESCRIÇÃO |
|---|---|---|---|
| phantom_server | obrigatório | corda | Phantom IP ou HostName (por exemplo, 10.1.1.10 ou válido_phantom_hostname) |
| auth_token | opcional | senha | Token de autenticação fantasma |
| nome de usuário | opcional | corda | Nome de usuário (para http Basic Auth) |
| senha | opcional | senha | Senha (para http Basic Auth) |
| verifique_Certificate | opcional | booleano | Verifique o certificado HTTPS (padrão: false) |
| Deflate_item_extensions | opcional | corda | Somente arquivos com as extensões especificadas (separadas por vírgula) serão esvaziadas. Se em branco, a extensão do arquivo não será verificada |
Conectividade de teste - Validar a configuração de ativos para conectividade
Atualizar artefato - Atualizar ou substituir o artefato fantasma com a entrada fornecida
Adicionar nota - adicione uma nota a um contêiner
Atualizar tags de artefatos - Adicionar/remover tags de um artefato
Encontre artefatos - Encontre artefatos contendo um valor CEF
Adicionar ListItem - Adicione Valor a uma lista personalizada
Encontre ListItem - Encontre o valor em uma lista personalizada
Adicione artefato - adicione um novo artefato a um contêiner
Deflatar o item - deflande um item do cofre
Contêiner de exportação - Exportar contêiner local para o ativo fantasma configurado
contêiner de importação - importar um contêiner de uma instância de fantasma externa
Criar contêiner - Crie um novo contêiner em uma instância Phantom
Obtenha resultado da ação - encontre os resultados de uma ação de execução anteriormente
Lista de atualização - Atualize uma lista
sem op - aguarde o número especificado de segundos
Validar a configuração de ativos para conectividade
Tipo: teste
Somente leia: verdadeiro
Não são necessários parâmetros para esta ação
Sem saída
Atualizar ou substituir o artefato fantasma com a entrada fornecida
Tipo: genérico
Somente leia: Falso
| PARÂMETRO | EXEMPLO |
|---|---|
| nome | Nome do artefato |
| rótulo | Artifact_label |
| gravidade | alto |
| CEF_JSON | {"Key1": "Value1", "GoodDomain": "www.splunk.com", "Remone_me": ""} |
| CEF_TYPES_JSON | {"GoodDomain": ["domain"]} |
| tags | tag1, tag3 ou ["tag2", "tag4"] |
| Artifact_json | {"Source_Data_Identifier": "MyTicket1234", "Label": "newlabel"} |
| PARÂMETRO | OBRIGATÓRIO | DESCRIÇÃO | TIPO | Contém |
|---|---|---|---|---|
| artifact_id | obrigatório | Id de artefato para atualizar | corda | phantom artifact id |
| nome | opcional | Nome do artefato (sempre substitui, se fornecido) | corda | |
| rótulo | opcional | Etiqueta de artefato (sempre substitui, se fornecido) | corda | |
| gravidade | opcional | A gravidade do artefato (sempre substitui, se fornecido) | corda | |
| CEF_JSON | opcional | Formato JSON dos campos CEF que você deseja no artefato | corda | |
| CEF_TYPES_JSON | opcional | Formato json dos tipos CEF (por exemplo, {'myip': ['ip', 'ipv6']}) | corda | |
| tags | opcional | Lista de tags separada por vírgula para adicionar ou substituir no artefato | corda | |
| substituir | opcional | Substituir artefatos com entrada fornecida (aplica -se a: CEF_JSON, contém_json, tags) | booleano | |
| Artifact_json | opcional | Formato JSON de arte inteira (sempre substitui as chaves fornecidas) | corda |
| Caminho de dados | TIPO | Contém | Valores de exemplo |
|---|---|---|---|
| action_result.status | corda | Sucesso falhou | |
| action_result.parameter.artifact_id | corda | phantom artifact id | 2388 |
| action_result.parameter.artifact_json | corda | {"Gravidade": "High", "Label": "Etiqueta de teste", "Descrição": "Artefato Adicionado por mim", "Source_Data_Identifier": "My_custom_sdi"} | |
| action_result.parameter.cef_json | corda | {"new_field": "new_value", "Deleted_field": ""} | |
| action_result.parameter.cef_types_json | corda | {"new_field": ["new contains"]} | |
| action_result.parameter.label | corda | Etiqueta de teste | |
| action_result.parameter.name | corda | Novo nome | |
| action_result.parameter.overwrite | booleano | Verdadeiro falso | |
| action_result.parameter.severity | corda | alto | |
| action_result.parameter.tags | corda | ["TAG2"] | |
| action_result.data.*. Soliced_artifact.cef.deleted_field | corda | ||
| action_result.data.*. Soliced_artifact.cef.new_field | corda | new_value | |
| action_result.data.*. Soliced_artifact.cef.test | corda | fff | |
| action_result.data.*. Soliced_artifact.cef_types.new_field | corda | novo contém | |
| action_result.data.*. Soliced_artifact.Description | corda | Artefato adicionado por mim | |
| action_result.data.*. Soliced_artifact.label | corda | Etiqueta de teste | |
| action_result.data.*. Soliced_artifact.name | corda | Novo nome | |
| action_result.data.*. Soliced_artifact.Severity | corda | alto | |
| action_result.data.*. Soliced_artifact.source_data_identifier | corda | my_custom_sdi | |
| action_result.data.*. Soliced_artifact.tags | corda | TAG2 | |
| action_result.data.*. Response.id | numérico | 2388 | |
| action_result.data.*. Response.Success | booleano | Verdadeiro falso | |
| action_result.summary | corda | ||
| Action_Result.Message | corda | Artefato atualizado com sucesso. | |
| Summary.Total_Objects | numérico | 1 | |
| Summary.total_objects_successful | numérico | 1 |
Adicione uma nota a um contêiner
Tipo: genérico
Somente leia: Falso
Se o parâmetro container_id for deixado vazio, ele será inicializado no ID do contêiner atual (de onde a ação está sendo executada) e o status será refletido de acordo. Se o contêiner for um caso, um parâmetro fase_id poderá ser fornecido para associar a nota a uma fase específica.
| PARÂMETRO | OBRIGATÓRIO | DESCRIÇÃO | TIPO | Contém |
|---|---|---|---|---|
| título | obrigatório | Título para a nota | corda | |
| contente | opcional | Nota conteúdo | corda | |
| container_id | opcional | O ID do contêiner (padrão para o contêiner atual) | numérico | phantom container id |
| fase_id | opcional | Fase a nota será associada a | corda |
| Caminho de dados | TIPO | Contém | Valores de exemplo |
|---|---|---|---|
| action_result.status | corda | Sucesso falhou | |
| action_result.parameter.container_id | numérico | phantom container id | 35 |
| action_result.parameter.content | corda | Adicionando uma nota via ação do aplicativo | |
| action_result.parameter.phase_id | corda | ||
| action_result.parameter.title | corda | Nota teste | |
| action_result.data | corda | ||
| action_result.summary | corda | ||
| Action_Result.Message | corda | Nota criada | |
| Summary.Total_Objects | numérico | 1 | |
| Summary.total_objects_successful | numérico | 1 |
Adicionar/remover tags de um artefato
Tipo: genérico
Somente leia: Falso
| PARÂMETRO | OBRIGATÓRIO | DESCRIÇÃO | TIPO | Contém |
|---|---|---|---|---|
| artifact_id | obrigatório | O ID do artefato | corda | phantom artifact id |
| add_tags | opcional | Lista de tags separada por vírgula para adicionar ao artefato | corda | |
| remove_tags | opcional | Lista de tags separada por vírgula para remover do artefato | corda |
| Caminho de dados | TIPO | Contém | Valores de exemplo |
|---|---|---|---|
| action_result.status | corda | Sucesso falhou | |
| action_result.parameter.add_tags | corda | tag1, tag3 | |
| action_result.parameter.artifact_id | corda | phantom artifact id | 94 |
| action_result.parameter.remove_tags | corda | TAG2, TAG4 | |
| action_result.data | corda | ||
| action_result.summary.tags_added | corda | TAG1 | |
| action_result.summary.tags_already_absent | corda | tag4 | |
| Action_Result.summary.tags_already_present | corda | TAG3 | |
| action_result.summary.tags_removed | corda | TAG2 | |
| Action_Result.Message | corda | Tags adicionadas: tag1, tags removidas: tag2, tags já presentes: tag3, tags já ausentes: tag4 | |
| Summary.Total_Objects | numérico | 1 | |
| Summary.total_objects_successful | numérico | 1 |
Encontre artefatos contendo um valor CEF
Tipo: Investigue
Somente leia: verdadeiro
Se o parâmetro limite_search for definido como true, a ação pesquisará o artefato necessário apenas no container_ids fornecido. Caso contrário, o parâmetro container_ids será ignorado.
Se algum valor não inteiro for fornecido no parâmetro container_ids , todos os valores não inteiros serão removidos e o parâmetro será atualizado de acordo. Se o valor do parâmetro container_ids estiver atualizado , ele será substituído pelo ID do contêiner atual (do qual a ação está sendo executada) e o status será refletido de acordo.
Se o parâmetro exat_match estiver definido como false, a ação retornará todos os artefatos para os quais o parâmetro de valores será uma substring de qualquer um de seus valores CEF. Caso contrário, ele retornará os artefatos para os quais qualquer um de seu valor CEF corresponde exatamente ao parâmetro dos valores .
Para os valores do tipo inteiro, float ou string, sugere -se definir o parâmetro Exact_match como false.
Por padrão, 10 artefatos são devolvidos. Se você deseja retornar mais ou menos de 10 artefatos, atualize o parâmetro max_results .
| PARÂMETRO | OBRIGATÓRIO | DESCRIÇÃO | TIPO | Contém |
|---|---|---|---|---|
| CEF_KEY | opcional | Chave do CEF Dict Você está consultando: ACT, App, ApplicationProtocol, BaseEventCount, Bytesin, etc. Ele pesquisará todo o dicionário CEF se em branco | corda | |
| valores | obrigatório | Encontre esse valor em artefatos | corda | * |
| Exact_match | opcional | Correspondência exata (padrão: true) | booleano | |
| limite_search | opcional | Limite a pesquisa a contêineres especificados (padrão: false) | booleano | |
| container_ids | opcional | Lista de IDs de contêineres separados por espaço ou vírgula. A palavra "atual" será substituída pelo ID atual do contêiner | corda | |
| max_results | opcional | Número máximo de artefatos para retornar | numérico |
| Caminho de dados | TIPO | Contém | Valores de exemplo |
|---|---|---|---|
| action_result.status | corda | Sucesso falhou | |
| action_result.parameter.cef_key | corda | App ApplicationProtocol App Application | |
| action_result.parameter.container_ids | corda | atual | |
| action_result.parameter.exact_match | booleano | Verdadeiro falso | |
| action_result.parameter.limit_search | booleano | Verdadeiro falso | |
| action_result.parameter.values | corda | * | test_value |
| action_result.data.*. Container | numérico | 1234 | |
| action_result.data.*. container_name | corda | phantom_test | |
| action_result.data.*. Encontrado em | corda | test_key | |
| action_result.data.*. Id | numérico | 12345 | |
| action_result.data.*. Combinado | corda | test_value | |
| action_result.data.*. Nome | corda | Artifact_demo | |
| action_result.summary.artifacts_found | numérico | 1 | |
| action_result.summary.server | corda | https://10.1.1.10 | |
| Action_Result.Message | corda | Artefatos encontrados: 1, servidor: https://10.1.1.10 | |
| Summary.Total_Objects | numérico | 1 | |
| Summary.total_objects_successful | numérico | 1 | |
| action_result.parameter.max_results | numérico | 2 |
Adicione valor a uma lista personalizada
Tipo: genérico
Somente leia: Falso
Para adicionar uma linha contendo um único valor a uma lista, basta passar no valor. No entanto, para passar vários valores em uma linha, formate -o como uma matriz JSON (por exemplo, ["Item1", "Item2", "Item3"]).
A ação atualizará a lista , se a lista já existir (mesmo que o parâmetro CREATE esteja definido como true).
Depois de criar ou atualizar uma lista por meio dessa ação, se a mesma lista for atualizada a partir da interface do usuário, o usuário precisará salvar essas alterações antes de atualizar a lista através dessa ação novamente, caso contrário, as alterações feitas na interface do usuário serão substituídas.
| PARÂMETRO | OBRIGATÓRIO | DESCRIÇÃO | TIPO | Contém |
|---|---|---|---|---|
| lista | obrigatório | Nome ou ID de uma lista personalizada | corda | |
| new_row | obrigatório | Nova linha (string ou lista JSON) | corda | * |
| criar | opcional | Criar lista se não existir (padrão: false) | booleano |
| Caminho de dados | TIPO | Contém | Valores de exemplo |
|---|---|---|---|
| action_result.status | corda | Sucesso falhou | |
| action_result.parameter.create | booleano | Verdadeiro falso | |
| action_result.parameter.list | corda | Demo_list | |
| action_result.parameter.new_row | corda | * | ["value1", "value2", "value3"] |
| action_result.data.*. falhou | booleano | ||
| action_result.data.*. Sucesso | booleano | Verdadeiro falso | |
| action_result.summary.server | corda | url | https://10.1.1.10 |
| Action_Result.Message | corda | Servidor: https://10.1.1.10 | |
| Summary.Total_Objects | numérico | 1 | |
| Summary.total_objects_successful | numérico | 1 |
Encontre valor em uma lista personalizada
Tipo: Investigue
Somente leia: verdadeiro
As coordenadas de linha e coluna para cada valor correspondente podem ser encontradas no resumo do resumo em "Locais". A partida é sensível ao minúsculo.
Se o parâmetro Exact_match estiver definido como FALSE, a ação retornará todas as strings para as quais o parâmetro de valores será sua substring. Caso contrário, ele retornará aquelas strings que correspondem exatamente ao parâmetro dos valores .
| PARÂMETRO | OBRIGATÓRIO | DESCRIÇÃO | TIPO | Contém |
|---|---|---|---|---|
| lista | obrigatório | Nome ou ID de uma lista personalizada | corda | |
| Column_index | opcional | Pesquise no número da coluna (0 baseado) | numérico | |
| valores | obrigatório | Valor para procurar | corda | * |
| Exact_match | opcional | Correspondência exata (padrão: true) | booleano |
| Caminho de dados | TIPO | Contém | Valores de exemplo |
|---|---|---|---|
| action_result.status | corda | Sucesso falhou | |
| action_result.parameter.column_index | numérico | ||
| action_result.parameter.exact_match | booleano | Verdadeiro falso | |
| action_result.parameter.list | corda | list_demo | |
| action_result.parameter.values | corda | * | valor1 |
| action_result.data | corda | ||
| action_result.data.* | corda | ||
| action_result.summary.found_matches | numérico | 1 | |
| action_result.summary.list_id | numérico | 18 | |
| action_result.summary.locações | numérico | ||
| action_result.summary.locations.* | numérico | ||
| action_result.summary.server | corda | url | https://10.1.1.10 |
| Action_Result.Message | corda | Servidor: https://10.1.1.10, encontrado correspondências: 1, locais: [(1, 0)], ID da lista: 18 | |
| Summary.Total_Objects | numérico | 1 | |
| Summary.total_objects_successful | numérico | 1 |
Adicione um novo artefato a um contêiner
Tipo: genérico
Somente leia: Falso
Se o parâmetro container_id for deixado vazio, ele será inicializado no ID do contêiner atual (do qual a ação está sendo executada) e o status será refletido de acordo.
Os campos CEF podem ser adicionados ao artefato de duas maneiras, usando o parâmetro CEF_NAME e CEF_VALUE ou usando o parâmetro CEF_Dictionary . Se os parâmetros CEF_NAME , CEF_VELUE e CEF_DICIONÁRIOS estiverem todos incluídos, a ação adicionará o campo CEF_NAME ao CEF_Dictionary .
Usando apenas o parâmetro CEF_NAME e CEF_VALUE resultará no artefato ter um campo CEF.
O parâmetro CEF_Dictionary leva um dicionário JSON com pares de valor-chave representando pares de valor-chave CEF. Para fornecer valores contendo citações duplas ("), adicione uma barra de barra () antes das citações duplas.
Para por exemplo, {"X-Universally-Unique-identificador": "teste", "conteúdo-tipo": "Multipart/Alternative; limite = " Apple-mail = _0DA95D7E-B791-4751-8043-17949088A2C " >"> " , "Message-ID": "[email protected]"}
O parâmetro contém pode levar um dicionário JSON, com as teclas que correspondem às teclas do CEF_Dictionary e os valores que listas possíveis contêm para o campo CEF. Se um determinado valor no CEF_Dictionary não estiver presente no contém dicionário, a ação primeiro verificará a lista de campos CEF padrão. Se não for um campo CEF padrão, a ação tentará identificar o valor apropriado para contém.
O parâmetro contém também pode pegar uma string (ou uma lista de strings separada por vírgula) representando o contém para o parâmetro CEF_VALUE . Este método deve ser usado apenas se os parâmetros CEF_NAME e CEF_VALUE forem usados.
Se o parâmetro run_automation estiver definido como true, os manuais ativos serão executados automaticamente após a adição do artefato. Os manuais ativos serão executados no mesmo contêiner em que o artefato é adicionado.
Veja a documentação da API REST para obter mais informações sobre artefatos, campos CEF e contém.
| PARÂMETRO | OBRIGATÓRIO | DESCRIÇÃO | TIPO | Contém |
|---|---|---|---|---|
| nome | opcional | Nome do novo artefato | corda | |
| container_id | opcional | ID de contêiner numérico para o novo artefato | numérico | phantom container id |
| rótulo | opcional | Rótulo de artefato (padrão: evento) | corda | |
| Source_Data_Identifier | obrigatório | Idenitificador de dados de origem | corda | |
| CEF_NAME | opcional | Nome do CEF | corda | |
| CEF_VALUE | opcional | Valor | corda | * |
| CEF_DICIONÁRIO | opcional | CEF JSON | corda | |
| contém | opcional | Tipo de dados para cada campo CEF | corda | |
| run_automation | opcional | Execute a automação em artefatos recém -criados (S) (padrão: false) | booleano | |
| determinar_contains | opcional | Determinar contém para qualquer campo CEF sem um fornecido contém valor (padrão: true) | booleano |
| Caminho de dados | TIPO | Contém | Valores de exemplo |
|---|---|---|---|
| action_result.status | corda | Sucesso falhou | |
| action_result.parameter.cef_dictionary | corda | {"test_key": "test_value"} | |
| action_result.parameter.cef_name | corda | ||
| action_result.parameter.cef_value | corda | * | |
| action_result.parameter.container_id | numérico | phantom container id | 1234 |
| action_result.parameter.Contains | corda | domínio | |
| action_result.parameter.label | corda | evento | |
| action_result.parameter.name | corda | Artifact_demo | |
| action_result.parameter.run_automation | corda | Verdadeiro falso | |
| action_result.parameter.source_data_identifier | corda | ||
| Action_Result.parameter.Determine_Contains | booleano | ||
| action_result.data.*. Existing_artifact_id | numérico | ||
| action_result.data.*. falhou | booleano | ||
| action_result.data.*. Id | numérico | 123 | |
| action_result.data.*. Sucesso | booleano | Verdadeiro falso | |
| action_result.summary.artifact_id | numérico | 12345 | |
| action_result.summary.container_id | numérico | 1234 | |
| action_result.summary.server | corda | url | https://10.1.1.10 |
| Action_Result.Message | corda | Artefato ID: 12345, ID do contêiner: 1234, servidor: https://10.1.1.10 | |
| Summary.Total_Objects | numérico | 1 | |
| Summary.total_objects_successful | numérico | 1 |
Esvazia um item do cofre
Tipo: genérico
Somente leia: Falso
A ação será suportada apenas se o parâmetro phantom_server (nas configurações de ativos) for configurado para a instância local Phantom, ou seja, a instância a partir da qual a ação está sendo executada.
A ação detecta se o item do cofre de entrada for um arquivo compactado e o esvazia. Cada arquivo encontrado após a deflação é adicionado ao cofre. Se o container_id for especificado, adicionará ao seu cofre, caso contrário, ao contêiner atual (o contêiner cujo contexto a ação é executada). A ação suporta tipos de arquivos ZIP , GZIP , BZ2 , TAR e TGZ . No caso em que o arquivo compactado contém outro arquivo compactado, defina o parâmetro recursivo como true para esvaziar o arquivo compactado interno.
Se a recursão estiver ativada e uma senha for especificada, o aplicativo usará a senha apenas para determinado arquivo zip. O arquivo zip interno será extraído apenas se o arquivo não estiver protegido por senha. Entre os diferentes métodos de compactação, apenas o ZIP suporta a funcionalidade de proteção de senha.
Para certos caracteres Unicode, o nome do arquivo não é descompactado como é, pelo módulo ZipFile.
| PARÂMETRO | OBRIGATÓRIO | DESCRIÇÃO | TIPO | Contém |
|---|---|---|---|---|
| Vault_id | obrigatório | ID do cofre | corda | sha1 vault id |
| container_id | opcional | ID de contêiner de destino | numérico | phantom container id |
| senha | opcional | Senha para o arquivo | corda | |
| recursivo | opcional | Extrair recursivamente (padrão: false) | booleano |
| Caminho de dados | TIPO | Contém | Valores de exemplo |
|---|---|---|---|
| action_result.status | corda | Sucesso falhou | |
| action_result.parameter.container_id | numérico | phantom container id | 3 |
| action_result.parameter.password | corda | P@$$ w0rd | |
| action_result.parameter.recursive | booleano | Verdadeiro falso | |
| action_result.parameter.vault_id | corda | sha1 vault id | F582ED9120FA3BE94852C73E1CD188F2948F677F |
| action_result.data.*. aka.* | corda | test.txt | |
| action_result.data.*. Container | corda | phantom_test | |
| action_result.data.*. container_id | numérico | phantom container id | 1234 |
| action_result.data.*. | corda | ID do cofre | |
| action_result.data.*. create_time | corda | 0 minutos atrás | |
| Action_Result.data.*. Created_via | corda | automação | |
| action_result.data.*. Hash | corda | sha1 | 0A0E6C7AB7F77D058EFD444279B81C4C6A9CF4CE |
| action_result.data.*. Id | numérico | 12 | |
| action_result.data.*. Metadata.Contains | corda | ID do cofre | |
| action_result.data.*. Metadata.md5 | corda | md5 | 0DB33A0790B6D6D5C2E4425646EEE7FC |
| action_result.data.*. Metadata.sha1 | corda | sha1 | FECE6C7AB7F77D058EFD444279B81C4C6A9CF4CE |
| action_result.data.*. Metadata.sha256 | corda | sha256 | 4F2155212CB0F74207BD0E4FD5ECAE548EE2BAE1D2DCD36C1D0BA0B6254BD4A1 |
| action_result.data.*. Metadata.size | numérico | 33 | |
| action_result.data.*. Mime_type | corda | texto/simples | |
| action_result.data.*. Nome | corda | teste TGZ | |
| action_result.data.*. Path | corda | ||
| Action_Result.data.*Tamanho | numérico | 10240 | |
| Action_result.data.*. Task | corda | ||
| action_result.data.*. Usuário | corda | ||
| action_result.data.*. Vault_document | numérico | ||
| action_result.data.*. Vault_id | corda | sha1 vault id | B90E6C7AB7F77D058EFD444279B81C4C6A9CF4CE |
| action_result.summary.total_vault_items | numérico | 9 | |
| Action_Result.Message | corda | Total de itens do cofre: 9 | |
| Summary.Total_Objects | numérico | 1 | |
| Summary.total_objects_successful | numérico | 1 |
Exportar contêiner local para o ativo fantasma configurado
Tipo: genérico
Somente leia: Falso
Essa ação exporta um contêiner (que corresponde ao contêiner_ID ) da instância Phantom local (a instância de onde a ação está sendo executada) até o ativo fantasma configurado (em que a ação está sendo executada).
A ação falhará com uma mensagem de erro como a instância de gravidade com o nome 'não existe , se os metadados do contêiner na instância local Phantom e o ativo fantasma configurado não corresponder.
Defina o parâmetro Keep_owner como TRUE se você deseja que o proprietário do contêiner na instância Phantom configurada para corresponder ao proprietário na instância local. Observe que isso será baseado no ID do proprietário, não no nome do proprietário.
| PARÂMETRO | OBRIGATÓRIO | DESCRIÇÃO | TIPO | Contém |
|---|---|---|---|---|
| container_id | obrigatório | ID de contêiner para copiar | numérico | phantom container id |
| Keep_owner | opcional | Mantenha o proprietário | booleano | |
| rótulo | opcional | Rótulo para nomear o contêiner de exportação. Se em branco, o contêiner de exportação terá o mesmo nome que o contêiner local | corda | |
| run_automation | opcional | Execute os manuais ativos | booleano |
| Caminho de dados | TIPO | Contém | Valores de exemplo |
|---|---|---|---|
| action_result.status | corda | Sucesso falhou | |
| action_result.parameter.container_id | numérico | phantom container id | 3 |
| action_result.parameter.keep_owner | booleano | Verdadeiro falso | |
| action_result.parameter.label | corda | eventos | |
| action_result.parameter.run_automation | booleano | Verdadeiro falso | |
| action_result.data | corda | ||
| action_result.summary.artifact_count | numérico | 268 | |
| action_result.summary.container_id | numérico | phantom container id | 94 |
| Action_Result.Message | corda | ID do contêiner: 94, contagem de artefatos: 268 | |
| Summary.Total_Objects | numérico | 1 | |
| Summary.total_objects_successful | numérico | 1 |
Importar um contêiner de uma instância de fantasma externa
Tipo: genérico
Somente leia: Falso
Essa ação importa um contêiner (que corresponde ao contêiner_id ) do ativo fantasma configurado (que a ação está sendo executada) na instância local Phantom (a instância de onde a ação está sendo executada).
A ação falhará com uma mensagem de erro como a instância de gravidade com o nome 'não existe , se os metadados do contêiner no ativo fantasma configurado e a instância local Phantom não corresponder.
Defina o parâmetro Keep_owner como TRUE se você deseja que o proprietário do contêiner na instância Phantom local para corresponder ao proprietário na instância configurada. Observe que isso será baseado no ID do proprietário, não no nome do proprietário.
| PARÂMETRO | OBRIGATÓRIO | DESCRIÇÃO | TIPO | Contém |
|---|---|---|---|---|
| container_id | obrigatório | ID de contêiner para copiar | numérico | phantom container id |
| Keep_owner | opcional | Mantenha o proprietário | booleano |
| Caminho de dados | TIPO | Contém | Valores de exemplo |
|---|---|---|---|
| action_result.status | corda | Sucesso falhou | |
| action_result.parameter.container_id | corda | phantom container id | 3 |
| action_result.parameter.keep_owner | booleano | Verdadeiro falso | |
| action_result.data | corda | ||
| action_result.summary.artifact_count | numérico | 268 | |
| action_result.summary.container_id | numérico | phantom container id | 94 |
| Action_Result.Message | corda | ID do contêiner: 94, contagem de artefatos: 268 | |
| Summary.Total_Objects | numérico | 1 | |
| Summary.total_objects_successful | numérico | 1 |
Crie um novo contêiner em uma instância Phantom
Tipo: genérico
Somente leia: Falso
Esta ação cria um novo contêiner no servidor Phantom, que é configurado no parâmetro Phantom_server Asset. O parâmetro container_json precisa ser uma string json. É obrigatório fornecer uma chave de etiqueta no parâmetro container_json . A ação falhará se o container_json tiver um rótulo que não existe no ativo fantasma de destino.
Por exemplo, {"Name": "Test Container", "Label": "Events"}
O container_artifacts é um parâmetro opcional que precisa ser uma lista de objetos de artefatos como uma string json. Cada objeto JSON de artefato deve conter as seguintes teclas: CEF, CEF_TYPES, DATA, Descrição, END_TIME, ingest_app_id, kill_chain, etiqueta, nome, proprietário_id, gravidade, fonte_data_identifier, start_time, tags, tipo . Todas as outras chaves serão ignoradas.
Por exemplo, [{"name": "Artifact 1", "Label": "Label1", "CEF": {"test": "123"}}, {"name": "Artifact 2", "Label": "Label2", "CEF": {"test": "456"}}]
Consulte a documentação do Splunk Phantom para obter mais detalhes.
| PARÂMETRO | OBRIGATÓRIO | DESCRIÇÃO | TIPO | Contém |
|---|---|---|---|---|
| contêiner_json | obrigatório | O objeto JSON do contêiner | corda | |
| CONTENTER_ARTIFACTS | opcional | Lista de objetos JSON de artefatos | corda |
| Caminho de dados | TIPO | Contém | Valores de exemplo |
|---|---|---|---|
| action_result.status | corda | Sucesso falhou | |
| action_result.parameter.container_artifacts | corda | [{"Nome": "Um nome amigável para artefato (1)", "Label": "Evento", "Source_Data_Identifier": 1}, {"Name": "Um nome amigável para artefato (2)", "Label": "Event", "Source_Data_Identifier": 2}, {"Name": "Um nome amigável para o artefato (3)", "Label": "Event", "Source_Data_Identifier": 3}] | |
| action_result.parameter.container_json | corda | {"Gravidade": "Médio", "Rótulo": "Eventos", "Versão": 1, "Asset": 7, "Status": "Novo", "Descrição": "Novo contêiner do Helper Phantom", " Tags ": []," Data ": {}," Nome ":" Este é um contêiner "} | |
| action_result.data | corda | ||
| action_result.summary.artifact_count | numérico | 3 | |
| action_result.summary.container_id | numérico | phantom container id | |
| action_result.summary.failed_artifact_count | numérico | 7 | |
| Action_Result.Message | corda | ID do contêiner: 82, contagem de artefatos: 3 | |
| Summary.Total_Objects | numérico | 1 | |
| Summary.total_objects_successful | numérico | 1 |
Encontre os resultados de uma ação de execução anteriormente
Tipo: Investigue
Somente leia: verdadeiro
Essa ação retorna os resultados mais recentes do concedido ACTION_NAME lançado com os parâmetros fornecidos dentro do time_limit fornecido.
A ação limitará o número de resultados retornados ao valor em max_results . Por padrão, o limite é 10. Para obter todos os resultados, defina o parâmetro max_results como 0.
O parâmetro parâmetros leva uma string json no formato:
{
"Parameter_Name1": "Parameter_Value1"
"Parameter_Name2": "Parameter_Value2"
...
}| PARÂMETRO | OBRIGATÓRIO | DESCRIÇÃO | TIPO | Contém |
|---|---|---|---|---|
| ação_name | obrigatório | Nome da ação | corda | |
| parâmetros | opcional | Parâmetros de ação JSON | corda | |
| App | opcional | Nome do aplicativo | corda | |
| ativo | opcional | Nome do ativo | corda | |
| time_limit | opcional | Número de horas para pesquisar de volta | numérico | |
| max_results | opcional | Número máximo de resultados de ação para retornar | numérico |
| Caminho de dados | TIPO | Contém | Valores de exemplo |
|---|---|---|---|
| action_result.status | corda | Sucesso falhou | |
| action_result.parameter.action_name | corda | IP da lista negra | |
| action_result.parameter.app | corda | Fantasma | |
| action_result.parameter.asset | corda | test_phantom | |
| action_result.parameter.max_results | numérico | 5 | |
| action_result.parameter.parameters | corda | {"ip": "1.8.9.0"} | |
| action_result.parameter.time_limit | numérico | 24 | |
| action_result.data.*. Ação | corda | IP da lista negra | |
| action_result.data.*. Action_run | numérico | 2724 | |
| action_result.data.*. App | numérico | 121 | |
| action_result.data.*. App_name | corda | Fantasma | |
| action_result.data.*. App_version | corda | 1.0.0 | |
| action_result.data.*. Asset | numérico | 137 | |
| action_result.data.*. Container | numérico | 1154 | |
| Action_Result.data.*. EFEFFED_USER | corda | ||
| action_result.data.*. end_time | corda | 2017-11-06T20: 30: 27.991000Z | |
| Action_Result.data.*. Exception_octicou | booleano | Verdadeiro falso | |
| action_result.data.*. extra_data | corda | ||
| action_result.data.*. Id | numérico | 2761 | |
| ação_result.data.*. Mensagem | corda | IP da lista negra com sucesso | |
| action_result.data.*. Playbook_run | numérico | 1056 | |
| action_result.data.*. Result_data.*. Dados | numérico | ||
| action_result.data.*. Result_data.*. Mensagem | corda | IP na lista negra com sucesso | |
| action_result.data.*. Result_data.*. Parâmetro | corda | ||
| action_result.data.*. Result_data.*. Parameter.Context.artifact_id | numérico | 0 | |
| action_result.data.*. Result_data.*. Parameter.Context.Guid | corda | 293D0369-4801-417D-A1AF-A73CF1200D3D | |
| action_result.data.*. Result_data.*. Parameter.Context.Parent_Action_run | corda | ||
| action_result.data.*. Result_data.*. Status | corda | sucesso | |
| action_result.data.*. Result_data.*. Resumo | corda | ||
| action_result.data.*. Result_summary.total_objects | numérico | 1 | |
| action_result.data.*. Result_summary.total_objects_successful | numérico | 1 | |
| action_result.data.*. start_time | corda | 2017-11-06T20: 30: 04.879000Z | |
| action_result.data.*. Status | corda | Sucesso falhou | |
| action_result.data.*. Versão | numérico | 1 | |
| action_result.summary.action_run_id | numérico | 2761 | |
| action_result.summary.num_results | numérico | ||
| Action_Result.Message | corda | Ação Run ID: 2761 | |
| Summary.Total_Objects | numérico | 1 | |
| Summary.total_objects_successful | numérico | 1 |
Atualize uma lista
Tipo: genérico
Somente leia: Falso
O list_name ou o ID é necessário. Se os parâmetros list_name e ID forem fornecidos e ambos apontam para diferentes listas, o parâmetro list_name será preferido e a ação atualizará a lista especificada no parâmetro list_name.
| PARÂMETRO | OBRIGATÓRIO | DESCRIÇÃO | TIPO | Contém |
|---|---|---|---|---|
| list_name | opcional | Nome da lista | corda | |
| eu ia | opcional | ID da lista | numérico | |
| row_number | obrigatório | Número da linha na lista a ser modificado | numérico | |
| row_values_as_list | obrigatório | JSON Formatted List of New Values for the Row | corda |
| Caminho de dados | TIPO | Contém | Valores de exemplo |
|---|---|---|---|
| action_result.status | corda | Sucesso falhou | |
| action_result.parameter.id | numérico | ||
| action_result.parameter.list_name | corda | Minha primeira lista | |
| action_result.parameter.row_number | numérico | 0 | |
| action_result.parameter.row_values_as_list | corda | ["this", "é", "a", "teste"] | |
| action_result.data.*. Sucesso | booleano | Verdadeiro | |
| action_result.summary | corda | ||
| Action_Result.Message | corda | ||
| Summary.Total_Objects | numérico | 1 | |
| Summary.total_objects_successful | numérico | 1 |
Aguarde o número especificado de segundos
Tipo: Investigue
Somente leia: verdadeiro
| PARÂMETRO | OBRIGATÓRIO | DESCRIÇÃO | TIPO | Contém |
|---|---|---|---|---|
| Sleep_seconds | obrigatório | Durma por muitos segundos | numérico |
| Caminho de dados | TIPO | Contém | Valores de exemplo |
|---|---|---|---|
| action_result.status | corda | Sucesso falhou | |
| action_result.parameter.sleep_seconds | numérico | 15 | |
| action_result.data | corda | ||
| action_result.summary | corda | ||
| Action_Result.Message | corda | Dormiu por 15 segundos | |
| Summary.Total_Objects | numérico | 1 | |
| Summary.total_objects_successful | numérico | 1 |
