phantom
3.7.0
Издатель: Splunk
Версия разъема: 3.7.1
Продавец продукта: фантом
Название продукта: фантом
Поддерживается версия продукта (Regex): ".*"
Минимальная версия продукта: 6.2.1
Это приложение раскрывает различные призрачные API как действия
Параметр конфигурации AUTH_TOKEN предназначен для использования с фантомными экземплярами. Если даны и токен, и имя пользователя/пароль, имя пользователя и пароль будут использоваться для аутентификации в экземпляр Phantom.
Обратите внимание, что используемый IP (или имени) должен соответствовать разрешенной IP в конфигурации актива Asset Remote Phantom.
В случае, если параметр конфигурации Phantom_server устанавливается на текущий экземпляр Phantom, то есть, сервер Phantom, через который используется приложение, то verify_certificate должен быть установлен на false в конфигурации актива.
Для получения информации о том, как получить токен авторизации, см. Предоставление токена авторизации в документации Phantom Rest.
Если значение, предоставленное в параметре конфигурации Phantom_server , составляет 0,0.0.0, то тестовое подключение проходит успешно, и действия будут выполняться на текущем экземпляре Phantom, то есть сервер, через который используется приложение.
См. Статья 7 и KB Статья 16 о том, как создать и проверить действительный сертификат HTTPS для вашего фантомного экземпляра.
По соображениям безопасности доступ к 127.0.0.1 не допускается.
Для экземпляров NRI параметр конфигурации IP/HOSTNAME устройства также должен указать номер порта. (Например, XXXX: 9999)
Существующие параметры действия были изменены в приведенных ниже действиях. Следовательно, для конечного пользователя требуется обновить свои существующие пьесы, переосмыснув соответствующие блоки действия или предоставляя соответствующие значения для этих параметров действия, чтобы обеспечить правильное функционирование игровых книг, созданных в более ранних версиях приложения.
Список обновлений - параметр ROW_VALUES_AS_LIST был изменен из новых значений, разделенных запятыми, на список новых значений, форматированных JSON. Это позволит пользователю предоставить значение, содержащее символ запятой (','). Пример для того же самого был обновлен в примере значений.
Добавить артефакт - параметр содержит , может взять строку (или разделенный запятой список строки) или словарь JSON, с клавишами, соответствующими клавишам CEF_DICTIONARY, и значения, которые можно получить в списках возможных, содержится для поля CEF. В случае, если параметр содержит строку (или разделенный запятой список строки), предоставленное значение будет отображаться в параметре CEF_NAME .
Выходные dataPaths, action_result.summary.artifact id и action_result.summary.container были заменены на action_result.summary.artifact_id и action_result.summary.container_id , соответственно.
Найдите артефакты - action_result.summary.artifacts обнаружены datapath были заменены на action_result.summary.artifacts_found.
Найти ListItem - action_result.summary.found Matches Datapath был заменен на action_result.summary.found_matches.
Обновите теги артефакта - были добавлены следующие выходные даты данных:
Артефакт обновления - параметры действия этого действия были изменены. Пожалуйста, обновите свои существующие пьесы в соответствии с новыми параметрами. Ниже приведен список добавленных параметров:
Для получения дополнительной информации проверьте раздел артефакта обновления .
Приложение использует протокол HTTP/ HTTPS для связи с Phantom Server. Ниже приведены порты по умолчанию, используемые Splunk Soar.
| Название службы | Транспортный протокол | Порт |
|---|---|---|
| http | TCP | 80 |
| https | TCP | 443 |
Приведенные ниже переменные конфигурации необходимы для работы этого разъема. Эти переменные указаны при настройке фантомного актива в SOAR.
| ПЕРЕМЕННАЯ | НЕОБХОДИМЫЙ | ТИП | ОПИСАНИЕ |
|---|---|---|---|
| Phantom_server | необходимый | нить | Phantom IP или имя хоста (например, 10.1.1.10 или valive_phantom_hostname) |
| auth_token | необязательный | пароль | Призрачный токен |
| имя пользователя | необязательный | нить | Имя пользователя (для HTTP Basic Auth) |
| пароль | необязательный | пароль | Пароль (для HTTP Basic Auth) |
| verify_certificate | необязательный | логический | Проверьте сертификат HTTPS (по умолчанию: false) |
| defflate_item_extensions | необязательный | нить | Только файлы с указанными расширениями (разделенными запятыми) будут сдушены. Если пусто, расширение файла не будет проверено |
Тестирование подключения - проверка конфигурации актива для подключения
Артефакт обновления - обновление или перезаписать фантомный артефакт с предоставленным вводом
Добавить примечание - добавьте примечание в контейнер
Обновить теги артефакта - добавить/удалить теги из артефакта
Найти артефакты - найти артефакты, содержащие значение CEF
Добавить ListItem - добавить значение в пользовательский список
Найти ListItem - найти значение в пользовательском списке
Добавить артефакт - добавить новый артефакт в контейнер
Дефлятный элемент - сдувает элемент из хранилища
Экспортный контейнер - экспорт локальный контейнер в настроенный фантомный активы
Импорт -контейнер - импорт контейнер из внешнего фантомного экземпляра
Создать контейнер - создайте новый контейнер на фантомном экземпляре
Получить результат действия - найти результаты ранее пробега
Список обновлений - обновить список
Нет OP - подождите указанное количество секунд
Проверить конфигурацию актива для подключения
Тип: тест
Только читайте: правда
Для этого действия не требуется параметров
Нет вывода
Обновить или перезаписать фантомный артефакт с предоставленным входом
Тип: универсальный
Только читать: ложь
| Параметр | ПРИМЕР |
|---|---|
| имя | Имя артефакта |
| этикетка | artifact_label |
| тяжесть | высокий |
| CEF_JSON | {"key1": "value1", "gooddomain": "www.splunk.com", "remove_me": ""} |
| cef_types_json | {"Gooddomain": ["Домен"]} |
| теги | TAG1, TAG3 или ["TAG2", "TAG4"] |
| artifact_json | {"source_data_identifier": "myticket1234", "label": "new_label"} |
| Параметр | НЕОБХОДИМЫЙ | ОПИСАНИЕ | ТИП | СОДЕРЖИТ |
|---|---|---|---|---|
| artifact_id | необходимый | Идентификатор артефакта для обновления | нить | phantom artifact id |
| имя | необязательный | Имя артефакта (всегда перезаписывает, если предоставлено) | нить | |
| этикетка | необязательный | Артефактный лейбл (всегда перезаписывает, если предоставлена) | нить | |
| тяжесть | необязательный | Серьезность артефакта (всегда перезаписывает, если предоставлена) | нить | |
| CEF_JSON | необязательный | Формат JSON поля CEF, которые вы хотите в артефакте | нить | |
| cef_types_json | необязательный | Формат json типов CEF (например, {'myip': ['ip', 'ipv6']}) | нить | |
| теги | необязательный | Список тегов, разделенных за запятой, для добавления или замены в артефакте | нить | |
| перезаписать | необязательный | Перезапись артефакты с предоставленным вводом (применяется к: cef_json, содержит_json, теги) | логический | |
| artifact_json | необязательный | Формат целого артефакта JSON (всегда перезаписывает ключи) | нить |
| Путь данных | ТИП | СОДЕРЖИТ | Пример значений |
|---|---|---|---|
| action_result.status | нить | Успех провалился | |
| action_result.parameter.artifact_id | нить | phantom artifact id | 2388 |
| action_result.parameter.artifact_json | нить | {"Серьезность": "High", "Label": "Test Label", "Описание": "Artifact добавлено мной", "Source_Data_Identifier": "my_custom_sdi"} | |
| action_result.parameter.cef_json | нить | {"new_field": "new_value", "deleted_field": ""} | |
| action_result.parameter.cef_types_json | нить | {"new_field": ["new содержит"]} | |
| action_result.parameter.label | нить | Тестовая метка | |
| action_result.parameter.name | нить | Новое имя | |
| action_result.parameter.overwrite | логический | Верно ложь | |
| action_result.parameter.severity | нить | высокий | |
| action_result.parameter.tags | нить | ["TAG2"] | |
| action_result.data.*. request_artifact.cef.deleted_field | нить | ||
| action_result.data.*. request_artifact.cef.new_field | нить | new_value | |
| action_result.data.*. request_artifact.cef.test | нить | FFF | |
| action_result.data.*. request_artifact.cef_types.new_field | нить | новый содержит | |
| action_result.data.*. request_artifact.description | нить | Артефакт добавлен мной | |
| action_result.data.*. request_artifact.label | нить | Тестовая метка | |
| action_result.data.*. request_artifact.name | нить | Новое имя | |
| action_result.data.*. Запрос_арфифакт.severity | нить | высокий | |
| action_result.data.*. requested_artifact.source_data_identifier | нить | my_custom_sdi | |
| action_result.data.*. Запрос_арфифакт.tags | нить | TAG2 | |
| action_result.data.*. response.id | числовое | 2388 | |
| action_result.data.*. response.success | логический | Верно ложь | |
| action_result.summary | нить | ||
| action_result.message | нить | Артефакт успешно обновлен. | |
| summary.total_objects | числовое | 1 | |
| summary.total_objects_successful | числовое | 1 |
Добавить примечание в контейнер
Тип: универсальный
Только читать: ложь
Если параметр container_id остается пустым, он будет инициализирован к идентификатору текущего контейнера (откуда выполняется действие), и статус будет отражено соответствующим образом. Если контейнер является случаем, может быть предоставлен параметр phase_id , чтобы связать примечание с конкретной фазой.
| Параметр | НЕОБХОДИМЫЙ | ОПИСАНИЕ | ТИП | СОДЕРЖИТ |
|---|---|---|---|---|
| заголовок | необходимый | Название для записки | нить | |
| содержание | необязательный | Обратите внимание на содержание | нить | |
| Container_id | необязательный | Идентификатор контейнера (по умолчанию в текущий контейнер) | числовое | phantom container id |
| phase_id | необязательный | Фаза. Примечание будет связано с | нить |
| Путь данных | ТИП | СОДЕРЖИТ | Пример значений |
|---|---|---|---|
| action_result.status | нить | Успех провалился | |
| action_result.parameter.container_id | числовое | phantom container id | 35 |
| action_result.parameter.content | нить | Добавление примечания через действие приложения | |
| action_result.parameter.phase_id | нить | ||
| action_result.parameter.title | нить | ПРИМЕЧАНИЕ ТЕСТ | |
| action_result.data | нить | ||
| action_result.summary | нить | ||
| action_result.message | нить | Примечание создано | |
| summary.total_objects | числовое | 1 | |
| summary.total_objects_successful | числовое | 1 |
Добавить/удалить теги из артефакта
Тип: универсальный
Только читайте: ложь
| Параметр | НЕОБХОДИМЫЙ | ОПИСАНИЕ | ТИП | СОДЕРЖИТ |
|---|---|---|---|---|
| artifact_id | необходимый | Идентификатор артефакта | нить | phantom artifact id |
| add_tags | необязательный | Список тегов, разделенных за запятой, чтобы добавить в артефакт | нить | |
| удалить_tags | необязательный | Список тегов, разделенных за запятой, для удаления из артефакта | нить |
| Путь данных | ТИП | СОДЕРЖИТ | Пример значений |
|---|---|---|---|
| action_result.status | нить | Успех провалился | |
| action_result.parameter.add_tags | нить | TAG1, TAG3 | |
| action_result.parameter.artifact_id | нить | phantom artifact id | 94 |
| action_result.parameter.remove_tags | нить | TAG2, TAG4 | |
| action_result.data | нить | ||
| action_result.summary.tags_added | нить | TAG1 | |
| action_result.summary.tags_already_absent | нить | TAG4 | |
| action_result.summary.tags_already_present | нить | TAG3 | |
| action_result.summary.tags_removed | нить | TAG2 | |
| action_result.message | нить | Теги добавлены: TAG1, теги удалены: TAG2, теги уже присутствуют: TAG3, теги уже отсутствуют: TAG4 | |
| summary.total_objects | числовое | 1 | |
| summary.total_objects_successful | числовое | 1 |
Найдите артефакты, содержащие значение CEF
Тип: исследовать
Только читайте: правда
Если параметр Limit_search установлен на true, то действие будет искать требуемый артефакт только в предоставленном контейнере_дон . В противном случае параметр container_ids будет игнорироваться.
Если какое-либо неинтемерное значение предоставляется в параметре container_ids , то все неинтемерные значения будут удалены, и параметр будет обновлен соответственно. Если значение параметра Container_ids актуально , то оно будет заменено текущим идентификатором контейнера (от которого выполняется действие), и статус будет отражено соответствующим образом.
Если параметр exact_match установлен на false, то действие вернет все эти артефакты, для которых параметр значений является подстроением любого из его значений CEF. В противном случае он вернет те артефакты, для которых любое из его значения CEF точно соответствует параметру значений .
Для значений типа Integer, Float или String предлагается установить параметр exact_match на false.
По умолчанию возвращаются 10 артефактов. Если вы хотите вернуть более или менее 10 артефактов, обновите параметр max_results .
| Параметр | НЕОБХОДИМЫЙ | ОПИСАНИЕ | ТИП | СОДЕРЖИТ |
|---|---|---|---|---|
| cef_key | необязательный | Ключ дикта CEF, который вы запрашиваете: ACT, APP, ApplicationProtocol, BaseeventCount, Bytesin и т. Д. | нить | |
| ценности | необходимый | Найдите это значение в артефактах | нить | * |
| exat_match | необязательный | Точное совпадение (по умолчанию: true) | логический | |
| Limit_search | необязательный | Ограничьте поиск на указанные контейнеры (по умолчанию: false) | логический | |
| Container_ids | необязательный | Список пространства или запятых идентификаторов контейнеров. Слово «ток» будет заменено текущим идентификатором контейнера | нить | |
| max_results | необязательный | Максимальное количество артефактов для возврата | числовое |
| Путь данных | ТИП | СОДЕРЖИТ | Пример значений |
|---|---|---|---|
| action_result.status | нить | Успех провалился | |
| action_result.parameter.cef_key | нить | ACT APPPORTOCOL | |
| action_result.parameter.container_ids | нить | текущий | |
| action_result.parameter.exact_match | логический | Верно ложь | |
| action_result.parameter.limit_search | логический | Верно ложь | |
| action_result.parameter.values | нить | * | test_value |
| action_result.data.*. Контейнер | числовое | 1234 | |
| action_result.data.*. Container_name | нить | phantom_test | |
| action_result.data.*. найдено в | нить | test_key | |
| action_result.data.*. id | числовое | 12345 | |
| action_result.data.*. Matched | нить | test_value | |
| action_result.data.*. Имя | нить | Artifact_demo | |
| action_result.summary.artifacts_found | числовое | 1 | |
| action_result.summary.server | нить | https://10.1.1.10 | |
| action_result.message | нить | Найденные артефакты: 1, сервер: https://10.1.1.10 | |
| summary.total_objects | числовое | 1 | |
| summary.total_objects_successful | числовое | 1 | |
| action_result.parameter.max_results | числовое | 2 |
Добавьте ценность в пользовательский список
Тип: универсальный
Только читать: ложь
Чтобы добавить строку, содержащую одно значение в список, просто передайте значение. Однако, чтобы пройти несколько значений в строке, отформатируйте его как массив JSON (например, ["item1", "item2", "item3"]).
Действие будет обновлять список , если список уже существует (даже если параметр создания установлен на TRUE).
После создания или обновления списка через это действие, если тот же список обновляется из пользовательского интерфейса, то пользователь должен сохранить эти изменения, прежде чем снова обновить список через это действие, в противном случае изменения, сделанные из пользовательского интерфейса, будут переопределены.
| Параметр | НЕОБХОДИМЫЙ | ОПИСАНИЕ | ТИП | СОДЕРЖИТ |
|---|---|---|---|---|
| список | необходимый | Имя или идентификатор пользовательского списка | нить | |
| new_row | необходимый | Новая строка (строка или список JSON) | нить | * |
| создавать | необязательный | Создайте список, если его не существует (по умолчанию: false) | логический |
| Путь данных | ТИП | СОДЕРЖИТ | Пример значений |
|---|---|---|---|
| action_result.status | нить | Успех провалился | |
| action_result.parameter.create | логический | Верно ложь | |
| action_result.parameter.list | нить | demo_list | |
| action_result.parameter.new_row | нить | * | ["value1", "value2", "value3"] |
| action_result.data.*. Не удалось | логический | ||
| action_result.data.*. Успех | логический | Верно ложь | |
| action_result.summary.server | нить | url | https://10.1.1.10 |
| action_result.message | нить | Сервер: https://10.1.1.10 | |
| summary.total_objects | числовое | 1 | |
| summary.total_objects_successful | числовое | 1 |
Найдите ценность в пользовательском списке
Тип: исследовать
Только читайте: правда
Координаты строки и столбца для каждого соответствующего значения можно найти в резюме результата в «Местах». Матч чувствителен к корпусу.
Если параметр exact_match установлен на false, то действие вернет все те строки, для которых параметр значений является его подстроением. В противном случае он вернет те строки, которые точно соответствуют параметру значений .
| Параметр | НЕОБХОДИМЫЙ | ОПИСАНИЕ | ТИП | СОДЕРЖИТ |
|---|---|---|---|---|
| список | необходимый | Имя или идентификатор пользовательского списка | нить | |
| column_index | необязательный | Поиск в номере столбца (на основе 0) | числовое | |
| ценности | необходимый | Ценность для поиска | нить | * |
| exat_match | необязательный | Точное совпадение (по умолчанию: true) | логический |
| Путь данных | ТИП | СОДЕРЖИТ | Пример значений |
|---|---|---|---|
| action_result.status | нить | Успех провалился | |
| action_result.parameter.column_index | числовое | ||
| action_result.parameter.exact_match | логический | Верно ложь | |
| action_result.parameter.list | нить | list_demo | |
| action_result.parameter.values | нить | * | значение1 |
| action_result.data | нить | ||
| action_result.data.* | нить | ||
| action_result.summary.found_matches | числовое | 1 | |
| action_result.summary.list_id | числовое | 18 | |
| action_result.summary.locations | числовое | ||
| action_result.summary.locations.* | числовое | ||
| action_result.summary.server | нить | url | https://10.1.1.10 |
| action_result.message | нить | Сервер: https://10.1.1.10, найденные совпадения: 1, местоположения: [(1, 0)], идентификатор списка: 18 | |
| summary.total_objects | числовое | 1 | |
| summary.total_objects_successful | числовое | 1 |
Добавить новый артефакт в контейнер
Тип: универсальный
Только читайте: ложь
Если параметр container_id остается пустым, он будет инициализирован к идентификатору текущего контейнера (из которого выполняется действие), и статус будет отражено соответствующим образом.
Поля CEF могут быть добавлены в артефакт двумя способами, либо с помощью параметра CEF_NAME и CEF_VALUE , либо с использованием параметра CEF_DICTIONARY . Если все включены параметры CEF_NAME , CEF_VALUE и CEF_DICTIONARY , действие добавит поле CEF_NAME в CEF_DICTIONARY .
Использование только параметр CEF_NAME и CEF_VALUE приведет к тому, что артефакт имеет одно поле CEF.
Параметр CEF_DICTIONARY принимает словарь JSON с парами ключей, представляющих пары клавиш CEF. Чтобы предоставить значения, содержащие двойные цитаты ("), добавьте Backslash () перед двойными цитатами.
Например, {"X-Universally-Unique-идентификатор": "test", "Content-Type": "Multipart/Alternative; Boundary = " Apple-Mail = _0DA95D7E-B791-4751-8043-175949088A2C " >" , "Message-ID": "[email protected]"}
Содержит параметр может принимать словарь JSON, причем ключи, соответствующие клавишам CEF_DICTIONARY , и значения, которые можно получить в списках возможных, содержится для поля CEF. Если заданное значение в CEF_DICTIONARE не присутствует в Словаре «Содержит» , действие сначала проверит список полей CEF по умолчанию. Если не поле CEF по умолчанию, то действие попытается определить соответствующее значение для содержимого.
Содержит параметр также может принимать строку (или разделенный запятой список строк), представляющий содержит для параметра CEF_VALUE . Этот метод следует использовать только в том случае, если используются параметры CEF_NAME и CEF_VALUE .
Если параметр run_automation установлен на True, то активные воспроизведения будут работать автоматически после добавления артефакта. Активные пьесы будут работать на том же контейнере, в котором добавлен артефакт.
См. Документацию API REST для получения дополнительной информации об артефактах, полях CEF и содержит.
| Параметр | НЕОБХОДИМЫЙ | ОПИСАНИЕ | ТИП | СОДЕРЖИТ |
|---|---|---|---|---|
| имя | необязательный | Название нового артефакта | нить | |
| Container_id | необязательный | Числовой идентификатор контейнера для нового артефакта | числовое | phantom container id |
| этикетка | необязательный | Экс артефакта (по умолчанию: событие) | нить | |
| Source_Data_Identifier | необходимый | Исходные данные идентификатор | нить | |
| cef_name | необязательный | Имя CEF | нить | |
| cef_value | необязательный | Ценить | нить | * |
| cef_dictionary | необязательный | CEF JSON | нить | |
| содержит | необязательный | Тип данных для каждого поля CEF | нить | |
| run_automation | необязательный | Запустите автоматизацию на недавно созданных артефактах (ы) (по умолчанию: False) | логический | |
| определить_contains | необязательный | Определить содержит для любых полей CEF без предоставленного содержимого значения (по умолчанию: true) | логический |
| Путь данных | ТИП | СОДЕРЖИТ | Пример значений |
|---|---|---|---|
| action_result.status | нить | Успех провалился | |
| action_result.parameter.cef_dictionary | нить | {"test_key": "test_value"} | |
| action_result.parameter.cef_name | нить | ||
| action_result.parameter.cef_value | нить | * | |
| action_result.parameter.container_id | числовое | phantom container id | 1234 |
| action_result.parameter.contains | нить | домен | |
| action_result.parameter.label | нить | событие | |
| action_result.parameter.name | нить | Artifact_demo | |
| action_result.parameter.run_automation | нить | Верно ложь | |
| action_result.parameter.source_data_identifier | нить | ||
| action_result.parameter.determine_contains | логический | ||
| action_result.data.* | числовое | ||
| action_result.data.*. Не удалось | логический | ||
| action_result.data.*. id | числовое | 123 | |
| action_result.data.*. Успех | логический | Верно ложь | |
| action_result.summary.artifact_id | числовое | 12345 | |
| action_result.summary.container_id | числовое | 1234 | |
| action_result.summary.server | нить | url | https://10.1.1.10 |
| action_result.message | нить | Идентификатор артефакта: 12345, идентификатор контейнера: 1234, сервер: https://10.1.1.10 | |
| summary.total_objects | числовое | 1 | |
| summary.total_objects_successful | числовое | 1 |
Сдувает элемент из хранилища
Тип: универсальный
Только читать: ложь
Действие будет поддерживаться только в том случае, если параметр phantom_server (в конфигурациях активов) настроен на локальный экземпляр Phantom, то есть, экземпляр, из которого выполняется действие.
Действие обнаруживает, если элемент входного хранилища является сжатым файлом, и сдувает его. Каждый файл, найденный после дефляции, затем добавляется в хранилище. Если указан Container_id , добавит в свое хранилище, в другой контейнер (контекст, контекст которого выполняется действие). Действие поддерживает типы файлов Zip , Gzip , BZ2 , TAR и TGZ . В случае, когда сжатый файл содержит в нем другой сжатый файл, установите рекурсивный параметр в истину, чтобы снять внутренний сжатый файл.
Если рекурсия включена и указан пароль, приложение будет использовать пароль только для данного zip -файла. Внутренний zip -файл будет извлечен только в том случае, если файл не защищен паролем. Среди различных методов сжатия только ZIP поддерживает функциональность защиты пароля.
Для определенных символов Unicode имя файла не повреждено, как есть модуль Zipfile.
| Параметр | НЕОБХОДИМЫЙ | ОПИСАНИЕ | ТИП | СОДЕРЖИТ |
|---|---|---|---|---|
| vault_id | необходимый | Идентификатор хранилища | нить | sha1 vault id |
| Container_id | необязательный | Идентификатор контейнера назначения | числовое | phantom container id |
| пароль | необязательный | Пароль для файла | нить | |
| рекурсивный | необязательный | Извлекать рекурсивно (по умолчанию: ложь) | логический |
| Путь данных | ТИП | СОДЕРЖИТ | Пример значений |
|---|---|---|---|
| action_result.status | нить | Успех провалился | |
| action_result.parameter.container_id | числовое | phantom container id | 3 |
| action_result.parameter.password | нить | P@$$ w0rd | |
| action_result.parameter.recurive | логический | Верно ложь | |
| action_result.parameter.vault_id | нить | sha1 vault id | F582ED9120FA3BE94852C73E1CD188F2948F677F |
| action_result.data.*. Aka.* | нить | test.txt | |
| action_result.data.*. Контейнер | нить | phantom_test | |
| action_result.data.*. Container_id | числовое | phantom container id | 1234 |
| action_result.data.*. Содержит.* | нить | идентификатор хранилища | |
| action_result.data.*. Create_time | нить | 0 минут назад | |
| action_result.data.*. Create_via | нить | автоматизация | |
| action_result.data.*. Hash | нить | sha1 | 0A0E6C7AB7F77D058EFD444279B81C4C6A9CF4CE |
| action_result.data.*. id | числовое | 12 | |
| action_result.data.*. Metadata.contains | нить | идентификатор хранилища | |
| action_result.data.*. Metadata.md5 | нить | md5 | 0DB33A0790B6D6D5C2E4425646EEE7FC |
| action_result.data.*. Metadata.sha1 | нить | sha1 | fece6c7ab7f77d058efd444279b81c4c6a9cf4ce |
| action_result.data.*. Metadata.sha256 | нить | sha256 | 4F2155212CB0F74207BD0E4FD5ECAE548EE2BAE1D2DCD36C1D0BA0B6254BD4A1 |
| action_result.data.*. Metadata.size | числовое | 33 | |
| action_result.data.*. mime_type | нить | текст/равнина | |
| action_result.data.*. Имя | нить | TGZ-тест | |
| action_result.data.*. Path | нить | ||
| action_result.data.*. Size | числовое | 10240 | |
| action_result.data.*. Задача | нить | ||
| action_result.data.*. Пользователь | нить | ||
| action_result.data.*. Vault_document | числовое | ||
| action_result.data.*. Vault_id | нить | sha1 vault id | B90E6C7AB7F77D058EFD444279B81C4C6A9CF4CE |
| action_result.summary.total_vault_items | числовое | 9 | |
| action_result.message | нить | Общее хранилище: 9 | |
| summary.total_objects | числовое | 1 | |
| summary.total_objects_successful | числовое | 1 |
Экспорт локального контейнера в настроенный фантомный актив
Тип: универсальный
Только читайте: ложь
Это действие экспортирует контейнер (который соответствует контейнеру_ид ) из локального экземпляра Phantom (экземпляр, из которого запускается действие) до настроенного фантомного актива (что действие выполняется).
Действие не удастся с сообщением об ошибке, таким как экземпляр серьезности с именем U'critical 'не существует , если метаданные контейнера в локальном экземпляре Phantom и настроенный фантомный актив не совпадают.
Установите параметр Keep_Owner на True, если вы хотите, чтобы владелец контейнера на настроенном экземпляре Phantom, чтобы соответствовать владельцу в локальном экземпляре. Обратите внимание, что это будет основано на идентификаторе владельца, а не на имени владельца.
| Параметр | НЕОБХОДИМЫЙ | ОПИСАНИЕ | ТИП | СОДЕРЖИТ |
|---|---|---|---|---|
| Container_id | необходимый | Идентификатор контейнера для копирования | числовое | phantom container id |
| Keep_owner | необязательный | Держите владельца | логический | |
| этикетка | необязательный | Метка, чтобы назвать экспортный контейнер. Если пробел, экспортный контейнер будет иметь то же имя, что и в локальном контейнере | нить | |
| run_automation | необязательный | Запустите активные пьесы | логический |
| Путь данных | ТИП | СОДЕРЖИТ | Пример значений |
|---|---|---|---|
| action_result.status | нить | Успех провалился | |
| action_result.parameter.container_id | числовое | phantom container id | 3 |
| action_result.parameter.keep_owner | логический | Верно ложь | |
| action_result.parameter.label | нить | события | |
| action_result.parameter.run_automation | логический | Верно ложь | |
| action_result.data | нить | ||
| action_result.summary.artifact_count | числовое | 268 | |
| action_result.summary.container_id | числовое | phantom container id | 94 |
| action_result.message | нить | Идентификатор контейнера: 94, Количество артефактов: 268 | |
| summary.total_objects | числовое | 1 | |
| summary.total_objects_successful | числовое | 1 |
Импортировать контейнер из внешнего фантомного экземпляра
Тип: универсальный
Только читать: ложь
Это действие импортирует контейнер (который соответствует контейнеру_ид ) из настроенного фантомного актива (на котором действие выполняется) в локальный фантомный экземпляр (экземпляр, откуда выполняется действие).
Действие не удастся с сообщением об ошибке, таким как экземпляр серьезности с именем U'critical 'не существует , если метаданные контейнера на настроенном фантомном активе и локальном экземпляре Phantom не совпадают.
Установите параметр Keep_Owner в True, если вы хотите, чтобы владелец контейнера в локальном экземпляре Phantom соответствовал владельцу в настроенном экземпляре. Обратите внимание, что это будет основано на идентификаторе владельца, а не на имени владельца.
| Параметр | НЕОБХОДИМЫЙ | ОПИСАНИЕ | ТИП | СОДЕРЖИТ |
|---|---|---|---|---|
| Container_id | необходимый | Идентификатор контейнера для копирования | числовое | phantom container id |
| Keep_owner | необязательный | Держите владельца | логический |
| Путь данных | ТИП | СОДЕРЖИТ | Пример значений |
|---|---|---|---|
| action_result.status | нить | Успех провалился | |
| action_result.parameter.container_id | нить | phantom container id | 3 |
| action_result.parameter.keep_owner | логический | Верно ложь | |
| action_result.data | нить | ||
| action_result.summary.artifact_count | числовое | 268 | |
| action_result.summary.container_id | числовое | phantom container id | 94 |
| action_result.message | нить | Идентификатор контейнера: 94, Количество артефактов: 268 | |
| summary.total_objects | числовое | 1 | |
| summary.total_objects_successful | числовое | 1 |
Создайте новый контейнер на фантомном экземпляре
Тип: универсальный
Только читать: ложь
Это действие создает новый контейнер на фантомном сервере, который настроен в параметре актива актива Phantom_server . Параметр container_json должен быть строкой JSON. Обязательно предоставить ключ метки в параметре container_json . Действие потерпит неудачу, если у Container_json есть этикетка, которая не существует в фантомном активе назначения.
Например, {"name": "Test Container", "Label": "Events"}
Container_Artifacts является необязательным параметром, который должен быть списком объектов артефакта в качестве строки JSON. Каждый объект Artifact JSON должен содержать следующие ключи: cef, cef_types, данные, описание, end_time, ingest_app_id, kill_chain, метка, имя, владелец_ид, суровость, source_data_identifier, start_time, теги, тип . Все остальные ключи будут проигнорированы.
Например, [{"name": "artifact 1", "label": "label1", "cef": {"test": "123"}}, {"name": "artifact 2", "label": "label2", "cef": {"test": "456"}}]
Смотрите документацию по фантомной документации Splunk для получения дополнительной информации.
| Параметр | НЕОБХОДИМЫЙ | ОПИСАНИЕ | ТИП | СОДЕРЖИТ |
|---|---|---|---|---|
| Container_json | необходимый | Объект контейнера JSON | нить | |
| Container_Artifacts | необязательный | Список объектов артефакта JSON | нить |
| Путь данных | ТИП | СОДЕРЖИТ | Пример значений |
|---|---|---|---|
| action_result.status | нить | Успех провалился | |
| action_result.parameter.container_artifacts | нить | [{"name": "дружественное для человека имя для артефакта (1)", "label": "event", "source_data_identifier": 1}, {"name": "Любоважно -дружественное имя для артефакта (2)", «Метка»: «Событие», «Source_Data_Identifier»: 2}, {"name": "дружественное для человека имя для Artifact (3)", "Label": "Event", "Source_Data_Identifier": 3}] | |
| action_result.parameter.container_json | нить | {«Серьезность»: «Средний», «Лейбл»: «События», «Версия»: 1, «Активист»: 7, «Статус»: «Новый», «Описание»: «Новый контейнер от фантомного помощника», « Теги ": []," data ": {}," name ":" Это контейнер "} | |
| action_result.data | нить | ||
| action_result.summary.artifact_count | числовое | 3 | |
| action_result.summary.container_id | числовое | phantom container id | |
| action_result.summary.failed_artifact_count | числовое | 7 | |
| action_result.message | нить | Идентификатор контейнера: 82, количество артефактов: 3 | |
| summary.total_objects | числовое | 1 | |
| summary.total_objects_successful | числовое | 1 |
Найдите результаты ранее пробежного действия
Тип: исследовать
Только читайте: правда
Это действие возвращает самые последние результаты данного Action_Name, запущенного с данными параметрами в течение данного времени_лимита .
Действие ограничит количество результатов, возвращаемых к значению в max_results . По умолчанию предел составляет 10. Чтобы получить все результаты, установите параметр max_results на 0.
Параметр параметров принимает строку JSON в формате:
{
"parameter_name1": "parameter_value1"
"Parameter_name2": "parameter_value2"
...
}| Параметр | НЕОБХОДИМЫЙ | ОПИСАНИЕ | ТИП | СОДЕРЖИТ |
|---|---|---|---|---|
| action_name | необходимый | Имя действия | нить | |
| параметры | необязательный | Строка параметров действия json | нить | |
| приложение | необязательный | Название приложения | нить | |
| объект | необязательный | Название актива | нить | |
| time_limit | необязательный | Количество часов для поиска | числовое | |
| max_results | необязательный | Максимальное количество результатов действия для возврата | числовое |
| Путь данных | ТИП | СОДЕРЖИТ | Пример значений |
|---|---|---|---|
| action_result.status | нить | Успех провалился | |
| action_result.parameter.action_name | нить | черный список IP | |
| action_result.parameter.app | нить | Фантом | |
| action_result.parameter.asset | нить | test_phantom | |
| action_result.parameter.max_results | числовое | 5 | |
| action_result.parameter.parameters | нить | {"ip": "1.8.9.0"} | |
| action_result.parameter.time_limit | числовое | 24 | |
| action_result.data.*. Action | нить | черный список IP | |
| action_result.data.*. action_run | числовое | 2724 | |
| action_result.data.*. App | числовое | 121 | |
| action_result.data.*. app_name | нить | Фантом | |
| action_result.data.*. App_version | нить | 1.0.0 | |
| action_result.data.*. Asset | числовое | 137 | |
| action_result.data.*. Контейнер | числовое | 1154 | |
| action_result.data.*. Effecty_user | нить | ||
| action_result.data.*. end_time | нить | 2017-11-06T20: 30: 27.991000Z | |
| action_result.data.*. Exception_occud | логический | Верно ложь | |
| action_result.data.*. Extra_Data | нить | ||
| action_result.data.*. id | числовое | 2761 | |
| action_result.data.*. Сообщение | нить | Успешно черный список IP | |
| action_result.data.*. Playbook_run | числовое | 1056 | |
| action_result.data.*. Result_data.*. Data | числовое | ||
| action_result.data.*. result_data.*. Сообщение | нить | IP -черный список успешно | |
| action_result.data.*. result_data.*. Параметр | нить | ||
| action_result.data.*. result_data.*. Parameter.context.artifact_id | числовое | 0 | |
| action_result.data.*. Result_data.*. Parameter.context.guid | нить | 293D0369-4801-417D-A1AF-A73CF1200D3D | |
| action_result.data.*. Result_data.*. Parameter.context.parent_Action_Run | нить | ||
| action_result.data.*. result_data.*. Статус | нить | успех | |
| action_result.data.*. Result_data.*. Сводка | нить | ||
| action_result.data.*. result_summary.total_objects | числовое | 1 | |
| action_result.data.*. result_summary.total_objects_successful | числовое | 1 | |
| action_result.data.*. start_time | нить | 2017-11-06T20: 30: 04.879000Z | |
| action_result.data.*. Статус | нить | Успех провалился | |
| action_result.data.*. Версия | числовое | 1 | |
| action_result.summary.action_run_id | числовое | 2761 | |
| action_result.summary.num_results | числовое | ||
| action_result.message | нить | Action Run Id: 2761 | |
| summary.total_objects | числовое | 1 | |
| summary.total_objects_successful | числовое | 1 |
Обновите список
Тип: универсальный
Только читать: ложь
Требуется либо list_name , либо идентификатор. Если оба, параметры list_name и id предоставляются, и оба они указывают на разные списки, то параметр list_name будет предпочтительным, и действие будет обновлять список, указанный в параметре List_name.
| Параметр | НЕОБХОДИМЫЙ | ОПИСАНИЕ | ТИП | СОДЕРЖИТ |
|---|---|---|---|---|
| list_name | необязательный | Список имени | нить | |
| идентификатор | необязательный | Идентификатор списка | числовое | |
| row_number | необходимый | Номер строки в списке, который будет изменен | числовое | |
| ROW_VALUES_AS_LIST | необходимый | Отформатированный список новых значений для строки | нить |
| Путь данных | ТИП | СОДЕРЖИТ | Пример значений |
|---|---|---|---|
| action_result.status | нить | Успех провалился | |
| action_result.parameter.id | числовое | ||
| action_result.parameter.list_name | нить | Мой первый список | |
| action_result.parameter.row_number | числовое | 0 | |
| action_result.parameter.row_values_as_list | нить | ["This", "есть", "a", "test"] | |
| action_result.data.*. Успех | логический | Истинный | |
| action_result.summary | нить | ||
| action_result.message | нить | ||
| summary.total_objects | числовое | 1 | |
| summary.total_objects_successful | числовое | 1 |
Подождите указанное количество секунд
Тип: исследовать
Только читайте: правда
| Параметр | НЕОБХОДИМЫЙ | ОПИСАНИЕ | ТИП | СОДЕРЖИТ |
|---|---|---|---|---|
| sleep_seconds | необходимый | Спать на столько секунд | числовое |
| Путь данных | ТИП | СОДЕРЖИТ | Пример значений |
|---|---|---|---|
| action_result.status | нить | Успех провалился | |
| action_result.parameter.sleep_seconds | числовое | 15 | |
| action_result.data | нить | ||
| action_result.summary | нить | ||
| action_result.message | нить | Спал 15 секунд | |
| summary.total_objects | числовое | 1 | |
| summary.total_objects_successful | числовое | 1 |
