phantom
3.7.0
สำนักพิมพ์: Splunk
ตัวเชื่อมต่อเวอร์ชัน: 3.7.1
ผู้ขายผลิตภัณฑ์: Phantom
ชื่อผลิตภัณฑ์: Phantom
รุ่นผลิตภัณฑ์รองรับ (regex): ".*"
รุ่นผลิตภัณฑ์ขั้นต่ำ: 6.2.1
แอพนี้แสดงให้เห็นว่า Phantom APIs ต่าง ๆ เป็นการกระทำ
พารามิเตอร์ auth_token config มีไว้สำหรับใช้กับอินสแตนซ์ Phantom หากได้รับทั้งโทเค็นและชื่อผู้ใช้/รหัสผ่านชื่อผู้ใช้และรหัสผ่านจะถูกใช้เพื่อตรวจสอบความถูกต้องของอินสแตนซ์ Phantom
โปรดทราบว่าการใช้ IP (หรือชื่อ) จะต้องตรงกับ IP ที่อนุญาตในการกำหนดค่าสินทรัพย์ REST ของอินสแตนซ์ระยะไกล
ในกรณีที่พารามิเตอร์การกำหนดค่า phantom_server ถูกตั้งค่าเป็นอินสแตนซ์ phantom ปัจจุบันเช่นเซิร์ฟเวอร์ Phantom ที่ใช้แอพแล้วจึงควรตั้ง ค่า Verify_certificate เป็นเท็จในการกำหนดค่าสินทรัพย์
สำหรับข้อมูลเกี่ยวกับวิธีการรับโทเค็นการอนุญาตดูการจัดเตรียมโทเค็นการอนุญาตในเอกสารภาพรวมของ Phantom Rest
หากค่าที่ให้ไว้ในพารามิเตอร์การกำหนดค่า phantom_server คือ 0.0.0.0 จากนั้น การเชื่อมต่อการทดสอบ จะผ่านสำเร็จและการกระทำจะทำงานบนอินสแตนซ์ Phantom ปัจจุบันเช่นเซิร์ฟเวอร์ที่ใช้แอพ
ดูบทความ KB 7 และ KB ข้อ 16 เกี่ยวกับวิธีการสร้างและตรวจสอบใบรับรอง HTTPS ที่ถูกต้องสำหรับอินสแตนซ์ Phantom ของคุณ
ด้วยเหตุผลด้านความปลอดภัยไม่อนุญาตให้เข้าถึง 127.0.0.1
สำหรับอินสแตนซ์ของ NRI พารามิเตอร์การกำหนดค่า IP/โฮสต์ของอุปกรณ์จำเป็นต้องระบุหมายเลขพอร์ตเช่นกัน (เช่น xxxx: 9999)
พารามิเตอร์การกระทำที่มีอยู่ได้รับการแก้ไขในการดำเนินการด้านล่าง ดังนั้นจึงมีการร้องขอให้ผู้ใช้ปลายทางโปรดอัปเดต playbooks ที่มีอยู่ของพวกเขาโดยการแทรกบล็อกแอ็คชั่นที่เกี่ยวข้องหรือโดยการให้ค่าที่เหมาะสมกับพารามิเตอร์การกระทำเหล่านี้เพื่อให้แน่ใจว่าการทำงานที่ถูกต้องของ playbooks ที่สร้างขึ้นในแอพรุ่นก่อนหน้า
รายการอัปเดต - พารามิเตอร์ ROW_VALUES_AS_LIST ได้รับการเปลี่ยนแปลงจากค่าใหม่ที่คั่นด้วยเครื่องหมายจุลภาคเป็นรายการ JSON ที่จัดรูปแบบของค่าใหม่ สิ่งนี้จะช่วยให้ผู้ใช้สามารถให้ค่าที่มีอักขระเครื่องหมายจุลภาค (',') ตัวอย่างสำหรับเดียวกันได้รับการอัปเดตในค่าตัวอย่าง
เพิ่ม Artifact - พารามิเตอร์ ที่มีอยู่ สามารถใช้สตริง (หรือรายการสตริงที่คั่นด้วยเครื่องหมายจุลภาค) หรือพจนานุกรม JSON โดยมีคีย์ที่ตรงกับคีย์ของ CEF_DICTIONARY และค่าที่เป็นรายการที่เป็นไปได้สำหรับฟิลด์ CEF ในกรณีที่พารามิเตอร์ PALTAINS เป็นสตริง (หรือรายการสตริงที่คั่นด้วยเครื่องหมายจุลภาค) ค่าที่ให้ไว้จะแมปกับพารามิเตอร์ CEF_NAME
DataPaths เอาต์พุต, action_result.summary.artifact id และ action_result.summary.container id ถูกแทนที่ด้วย action_result.summary.artifact_id และ action_result.summary.container_id ตามลำดับ
ค้นหาสิ่งประดิษฐ์ - action_result.summary.artifacts พบ datapath ถูกแทนที่ด้วย action_result.summary.artifacts_found
ค้นหา ListItem - Action_result.summary.found การจับคู่ Datapath ถูกแทนที่ด้วย action_result.summary.found_matches
อัปเดตแท็กสิ่งประดิษฐ์ - มีการเพิ่ม Datapaths เอาต์พุตต่อไปนี้แล้ว:
อัปเดตสิ่งประดิษฐ์ - พารามิเตอร์การดำเนินการของการกระทำนี้ได้รับการแก้ไขแล้ว โปรดอัปเดต playbooks ที่มีอยู่ของคุณตามพารามิเตอร์ใหม่ ด้านล่างนี้เป็นรายการของพารามิเตอร์ที่เพิ่มขึ้น:
สำหรับรายละเอียดเพิ่มเติมให้ตรวจสอบส่วน สิ่งประดิษฐ์อัปเดต
แอพใช้โปรโตคอล HTTP/ HTTPS สำหรับการสื่อสารกับเซิร์ฟเวอร์ Phantom ด้านล่างนี้เป็นพอร์ตเริ่มต้นที่ใช้โดย Splunk Soar
| ชื่อบริการ | โปรโตคอลการขนส่ง | ท่าเรือ |
|---|---|---|
| http | TCP | 80 |
| https | TCP | 443 |
ตัวแปรการกำหนดค่าด้านล่างเป็นสิ่งจำเป็นสำหรับตัวเชื่อมต่อนี้เพื่อให้ทำงาน ตัวแปรเหล่านี้มีการระบุเมื่อกำหนดค่าสินทรัพย์ phantom ใน SOAR
| ตัวแปร | ที่จำเป็น | พิมพ์ | คำอธิบาย |
|---|---|---|---|
| phantom_server | ที่จำเป็น | สาย | Phantom IP หรือ HostName (เช่น 10.1.1.10 หรือ Valid_phantom_hostname) |
| Auth_token | ไม่จำเป็น | รหัสผ่าน | โทเค็น Auth Auth |
| ชื่อผู้ใช้ | ไม่จำเป็น | สาย | ชื่อผู้ใช้ (สำหรับ http basic auth) |
| รหัสผ่าน | ไม่จำเป็น | รหัสผ่าน | รหัสผ่าน (สำหรับ HTTP BASIC Auth) |
| Verify_certificate | ไม่จำเป็น | บูลีน | ตรวจสอบใบรับรอง HTTPS (ค่าเริ่มต้น: เท็จ) |
| deflate_item_extensions | ไม่จำเป็น | สาย | เฉพาะไฟล์ที่มีส่วนขยายที่ระบุ (คั่นด้วยเครื่องหมายจุลภาค) จะถูกยุบ หากว่างเปล่าจะไม่มีการตรวจสอบส่วนขยายไฟล์ |
ทดสอบการเชื่อมต่อ - ตรวจสอบการกำหนดค่าสินทรัพย์สำหรับการเชื่อมต่อ
อัปเดตสิ่งประดิษฐ์ - อัปเดตหรือเขียนทับสิ่งประดิษฐ์ Phantom ด้วยอินพุตที่ให้ไว้
เพิ่มหมายเหตุ - เพิ่มหมายเหตุลงในคอนเทนเนอร์
อัปเดตแท็กสิ่งประดิษฐ์ - เพิ่ม/ลบแท็กจากสิ่งประดิษฐ์
ค้นหาสิ่งประดิษฐ์ - ค้นหาสิ่งประดิษฐ์ที่มีค่า CEF
เพิ่ม listItem - เพิ่มค่าลงในรายการที่กำหนดเอง
ค้นหา ListItem - ค้นหาค่าในรายการที่กำหนดเอง
เพิ่มสิ่งประดิษฐ์ - เพิ่มสิ่งประดิษฐ์ใหม่ลงในภาชนะ
รายการ deflate - deflates รายการจากห้องนิรภัย
คอนเทนเนอร์ส่งออก - ส่งออกคอนเทนเนอร์ท้องถิ่นไปยังสินทรัพย์ phantom ที่กำหนดค่า
นำเข้าคอนเทนเนอร์ - นำเข้าคอนเทนเนอร์จากอินสแตนซ์ phantom ภายนอก
สร้างคอนเทนเนอร์ - สร้างคอนเทนเนอร์ใหม่บนอินสแตนซ์ Phantom
รับผลการดำเนินการ - ค้นหาผลลัพธ์ของการดำเนินการก่อนหน้านี้
อัปเดตรายการ - อัปเดตรายการ
ไม่มี OP - รอจำนวนวินาทีที่ระบุ
ตรวจสอบการกำหนดค่าสินทรัพย์สำหรับการเชื่อมต่อ
ประเภท: ทดสอบ
อ่านเท่านั้น: จริง
ไม่จำเป็นต้องมีพารามิเตอร์สำหรับการดำเนินการนี้
ไม่มีเอาต์พุต
อัปเดตหรือเขียนทับสิ่งประดิษฐ์ Phantom ด้วยอินพุตที่ให้ไว้
ประเภท: ทั่วไป
อ่านเท่านั้น: FALSE
| พารามิเตอร์ | ตัวอย่าง |
|---|---|
| ชื่อ | ชื่อสิ่งประดิษฐ์ |
| ฉลาก | artifact_label |
| ความรุนแรง | สูง |
| CEF_JSON | {"key1": "value1", "gooddomain": "www.splunk.com", "remove_me": ""} |
| cef_types_json | {"gooddomain": ["โดเมน"]} |
| แท็ก | tag1, tag3 หรือ ["tag2", "tag4"] |
| artifact_json | {"source_data_identifier": "myticket1234", "label": "new_label"} |
| พารามิเตอร์ | ที่จำเป็น | คำอธิบาย | พิมพ์ | ประกอบด้วย |
|---|---|---|---|---|
| artifact_id | ที่จำเป็น | id of Artifact เพื่ออัปเดต | สาย | phantom artifact id |
| ชื่อ | ไม่จำเป็น | ชื่อสิ่งประดิษฐ์ (เขียนทับเสมอหากมีให้) | สาย | |
| ฉลาก | ไม่จำเป็น | ฉลากสิ่งประดิษฐ์ (เขียนทับเสมอหากมีให้) | สาย | |
| ความรุนแรง | ไม่จำเป็น | ความรุนแรงของสิ่งประดิษฐ์ (เขียนทับเสมอถ้ามี) | สาย | |
| CEF_JSON | ไม่จำเป็น | รูปแบบ JSON ของฟิลด์ CEF ที่คุณต้องการในสิ่งประดิษฐ์ | สาย | |
| cef_types_json | ไม่จำเป็น | รูปแบบ JSON ของประเภท CEF (เช่น {'myip': ['ip', 'ipv6']}) | สาย | |
| แท็ก | ไม่จำเป็น | รายการแท็กที่คั่นด้วยเครื่องหมายจุลภาคเพื่อเพิ่มหรือแทนที่ในสิ่งประดิษฐ์ | สาย | |
| เขียนทับ | ไม่จำเป็น | เขียนทับสิ่งประดิษฐ์ด้วยอินพุตที่ให้ไว้ (ใช้กับ: CEF_JSON, มี _JSON, แท็ก) | บูลีน | |
| artifact_json | ไม่จำเป็น | รูปแบบ JSON ของสิ่งประดิษฐ์ทั้งหมด (เขียนทับคีย์ที่ให้ไว้เสมอ) | สาย |
| เส้นทางข้อมูล | พิมพ์ | ประกอบด้วย | ค่าตัวอย่าง |
|---|---|---|---|
| action_result.status | สาย | ความสำเร็จล้มเหลว | |
| action_result.parameter.artifact_id | สาย | phantom artifact id | 2388 |
| action_result.parameter.artifact_json | สาย | {"ความรุนแรง": "สูง", "ฉลาก": "ทดสอบฉลาก", "คำอธิบาย": "สิ่งประดิษฐ์ที่เพิ่มโดยฉัน", "source_data_identifier": "my_custom_sdi" | |
| action_result.parameter.cef_json | สาย | {"new_field": "new_value", "deleted_field": ""} | |
| action_result.parameter.cef_types_json | สาย | {"new_field": ["ใหม่มี"]} | |
| action_result.parameter.label | สาย | ฉลากทดสอบ | |
| action_result.parameter.name | สาย | ชื่อใหม่ | |
| action_result.parameter.overwrite | บูลีน | เท็จจริง | |
| action_result.parameter.severity | สาย | สูง | |
| action_result.parameter.tags | สาย | ["tag2"] | |
| action_result.data.*. requested_artifact.cef.deleted_field | สาย | ||
| action_result.data.*. requested_artifact.cef.new_field | สาย | new_value | |
| action_result.data.*. requested_artifact.cef.test | สาย | FFF | |
| action_result.data.*. requested_artifact.cef_types.new_field | สาย | ใหม่มี | |
| action_result.data.*. requested_artifact.description | สาย | สิ่งประดิษฐ์ที่เพิ่มโดยฉัน | |
| action_result.data.*. requested_artifact.label | สาย | ฉลากทดสอบ | |
| action_result.data.*. requested_artifact.name | สาย | ชื่อใหม่ | |
| action_result.data.*. requested_artifact.severity | สาย | สูง | |
| action_result.data.*. requested_artifact.source_data_identifier | สาย | my_custom_sdi | |
| action_result.data.*. requested_artifact.tags | สาย | Tag2 | |
| action_result.data.*. response.id | เป็นตัวเลข | 2388 | |
| action_result.data.*. response.success | บูลีน | เท็จจริง | |
| action_result.summary | สาย | ||
| action_result.message | สาย | สิ่งประดิษฐ์อัปเดตสำเร็จ | |
| summary.total_objects | เป็นตัวเลข | 1 | |
| summary.total_objects_successful | เป็นตัวเลข | 1 |
เพิ่มหมายเหตุลงในคอนเทนเนอร์
ประเภท: ทั่วไป
อ่านเท่านั้น: FALSE
หากพารามิเตอร์ container_id ว่างเปล่าจะถูกเริ่มต้นไปยัง ID ของคอนเทนเนอร์ปัจจุบัน (จากที่ที่กำลังดำเนินการดำเนินการ) และสถานะจะสะท้อนให้เห็นตาม หากคอนเทนเนอร์เป็นกรณีสามารถให้พารามิเตอร์ phase_id เพื่อเชื่อมโยงบันทึกย่อกับเฟสเฉพาะ
| พารามิเตอร์ | ที่จำเป็น | คำอธิบาย | พิมพ์ | ประกอบด้วย |
|---|---|---|---|---|
| ชื่อ | ที่จำเป็น | ชื่อเรื่องสำหรับโน้ต | สาย | |
| เนื้อหา | ไม่จำเป็น | บันทึกเนื้อหา | สาย | |
| container_id | ไม่จำเป็น | ID คอนเทนเนอร์ (ค่าเริ่มต้นไปยังคอนเทนเนอร์ปัจจุบัน) | เป็นตัวเลข | phantom container id |
| phase_id | ไม่จำเป็น | เฟสโน้ตจะเชื่อมโยงกับ | สาย |
| เส้นทางข้อมูล | พิมพ์ | ประกอบด้วย | ค่าตัวอย่าง |
|---|---|---|---|
| action_result.status | สาย | ความสำเร็จล้มเหลว | |
| action_result.parameter.container_id | เป็นตัวเลข | phantom container id | 35 |
| action_result.parameter.content | สาย | การเพิ่มบันทึกผ่านการกระทำของแอป | |
| action_result.parameter.phase_id | สาย | ||
| action_result.parameter.title | สาย | หมายเหตุทดสอบ | |
| action_result.data | สาย | ||
| action_result.summary | สาย | ||
| action_result.message | สาย | บันทึกที่สร้างขึ้น | |
| summary.total_objects | เป็นตัวเลข | 1 | |
| summary.total_objects_successful | เป็นตัวเลข | 1 |
เพิ่ม/ลบแท็กจากสิ่งประดิษฐ์
ประเภท: ทั่วไป
อ่านเท่านั้น: FALSE
| พารามิเตอร์ | ที่จำเป็น | คำอธิบาย | พิมพ์ | ประกอบด้วย |
|---|---|---|---|---|
| artifact_id | ที่จำเป็น | รหัสสิ่งประดิษฐ์ | สาย | phantom artifact id |
| add_tags | ไม่จำเป็น | รายการแท็กที่คั่นด้วยเครื่องหมายจุลภาคเพื่อเพิ่มลงในสิ่งประดิษฐ์ | สาย | |
| remove_tags | ไม่จำเป็น | รายการแท็กที่คั่นด้วยเครื่องหมายจุลภาคเพื่อลบออกจากสิ่งประดิษฐ์ | สาย |
| เส้นทางข้อมูล | พิมพ์ | ประกอบด้วย | ค่าตัวอย่าง |
|---|---|---|---|
| action_result.status | สาย | ความสำเร็จล้มเหลว | |
| action_result.parameter.add_tags | สาย | tag1, tag3 | |
| action_result.parameter.artifact_id | สาย | phantom artifact id | 94 |
| action_result.parameter.remove_tags | สาย | tag2, tag4 | |
| action_result.data | สาย | ||
| action_result.summary.tags_added | สาย | Tag1 | |
| action_result.summary.tags_already_absent | สาย | Tag4 | |
| action_result.summary.tags_already_present | สาย | Tag3 | |
| action_result.summary.tags_removed | สาย | Tag2 | |
| action_result.message | สาย | แท็กเพิ่ม: Tag1, แท็กลบ: tag2, แท็กแล้วมีอยู่แล้ว: tag3, แท็กที่ขาดไปแล้ว: tag4 | |
| summary.total_objects | เป็นตัวเลข | 1 | |
| summary.total_objects_successful | เป็นตัวเลข | 1 |
ค้นหาสิ่งประดิษฐ์ที่มีค่า CEF
ประเภท: ตรวจสอบ
อ่านเท่านั้น: จริง
หากพารามิเตอร์ limit_search ถูกตั้งค่าเป็นจริงการกระทำจะค้นหาสิ่งประดิษฐ์ที่ต้องการใน container_ids ที่ให้ไว้เท่านั้น มิฉะนั้นพารามิเตอร์ container_ids จะถูกละเว้น
หากมีค่าที่ไม่ใช่จำนวนเต็มใด ๆ ที่มีอยู่ในพารามิเตอร์ container_ids ค่าที่ไม่ใช่จำนวนเต็มทั้งหมดจะถูกลบออกและพารามิเตอร์จะได้รับการอัปเดตตามลำดับ หากค่าของพารามิเตอร์ container_ids เป็น ปัจจุบัน จะถูกแทนที่ด้วย ID ของคอนเทนเนอร์ปัจจุบัน (ซึ่งกำลังดำเนินการดำเนินการ) และสถานะจะสะท้อนให้เห็นตาม
หากพารามิเตอร์ exact_match ถูกตั้งค่าเป็นเท็จการกระทำจะส่งคืนสิ่งประดิษฐ์ทั้งหมดที่พารามิเตอร์ ค่า เป็นสายย่อยของค่า CEF ใด ๆ มิฉะนั้นมันจะส่งคืนสิ่งประดิษฐ์เหล่านั้นซึ่งค่า CEF ใดค่าหนึ่งตรงกับพารามิเตอร์ ค่า
สำหรับ ค่า ของจำนวนเต็มประเภทลอยหรือสตริงแนะนำให้ตั้งค่าพารามิเตอร์ exact_match เป็นเท็จ
โดยค่าเริ่มต้น 10 สิ่งประดิษฐ์จะถูกส่งคืน หากคุณต้องการส่งคืนสิ่งประดิษฐ์มากกว่า 10 รายการให้อัปเดตพารามิเตอร์ MAX_RESULTS
| พารามิเตอร์ | ที่จำเป็น | คำอธิบาย | พิมพ์ | ประกอบด้วย |
|---|---|---|---|---|
| CEF_KEY | ไม่จำเป็น | คีย์ของ CEF DICT คุณกำลังสอบถาม: ACT, APP, ApplicationProtocol, BaseEventCount, Bytesin และอื่น ๆ | สาย | |
| ค่า | ที่จำเป็น | ค้นหาค่านี้เป็นสิ่งประดิษฐ์ | สาย | * |
| Exact_match | ไม่จำเป็น | การจับคู่ที่แน่นอน (ค่าเริ่มต้น: จริง) | บูลีน | |
| limit_search | ไม่จำเป็น | จำกัด การค้นหาไปยังคอนเทนเนอร์ที่ระบุ (ค่าเริ่มต้น: เท็จ) | บูลีน | |
| container_ids | ไม่จำเป็น | รายการพื้นที่หรือเครื่องหมายจุลภาคที่แยกจากกัน คำว่า "ปัจจุบัน" จะถูกแทนที่ด้วยรหัสคอนเทนเนอร์ปัจจุบัน | สาย | |
| max_results | ไม่จำเป็น | จำนวนสิ่งประดิษฐ์สูงสุดที่จะกลับมา | เป็นตัวเลข |
| เส้นทางข้อมูล | พิมพ์ | ประกอบด้วย | ค่าตัวอย่าง |
|---|---|---|---|
| action_result.status | สาย | ความสำเร็จล้มเหลว | |
| action_result.parameter.cef_key | สาย | Act App ApplicationProtocol | |
| action_result.parameter.container_ids | สาย | ปัจจุบัน | |
| action_result.parameter.exact_match | บูลีน | เท็จจริง | |
| action_result.parameter.limit_search | บูลีน | เท็จจริง | |
| action_result.parameter.values | สาย | * | test_value |
| action_result.data.*. คอนเทนเนอร์ | เป็นตัวเลข | 1234 | |
| action_result.data.*. container_name | สาย | phantom_test | |
| action_result.data.*. พบใน | สาย | test_key | |
| action_result.data.*. id | เป็นตัวเลข | 12345 | |
| action_result.data.*. จับคู่ | สาย | test_value | |
| action_result.data.*. ชื่อ | สาย | artifact_demo | |
| action_result.summary.artifacts_found | เป็นตัวเลข | 1 | |
| action_result.summary.server | สาย | https://10.1.1.10 | |
| action_result.message | สาย | สิ่งประดิษฐ์พบ: 1, เซิร์ฟเวอร์: https://10.1.1.10 | |
| summary.total_objects | เป็นตัวเลข | 1 | |
| summary.total_objects_successful | เป็นตัวเลข | 1 | |
| action_result.parameter.max_results | เป็นตัวเลข | 2 |
เพิ่มค่าลงในรายการที่กำหนดเอง
ประเภท: ทั่วไป
อ่านเท่านั้น: FALSE
ในการเพิ่มแถวที่มีค่าเดียวไปยังรายการเพียงผ่านค่า อย่างไรก็ตามหากต้องการผ่านหลายค่าในแถวให้จัดรูปแบบเหมือนอาร์เรย์ JSON (เช่น ["item1", "item2", "item3"])
การดำเนินการจะอัปเดต รายการ หาก รายการ มีอยู่แล้ว (แม้ว่าพารามิเตอร์ สร้าง จะถูกตั้งค่าเป็น TRUE)
หลังจากสร้างหรืออัปเดตรายการผ่านการกระทำนี้หากรายการเดียวกันได้รับการอัปเดตจาก UI จากนั้นผู้ใช้จะต้องบันทึกการเปลี่ยนแปลงเหล่านั้นก่อนที่จะอัปเดตรายการผ่านการกระทำนี้อีกครั้งมิฉะนั้นการเปลี่ยนแปลงที่เกิดขึ้นจาก UI จะถูกแทนที่
| พารามิเตอร์ | ที่จำเป็น | คำอธิบาย | พิมพ์ | ประกอบด้วย |
|---|---|---|---|---|
| รายการ | ที่จำเป็น | ชื่อหรือรหัสของรายการที่กำหนดเอง | สาย | |
| new_row | ที่จำเป็น | แถวใหม่ (รายการสตริงหรือ JSON) | สาย | * |
| สร้าง | ไม่จำเป็น | สร้างรายการหากไม่มีอยู่ (ค่าเริ่มต้น: เท็จ) | บูลีน |
| เส้นทางข้อมูล | พิมพ์ | ประกอบด้วย | ค่าตัวอย่าง |
|---|---|---|---|
| action_result.status | สาย | ความสำเร็จล้มเหลว | |
| action_result.parameter.create | บูลีน | เท็จจริง | |
| action_result.parameter.list | สาย | การสาธิต | |
| action_result.parameter.new_row | สาย | * | ["value1", "value2", "value3"] |
| action_result.data.*. ล้มเหลว | บูลีน | ||
| action_result.data.*. ความสำเร็จ | บูลีน | เท็จจริง | |
| action_result.summary.server | สาย | url | https://10.1.1.10 |
| action_result.message | สาย | เซิร์ฟเวอร์: https://10.1.1.10 | |
| summary.total_objects | เป็นตัวเลข | 1 | |
| summary.total_objects_successful | เป็นตัวเลข | 1 |
ค้นหาค่าในรายการที่กำหนดเอง
ประเภท: ตรวจสอบ
อ่านเท่านั้น: จริง
พิกัดแถวและคอลัมน์สำหรับแต่ละค่าการจับคู่สามารถพบได้ในสรุปผลลัพธ์ภายใต้ "ตำแหน่ง" การจับคู่นั้นมีความอ่อนไหว
หากพารามิเตอร์ Exact_Match ถูกตั้งค่าเป็น FALSE การกระทำจะส่งคืนสตริงทั้งหมดที่พารามิเตอร์ ค่า เป็น substring มิฉะนั้นมันจะส่งคืนสตริงเหล่านั้นซึ่งตรงกับพารามิเตอร์ ค่า
| พารามิเตอร์ | ที่จำเป็น | คำอธิบาย | พิมพ์ | ประกอบด้วย |
|---|---|---|---|---|
| รายการ | ที่จำเป็น | ชื่อหรือรหัสของรายการที่กำหนดเอง | สาย | |
| column_index | ไม่จำเป็น | ค้นหาในหมายเลขคอลัมน์ (ตาม 0) | เป็นตัวเลข | |
| ค่า | ที่จำเป็น | ค่าในการค้นหา | สาย | * |
| Exact_match | ไม่จำเป็น | การจับคู่ที่แน่นอน (ค่าเริ่มต้น: จริง) | บูลีน |
| เส้นทางข้อมูล | พิมพ์ | ประกอบด้วย | ค่าตัวอย่าง |
|---|---|---|---|
| action_result.status | สาย | ความสำเร็จล้มเหลว | |
| action_result.parameter.column_index | เป็นตัวเลข | ||
| action_result.parameter.exact_match | บูลีน | เท็จจริง | |
| action_result.parameter.list | สาย | list_demo | |
| action_result.parameter.values | สาย | * | ค่า 1 |
| action_result.data | สาย | ||
| action_result.data.* | สาย | ||
| action_result.summary.found_matches | เป็นตัวเลข | 1 | |
| action_result.summary.list_id | เป็นตัวเลข | 18 | |
| action_result.summary.locations | เป็นตัวเลข | ||
| action_result.summary.locations* | เป็นตัวเลข | ||
| action_result.summary.server | สาย | url | https://10.1.1.10 |
| action_result.message | สาย | เซิร์ฟเวอร์: https://10.1.1.10, พบการแข่งขัน: 1, สถานที่: [(1, 0)], รายการ ID: 18 | |
| summary.total_objects | เป็นตัวเลข | 1 | |
| summary.total_objects_successful | เป็นตัวเลข | 1 |
เพิ่มสิ่งประดิษฐ์ใหม่ลงในภาชนะ
ประเภท: ทั่วไป
อ่านเท่านั้น: FALSE
หากพารามิเตอร์ container_id ว่างเปล่าจะถูกเริ่มต้นไปยัง ID ของคอนเทนเนอร์ปัจจุบัน (ซึ่งกำลังดำเนินการดำเนินการ) และสถานะจะสะท้อนให้เห็นตาม
สามารถเพิ่มฟิลด์ CEF ลงในสิ่งประดิษฐ์ได้สองวิธีไม่ว่าจะโดยใช้พารามิเตอร์ CEF_NAME และ CEF_VALUE หรือโดยใช้พารามิเตอร์ CEF_Dictionary หากพารามิเตอร์ CEF_NAME , CEF_VALUE และ CEF_DICTIONARY รวมอยู่ทั้งหมดการกระทำจะเพิ่มฟิลด์ CEF_NAME ลงใน CEF_DICTIONARY
การใช้พารามิเตอร์ CEF_NAME และ CEF_VALUE เท่านั้นจะส่งผลให้สิ่งประดิษฐ์มีฟิลด์ CEF หนึ่งฟิลด์
พารามิเตอร์ CEF_Dictionary ใช้พจนานุกรม JSON ที่มีคู่คีย์-ค่าเป็นตัวแทนของคู่คีย์ค่า CEF เพื่อให้ค่าที่มีสองเท่า (") เพิ่ม backslash () ก่อนที่จะมีสองเท่า
สำหรับ EG, {"X-universally-unique-identifier": "ทดสอบ", "เนื้อหาประเภท": "multipart/ทางเลือก; Boundary = " Apple-Mail = _0da95d7e-B791-4751-8043-175949088A2C " >" , "Message-id": "[email protected]"}
พารามิเตอร์ ที่มีอยู่ สามารถใช้พจนานุกรม JSON โดยมีคีย์ที่ตรงกับคีย์ของ CEF_Dictionary และค่าที่เป็นรายการที่เป็นไปได้สำหรับฟิลด์ CEF หากค่าที่กำหนดใน CEF_DICTIONARY ไม่ปรากฏในพจนานุกรม ที่มี การดำเนินการจะตรวจสอบรายการฟิลด์ CEF เริ่มต้นก่อน หากไม่ใช่ฟิลด์ CEF เริ่มต้นการดำเนินการจะพยายามระบุค่าที่เหมาะสมสำหรับการบรรจุ
พารามิเตอร์ ที่มีอยู่ ยังสามารถใช้สตริง (หรือรายการสตริงที่คั่นด้วยเครื่องหมายจุลภาค) ซึ่งเป็นตัวแทนของพารามิเตอร์ CEF_VALUE ควรใช้วิธีนี้เฉพาะในกรณีที่ใช้พารามิเตอร์ CEF_NAME และ CEF_VALUE
หากพารามิเตอร์ run_automation ถูกตั้งค่าเป็น TRUE แล้ว Playbooks ที่ใช้งานจะทำงานโดยอัตโนมัติหลังจากเพิ่มสิ่งประดิษฐ์ playbooks ที่ใช้งานจะทำงานบนภาชนะเดียวกันที่มีการเพิ่มสิ่งประดิษฐ์
ดูเอกสาร REST API สำหรับข้อมูลเพิ่มเติมเกี่ยวกับสิ่งประดิษฐ์ฟิลด์ CEF และมี
| พารามิเตอร์ | ที่จำเป็น | คำอธิบาย | พิมพ์ | ประกอบด้วย |
|---|---|---|---|---|
| ชื่อ | ไม่จำเป็น | ชื่อของสิ่งประดิษฐ์ใหม่ | สาย | |
| container_id | ไม่จำเป็น | ID คอนเทนเนอร์ตัวเลขสำหรับสิ่งประดิษฐ์ใหม่ | เป็นตัวเลข | phantom container id |
| ฉลาก | ไม่จำเป็น | ฉลากสิ่งประดิษฐ์ (ค่าเริ่มต้น: เหตุการณ์) | สาย | |
| source_data_identifier | ที่จำเป็น | แหล่งข้อมูลแหล่งที่มา idenitifier | สาย | |
| cef_name | ไม่จำเป็น | ชื่อ CEF | สาย | |
| cef_value | ไม่จำเป็น | ค่า | สาย | * |
| CEF_DICTIONARY | ไม่จำเป็น | CEF JSON | สาย | |
| ประกอบด้วย | ไม่จำเป็น | ประเภทข้อมูลสำหรับแต่ละฟิลด์ CEF | สาย | |
| run_automation | ไม่จำเป็น | เรียกใช้ระบบอัตโนมัติบนสิ่งประดิษฐ์ที่สร้างขึ้นใหม่ (ค่าเริ่มต้น: เท็จ) | บูลีน | |
| กำหนด _contains | ไม่จำเป็น | กำหนดมีสำหรับฟิลด์ CEF ใด ๆ ที่ไม่มีค่าที่ให้ไว้ (ค่าเริ่มต้น: จริง) | บูลีน |
| เส้นทางข้อมูล | พิมพ์ | ประกอบด้วย | ค่าตัวอย่าง |
|---|---|---|---|
| action_result.status | สาย | ความสำเร็จล้มเหลว | |
| action_result.parameter.cef_dictionary | สาย | {"test_key": "test_value"} | |
| action_result.parameter.cef_name | สาย | ||
| action_result.parameter.cef_value | สาย | * | |
| action_result.parameter.container_id | เป็นตัวเลข | phantom container id | 1234 |
| action_result.parameter.contains | สาย | โดเมน | |
| action_result.parameter.label | สาย | เหตุการณ์ | |
| action_result.parameter.name | สาย | artifact_demo | |
| action_result.parameter.run_automation | สาย | เท็จจริง | |
| action_result.parameter.source_data_identifier | สาย | ||
| action_result.parameter.determine_contains | บูลีน | ||
| action_result.data.*. มีอยู่ _artifact_id | เป็นตัวเลข | ||
| action_result.data.*. ล้มเหลว | บูลีน | ||
| action_result.data.*. id | เป็นตัวเลข | 123 | |
| action_result.data.*. ความสำเร็จ | บูลีน | เท็จจริง | |
| action_result.summary.artifact_id | เป็นตัวเลข | 12345 | |
| action_result.summary.container_id | เป็นตัวเลข | 1234 | |
| action_result.summary.server | สาย | url | https://10.1.1.10 |
| action_result.message | สาย | ARTIFACT ID: 12345, ID คอนเทนเนอร์: 1234, เซิร์ฟเวอร์: https://10.1.1.10 | |
| summary.total_objects | เป็นตัวเลข | 1 | |
| summary.total_objects_successful | เป็นตัวเลข | 1 |
ทำให้รายการจากห้องนิรภัย
ประเภท: ทั่วไป
อ่านเท่านั้น: FALSE
การดำเนินการจะได้รับการสนับสนุนเฉพาะในกรณีที่พารามิเตอร์ phantom_server (ในการกำหนดค่าสินทรัพย์) ถูกกำหนดค่าให้กับอินสแตนซ์ phantom ท้องถิ่นเช่นอินสแตนซ์ที่กำลังดำเนินการ
การดำเนินการตรวจจับหากรายการอินพุต Vault เป็นไฟล์ที่บีบอัดและ deflates ทุกไฟล์ที่พบหลังจาก deflation จะถูกเพิ่มลงในห้องนิรภัย หากระบุ container_id จะเพิ่มลงในห้องนิรภัยอื่น ๆ ไปยังปัจจุบัน (คอนเทนเนอร์ที่มีบริบทการดำเนินการดำเนินการ) คอนเทนเนอร์ การดำเนินการรองรับประเภทไฟล์ ZIP , GZIP , BZ2 , TAR และ TGZ ในกรณีที่ไฟล์ที่บีบอัดมีไฟล์ที่บีบอัดอื่นอยู่ในนั้นตั้งค่าพารามิเตอร์ แบบเรียกซ้ำ เป็น TRUE เพื่อลดไฟล์ที่บีบอัดภายใน
หากเปิดใช้งานการเรียกซ้ำและระบุรหัสผ่านแอปพลิเคชันจะใช้รหัสผ่านสำหรับไฟล์ zip ที่กำหนดเท่านั้น ไฟล์ ZIP ด้านในจะถูกแยกออกเฉพาะในกรณีที่ไฟล์ไม่ได้รับการป้องกันด้วยรหัสผ่าน ในบรรดาวิธีการบีบอัดที่แตกต่างกันเฉพาะ ZIP เท่านั้นที่รองรับฟังก์ชั่นการป้องกันรหัสผ่าน
สำหรับอักขระ Unicode บางตัวชื่อไฟล์จะไม่ถูกยกเลิกซิปตามที่เป็นโดยโมดูล ZipFile
| พารามิเตอร์ | ที่จำเป็น | คำอธิบาย | พิมพ์ | ประกอบด้วย |
|---|---|---|---|---|
| vault_id | ที่จำเป็น | ID Vault | สาย | sha1 vault id |
| container_id | ไม่จำเป็น | ID คอนเทนเนอร์ปลายทาง | เป็นตัวเลข | phantom container id |
| รหัสผ่าน | ไม่จำเป็น | รหัสผ่านสำหรับไฟล์ | สาย | |
| ซึ่งเรียกซ้ำ | ไม่จำเป็น | แยกซ้ำ (ค่าเริ่มต้น: false) | บูลีน |
| เส้นทางข้อมูล | พิมพ์ | ประกอบด้วย | ค่าตัวอย่าง |
|---|---|---|---|
| action_result.status | สาย | ความสำเร็จล้มเหลว | |
| action_result.parameter.container_id | เป็นตัวเลข | phantom container id | 3 |
| action_result.parameter.password | สาย | p@$$ w0rd | |
| action_result.parameter.recursive | บูลีน | เท็จจริง | |
| action_result.parameter.vault_id | สาย | sha1 vault id | F582ED9120FA3BE94852C73E1CD188F2948F677F |
| action_result.data.*. aka.* | สาย | test.txt | |
| action_result.data.*. คอนเทนเนอร์ | สาย | phantom_test | |
| action_result.data.*. container_id | เป็นตัวเลข | phantom container id | 1234 |
| action_result.data.*. มี* | สาย | ID Vault | |
| action_result.data.*. create_time | สาย | 0 นาทีที่แล้ว | |
| action_result.data.*. created_via | สาย | ระบบอัตโนมัติ | |
| action_result.data.*. แฮช | สาย | sha1 | 0A0E6C7AB7F77D058EFD444279B81C4C6A9CF4CE |
| action_result.data.*. id | เป็นตัวเลข | 12 | |
| action_result.data.*. metadata.contains | สาย | ID Vault | |
| action_result.data.*. metadata.md5 | สาย | md5 | 0DB33A0790B6D6D5C2E4425646EEEEEEEEEEEEE |
| action_result.data.*. metadata.sha1 | สาย | sha1 | fece6c7ab7f77d058efd444279b81c4c6a9cf4ce |
| action_result.data.*. metadata.sha256 | สาย | sha256 | 4F2155212CB0F74207BD0E4FD5ECAE548EE2BAE1D2DCD36C1D0BA0B6254BD4A1 |
| action_result.data.*. metadata.size | เป็นตัวเลข | 33 | |
| action_result.data.*. mime_type | สาย | ข้อความ/ธรรมดา | |
| action_result.data.*. ชื่อ | สาย | tgz-test | |
| Action_result.data.*. เส้นทาง | สาย | ||
| action_result.data.*. ขนาด | เป็นตัวเลข | 10240 | |
| action_result.data.*. งาน | สาย | ||
| action_result.data.*. ผู้ใช้ | สาย | ||
| action_result.data.*. vault_document | เป็นตัวเลข | ||
| action_result.data.*. vault_id | สาย | sha1 vault id | B90E6C7AB7F77D058EFD444279B81C4C6A9CF4CE |
| action_result.summary.total_vault_items | เป็นตัวเลข | 9 | |
| action_result.message | สาย | รายการ Vault ทั้งหมด: 9 | |
| summary.total_objects | เป็นตัวเลข | 1 | |
| summary.total_objects_successful | เป็นตัวเลข | 1 |
ส่งออกคอนเทนเนอร์ท้องถิ่นไปยังสินทรัพย์ phantom ที่กำหนดค่า
ประเภท: ทั่วไป
อ่านเท่านั้น: FALSE
การดำเนินการนี้ส่งออกคอนเทนเนอร์ (ที่ตรงกับ container_id ) จากอินสแตนซ์ Phantom ท้องถิ่น (อินสแตนซ์จากตำแหน่งที่ดำเนินการดำเนินการ) ไปยังสินทรัพย์ Phantom ที่กำหนดค่า (ว่าการกระทำกำลังดำเนินการ)
การกระทำจะล้มเหลวด้วยข้อความแสดงข้อผิดพลาดเช่น อินสแตนซ์ความรุนแรงที่มีชื่อ u'critical 'ไม่มีอยู่ หากเมตาดาต้าคอนเทนเนอร์ในอินสแตนซ์ Phantom ท้องถิ่นและสินทรัพย์ phantom ที่กำหนดค่าไม่ตรงกัน
ตั้งค่าพารามิเตอร์ KEEPT_OWNER เป็นจริงหากคุณต้องการเจ้าของคอนเทนเนอร์บนอินสแตนซ์ Phantom ที่กำหนดค่าไว้เพื่อให้ตรงกับเจ้าของในอินสแตนซ์ท้องถิ่น โปรดทราบว่าสิ่งนี้จะขึ้นอยู่กับ ID เจ้าของไม่ใช่ชื่อเจ้าของ
| พารามิเตอร์ | ที่จำเป็น | คำอธิบาย | พิมพ์ | ประกอบด้วย |
|---|---|---|---|---|
| container_id | ที่จำเป็น | ID คอนเทนเนอร์เพื่อคัดลอก | เป็นตัวเลข | phantom container id |
| Keep_owner | ไม่จำเป็น | รักษาเจ้าของ | บูลีน | |
| ฉลาก | ไม่จำเป็น | ฉลากเพื่อตั้งชื่อคอนเทนเนอร์ส่งออก หากว่างเปล่าคอนเทนเนอร์ส่งออกจะมีชื่อเดียวกับคอนเทนเนอร์ท้องถิ่น | สาย | |
| run_automation | ไม่จำเป็น | เรียกใช้ playbooks ที่ใช้งานอยู่ | บูลีน |
| เส้นทางข้อมูล | พิมพ์ | ประกอบด้วย | ค่าตัวอย่าง |
|---|---|---|---|
| action_result.status | สาย | ความสำเร็จล้มเหลว | |
| action_result.parameter.container_id | เป็นตัวเลข | phantom container id | 3 |
| action_result.parameter.keep_owner | บูลีน | เท็จจริง | |
| action_result.parameter.label | สาย | เหตุการณ์ | |
| action_result.parameter.run_automation | บูลีน | เท็จจริง | |
| action_result.data | สาย | ||
| action_result.summary.artifact_count | เป็นตัวเลข | 268 | |
| action_result.summary.container_id | เป็นตัวเลข | phantom container id | 94 |
| action_result.message | สาย | ID คอนเทนเนอร์: 94, สิ่งประดิษฐ์นับ: 268 | |
| summary.total_objects | เป็นตัวเลข | 1 | |
| summary.total_objects_successful | เป็นตัวเลข | 1 |
นำเข้าคอนเทนเนอร์จากอินสแตนซ์ phantom ภายนอก
ประเภท: ทั่วไป
อ่านเท่านั้น: FALSE
การดำเนินการนี้นำเข้าคอนเทนเนอร์ (ที่ตรงกับ container_id ) จากสินทรัพย์ phantom ที่กำหนดค่า (ว่าการดำเนินการกำลังดำเนินการ) ลงในอินสแตนซ์ Phantom ท้องถิ่น (อินสแตนซ์จากตำแหน่งที่กำลังดำเนินการ)
การกระทำจะล้มเหลวด้วยข้อความแสดงข้อผิดพลาดเช่น อินสแตนซ์ความรุนแรงที่มีชื่อ u'critical 'ไม่มีอยู่ หากเมตาดาต้าคอนเทนเนอร์บนสินทรัพย์ phantom ที่กำหนดค่าและอินสแตนซ์ Phantom ท้องถิ่นไม่ตรงกัน
ตั้งค่าพารามิเตอร์ KEEPT_OWNER เป็นจริงหากคุณต้องการเจ้าของคอนเทนเนอร์บนอินสแตนซ์ Phantom ท้องถิ่นเพื่อให้ตรงกับเจ้าของในอินสแตนซ์ที่กำหนดค่า โปรดทราบว่าสิ่งนี้จะขึ้นอยู่กับ ID เจ้าของไม่ใช่ชื่อเจ้าของ
| พารามิเตอร์ | ที่จำเป็น | คำอธิบาย | พิมพ์ | ประกอบด้วย |
|---|---|---|---|---|
| container_id | ที่จำเป็น | ID คอนเทนเนอร์เพื่อคัดลอก | เป็นตัวเลข | phantom container id |
| Keep_owner | ไม่จำเป็น | รักษาเจ้าของ | บูลีน |
| เส้นทางข้อมูล | พิมพ์ | ประกอบด้วย | ค่าตัวอย่าง |
|---|---|---|---|
| action_result.status | สาย | ความสำเร็จล้มเหลว | |
| action_result.parameter.container_id | สาย | phantom container id | 3 |
| action_result.parameter.keep_owner | บูลีน | เท็จจริง | |
| action_result.data | สาย | ||
| action_result.summary.artifact_count | เป็นตัวเลข | 268 | |
| action_result.summary.container_id | เป็นตัวเลข | phantom container id | 94 |
| action_result.message | สาย | ID คอนเทนเนอร์: 94, สิ่งประดิษฐ์นับ: 268 | |
| summary.total_objects | เป็นตัวเลข | 1 | |
| summary.total_objects_successful | เป็นตัวเลข | 1 |
สร้างคอนเทนเนอร์ใหม่บนอินสแตนซ์ Phantom
ประเภท: ทั่วไป
อ่านเท่านั้น: FALSE
การกระทำนี้สร้างคอนเทนเนอร์ใหม่บนเซิร์ฟเวอร์ Phantom ซึ่งกำหนดค่าในพารามิเตอร์สินทรัพย์ phantom_server พารามิเตอร์ container_json ต้องเป็นสตริง JSON มันเป็นข้อบังคับที่จะให้คีย์ ฉลาก ในพารามิเตอร์ container_json การกระทำจะล้มเหลวหาก container_json มีฉลากที่ไม่มีอยู่ในสินทรัพย์ปลายทางปลายทาง
เช่น {"ชื่อ": "ทดสอบคอนเทนเนอร์", "ฉลาก": "เหตุการณ์"}
container_artifacts เป็นพารามิเตอร์เสริมที่ต้องเป็นรายการของวัตถุสิ่งประดิษฐ์เป็นสตริง JSON วัตถุ Artifact JSON แต่ละรายการควรมีคีย์ต่อไปนี้: CEF, CEF_TYPES, ข้อมูล, คำอธิบาย, end_time, Ingest_App_id, kill_chain, ฉลาก, ชื่อ, เจ้าของ _id, ความรุนแรง, source_data_identifier, start_time, แท็ก, ประเภท คีย์อื่น ๆ ทั้งหมดจะถูกละเว้น
เช่น [{"ชื่อ": "Artifact 1", "Label": "Label1", "CEF": {"Test": "123"}}, {"Name": "Artifact 2", "Label": " "label2", "cef": {"ทดสอบ": "456"}}]
ดู เอกสารประกอบ Splunk Phantom สำหรับรายละเอียดเพิ่มเติม
| พารามิเตอร์ | ที่จำเป็น | คำอธิบาย | พิมพ์ | ประกอบด้วย |
|---|---|---|---|---|
| container_json | ที่จำเป็น | วัตถุคอนเทนเนอร์ JSON | สาย | |
| container_artifacts | ไม่จำเป็น | รายชื่อวัตถุสิ่งประดิษฐ์ JSON | สาย |
| เส้นทางข้อมูล | พิมพ์ | ประกอบด้วย | ค่าตัวอย่าง |
|---|---|---|---|
| action_result.status | สาย | ความสำเร็จล้มเหลว | |
| action_result.parameter.container_artifacts | สาย | [{"ชื่อ": "ชื่อที่เป็นมิตรกับมนุษย์สำหรับสิ่งประดิษฐ์ (1)", "ฉลาก": "เหตุการณ์", "source_data_identifier": 1}, {"ชื่อ": "ชื่อที่เป็นมิตรกับมนุษย์สำหรับสิ่งประดิษฐ์ (2)", "label": "Event", "source_data_identifier": 2}, {"ชื่อ": "ชื่อที่เป็นมิตรกับมนุษย์สำหรับสิ่งประดิษฐ์ (3)", "label": "Event", "Source_data_identifier": 3}] | |
| action_result.parameter.container_json | สาย | {"ความรุนแรง": "ปานกลาง", "ฉลาก": "เหตุการณ์", "เวอร์ชัน": 1, "สินทรัพย์": 7, "สถานะ": "ใหม่", "คำอธิบาย": "คอนเทนเนอร์ใหม่จาก Phantom Helper", " tags ": []," data ": {}," ชื่อ ":" นี่คือคอนเทนเนอร์ "} | |
| action_result.data | สาย | ||
| action_result.summary.artifact_count | เป็นตัวเลข | 3 | |
| action_result.summary.container_id | เป็นตัวเลข | phantom container id | |
| action_result.summary.failed_artifact_count | เป็นตัวเลข | 7 | |
| action_result.message | สาย | ID คอนเทนเนอร์: 82, จำนวนสิ่งประดิษฐ์: 3 | |
| summary.total_objects | เป็นตัวเลข | 1 | |
| summary.total_objects_successful | เป็นตัวเลข | 1 |
ค้นหาผลลัพธ์ของการดำเนินการที่ดำเนินการก่อนหน้านี้
ประเภท: ตรวจสอบ
อ่านเท่านั้น: จริง
การดำเนินการนี้ส่งคืนผลลัพธ์ล่าสุดของ Action_name ที่กำหนดด้วย พารามิเตอร์ ที่กำหนดภายใน time_limit ที่กำหนด
การดำเนินการจะ จำกัด จำนวนผลลัพธ์ที่ส่งคืนไปยังค่าใน max_results โดยค่าเริ่มต้นขีด จำกัด คือ 10 เพื่อให้ได้ผลลัพธ์ทั้งหมดให้ตั้งค่าพารามิเตอร์ MAX_RESULTS เป็น 0
พารามิเตอร์ พารามิเตอร์ ใช้สตริง JSON ในรูปแบบ:
-
"parameter_name1": "parameter_value1"
"parameter_name2": "parameter_value2"
-
-
| พารามิเตอร์ | ที่จำเป็น | คำอธิบาย | พิมพ์ | ประกอบด้วย |
|---|---|---|---|---|
| action_name | ที่จำเป็น | ชื่อการดำเนินการ | สาย | |
| พารามิเตอร์ | ไม่จำเป็น | พารามิเตอร์ json String of Action | สาย | |
| แอป | ไม่จำเป็น | ชื่อแอพ | สาย | |
| สินทรัพย์ | ไม่จำเป็น | ชื่อสินทรัพย์ | สาย | |
| time_limit | ไม่จำเป็น | จำนวนชั่วโมงในการค้นหา | เป็นตัวเลข | |
| max_results | ไม่จำเป็น | จำนวนการดำเนินการสูงสุดเพื่อส่งคืน | เป็นตัวเลข |
| เส้นทางข้อมูล | พิมพ์ | ประกอบด้วย | ค่าตัวอย่าง |
|---|---|---|---|
| action_result.status | สาย | ความสำเร็จล้มเหลว | |
| action_result.parameter.action_name | สาย | Blacklist IP | |
| action_result.parameter.app | สาย | ปีศาจ | |
| action_result.parameter.asset | สาย | test_phantom | |
| action_result.parameter.max_results | เป็นตัวเลข | 5 | |
| action_result.parameter.parameters | สาย | {"IP": "1.8.9.0"} | |
| action_result.parameter.time_limit | เป็นตัวเลข | 24 | |
| action_result.data.*. การกระทำ | สาย | Blacklist IP | |
| action_result.data.*. action_run | เป็นตัวเลข | 2724 | |
| action_result.data.*. แอป | เป็นตัวเลข | 121 | |
| action_result.data.*. app_name | สาย | ปีศาจ | |
| action_result.data.*. app_version | สาย | 1.0.0 | |
| action_result.data.*. สินทรัพย์ | เป็นตัวเลข | 137 | |
| action_result.data.*. คอนเทนเนอร์ | เป็นตัวเลข | 1154 | |
| action_result.data.*. effect_user | สาย | ||
| action_result.data.*. end_time | สาย | 2017-11-06T20: 30: 27.991000Z | |
| action_result.data.*. exception_occured | บูลีน | เท็จจริง | |
| action_result.data.*. extra_data | สาย | ||
| action_result.data.*. id | เป็นตัวเลข | 2761 | |
| action_result.data.*. ข้อความ | สาย | IP บัญชีดำที่ประสบความสำเร็จประสบความสำเร็จ | |
| action_result.data.*. playbook_run | เป็นตัวเลข | 1056 | |
| action_result.data.*. result_data.*. ข้อมูล | เป็นตัวเลข | ||
| action_result.data.*. result_data.*. ข้อความ | สาย | IP Blacklisted สำเร็จ | |
| action_result.data.*. result_data.*. พารามิเตอร์ | สาย | ||
| action_result.data.*. result_data.*. parameter.context.artifact_id | เป็นตัวเลข | 0 | |
| action_result.data.*. result_data.*. parameter.context.guid | สาย | 293D0369-4801-417D-A1AF-A73CF1200D3D | |
| action_result.data.*. result_data.*. parameter.context.parent_action_run | สาย | ||
| action_result.data.*. result_data.*. สถานะ | สาย | ความสำเร็จ | |
| action_result.data.*. result_data.*. สรุป | สาย | ||
| action_result.data.*. result_summary.total_objects | เป็นตัวเลข | 1 | |
| action_result.data.*. result_summary.total_objects_successful | เป็นตัวเลข | 1 | |
| action_result.data.*. start_time | สาย | 2017-11-06T20: 30: 04.879000Z | |
| action_result.data.*. สถานะ | สาย | ความสำเร็จล้มเหลว | |
| action_result.data.*. เวอร์ชัน | เป็นตัวเลข | 1 | |
| action_result.summary.action_run_id | เป็นตัวเลข | 2761 | |
| action_result.summary.num_results | เป็นตัวเลข | ||
| action_result.message | สาย | Action Run ID: 2761 | |
| summary.total_objects | เป็นตัวเลข | 1 | |
| summary.total_objects_successful | เป็นตัวเลข | 1 |
อัปเดตรายการ
ประเภท: ทั่วไป
อ่านเท่านั้น: FALSE
จำเป็นต้องใช้ list_name หรือ id หากทั้งคู่มีการจัดเตรียมพารามิเตอร์ list_name และ id และทั้งสองอย่างชี้ไปที่รายการที่แตกต่างกันพารามิเตอร์ list_name จะเป็นที่ต้องการและการดำเนินการจะอัปเดตรายการที่ระบุในพารามิเตอร์ list_name
| พารามิเตอร์ | ที่จำเป็น | คำอธิบาย | พิมพ์ | ประกอบด้วย |
|---|---|---|---|---|
| list_name | ไม่จำเป็น | ชื่อรายการ | สาย | |
| รหัสประจำตัว | ไม่จำเป็น | รายการรหัส | เป็นตัวเลข | |
| row_number | ที่จำเป็น | หมายเลขแถวในรายการที่จะแก้ไข | เป็นตัวเลข | |
| row_values_as_list | ที่จำเป็น | รายการ JSON จัดรูปแบบของค่าใหม่สำหรับแถว | สาย |
| เส้นทางข้อมูล | พิมพ์ | ประกอบด้วย | ค่าตัวอย่าง |
|---|---|---|---|
| action_result.status | สาย | ความสำเร็จล้มเหลว | |
| action_result.parameter.id | เป็นตัวเลข | ||
| action_result.parameter.list_name | สาย | รายการแรกของฉัน | |
| action_result.parameter.row_number | เป็นตัวเลข | 0 | |
| action_result.parameter.row_values_as_list | สาย | ["this", "คือ", "a", "ทดสอบ"] | |
| action_result.data.*. ความสำเร็จ | บูลีน | จริง | |
| action_result.summary | สาย | ||
| action_result.message | สาย | ||
| summary.total_objects | เป็นตัวเลข | 1 | |
| summary.total_objects_successful | เป็นตัวเลข | 1 |
รอจำนวนวินาทีที่ระบุ
ประเภท: ตรวจสอบ
อ่านเท่านั้น: จริง
| พารามิเตอร์ | ที่จำเป็น | คำอธิบาย | พิมพ์ | ประกอบด้วย |
|---|---|---|---|---|
| sleep_seconds | ที่จำเป็น | นอนหลับนานหลายวินาทีนี้ | เป็นตัวเลข |
| เส้นทางข้อมูล | พิมพ์ | ประกอบด้วย | ค่าตัวอย่าง |
|---|---|---|---|
| action_result.status | สาย | ความสำเร็จล้มเหลว | |
| action_result.parameter.sleep_seconds | เป็นตัวเลข | 15 | |
| action_result.data | สาย | ||
| action_result.summary | สาย | ||
| action_result.message | สาย | นอนหลับเป็นเวลา 15 วินาที | |
| summary.total_objects | เป็นตัวเลข | 1 | |
| summary.total_objects_successful | เป็นตัวเลข | 1 |
