phantom
3.7.0
出版商:Splunk
连接器版本:3.7.1
产品供应商:幻影
产品名称:幻影
支持产品版本(REGEX):“。*”
最低产品版本:6.2.1
该应用程序将各种幻影API视为动作
auth_token配置参数可用于幻影实例。如果给出了令牌和用户名/密码,则将使用用户名和密码对Phantom实例进行身份验证。
请注意,使用的IP(或名称)必须与远程Phantom实例的REST资产配置中的允许IP匹配。
如果phantom_server配置参数设置为当前幻影实例,即使用该应用程序的幻象服务器,则应将verify_certificate设置为false在资产配置中。
有关如何获得授权令牌的信息,请参见Phantom REST REST概述文档中的授权令牌。
如果phantom_server配置参数中提供的值为0.0.0.0,则测试连接成功通过,操作将在当前幻影实例(即使用该应用程序的服务器)上运行。
请参阅KB第7条和KB第16条,介绍如何为您的Phantom实例创建和验证有效的HTTPS证书。
出于安全原因,不允许访问127.0.0.1。
对于NRI实例,设备IP/HostName配置参数也需要指定端口号。 (例如xxxx:9999)
现有的操作参数已在下面给出的操作中进行了修改。因此,请最终用户要求通过重新插入相应的操作块或为这些操作参数提供适当的值来更新其现有的剧本,以确保在应用程序的早期版本上创建的剧本的正确功能。
更新列表 - ROW_VALUES_AS_LIST参数已从逗号分隔的新值更改为JSON格式的新值列表。这将允许用户提供一个包含逗号(',')字符的值。该示例的示例已在示例值中进行了更新。
添加工件 -包含参数,可以使用字符串(或逗号分隔的字符串列表)或JSON字典,其中键匹配CEF_DICTIONARY的键,并且值为列表的值包含CEF字段。如果包含参数是字符串(或字符串的逗号分隔列表),则提供的值将映射到CEF_NAME参数。
输出datapaths, action_result.summary.artifact ID和action_result.summary.container ID分别替换为action_result.summary.artifact_id和action_result.summary.conmary.container_id 。
查找工件 - action_result.summary.Artifacts发现的数据已被action_result.summary.artifacts_found替换。
查找listItem -action_result.summary.found匹配datapath已被action_result.summary.found_matches替换。
更新伪影标签 - 添加了以下输出数据路径:
更新工件 - 此操作的动作参数已修改。请根据新参数更新您现有的剧本。以下是附加参数的列表:
有关更多详细信息,请检查“更新工件”部分。
该应用使用HTTP/ HTTPS协议与Phantom Server通信。以下是Splunk Soar使用的默认端口。
| 服务名称 | 运输协议 | 港口 |
|---|---|---|
| http | TCP | 80 |
| https | TCP | 443 |
该连接器需要以下配置变量。在配置SOAR中的幻影资产时,指定这些变量。
| 多变的 | 必需的 | 类型 | 描述 |
|---|---|---|---|
| phantom_server | 必需的 | 细绳 | Phantom IP或主机名(例如10.1.1.10或有效_phantom_hostname) |
| auth_token | 选修的 | 密码 | Phantom auth令牌 |
| 用户名 | 选修的 | 细绳 | 用户名(http Basic Auth) |
| 密码 | 选修的 | 密码 | 密码(用于HTTP基本验证) |
| verify_certificate | 选修的 | 布尔 | 验证HTTPS证书(默认:false) |
| deflate_item_extensions | 选修的 | 细绳 | 只有具有指定扩展名(逗号分隔)的文件。如果空白,则不会检查文件扩展名 |
测试连通性 - 验证资产配置的连接
更新工件 - 更新或覆盖提供的输入的幻影工件
添加注意 - 在容器中添加注释
更新文物标签 - 从工件中添加/删除标签
查找工件 - 查找包含CEF值的工件
添加ListItem-将值添加到自定义列表
查找ListItem-在自定义列表中找到值
添加工件 - 在容器中添加新的工件
放气项目 - 从库中缩放一个项目
导出容器 - 将本地容器导出到配置的幻影资产
导入容器 - 从外部幻影实例导入容器
创建容器 - 在幻影实例上创建一个新容器
获取行动结果 - 找到先前运行的动作的结果
更新列表 - 更新列表
无操作 - 等待指定的秒数
验证连接的资产配置
类型:测试
仅阅读:正确
此操作不需要参数
没有输出
用提供的输入更新或覆盖幻影工件
类型:通用
仅阅读: false
| 范围 | 例子 |
|---|---|
| 姓名 | 文物名称 |
| 标签 | artifact_label |
| 严重程度 | 高的 |
| cef_json | {“ key1”:“ value1”,“ gooddomain”:“ www.splunk.com”,“ remove_me”:“”} |
| cef_types_json | {“ gooddomain”:[“域”]} |
| 标签 | tag1,tag3或[“ tag2”,“ tag4”] |
| artifact_json | {“ source_data_identifier”:“ myticket1234”,“ label”:“ new_label”} |
| 范围 | 必需的 | 描述 | 类型 | 包含 |
|---|---|---|---|---|
| artifact_id | 必需的 | 文物的ID更新 | 细绳 | phantom artifact id |
| 姓名 | 选修的 | 文物名称(如果提供,请始终覆盖) | 细绳 | |
| 标签 | 选修的 | 文物标签(如果提供,请始终覆盖) | 细绳 | |
| 严重程度 | 选修的 | 人工制品的严重程度(如果提供,请始终覆盖) | 细绳 | |
| cef_json | 选修的 | 您想要的文物中CEF字段的JSON格式 | 细绳 | |
| cef_types_json | 选修的 | CEF类型的JSON格式(例如,{'myip':['ip','ipv6']}) | 细绳 | |
| 标签 | 选修的 | 逗号分隔的标签列表要添加或替换在工件中 | 细绳 | |
| 覆盖 | 选修的 | 带有提供的输入的覆盖工件(适用于:cef_json,contains_json,标签) | 布尔 | |
| artifact_json | 选修的 | 整个工件的JSON格式(始终提供钥匙) | 细绳 |
| 数据路径 | 类型 | 包含 | 示例值 |
|---|---|---|---|
| action_result.status | 细绳 | 成功失败了 | |
| action_result.parameter.artifact_id | 细绳 | phantom artifact id | 2388 |
| Action_Result.Parameter.Artifact_json | 细绳 | {“严重性”:“ High”,“ Label”:“测试标签”,“ Descript”:“由我添加的trifact”,“ source_data_identifier”:“ my_custom_sdi”} | |
| action_result.parameter.cef_json | 细绳 | {“ new_field”:“ new_value”,“ deleted_field”:“”} | |
| action_result.parameter.cef_types_json | 细绳 | {“ new_field”:[“ new contains”]} | |
| action_result.parameter.label | 细绳 | 测试标签 | |
| action_result.parameter.name | 细绳 | 新名称 | |
| action_result.parameter.overwrite | 布尔 | 是的 | |
| Action_Result.Parameter.Severity | 细绳 | 高的 | |
| action_result.parameter.tags | 细绳 | [“ tag2”] | |
| action_result.data。*。请求_artifact.cef.deleted_field | 细绳 | ||
| action_result.data。*。请求_ARTIFACT.CEF.NEW_FIELD | 细绳 | new_value | |
| action_result.data。*。请求_artifact.cef.test | 细绳 | FFF | |
| action_result.data。*。请求_artifact.cef_types.new_field | 细绳 | 新包含 | |
| action_result.data。*。请求_ARTIFACT.DESCRIPTION | 细绳 | 我添加了工件 | |
| action_result.data。*。请求_ARTIFACT.LABEL | 细绳 | 测试标签 | |
| action_result.data。*。请求_artifact.name | 细绳 | 新名称 | |
| action_result.data。*。请求_ARTIFACT.SEVERITY | 细绳 | 高的 | |
| action_result.data。*。请求_ARTIFACT.SOURCE_DATA_IDENDIFIER | 细绳 | my_custom_sdi | |
| action_result.data。*。请求_artifact.tags | 细绳 | tag2 | |
| action_result.data。*。响应 | 数字 | 2388 | |
| Action_Result.Data。*。响应。Success | 布尔 | 是的 | |
| action_result.summary | 细绳 | ||
| action_result.message | 细绳 | 人工制品成功更新了。 | |
| summary.total_objects | 数字 | 1 | |
| summary.total_objects_successful | 数字 | 1 |
在容器中添加笔记
类型:通用
仅阅读: false
如果container_id参数是空的,则将其初始化为当前容器的ID(从运行操作的地方),并且状态将相应地反映。如果容器是一个情况,则可以提供ephas_ID参数以将注释与特定阶段相关联。
| 范围 | 必需的 | 描述 | 类型 | 包含 |
|---|---|---|---|---|
| 标题 | 必需的 | 笔记的标题 | 细绳 | |
| 内容 | 选修的 | 注意内容 | 细绳 | |
| container_id | 选修的 | 容器ID(默认为当前容器) | 数字 | phantom container id |
| phase_id | 选修的 | 阶段注释将与 | 细绳 |
| 数据路径 | 类型 | 包含 | 示例值 |
|---|---|---|---|
| action_result.status | 细绳 | 成功失败了 | |
| action_result.parameter.container_id | 数字 | phantom container id | 35 |
| action_result.parameter.content | 细绳 | 通过应用程序添加注释 | |
| action_result.parameter.phase_id | 细绳 | ||
| action_result.parameter.title | 细绳 | 注意测试 | |
| action_result.data | 细绳 | ||
| action_result.summary | 细绳 | ||
| action_result.message | 细绳 | 创建的注释 | |
| summary.total_objects | 数字 | 1 | |
| summary.total_objects_successful | 数字 | 1 |
从工件中添加/删除标签
类型:通用
仅阅读: false
| 范围 | 必需的 | 描述 | 类型 | 包含 |
|---|---|---|---|---|
| artifact_id | 必需的 | 工件ID | 细绳 | phantom artifact id |
| add_tags | 选修的 | 逗号分隔的标签列表要添加到工件 | 细绳 | |
| remove_tags | 选修的 | 逗号分隔的标签列表要从工件中删除 | 细绳 |
| 数据路径 | 类型 | 包含 | 示例值 |
|---|---|---|---|
| action_result.status | 细绳 | 成功失败了 | |
| action_result.parameter.add_tags | 细绳 | tag1,tag3 | |
| action_result.parameter.artifact_id | 细绳 | phantom artifact id | 94 |
| action_result.parameter.remove_tags | 细绳 | tag2,tag4 | |
| action_result.data | 细绳 | ||
| action_result.summary.tags_added | 细绳 | tag1 | |
| action_result.summary.tags_already_absent | 细绳 | tag4 | |
| action_result.summary.tags_already_present | 细绳 | tag3 | |
| action_result.summary.tags_remaved | 细绳 | tag2 | |
| action_result.message | 细绳 | 添加标签:tag1,删除标签:tag2,标签已经存在:tag3,标签已经缺少:tag4 | |
| summary.total_objects | 数字 | 1 | |
| summary.total_objects_successful | 数字 | 1 |
查找包含CEF值的工件
类型:调查
仅阅读:正确
如果limit_search参数设置为true,则该操作将仅在提供的container_ids中搜索所需的伪像。否则,将忽略Container_IDS参数。
如果在Container_IDS参数中提供了任何非启动值,则将删除所有非授权值,并将相应地更新参数。如果container_ids参数的值是当前的,则将其替换为当前容器的ID(从中运行该操作),并且状态将相应地反映。
如果Exact_Match参数设置为false,则操作将返回所有这些值参数为其CEF值中任何一个的子字符串。否则,它将返回其任何一个CEF值与值参数完全匹配的伪像。
对于类型整数,float或字符串的值,建议将Exact_Match参数设置为false。
默认情况下,返回了10个工件。如果您想返回更多或少于10个工件,请更新MAX_RESULTS参数。
| 范围 | 必需的 | 描述 | 类型 | 包含 |
|---|---|---|---|---|
| cef_key | 选修的 | cef dict的关键您正在查询:ACT,APP,Application Protocol,BaseeventCount,Bytesin等。如果空白,它将搜索整个CEF字典 | 细绳 | |
| 值 | 必需的 | 在人工制品中找到此值 | 细绳 | * |
| extcent_match | 选修的 | 确切匹配(默认:true) | 布尔 | |
| limit_search | 选修的 | 将搜索限制为指定的容器(默认值:false) | 布尔 | |
| container_ids | 选修的 | 空间或逗号分隔的容器ID列表。 “电流”一词将被当前容器ID替换 | 细绳 | |
| max_results | 选修的 | 返回的最大工件数量 | 数字 |
| 数据路径 | 类型 | 包含 | 示例值 |
|---|---|---|---|
| action_result.status | 细绳 | 成功失败了 | |
| action_result.parameter.cef_key | 细绳 | ACT App Application Protocol | |
| action_result.parameter.container_ids | 细绳 | 当前的 | |
| action_result.parameter.exact_match | 布尔 | 是的 | |
| action_result.parameter.limit_search | 布尔 | 是的 | |
| action_result.parameter.values | 细绳 | * | test_value |
| action_result.data。*。容器 | 数字 | 1234 | |
| action_result.data。*。container_name | 细绳 | phantom_test | |
| action_result.data。*。找到 | 细绳 | test_key | |
| action_result.data。*。id | 数字 | 12345 | |
| action_result.data。*。匹配 | 细绳 | test_value | |
| action_result.data。*。名称 | 细绳 | artifact_demo | |
| Action_Result.Summary.Artifacts_Found | 数字 | 1 | |
| Action_Result.Summary.Server | 细绳 | https://10.1.1.10 | |
| action_result.message | 细绳 | 发现工件:1,服务器:https://10.1.1.10 | |
| summary.total_objects | 数字 | 1 | |
| summary.total_objects_successful | 数字 | 1 | |
| action_result.parameter.max_results | 数字 | 2 |
将价值添加到自定义列表
类型:通用
仅阅读: false
要在列表中添加包含单个值的行,只需传递该值即可。但是,要连续传递多个值,请像JSON数组一样格式化(例如[“ item1”,“ item2”,“ item3”])。
如果列表已经存在(即使创建参数设置为true,则操作将更新列表。
通过此操作创建或更新列表后,如果从UI更新了相同的列表,则用户需要在再次通过此操作更新列表之前保存这些更改,否则,UI所做的更改将被覆盖。
| 范围 | 必需的 | 描述 | 类型 | 包含 |
|---|---|---|---|---|
| 列表 | 必需的 | 自定义列表的名称或ID | 细绳 | |
| new_row | 必需的 | 新行(字符串或JSON列表) | 细绳 | * |
| 创造 | 选修的 | 如果不存在,则创建列表(默认:false) | 布尔 |
| 数据路径 | 类型 | 包含 | 示例值 |
|---|---|---|---|
| action_result.status | 细绳 | 成功失败了 | |
| Action_Result.Parameter.Create | 布尔 | 是的 | |
| action_result.parameter.list | 细绳 | demo_list | |
| action_result.parameter.new_row | 细绳 | * | [“ value1”,“ value2”,“ value3”] |
| action_result.data。*。失败 | 布尔 | ||
| Action_Result.Data。*。成功 | 布尔 | 是的 | |
| Action_Result.Summary.Server | 细绳 | url | https://10.1.1.10 |
| action_result.message | 细绳 | 服务器:https://10.1.1.10 | |
| summary.total_objects | 数字 | 1 | |
| summary.total_objects_successful | 数字 | 1 |
在自定义列表中找到值
类型:调查
仅阅读:正确
每个匹配值的行和列坐标都可以在“位置”下的结果摘要中找到。比赛对案例敏感。
如果Exact_Match参数设置为false,则操作将返回所有值参数为其子字符串的字符串。否则,它将返回与值参数完全匹配的字符串。
| 范围 | 必需的 | 描述 | 类型 | 包含 |
|---|---|---|---|---|
| 列表 | 必需的 | 自定义列表的名称或ID | 细绳 | |
| column_index | 选修的 | 搜索列号(基于0) | 数字 | |
| 值 | 必需的 | 搜索的价值 | 细绳 | * |
| extcent_match | 选修的 | 确切匹配(默认:true) | 布尔 |
| 数据路径 | 类型 | 包含 | 示例值 |
|---|---|---|---|
| action_result.status | 细绳 | 成功失败了 | |
| action_result.parameter.column_index | 数字 | ||
| action_result.parameter.exact_match | 布尔 | 是的 | |
| action_result.parameter.list | 细绳 | list_demo | |
| action_result.parameter.values | 细绳 | * | Value1 |
| action_result.data | 细绳 | ||
| Action_Result.Data。* | 细绳 | ||
| action_result.summary.found_matches | 数字 | 1 | |
| action_result.summary.list_id | 数字 | 18 | |
| action_result.summary.Locations | 数字 | ||
| Action_Result.Summary.Locations。* | 数字 | ||
| Action_Result.Summary.Server | 细绳 | url | https://10.1.1.10 |
| action_result.message | 细绳 | 服务器:https://10.1.10,找到匹配:1,位置:[(1,0)],列表ID:18 | |
| summary.total_objects | 数字 | 1 | |
| summary.total_objects_successful | 数字 | 1 |
在容器中添加新的工件
类型:通用
仅阅读: false
如果container_id参数是空的,则将其初始化为当前容器的ID(从中运行操作),并且状态将相应地反映。
CEF字段可以通过使用CEF_NAME和CEF_VALUE参数或使用CEF_Dictionary参数将CEF字段添加到工件中。如果包括CEF_NAME , CEF_VALUE和CEF_DICTINARY参数,则操作将将CEF_NAME字段添加到CEF_DICTIONARY 。
仅使用CEF_NAME和CEF_VALUE参数将导致具有一个CEF字段的工件。
CEF_DICTIONARY参数采用JSON字典,带有代表CEF键值对的键值对。要提供包含双引号(“)的值,请在双引号之前添加一个后斜线()。
例如,{“ X- Universly-Unique-sidentifier”:“ test”,“ content-type”:“ Multipart/替代方案; boundard; boundard = “ apple-mail = _0DA95D7E-B791-4751-4751-8043-1759494949088A2C ” >“ ,“ message-id”:“ [email protected]”}
包含参数可以采用JSON字典,其中键匹配CEF_DICTIONARY的键,并且值为CEF字段可能包含的值。如果包含字典中不存在CEF_DICTIONARY中的给定值,则该操作将首先检查默认CEF字段的列表。如果不是默认的CEF字段,则该操作将尝试确定包含的适当值。
包含参数还可以采用代表CEF_VALUE参数包含的字符串(或逗号分隔的字符串列表)。仅当使用CEF_NAME和CEF_VALUE参数时,才应使用此方法。
如果run_automation参数设置为true,则在添加工件后,活动剧本将自动运行。主动剧本将在添加工件的相同容器上运行。
有关工件,CEF字段和包含的更多信息,请参见REST API文档。
| 范围 | 必需的 | 描述 | 类型 | 包含 |
|---|---|---|---|---|
| 姓名 | 选修的 | 新工件的名称 | 细绳 | |
| container_id | 选修的 | 新工件的数字容器ID | 数字 | phantom container id |
| 标签 | 选修的 | 文物标签(默认:事件) | 细绳 | |
| source_data_istifier | 必需的 | 来源数据idenitifier | 细绳 | |
| cef_name | 选修的 | CEF名称 | 细绳 | |
| cef_value | 选修的 | 价值 | 细绳 | * |
| cef_dictionary | 选修的 | CEF JSON | 细绳 | |
| 包含 | 选修的 | 每个CEF字段的数据类型 | 细绳 | |
| run_automation | 选修的 | 在新创建的工件上运行自动化(默认:false) | 布尔 | |
| 确定_contains | 选修的 | 确定未提供的任何CEF字段的包含值包含值(默认:true) | 布尔 |
| 数据路径 | 类型 | 包含 | 示例值 |
|---|---|---|---|
| action_result.status | 细绳 | 成功失败了 | |
| action_result.parameter.cef_dictionary | 细绳 | {“ test_key”:“ test_value”} | |
| action_result.parameter.cef_name | 细绳 | ||
| action_result.parameter.cef_value | 细绳 | * | |
| action_result.parameter.container_id | 数字 | phantom container id | 1234 |
| action_result.parameter.contains | 细绳 | 领域 | |
| action_result.parameter.label | 细绳 | 事件 | |
| action_result.parameter.name | 细绳 | artifact_demo | |
| action_result.parameter.run_automation | 细绳 | 是的 | |
| action_result.parameter.source_data_identifier | 细绳 | ||
| action_result.parameter.determine_contains | 布尔 | ||
| action_result.data。* | 数字 | ||
| action_result.data。*。失败 | 布尔 | ||
| action_result.data。*。id | 数字 | 123 | |
| Action_Result.Data。*。成功 | 布尔 | 是的 | |
| Action_Result.Summary.Artifact_ID | 数字 | 12345 | |
| action_result.summary.container_id | 数字 | 1234 | |
| Action_Result.Summary.Server | 细绳 | url | https://10.1.1.10 |
| action_result.message | 细绳 | 工件ID:12345,容器ID:1234,服务器:https://10.1.1.10 | |
| summary.total_objects | 数字 | 1 | |
| summary.total_objects_successful | 数字 | 1 |
从保险库中缩成项目
类型:通用
仅阅读: false
只有在将phantom_server参数(在资产配置中)配置为本地幻影实例,即运行操作的实例时,才会支持该操作。
该操作检测输入库项目是否是压缩文件并将其放气。然后将通缩后发现的每个文件添加到保险库中。如果指定了Container_ID ,将添加到其保管库中,否则将当前(执行操作执行的上下文)容器的当前容器添加到其保管库中。该动作支持ZIP , GZIP , BZ2 , TAR和TGZ文件类型。在压缩文件中包含另一个压缩文件的情况下,将递归参数设置为true以使内部压缩文件放气。
如果启用了递归并指定了密码,则该应用程序将仅使用给定ZIP文件的密码。仅当文件不受密码保护时,才会提取内zip文件。在不同的压缩方法中,只有ZIP支持密码保护功能。
对于某些Unicode字符,Zipfile模块不会像它那样解压缩文件名。
| 范围 | 必需的 | 描述 | 类型 | 包含 |
|---|---|---|---|---|
| VAULT_ID | 必需的 | 保险库ID | 细绳 | sha1 vault id |
| container_id | 选修的 | 目标容器ID | 数字 | phantom container id |
| 密码 | 选修的 | 文件的密码 | 细绳 | |
| 递归 | 选修的 | 递归提取(默认:false) | 布尔 |
| 数据路径 | 类型 | 包含 | 示例值 |
|---|---|---|---|
| action_result.status | 细绳 | 成功失败了 | |
| action_result.parameter.container_id | 数字 | phantom container id | 3 |
| Action_Result.Parameter.Password | 细绳 | P@$$ W0rd | |
| Action_Result.Parameter.Recursive | 布尔 | 是的 | |
| action_result.parameter.vault_id | 细绳 | sha1 vault id | F582ED9120FA3BE94852C73E1CD188F2948F677F |
| action_result.data。*。aka。* | 细绳 | test.txt | |
| action_result.data。*。容器 | 细绳 | phantom_test | |
| action_result.data。*。container_id | 数字 | phantom container id | 1234 |
| action_result.data。*。包含。* | 细绳 | 保险库ID | |
| action_result.data。*。create_time | 细绳 | 0分钟前 | |
| action_result.data。*。create_via | 细绳 | 自动化 | |
| action_result.data。*。哈希 | 细绳 | sha1 | 0A0E6C7AB7F77D058EFD4444279B81C4C6A9CF4CE |
| action_result.data。*。id | 数字 | 12 | |
| action_result.data。*。元数据 | 细绳 | 保险库ID | |
| action_result.data。*。元数据.md5 | 细绳 | md5 | 0DB33A0790B6D6D5C2E4425646EEEEE7FC |
| Action_Result.Data。*。元数据。SHA1 | 细绳 | sha1 | FECE6C7AB7F77D058EFD4444279B81C4C6A9CF4CE |
| Action_Result.Data。*。元数据。SHA256 | 细绳 | sha256 | 4F2155212CB0F74207BD0E4FD5ECAE548EE2BAE1D2DCD36C1D0BA0BA0BA0B6254BD4A1 |
| action_result.data。*。元数据 | 数字 | 33 | |
| action_result.data。*。mime_type | 细绳 | 文字/平原 | |
| action_result.data。*。名称 | 细绳 | TGZ检验 | |
| action_result.data。*。路径 | 细绳 | ||
| action_result.data。*。大小 | 数字 | 10240 | |
| action_result.data。*。任务 | 细绳 | ||
| action_result.data。*。用户 | 细绳 | ||
| action_result.data。*。vault_document | 数字 | ||
| action_result.data。*。vault_id | 细绳 | sha1 vault id | B90E6C7AB7F77D058EFD4444279B81C4C6A9CF4CE |
| action_result.summary.total_vault_items | 数字 | 9 | |
| action_result.message | 细绳 | 总保险库项目:9 | |
| summary.total_objects | 数字 | 1 | |
| summary.total_objects_successful | 数字 | 1 |
将本地容器导出到配置的幻影资产
类型:通用
仅阅读: false
此操作从本地幻影实例(从运行该操作的实例)将容器(与容器_ID匹配)到已配置的Phantom资产(该操作正在执行)。
如果本地幻影实例上的容器元数据和配置的Phantom Asset与不匹配,则该操作将失败,例如具有名称U'Critical'的严重性实例。
如果您希望在配置的Phantom实例上的容器所有者与本地实例上的所有者匹配,则将keep_owner参数设置为true。请注意,这将基于所有者ID,而不是所有者名称。
| 范围 | 必需的 | 描述 | 类型 | 包含 |
|---|---|---|---|---|
| container_id | 必需的 | 集装箱ID复制 | 数字 | phantom container id |
| keep_owner | 选修的 | 保留所有者 | 布尔 | |
| 标签 | 选修的 | 标签以命名导出容器。如果空白,导出容器的名称将与本地容器相同 | 细绳 | |
| run_automation | 选修的 | 运行活跃的剧本 | 布尔 |
| 数据路径 | 类型 | 包含 | 示例值 |
|---|---|---|---|
| action_result.status | 细绳 | 成功失败了 | |
| action_result.parameter.container_id | 数字 | phantom container id | 3 |
| action_result.parameter.keep_owner | 布尔 | 是的 | |
| action_result.parameter.label | 细绳 | 事件 | |
| action_result.parameter.run_automation | 布尔 | 是的 | |
| action_result.data | 细绳 | ||
| Action_Result.Summary.Artifact_Count | 数字 | 268 | |
| action_result.summary.container_id | 数字 | phantom container id | 94 |
| action_result.message | 细绳 | 集装箱ID:94,人工工具:268 | |
| summary.total_objects | 数字 | 1 | |
| summary.total_objects_successful | 数字 | 1 |
从外部幻影实例导入容器
类型:通用
仅阅读: false
此操作将来自配置的幻影资产(该操作正在执行)的容器(与容器_ID匹配)到本地幻影实例(该实例正在运行该操作的实例)。
如果配置幻影资产上的容器元数据和本地幻影实例不匹配,则该操作将失败。
如果您希望在本地幻影实例上的容器的所有者匹配配置的实例上的所有者,则将keep_owner参数设置为true。请注意,这将基于所有者ID,而不是所有者名称。
| 范围 | 必需的 | 描述 | 类型 | 包含 |
|---|---|---|---|---|
| container_id | 必需的 | 集装箱ID复制 | 数字 | phantom container id |
| keep_owner | 选修的 | 保留所有者 | 布尔 |
| 数据路径 | 类型 | 包含 | 示例值 |
|---|---|---|---|
| action_result.status | 细绳 | 成功失败了 | |
| action_result.parameter.container_id | 细绳 | phantom container id | 3 |
| action_result.parameter.keep_owner | 布尔 | 是的 | |
| action_result.data | 细绳 | ||
| Action_Result.Summary.Artifact_Count | 数字 | 268 | |
| action_result.summary.container_id | 数字 | phantom container id | 94 |
| action_result.message | 细绳 | 集装箱ID:94,人工工具:268 | |
| summary.total_objects | 数字 | 1 | |
| summary.total_objects_successful | 数字 | 1 |
在幻影实例上创建一个新容器
类型:通用
仅阅读: false
此操作在Phantom服务器上创建一个新容器,该容器在Phantom_server Asset参数中配置。 container_json参数需要是JSON字符串。必须在container_json参数中提供标签密钥。如果Container_json的标签在目标幻影资产上不存在,则该操作将失败。
例如,{“名称”:“测试容器”,“标签”:“ events”}
Container_Artifacts是一个可选参数,需要作为JSON字符串的工件对象列表。每个伪影JSON对象都应包含以下键: CEF,CEF_TYPES,数据,描述,END_TIME,INGEST_APP_ID,KILL_CHAIN,标签,名称,名称,所有者,source_data_idefier,start_time_time,start_time,start_time,tags,tags,type 。所有其他密钥都将被忽略。
例如,[{“ name”:“ artifact 1”,“ label”:“ label1”,“ cef”:{“ test”:“ 123”}},{“ name”:“ artifact 2”,“ label”,“ label”: “ label2”,“ cef”:{“ test”:“ 456”}}]]
有关更多详细信息,请参见Splunk Phantom文档。
| 范围 | 必需的 | 描述 | 类型 | 包含 |
|---|---|---|---|---|
| Container_json | 必需的 | 容器JSON对象 | 细绳 | |
| Container_Artifacts | 选修的 | 工件json对象列表 | 细绳 |
| 数据路径 | 类型 | 包含 | 示例值 |
|---|---|---|---|
| action_result.status | 细绳 | 成功失败了 | |
| action_result.parameter.container_artifacts | 细绳 | [{{“ name”:“伪像的人类友好名称(1)”,“ label”:“ event”,“ source_data_identifier”:1},{“ name”:“ for Artifact(2)”,“ “ label”:“ event”,“ source_data_identifier”:2},{“ name”:“伪像的人类友好名称(3)”,“ label”:“ event”,“ source_data_identifier”:3}]] | |
| action_result.parameter.container_json | 细绳 | {“严重性”:“中”,“ label”:“事件”,“版本”:1,“ Asset”:7,“状态”:“ New”,“ Descript”:“来自Phantom Helper”,“新容器”,“标签“:[],“ data”:{},“名称”:“这是一个容器”} | |
| action_result.data | 细绳 | ||
| Action_Result.Summary.Artifact_Count | 数字 | 3 | |
| action_result.summary.container_id | 数字 | phantom container id | |
| action_result.summary.failed_artifact_count | 数字 | 7 | |
| action_result.message | 细绳 | 集装箱ID:82,人工工具:3 | |
| summary.total_objects | 数字 | 1 | |
| summary.total_objects_successful | 数字 | 1 |
找到先前运行的动作的结果
类型:调查
仅阅读:正确
此操作返回给定time_limit中给定参数启动的给定action_name的最新结果。
该操作将限制返回到max_results中值的结果数。默认情况下,限制为10。要获得所有结果,请将MAX_RESULTS参数设置为0。
参数参数采用格式的JSON字符串:
{
“ parameter_name1”:“ parameter_value1”
“ parameter_name2”:“ parameter_value2”
...
}| 范围 | 必需的 | 描述 | 类型 | 包含 |
|---|---|---|---|---|
| action_name | 必需的 | 动作名称 | 细绳 | |
| 参数 | 选修的 | JSON动作参数字符串 | 细绳 | |
| 应用程序 | 选修的 | 应用名称 | 细绳 | |
| 资产 | 选修的 | 资产名称 | 细绳 | |
| time_limit | 选修的 | 搜索的小时数 | 数字 | |
| max_results | 选修的 | 返回的最大动作结果数量 | 数字 |
| 数据路径 | 类型 | 包含 | 示例值 |
|---|---|---|---|
| action_result.status | 细绳 | 成功失败了 | |
| action_result.parameter.action_name | 细绳 | 黑名单IP | |
| Action_Result.Parameter.App | 细绳 | 幻影 | |
| action_result.parameter.sest | 细绳 | test_phantom | |
| action_result.parameter.max_results | 数字 | 5 | |
| action_result.parameter.parameters | 细绳 | {“ ip”:“ 1.8.9.0”} | |
| action_result.parameter.time_limit | 数字 | 24 | |
| Action_Result.Data。*。动作 | 细绳 | 黑名单IP | |
| action_result.data。*。action_run | 数字 | 2724 | |
| action_result.data。*。app | 数字 | 121 | |
| action_result.data。*。app_name | 细绳 | 幻影 | |
| action_result.data。*。app_version | 细绳 | 1.0.0 | |
| Action_Result.Data。*。资产 | 数字 | 137 | |
| action_result.data。*。容器 | 数字 | 1154 | |
| action_result.data。*。有效_user | 细绳 | ||
| action_result.data。*。end_time | 细绳 | 2017-11-06T20:30:27.991000Z | |
| action_result.data | 布尔 | 是的 | |
| action_result.data。*。extra_data | 细绳 | ||
| action_result.data。*。id | 数字 | 2761 | |
| action_result.data。*。消息 | 细绳 | 成功黑名单的IP | |
| action_result.data。*。playbook_run | 数字 | 1056 | |
| action_result.data。*。result_data。*。数据 | 数字 | ||
| action_result.data。*。result_data。*。消息 | 细绳 | IP黑名单成功 | |
| action_result.data。*。result_data。*。参数 | 细绳 | ||
| action_result.data。*。result_data。*。参数.context.artifact_id | 数字 | 0 | |
| action_result.data。*。result_data。*。参数parameter.context.guid | 细绳 | 293D0369-4801-417D-A1AF-A73CF1200D3D | |
| action_result.data。*。result_data。*。参数.context.parent_action_run | 细绳 | ||
| action_result.data。*。result_data。*。状态 | 细绳 | 成功 | |
| action_result.data。*。result_data。*。摘要 | 细绳 | ||
| action_result.data。*。result_summary.total_objects | 数字 | 1 | |
| action_result.data。*。result_summary.total_objects_successful | 数字 | 1 | |
| action_result.data。*。start_time | 细绳 | 2017-11-06T20:30:04.879000Z | |
| action_result.data。*。状态 | 细绳 | 成功失败了 | |
| action_result.data。*。版本 | 数字 | 1 | |
| action_result.summary.action_run_id | 数字 | 2761 | |
| action_result.summary.num_results | 数字 | ||
| action_result.message | 细绳 | 动作运行ID:2761 | |
| summary.total_objects | 数字 | 1 | |
| summary.total_objects_successful | 数字 | 1 |
更新列表
类型:通用
仅阅读: false
list_name或ID是必需的。如果两者都提供list_name和ID参数,并且两个都指向不同的列表,则将首选list_name参数,并且操作将更新list_name参数中指定的列表。
| 范围 | 必需的 | 描述 | 类型 | 包含 |
|---|---|---|---|---|
| list_name | 选修的 | 列表名称 | 细绳 | |
| ID | 选修的 | 列表ID | 数字 | |
| row_number | 必需的 | 列表中要修改的行号 | 数字 | |
| ROW_VALUES_AS_LIST | 必需的 | JSON格式化该行的新值列表 | 细绳 |
| 数据路径 | 类型 | 包含 | 示例值 |
|---|---|---|---|
| action_result.status | 细绳 | 成功失败了 | |
| action_result.parameter.id | 数字 | ||
| action_result.parameter.list_name | 细绳 | 我的第一个清单 | |
| Action_Result.Parameter.Row_Number | 数字 | 0 | |
| action_result.parameter.row_values_as_list | 细绳 | [“ this”,“ is”,“ a”,“ test”] | |
| Action_Result.Data。*。成功 | 布尔 | 真的 | |
| action_result.summary | 细绳 | ||
| action_result.message | 细绳 | ||
| summary.total_objects | 数字 | 1 | |
| summary.total_objects_successful | 数字 | 1 |
等待指定的秒数
类型:调查
仅阅读:正确
| 范围 | 必需的 | 描述 | 类型 | 包含 |
|---|---|---|---|---|
| Sleep_seconds | 必需的 | 睡几秒钟 | 数字 |
| 数据路径 | 类型 | 包含 | 示例值 |
|---|---|---|---|
| action_result.status | 细绳 | 成功失败了 | |
| action_result.parameter.sleep_seconds | 数字 | 15 | |
| action_result.data | 细绳 | ||
| action_result.summary | 细绳 | ||
| action_result.message | 细绳 | 睡15秒 | |
| summary.total_objects | 数字 | 1 | |
| summary.total_objects_successful | 数字 | 1 |
