phantom
3.7.0
出版商:Splunk
連接器版本:3.7.1
產品供應商:幻影
產品名稱:幻影
支持產品版本(REGEX):“。*”
最低產品版本:6.2.1
該應用程序將各種幻影API視為動作
auth_token配置參數可用於幻影實例。如果給出了令牌和用戶名/密碼,則將使用用戶名和密碼對Phantom實例進行身份驗證。
請注意,使用的IP(或名稱)必須與遠程Phantom實例的REST資產配置中的允許IP匹配。
如果phantom_server配置參數設置為當前幻影實例,即使用該應用程序的幻象服務器,則應將verify_certificate設置為false在資產配置中。
有關如何獲得授權令牌的信息,請參見Phantom REST REST概述文檔中的授權令牌。
如果phantom_server配置參數中提供的值為0.0.0.0,則測試連接成功通過,操作將在當前幻影實例(即使用該應用程序的服務器)上運行。
請參閱KB第7條和KB第16條,介紹如何為您的Phantom實例創建和驗證有效的HTTPS證書。
出於安全原因,不允許訪問127.0.0.1。
對於NRI實例,設備IP/HostName配置參數也需要指定端口號。 (例如xxxx:9999)
現有的操作參數已在下面給出的操作中進行了修改。因此,請最終用戶要求通過重新插入相應的操作塊或為這些操作參數提供適當的值來更新其現有的劇本,以確保在應用程序的早期版本上創建的劇本的正確功能。
更新列表 - ROW_VALUES_AS_LIST參數已從逗號分隔的新值更改為JSON格式的新值列表。這將允許用戶提供一個包含逗號(',')字符的值。該示例的示例已在示例值中進行了更新。
添加工件 -包含參數,可以使用字符串(或逗號分隔的字符串列表)或JSON字典,其中鍵匹配CEF_DICTIONARY的鍵,並且值為列表的值包含CEF字段。如果包含參數是字符串(或字符串的逗號分隔列表),則提供的值將映射到CEF_NAME參數。
輸出datapaths, action_result.summary.artifact ID和action_result.summary.container ID分別替換為action_result.summary.artifact_id和action_result.summary.conmary.container_id 。
查找工件 - action_result.summary.Artifacts發現的數據已被action_result.summary.artifacts_found替換。
查找listItem -action_result.summary.found匹配datapath已被action_result.summary.found_matches替換。
更新偽影標籤 - 添加了以下輸出數據路徑:
更新工件 - 此操作的動作參數已修改。請根據新參數更新您現有的劇本。以下是附加參數的列表:
有關更多詳細信息,請檢查“更新工件”部分。
該應用使用HTTP/ HTTPS協議與Phantom Server通信。以下是Splunk Soar使用的默認端口。
| 服務名稱 | 運輸協議 | 港口 |
|---|---|---|
| http | TCP | 80 |
| https | TCP | 443 |
該連接器需要以下配置變量。在配置SOAR中的幻影資產時,指定這些變量。
| 多變的 | 必需的 | 類型 | 描述 |
|---|---|---|---|
| phantom_server | 必需的 | 細繩 | Phantom IP或主機名(例如10.1.1.10或有效_phantom_hostname) |
| auth_token | 選修的 | 密碼 | Phantom auth令牌 |
| 使用者名稱 | 選修的 | 細繩 | 用戶名(http Basic Auth) |
| 密碼 | 選修的 | 密碼 | 密碼(用於HTTP基本驗證) |
| verify_certificate | 選修的 | 布爾 | 驗證HTTPS證書(默認:false) |
| deflate_item_extensions | 選修的 | 細繩 | 只有具有指定擴展名(逗號分隔)的文件。如果空白,則不會檢查文件擴展名 |
測試連通性 - 驗證資產配置的連接
更新工件 - 更新或覆蓋提供的輸入的幻影工件
添加註意 - 在容器中添加註釋
更新文物標籤 - 從工件中添加/刪除標籤
查找工件 - 查找包含CEF值的工件
添加ListItem-將值添加到自定義列表
查找ListItem-在自定義列表中找到值
添加工件 - 在容器中添加新的工件
放氣項目 - 從庫中縮放一個項目
導出容器 - 將本地容器導出到配置的幻影資產
導入容器 - 從外部幻影實例導入容器
創建容器 - 在幻影實例上創建一個新容器
獲取行動結果 - 找到先前運行的動作的結果
更新列表 - 更新列表
無操作 - 等待指定的秒數
驗證連接的資產配置
類型:測試
僅閱讀:正確
此操作不需要參數
沒有輸出
用提供的輸入更新或覆蓋幻影工件
類型:通用
僅閱讀: false
| 範圍 | 例子 |
|---|---|
| 姓名 | 文物名稱 |
| 標籤 | artifact_label |
| 嚴重程度 | 高的 |
| cef_json | {“ key1”:“ value1”,“ gooddomain”:“ www.splunk.com”,“ remove_me”:“”} |
| cef_types_json | {“ gooddomain”:[“域”]} |
| 標籤 | tag1,tag3或[“ tag2”,“ tag4”] |
| artifact_json | {“ source_data_identifier”:“ myticket1234”,“ label”:“ new_label”} |
| 範圍 | 必需的 | 描述 | 類型 | 包含 |
|---|---|---|---|---|
| artifact_id | 必需的 | 文物的ID更新 | 細繩 | phantom artifact id |
| 姓名 | 選修的 | 文物名稱(如果提供,請始終覆蓋) | 細繩 | |
| 標籤 | 選修的 | 文物標籤(如果提供,請始終覆蓋) | 細繩 | |
| 嚴重程度 | 選修的 | 人工製品的嚴重程度(如果提供,請始終覆蓋) | 細繩 | |
| cef_json | 選修的 | 您想要的文物中CEF字段的JSON格式 | 細繩 | |
| cef_types_json | 選修的 | CEF類型的JSON格式(例如,{'myip':['ip','ipv6']}) | 細繩 | |
| 標籤 | 選修的 | 逗號分隔的標籤列表要添加或替換在工件中 | 細繩 | |
| 覆蓋 | 選修的 | 帶有提供的輸入的覆蓋工件(適用於:cef_json,contains_json,標籤) | 布爾 | |
| artifact_json | 選修的 | 整個工件的JSON格式(始終提供鑰匙) | 細繩 |
| 數據路徑 | 類型 | 包含 | 示例值 |
|---|---|---|---|
| action_result.status | 細繩 | 成功失敗了 | |
| action_result.parameter.artifact_id | 細繩 | phantom artifact id | 2388 |
| Action_Result.Parameter.Artifact_json | 細繩 | {“嚴重性”:“ High”,“ Label”:“測試標籤”,“ Descript”:“由我添加的trifact”,“ source_data_identifier”:“ my_custom_sdi”} | |
| action_result.parameter.cef_json | 細繩 | {“ new_field”:“ new_value”,“ deleted_field”:“”} | |
| action_result.parameter.cef_types_json | 細繩 | {“ new_field”:[“ new contains”]} | |
| action_result.parameter.label | 細繩 | 測試標籤 | |
| action_result.parameter.name | 細繩 | 新名稱 | |
| action_result.parameter.overwrite | 布爾 | 是的 | |
| Action_Result.Parameter.Severity | 細繩 | 高的 | |
| action_result.parameter.tags | 細繩 | [“ tag2”] | |
| action_result.data。*。請求_artifact.cef.deleted_field | 細繩 | ||
| action_result.data。*。請求_ARTIFACT.CEF.NEW_FIELD | 細繩 | new_value | |
| action_result.data。*。請求_artifact.cef.test | 細繩 | FFF | |
| action_result.data。*。請求_artifact.cef_types.new_field | 細繩 | 新包含 | |
| action_result.data。*。請求_ARTIFACT.DESCRIPTION | 細繩 | 我添加了工件 | |
| action_result.data。*。請求_ARTIFACT.LABEL | 細繩 | 測試標籤 | |
| action_result.data。*。請求_artifact.name | 細繩 | 新名稱 | |
| action_result.data。*。請求_ARTIFACT.SEVERITY | 細繩 | 高的 | |
| action_result.data。*。請求_ARTIFACT.SOURCE_DATA_IDENDIFIER | 細繩 | my_custom_sdi | |
| action_result.data。*。請求_artifact.tags | 細繩 | tag2 | |
| action_result.data。*。響應 | 數字 | 2388 | |
| Action_Result.Data。*。響應。Success | 布爾 | 是的 | |
| action_result.summary | 細繩 | ||
| action_result.message | 細繩 | 人工製品成功更新了。 | |
| summary.total_objects | 數字 | 1 | |
| summary.total_objects_successful | 數字 | 1 |
在容器中添加筆記
類型:通用
僅閱讀: false
如果container_id參數是空的,則將其初始化為當前容器的ID(從運行操作的地方),並且狀態將相應地反映。如果容器是一個情況,則可以提供ephas_ID參數以將註釋與特定階段相關聯。
| 範圍 | 必需的 | 描述 | 類型 | 包含 |
|---|---|---|---|---|
| 標題 | 必需的 | 筆記的標題 | 細繩 | |
| 內容 | 選修的 | 注意內容 | 細繩 | |
| container_id | 選修的 | 容器ID(默認為當前容器) | 數字 | phantom container id |
| phase_id | 選修的 | 階段註釋將與 | 細繩 |
| 數據路徑 | 類型 | 包含 | 示例值 |
|---|---|---|---|
| action_result.status | 細繩 | 成功失敗了 | |
| action_result.parameter.container_id | 數字 | phantom container id | 35 |
| action_result.parameter.content | 細繩 | 通過應用程序添加註釋 | |
| action_result.parameter.phase_id | 細繩 | ||
| action_result.parameter.title | 細繩 | 注意測試 | |
| action_result.data | 細繩 | ||
| action_result.summary | 細繩 | ||
| action_result.message | 細繩 | 創建的註釋 | |
| summary.total_objects | 數字 | 1 | |
| summary.total_objects_successful | 數字 | 1 |
從工件中添加/刪除標籤
類型:通用
僅閱讀: false
| 範圍 | 必需的 | 描述 | 類型 | 包含 |
|---|---|---|---|---|
| artifact_id | 必需的 | 工件ID | 細繩 | phantom artifact id |
| add_tags | 選修的 | 逗號分隔的標籤列表要添加到工件 | 細繩 | |
| remove_tags | 選修的 | 逗號分隔的標籤列表要從工件中刪除 | 細繩 |
| 數據路徑 | 類型 | 包含 | 示例值 |
|---|---|---|---|
| action_result.status | 細繩 | 成功失敗了 | |
| action_result.parameter.add_tags | 細繩 | tag1,tag3 | |
| action_result.parameter.artifact_id | 細繩 | phantom artifact id | 94 |
| action_result.parameter.remove_tags | 細繩 | tag2,tag4 | |
| action_result.data | 細繩 | ||
| action_result.summary.tags_added | 細繩 | tag1 | |
| action_result.summary.tags_already_absent | 細繩 | tag4 | |
| action_result.summary.tags_already_present | 細繩 | tag3 | |
| action_result.summary.tags_remaved | 細繩 | tag2 | |
| action_result.message | 細繩 | 添加標籤:tag1,刪除標籤:tag2,標籤已經存在:tag3,標籤已經缺少:tag4 | |
| summary.total_objects | 數字 | 1 | |
| summary.total_objects_successful | 數字 | 1 |
查找包含CEF值的工件
類型:調查
僅閱讀:正確
如果limit_search參數設置為true,則該操作將僅在提供的container_ids中搜索所需的偽像。否則,將忽略Container_IDS參數。
如果在Container_IDS參數中提供了任何非啟動值,則將刪除所有非授權值,並將相應地更新參數。如果container_ids參數的值是當前的,則將其替換為當前容器的ID(從中運行該操作),並且狀態將相應地反映。
如果Exact_Match參數設置為false,則操作將返回所有這些值參數為其CEF值中任何一個的子字符串。否則,它將返回其任何一個CEF值與值參數完全匹配的偽像。
對於類型整數,float或字符串的值,建議將Exact_Match參數設置為false。
默認情況下,返回了10個工件。如果您想返回更多或少於10個工件,請更新MAX_RESULTS參數。
| 範圍 | 必需的 | 描述 | 類型 | 包含 |
|---|---|---|---|---|
| cef_key | 選修的 | cef dict的關鍵您正在查詢:ACT,APP,Application Protocol,BaseeventCount,Bytesin等。如果空白,它將搜索整個CEF字典 | 細繩 | |
| 值 | 必需的 | 在人工製品中找到此值 | 細繩 | * |
| extcent_match | 選修的 | 確切匹配(默認:true) | 布爾 | |
| limit_search | 選修的 | 將搜索限制為指定的容器(默認值:false) | 布爾 | |
| container_ids | 選修的 | 空間或逗號分隔的容器ID列表。 “電流”一詞將被當前容器ID替換 | 細繩 | |
| max_results | 選修的 | 返回的最大工件數量 | 數字 |
| 數據路徑 | 類型 | 包含 | 示例值 |
|---|---|---|---|
| action_result.status | 細繩 | 成功失敗了 | |
| action_result.parameter.cef_key | 細繩 | ACT App Application Protocol | |
| action_result.parameter.container_ids | 細繩 | 當前的 | |
| action_result.parameter.exact_match | 布爾 | 是的 | |
| action_result.parameter.limit_search | 布爾 | 是的 | |
| action_result.parameter.values | 細繩 | * | test_value |
| action_result.data。*。容器 | 數字 | 1234 | |
| action_result.data。*。container_name | 細繩 | phantom_test | |
| action_result.data。*。找到 | 細繩 | test_key | |
| action_result.data。*。id | 數字 | 12345 | |
| action_result.data。*。匹配 | 細繩 | test_value | |
| action_result.data。*。名稱 | 細繩 | artifact_demo | |
| Action_Result.Summary.Artifacts_Found | 數字 | 1 | |
| Action_Result.Summary.Server | 細繩 | https://10.1.1.10 | |
| action_result.message | 細繩 | 發現工件:1,服務器:https://10.1.1.10 | |
| summary.total_objects | 數字 | 1 | |
| summary.total_objects_successful | 數字 | 1 | |
| action_result.parameter.max_results | 數字 | 2 |
將價值添加到自定義列表
類型:通用
僅閱讀: false
要在列表中添加包含單個值的行,只需傳遞該值即可。但是,要連續傳遞多個值,請像JSON數組一樣格式化(例如[“ item1”,“ item2”,“ item3”])。
如果列表已經存在(即使創建參數設置為true,則操作將更新列表。
通過此操作創建或更新列表後,如果從UI更新了相同的列表,則用戶需要在再次通過此操作更新列表之前保存這些更改,否則,UI所做的更改將被覆蓋。
| 範圍 | 必需的 | 描述 | 類型 | 包含 |
|---|---|---|---|---|
| 列表 | 必需的 | 自定義列表的名稱或ID | 細繩 | |
| new_row | 必需的 | 新行(字符串或JSON列表) | 細繩 | * |
| 創造 | 選修的 | 如果不存在,則創建列表(默認:false) | 布爾 |
| 數據路徑 | 類型 | 包含 | 示例值 |
|---|---|---|---|
| action_result.status | 細繩 | 成功失敗了 | |
| Action_Result.Parameter.Create | 布爾 | 是的 | |
| action_result.parameter.list | 細繩 | demo_list | |
| action_result.parameter.new_row | 細繩 | * | [“ value1”,“ value2”,“ value3”] |
| action_result.data。*。失敗 | 布爾 | ||
| Action_Result.Data。*。成功 | 布爾 | 是的 | |
| Action_Result.Summary.Server | 細繩 | url | https://10.1.1.10 |
| action_result.message | 細繩 | 服務器:https://10.1.1.10 | |
| summary.total_objects | 數字 | 1 | |
| summary.total_objects_successful | 數字 | 1 |
在自定義列表中找到值
類型:調查
僅閱讀:正確
每個匹配值的行和列坐標都可以在“位置”下的結果摘要中找到。比賽對案例敏感。
如果Exact_Match參數設置為false,則操作將返回所有值參數為其子字符串的字符串。否則,它將返回與值參數完全匹配的字符串。
| 範圍 | 必需的 | 描述 | 類型 | 包含 |
|---|---|---|---|---|
| 列表 | 必需的 | 自定義列表的名稱或ID | 細繩 | |
| column_index | 選修的 | 搜索列號(基於0) | 數字 | |
| 值 | 必需的 | 搜索的價值 | 細繩 | * |
| extcent_match | 選修的 | 確切匹配(默認:true) | 布爾 |
| 數據路徑 | 類型 | 包含 | 示例值 |
|---|---|---|---|
| action_result.status | 細繩 | 成功失敗了 | |
| action_result.parameter.column_index | 數字 | ||
| action_result.parameter.exact_match | 布爾 | 是的 | |
| action_result.parameter.list | 細繩 | list_demo | |
| action_result.parameter.values | 細繩 | * | Value1 |
| action_result.data | 細繩 | ||
| Action_Result.Data。* | 細繩 | ||
| action_result.summary.found_matches | 數字 | 1 | |
| action_result.summary.list_id | 數字 | 18 | |
| action_result.summary.Locations | 數字 | ||
| Action_Result.Summary.Locations。* | 數字 | ||
| Action_Result.Summary.Server | 細繩 | url | https://10.1.1.10 |
| action_result.message | 細繩 | 服務器:https://10.1.10,找到匹配:1,位置:[(1,0)],列表ID:18 | |
| summary.total_objects | 數字 | 1 | |
| summary.total_objects_successful | 數字 | 1 |
在容器中添加新的工件
類型:通用
僅閱讀: false
如果container_id參數是空的,則將其初始化為當前容器的ID(從中運行操作),並且狀態將相應地反映。
CEF字段可以通過使用CEF_NAME和CEF_VALUE參數或使用CEF_Dictionary參數將CEF字段添加到工件中。如果包括CEF_NAME , CEF_VALUE和CEF_DICTINARY參數,則操作將將CEF_NAME字段添加到CEF_DICTIONARY 。
僅使用CEF_NAME和CEF_VALUE參數將導致具有一個CEF字段的工件。
CEF_DICTIONARY參數採用JSON字典,帶有代表CEF鍵值對的鍵值對。要提供包含雙引號(“)的值,請在雙引號之前添加一個後斜線()。
例如,{“ X- Universly-Unique-sidentifier”:“ test”,“ content-type”:“ Multipart/替代方案; boundard; boundard = “ apple-mail = _0DA95D7E-B791-4751-4751-8043-1759494949088A2C ” >“ ,“ message-id”:“ [email protected]”}
包含參數可以採用JSON字典,其中鍵匹配CEF_DICTIONARY的鍵,並且值為CEF字段可能包含的值。如果包含字典中不存在CEF_DICTIONARY中的給定值,則該操作將首先檢查默認CEF字段的列表。如果不是默認的CEF字段,則該操作將嘗試確定包含的適當值。
包含參數還可以採用代表CEF_VALUE參數包含的字符串(或逗號分隔的字符串列表)。僅當使用CEF_NAME和CEF_VALUE參數時,才應使用此方法。
如果run_automation參數設置為true,則在添加工件後,活動劇本將自動運行。主動劇本將在添加工件的相同容器上運行。
有關工件,CEF字段和包含的更多信息,請參見REST API文檔。
| 範圍 | 必需的 | 描述 | 類型 | 包含 |
|---|---|---|---|---|
| 姓名 | 選修的 | 新工件的名稱 | 細繩 | |
| container_id | 選修的 | 新工件的數字容器ID | 數字 | phantom container id |
| 標籤 | 選修的 | 文物標籤(默認:事件) | 細繩 | |
| source_data_istifier | 必需的 | 來源數據idenitifier | 細繩 | |
| cef_name | 選修的 | CEF名稱 | 細繩 | |
| cef_value | 選修的 | 價值 | 細繩 | * |
| cef_dictionary | 選修的 | CEF JSON | 細繩 | |
| 包含 | 選修的 | 每個CEF字段的數據類型 | 細繩 | |
| run_automation | 選修的 | 在新創建的工件上運行自動化(默認:false) | 布爾 | |
| 確定_contains | 選修的 | 確定未提供的任何CEF字段的包含值包含值(默認:true) | 布爾 |
| 數據路徑 | 類型 | 包含 | 示例值 |
|---|---|---|---|
| action_result.status | 細繩 | 成功失敗了 | |
| action_result.parameter.cef_dictionary | 細繩 | {“ test_key”:“ test_value”} | |
| action_result.parameter.cef_name | 細繩 | ||
| action_result.parameter.cef_value | 細繩 | * | |
| action_result.parameter.container_id | 數字 | phantom container id | 1234 |
| action_result.parameter.contains | 細繩 | 領域 | |
| action_result.parameter.label | 細繩 | 事件 | |
| action_result.parameter.name | 細繩 | artifact_demo | |
| action_result.parameter.run_automation | 細繩 | 是的 | |
| action_result.parameter.source_data_identifier | 細繩 | ||
| action_result.parameter.determine_contains | 布爾 | ||
| action_result.data。* | 數字 | ||
| action_result.data。*。失敗 | 布爾 | ||
| action_result.data。*。id | 數字 | 123 | |
| Action_Result.Data。*。成功 | 布爾 | 是的 | |
| Action_Result.Summary.Artifact_ID | 數字 | 12345 | |
| action_result.summary.container_id | 數字 | 1234 | |
| Action_Result.Summary.Server | 細繩 | url | https://10.1.1.10 |
| action_result.message | 細繩 | 工件ID:12345,容器ID:1234,服務器:https://10.1.1.10 | |
| summary.total_objects | 數字 | 1 | |
| summary.total_objects_successful | 數字 | 1 |
從保險庫中縮成項目
類型:通用
僅閱讀: false
只有在將phantom_server參數(在資產配置中)配置為本地幻影實例,即運行操作的實例時,才會支持該操作。
該操作檢測輸入庫項目是否是壓縮文件並將其放氣。然後將通縮後發現的每個文件添加到保險庫中。如果指定了Container_ID ,將添加到其保管庫中,否則將當前(執行操作執行的上下文)容器的當前容器添加到其保管庫中。該動作支持ZIP , GZIP , BZ2 , TAR和TGZ文件類型。在壓縮文件中包含另一個壓縮文件的情況下,將遞歸參數設置為true以使內部壓縮文件放氣。
如果啟用了遞歸併指定了密碼,則該應用程序將僅使用給定ZIP文件的密碼。僅當文件不受密碼保護時,才會提取內zip文件。在不同的壓縮方法中,只有ZIP支持密碼保護功能。
對於某些Unicode字符,Zipfile模塊不會像它那樣解壓縮文件名。
| 範圍 | 必需的 | 描述 | 類型 | 包含 |
|---|---|---|---|---|
| VAULT_ID | 必需的 | 保險庫ID | 細繩 | sha1 vault id |
| container_id | 選修的 | 目標容器ID | 數字 | phantom container id |
| 密碼 | 選修的 | 文件的密碼 | 細繩 | |
| 遞迴 | 選修的 | 遞歸提取(默認:false) | 布爾 |
| 數據路徑 | 類型 | 包含 | 示例值 |
|---|---|---|---|
| action_result.status | 細繩 | 成功失敗了 | |
| action_result.parameter.container_id | 數字 | phantom container id | 3 |
| Action_Result.Parameter.Password | 細繩 | P@$$ W0rd | |
| Action_Result.Parameter.Recursive | 布爾 | 是的 | |
| action_result.parameter.vault_id | 細繩 | sha1 vault id | F582ED9120FA3BE94852C73E1CD188F2948F677F |
| action_result.data。*。aka。* | 細繩 | test.txt | |
| action_result.data。*。容器 | 細繩 | phantom_test | |
| action_result.data。*。container_id | 數字 | phantom container id | 1234 |
| action_result.data。*。包含。* | 細繩 | 保險庫ID | |
| action_result.data。*。create_time | 細繩 | 0分鐘前 | |
| action_result.data。*。create_via | 細繩 | 自動化 | |
| action_result.data。*。哈希 | 細繩 | sha1 | 0A0E6C7AB7F77D058EFD4444279B81C4C6A9CF4CE |
| action_result.data。*。id | 數字 | 12 | |
| action_result.data。*。元數據 | 細繩 | 保險庫ID | |
| action_result.data。*。元數據.md5 | 細繩 | md5 | 0DB33A0790B6D6D5C2E4425646EEEEE7FC |
| Action_Result.Data。*。元數據。SHA1 | 細繩 | sha1 | FECE6C7AB7F77D058EFD4444279B81C4C6A9CF4CE |
| Action_Result.Data。*。元數據。SHA256 | 細繩 | sha256 | 4F2155212CB0F74207BD0E4FD5ECAE548EE2BAE1D2DCD36C1D0BA0BA0BA0B6254BD4A1 |
| action_result.data。*。元數據 | 數字 | 33 | |
| action_result.data。*。mime_type | 細繩 | 文字/平原 | |
| action_result.data。*。名稱 | 細繩 | TGZ檢驗 | |
| action_result.data。*。路徑 | 細繩 | ||
| action_result.data。*。大小 | 數字 | 10240 | |
| action_result.data。*。任務 | 細繩 | ||
| action_result.data。*。用戶 | 細繩 | ||
| action_result.data。*。vault_document | 數字 | ||
| action_result.data。*。vault_id | 細繩 | sha1 vault id | B90E6C7AB7F77D058EFD4444279B81C4C6A9CF4CE |
| action_result.summary.total_vault_items | 數字 | 9 | |
| action_result.message | 細繩 | 總保險庫項目:9 | |
| summary.total_objects | 數字 | 1 | |
| summary.total_objects_successful | 數字 | 1 |
將本地容器導出到配置的幻影資產
類型:通用
僅閱讀: false
此操作從本地幻影實例(從運行該操作的實例)將容器(與容器_ID匹配)到已配置的Phantom資產(該操作正在執行)。
如果本地幻影實例上的容器元數據和配置的Phantom Asset與不匹配,則該操作將失敗,例如具有名稱U'Critical'的嚴重性實例。
如果您希望在配置的Phantom實例上的容器所有者與本地實例上的所有者匹配,則將keep_owner參數設置為true。請注意,這將基於所有者ID,而不是所有者名稱。
| 範圍 | 必需的 | 描述 | 類型 | 包含 |
|---|---|---|---|---|
| container_id | 必需的 | 集裝箱ID複製 | 數字 | phantom container id |
| keep_owner | 選修的 | 保留所有者 | 布爾 | |
| 標籤 | 選修的 | 標籤以命名導出容器。如果空白,導出容器的名稱將與本地容器相同 | 細繩 | |
| run_automation | 選修的 | 運行活躍的劇本 | 布爾 |
| 數據路徑 | 類型 | 包含 | 示例值 |
|---|---|---|---|
| action_result.status | 細繩 | 成功失敗了 | |
| action_result.parameter.container_id | 數字 | phantom container id | 3 |
| action_result.parameter.keep_owner | 布爾 | 是的 | |
| action_result.parameter.label | 細繩 | 事件 | |
| action_result.parameter.run_automation | 布爾 | 是的 | |
| action_result.data | 細繩 | ||
| Action_Result.Summary.Artifact_Count | 數字 | 268 | |
| action_result.summary.container_id | 數字 | phantom container id | 94 |
| action_result.message | 細繩 | 集裝箱ID:94,人工工具:268 | |
| summary.total_objects | 數字 | 1 | |
| summary.total_objects_successful | 數字 | 1 |
從外部幻影實例導入容器
類型:通用
僅閱讀: false
此操作將來自配置的幻影資產(該操作正在執行)的容器(與容器_ID匹配)到本地幻影實例(該實例正在運行該操作的實例)。
如果配置幻影資產上的容器元數據和本地幻影實例不匹配,則該操作將失敗。
如果您希望在本地幻影實例上的容器的所有者匹配配置的實例上的所有者,則將keep_owner參數設置為true。請注意,這將基於所有者ID,而不是所有者名稱。
| 範圍 | 必需的 | 描述 | 類型 | 包含 |
|---|---|---|---|---|
| container_id | 必需的 | 集裝箱ID複製 | 數字 | phantom container id |
| keep_owner | 選修的 | 保留所有者 | 布爾 |
| 數據路徑 | 類型 | 包含 | 示例值 |
|---|---|---|---|
| action_result.status | 細繩 | 成功失敗了 | |
| action_result.parameter.container_id | 細繩 | phantom container id | 3 |
| action_result.parameter.keep_owner | 布爾 | 是的 | |
| action_result.data | 細繩 | ||
| Action_Result.Summary.Artifact_Count | 數字 | 268 | |
| action_result.summary.container_id | 數字 | phantom container id | 94 |
| action_result.message | 細繩 | 集裝箱ID:94,人工工具:268 | |
| summary.total_objects | 數字 | 1 | |
| summary.total_objects_successful | 數字 | 1 |
在幻影實例上創建一個新容器
類型:通用
僅閱讀: false
此操作在Phantom服務器上創建一個新容器,該容器在Phantom_server Asset參數中配置。 container_json參數需要是JSON字符串。必須在container_json參數中提供標籤密鑰。如果Container_json的標籤在目標幻影資產上不存在,則該操作將失敗。
例如,{“名稱”:“測試容器”,“標籤”:“ events”}
Container_Artifacts是一個可選參數,需要作為JSON字符串的工件對象列表。每個偽影JSON對像都應包含以下鍵: CEF,CEF_TYPES,數據,描述,END_TIME,INGEST_APP_ID,KILL_CHAIN,標籤,名稱,名稱,所有者,source_data_idefier,start_time_time,start_time,start_time,tags,tags,type 。所有其他密鑰都將被忽略。
例如,[{“ name”:“ artifact 1”,“ label”:“ label1”,“ cef”:{“ test”:“ 123”}},{“ name”:“ artifact 2”,“ label”, “ label”: “ label2”,“ cef”:{“ test”:“ 456”}}]]
有關更多詳細信息,請參見Splunk Phantom文檔。
| 範圍 | 必需的 | 描述 | 類型 | 包含 |
|---|---|---|---|---|
| Container_json | 必需的 | 容器JSON對象 | 細繩 | |
| Container_Artifacts | 選修的 | 工件json對象列表 | 細繩 |
| 數據路徑 | 類型 | 包含 | 示例值 |
|---|---|---|---|
| action_result.status | 細繩 | 成功失敗了 | |
| action_result.parameter.container_artifacts | 細繩 | [{{“ name”:“偽像的人類友好名稱(1)”,“ label”:“ event”,“ source_data_identifier”:1},{“ name”:“ for Artifact(2)”,“ “ label ”:“ event”,“ source_data_identifier”:2},{“ name”:“偽像的人類友好名稱(3)”,“ label”:“ event”,“ source_data_identifier”:3}]] | |
| action_result.parameter.container_json | 細繩 | {“嚴重性”:“中”,“ label”:“事件”,“版本”:1,“ Asset”:7,“狀態”:“ New”,“ Descript”:“來自Phantom Helper”,“新容器”,“標籤“:[],“ data”:{},“名稱”:“這是一個容器”} | |
| action_result.data | 細繩 | ||
| Action_Result.Summary.Artifact_Count | 數字 | 3 | |
| action_result.summary.container_id | 數字 | phantom container id | |
| action_result.summary.failed_artifact_count | 數字 | 7 | |
| action_result.message | 細繩 | 集裝箱ID:82,人工工具:3 | |
| summary.total_objects | 數字 | 1 | |
| summary.total_objects_successful | 數字 | 1 |
找到先前運行的動作的結果
類型:調查
僅閱讀:正確
此操作返回給定time_limit中給定參數啟動的給定action_name的最新結果。
該操作將限制返回到max_results中值的結果數。默認情況下,限制為10。要獲得所有結果,請將MAX_RESULTS參數設置為0。
參數參數採用格式的JSON字符串:
{
“ parameter_name1”:“ parameter_value1”
“ parameter_name2”:“ parameter_value2”
...
}| 範圍 | 必需的 | 描述 | 類型 | 包含 |
|---|---|---|---|---|
| action_name | 必需的 | 動作名稱 | 細繩 | |
| 參數 | 選修的 | JSON動作參數字符串 | 細繩 | |
| 應用程式 | 選修的 | 應用名稱 | 細繩 | |
| 資產 | 選修的 | 資產名稱 | 細繩 | |
| time_limit | 選修的 | 搜索的小時數 | 數字 | |
| max_results | 選修的 | 返回的最大動作結果數量 | 數字 |
| 數據路徑 | 類型 | 包含 | 示例值 |
|---|---|---|---|
| action_result.status | 細繩 | 成功失敗了 | |
| action_result.parameter.action_name | 細繩 | 黑名單IP | |
| Action_Result.Parameter.App | 細繩 | 幻影 | |
| action_result.parameter.sest | 細繩 | test_phantom | |
| action_result.parameter.max_results | 數字 | 5 | |
| action_result.parameter.parameters | 細繩 | {“ ip”:“ 1.8.9.0”} | |
| action_result.parameter.time_limit | 數字 | 24 | |
| Action_Result.Data。*。動作 | 細繩 | 黑名單IP | |
| action_result.data。*。action_run | 數字 | 2724 | |
| action_result.data。*。app | 數字 | 121 | |
| action_result.data。*。app_name | 細繩 | 幻影 | |
| action_result.data。*。app_version | 細繩 | 1.0.0 | |
| Action_Result.Data。*。資產 | 數字 | 137 | |
| action_result.data。*。容器 | 數字 | 1154 | |
| action_result.data。*。有效_user | 細繩 | ||
| action_result.data。*。end_time | 細繩 | 2017-11-06T20:30:27.991000Z | |
| action_result.data | 布爾 | 是的 | |
| action_result.data。*。extra_data | 細繩 | ||
| action_result.data。*。id | 數字 | 2761 | |
| action_result.data。*。消息 | 細繩 | 成功黑名單的IP | |
| action_result.data。*。playbook_run | 數字 | 1056 | |
| action_result.data。*。result_data。*。數據 | 數字 | ||
| action_result.data。*。result_data。*。消息 | 細繩 | IP黑名單成功 | |
| action_result.data。*。result_data。*。參數 | 細繩 | ||
| action_result.data。*。result_data。*。參數.context.artifact_id | 數字 | 0 | |
| action_result.data。*。result_data。*。參數parameter.context.guid | 細繩 | 293D0369-4801-417D-A1AF-A73CF1200D3D | |
| action_result.data。*。result_data。*。參數.context.parent_action_run | 細繩 | ||
| action_result.data。*。result_data。*。狀態 | 細繩 | 成功 | |
| action_result.data。*。result_data。*。摘要 | 細繩 | ||
| action_result.data。*。result_summary.total_objects | 數字 | 1 | |
| action_result.data。*。result_summary.total_objects_successful | 數字 | 1 | |
| action_result.data。*。start_time | 細繩 | 2017-11-06T20:30:04.879000Z | |
| action_result.data。*。狀態 | 細繩 | 成功失敗了 | |
| action_result.data。*。版本 | 數字 | 1 | |
| action_result.summary.action_run_id | 數字 | 2761 | |
| action_result.summary.num_results | 數字 | ||
| action_result.message | 細繩 | 動作運行ID:2761 | |
| summary.total_objects | 數字 | 1 | |
| summary.total_objects_successful | 數字 | 1 |
更新列表
類型:通用
僅閱讀: false
list_name或ID是必需的。如果兩者都提供list_name和ID參數,並且兩個都指向不同的列表,則將首選list_name參數,並且操作將更新list_name參數中指定的列表。
| 範圍 | 必需的 | 描述 | 類型 | 包含 |
|---|---|---|---|---|
| list_name | 選修的 | 列表名稱 | 細繩 | |
| ID | 選修的 | 列表ID | 數字 | |
| row_number | 必需的 | 列表中要修改的行號 | 數字 | |
| ROW_VALUES_AS_LIST | 必需的 | JSON格式化該行的新值列表 | 細繩 |
| 數據路徑 | 類型 | 包含 | 示例值 |
|---|---|---|---|
| action_result.status | 細繩 | 成功失敗了 | |
| action_result.parameter.id | 數字 | ||
| action_result.parameter.list_name | 細繩 | 我的第一個清單 | |
| Action_Result.Parameter.Row_Number | 數字 | 0 | |
| action_result.parameter.row_values_as_list | 細繩 | [“ this”,“ is”,“ a”,“ test”] | |
| Action_Result.Data。*。成功 | 布爾 | 真的 | |
| action_result.summary | 細繩 | ||
| action_result.message | 細繩 | ||
| summary.total_objects | 數字 | 1 | |
| summary.total_objects_successful | 數字 | 1 |
等待指定的秒數
類型:調查
僅閱讀:正確
| 範圍 | 必需的 | 描述 | 類型 | 包含 |
|---|---|---|---|---|
| Sleep_seconds | 必需的 | 睡幾秒鐘 | 數字 |
| 數據路徑 | 類型 | 包含 | 示例值 |
|---|---|---|---|
| action_result.status | 細繩 | 成功失敗了 | |
| action_result.parameter.sleep_seconds | 數字 | 15 | |
| action_result.data | 細繩 | ||
| action_result.summary | 細繩 | ||
| action_result.message | 細繩 | 睡15秒 | |
| summary.total_objects | 數字 | 1 | |
| summary.total_objects_successful | 數字 | 1 |
