Ecco l'elenco delle funzioni del playbook esterno:
1. PROTEGGERE
2. VirusTotal
3. URLCAT
3.1 Ottieni la reputazione URL
3.2 aggiorna la reputazione NwURL
3.3 aggiornamentoEmailURLReputazione
3.2 aggiorna la reputazione NwURL
3.3 aggiornamentoEmailURLReputazione
4. Casa URL
4.1 Ottieni la reputazione URL
4.2 aggiorna la reputazione NwURL
4.3 aggiornamentoEmailURLReputazione
4.2 aggiorna la reputazione NwURL
4.3 aggiornamentoEmailURLReputazione
5. Creazione di incidenti Jira
6. Bonifica EDR
6.1 Isolamento dell'host
6.2 hostRiconnetti
6.3 Riavvio dell'host
6.4 killProcessByMD5
6.5 quarantenaProcessByMD5
6.6 quarantenaFileByFilePath
6.7 eliminaRegistryKey
6.2 hostRiconnetti
6.3 Riavvio dell'host
6.4 killProcessByMD5
6.5 quarantenaProcessByMD5
6.6 quarantenaFileByFilePath
6.7 eliminaRegistryKey
7. Risposta O365
8. Risposta O365 PS
9. Google Workspace Risposta
10. Risposta al checkpoint
11. Risposta di FortiGate
Blocco 11.1IPs
11.2 blocca URL
11.3 blocchiHash
11.4 sbloccareIPs
11.5 sblocca URL
11.6 sbloccare gli hash
11.2 blocca URL
11.3 blocchiHash
11.4 sbloccareIPs
11.5 sblocca URL
11.6 sbloccare gli hash
12. Risposta di AWS Guardduty
Dettagli della funzione
1. PROTEGGERE
1.1 getFileReputation Funzione
Descrizione:
Calcola il valore della reputazione MD5.
parametri:
fileMD5(string[]): valore(i) MD5. [processMD5 / fileMD5 / moduleMD5 / childMD5 / ehpMD5]
Resi:
fileReputation(coppia): matrice di coppia {MD5: valore reputazione}. I valori reputazione per ogni MD5 sono compresi tra 1 e 10. 1 – pulito, 10 – dannoso.
1.2 updateFileReputation Funzione
Descrizione:
Aggiorna il valore di reputazione MD5 del file.
parametri:
fileMD5(string[]): valore(i) MD5 del file.
Resi:
fileReputation(coppia): matrice di coppia {MD5: valore reputazione}. I valori reputazione per ogni MD5 sono compresi tra 1 e 10. 1 – pulito, 10 – dannoso.
1.3 updateProcessReputation Funzione
Descrizione:
Aggiorna il valore di reputazione MD5 del processo.
parametri:
processMD5(string[]): valore/i MD5 del processo.
Resi:
processReputation(coppia): matrice di coppia {MD5: valore reputazione}. I valori reputazione per ogni MD5 sono compresi tra 1 e 10. 1 – pulito, 10 – dannoso.
2. VirusTotal
2.1 getFileReputation Funzione
Descrizione:
Calcola il valore della reputazione MD5.
parametri:
fileMD5(string[]): valore(i) MD5. [processMD5 / fileMD5 / moduleMD5 / childMD5 / ehpMD5]
Resi:
fileReputation(coppia): matrice di coppia {MD5: valore reputazione}. I valori reputazione per ogni MD5 sono compresi tra 1 e 10. 1 – pulito, 10 – dannoso.
Esempio di utilizzo
# Example of using the getFileReputation function:
import requests
fileMD5_list = ["abc123", "def456", "ghi789"]
response =# Example of using the notification function requests.post("https://api.example.com/getFileReputation", json={"fileMD5": fileMD5_list})
fileReputation = response.json()
print(fileReputation)
2.2 updateFileReputation Funzione
Descrizione:
Aggiorna il valore di reputazione MD5 del file.
parametri:
fileMD5(string[]): valore(i) MD5 del file.
Resi:
fileReputation(coppia): matrice di coppia {MD5: valore reputazione}. I valori reputazione per ogni MD5 sono compresi tra 1 e 10. 1 – pulito, 10 – dannoso.
Esempio di utilizzo
# Example of using the updateFileReputation function:
import requests
fileMD5_list = ["abc123", "def456", "ghi789"]
response = requests.post("https://api.example.com/updateFileReputation", json={"fileMD5": fileMD5_list})
fileReputation = response.json()
print(fileReputation)
2.3 updateProcessReputation Funzione
Descrizione:
Aggiorna il valore di reputazione MD5 del processo.
parametri:
processMD5(string[]): valore/i MD5 del processo.
Resi:
processReputation(coppia): matrice di coppia {MD5: valore reputazione}. I valori reputazione per ogni MD5 sono compresi tra 1 e 10. 1 – pulito, 10 – dannoso.
Esempio di utilizzo
# Example of using the updateProcessReputation function
import requests
processMD5_list = ["abc123", "def456", "ghi789"]
response = requests.post("https://api.example.com/updateProcessReputation", json={"processMD5": processMD5_list})
processReputation = response.json()
print(processReputation)
3. URLCAT
3.1 getURLReputation Funzione
Description
Calcola il valore della reputazione URL.
Scheda Sintetica
url(string[]) – URL. [nwURL / emailURL]
Resi
-
urlReputation(coppia) – Array di coppie {URL: valore reputazione}
- I valori di reputazione per ogni URL sono compresi tra 1 e 10. 1: pulito, 10: dannoso.
Esempio di utilizzo
# Example of using the getURLReputation function
from url_reputation_api import getURLReputation
# Example usage with a list of URLs
urls_to_check = ['https://example.com', 'https://malicious-site.com']
reputation_results = getURLReputation(urls_to_check)
print("URL Reputation Results:")
for url, reputation in reputation_results.items():
print(f"{url}: {reputation}")
3.2 updateNwURLReputation Funzione
Description
Aggiorna il valore della reputazione nwURL.
Scheda Sintetica
url(stringa[]) – nwURL.
Resi
-
urlReputation(coppia) – Matrice della coppia {URL: valore reputazione}.
- I valori di reputazione per ogni URL sono compresi tra 1 e 10. 1: pulito, 10: dannoso.
Esempio di utilizzo
# Example of using the updateNwURLReputation function
from url_reputation_api import updateNwURLReputation
# Example usage with a list of nwURLs
nw_urls_to_update = ['https://network-site1.com', 'https://network-site2.com']
updated_reputation_results = updateNwURLReputation(nw_urls_to_update)
print("Updated NWURL Reputation Results:")
for url, reputation in updated_reputation_results.items():
print(f"{url}: {reputation}")
3.3 updateEmailURLReputation Funzione
Description
Aggiorna il valore della reputazione dell'emailURL.
Scheda Sintetica
url(string[]) – URL dell'email.
Resi
-
urlReputation(coppia) – Array di coppie {URL: valore reputazione}
Esempio di utilizzo
# Example of using the updateEmailURLReputation function
from url_reputation_api import updateEmailURLReputation
# Example usage with a list of emailURLs
email_urls_to_update = ['https://email-site1.com', 'https://email-site2.com']
updated_email_reputation_results = updateEmailURLReputation(email_urls_to_update)
print("Updated EmailURL Reputation Results:")
for url, reputation in updated_email_reputation_results.items():
print(f"{url}: {reputation}")
4. Casa URL
4.1 getURLReputation Funzione
Description
Calcola il valore della reputazione URL.
Scheda Sintetica
url(string[]) – URL. [nwURL / emailURL]
Resi
-
urlReputation(coppia) – Matrice della coppia {URL: valore reputazione}.
- I valori di reputazione per ogni URL sono compresi tra 1 e 10. 1: pulito, 10: dannoso.
Utilizzo del campione
# Example of using the getURLReputation function
from reputation_api import getURLReputation
# Example usage with a list of URLs
urls_to_check = ['https://example.com', 'https://malicious-site.com']
reputation_results = getURLReputation(urls_to_check)
print("URL Reputation Results:")
for url, reputation in reputation_results.items():
print(f"{url}: {reputation}")
4.2 updateNwURLReputation Funzione
Description
Aggiorna il valore della reputazione nwURL.
Scheda Sintetica
url(stringa[]) – nwURL.
Resi
-
urlReputation(coppia) – Matrice della coppia {URL: valore reputazione}.
- I valori di reputazione per ogni URL sono compresi tra 1 e 10. 1: pulito, 10: dannoso.
Utilizzo del campione
# Example of using the updateNwURLReputation function
from reputation_api import updateNwURLReputation
# Example usage with a list of nwURLs
nw_urls_to_update = ['https://network-site1.com', 'https://network-site2.com']
updated_reputation_results = updateNwURLReputation(nw_urls_to_update)
print("Updated NWURL Reputation Results:")
for url, reputation in updated_reputation_results.items():
print(f"{url}: {reputation}")
4.3 updateEmailURLReputation Funzione
Description
Calcola il valore della reputazione URL.
Scheda Sintetica
url(string[]) – URL. [nwURL / emailURL]
Resi
-
urlReputation(coppia) – Matrice della coppia {URL: valore reputazione}.
- I valori di reputazione per ogni URL sono compresi tra 1 e 10. 1: pulito, 10: dannoso.
Utilizzo del campione
# Example of using the updateEmailURLReputation function
from reputation_api import updateEmailURLReputation
# Example usage with a list of emailURLs
email_urls_to_update = ['https://email-site1.com', 'https://email-site2.com']
updated_email_reputation_results = updateEmailURLReputation(email_urls_to_update)
print("Updated EmailURL Reputation Results:")
for url, reputation in updated_email_reputation_results.items():
print(f"{url}: {reputation}")
5. Creazione di incidenti Jira
5.1 createJiraIncident Funzione
Description
Questa funzione crea un ticket Jira per un incidente.
Scheda Sintetica
- nome (
string): Nome dell'incidente. - id (
string): ID incidente. - genere (
string): Tipo di incidente. - gravità (
string): Gravità dell'incidente. - impatto (
string): Impatto dell'incidente. - stato (
string): Stato dell'incidente. - punti finali (
string): Elenco degli endpoint interessati dall'incidente.
Resi
- stato (
pair): Stato di creazione del ticket Jira. La funzione restituisce una coppia di stati, che indica lo stato di creazione del ticket Jira. In caso di successo, include l'URL del ticket creato.
Esempio di utilizzo
# Example of using the createJiraIncident function
result = createJiraIncident(name="Sample Incident", id="INC001", type="Security", severity="High", impact="Critical", status="Open", endpoints="Endpoint1, Endpoint2")
print(result)
Bonifica EDR
6.1 hostIsolation Funzione
Description
Questa funzione isola un host dalla rete come parte della correzione Endpoint Detection and Response (EDR).
Scheda Sintetica
- ID dell'endpoint (
string[]): ID della macchina coinvolta nell'incidente.
Resi
- stato (
pair): Stato di isolamento dell'ospite.
Esempio di utilizzo
# Example of using the hostIsolation function
result = hostIsolation(endpointId=["MachineID1", "MachineID2"])
print(result)
6.2 hostReconnect Funzione
Description
Questa funzione facilita la riconnessione di un host alla rete.
Scheda Sintetica
- ID dell'endpoint (
string[]): ID macchina univoco associato all'incidente.
Resi
- stato (
pair): Fornisce lo stato dell'operazione di connessione host.
Esempio di utilizzo
# Example of using the hostReconnect function
result = hostReconnect(endpointId=["MachineID1", "MachineID2"])
print(result)
6.3 hostReboot Funzione
Description
Questa funzione avvia un riavvio per l'host specificato.
Scheda Sintetica
- ID dell'endpoint (
string[]): ID macchina univoco associato all'incidente.
Resi
- stato (
pair): Fornisce lo stato dell'operazione di riavvio dell'host.
Esempio di utilizzo
# Example of using the hostReboot function
result = hostReboot(endpointId=["MachineID1", "MachineID2"])
print(result)
6.4 killProcessByMD5 Funzione
Description
Questa funzione termina un processo sulla macchina host in base all'hash MD5 fornito.
Scheda Sintetica
- processoMD5 (
string[]): Hash MD5 associato al processo dell'incidente.
Resi
- status (
pair): Fornisce lo stato di terminazione del processo.
Esempio di utilizzo
# Example of using the killProcessByMD5 function
result = killProcessByMD5(processMD5=["MD5Value1", "MD5Value2"])
print(result)
6.5 quarantineProcessByMD5 Funzione
Description
Questa funzione mette in quarantena un processo sulla macchina host in base all'hash MD5 fornito.
Scheda Sintetica
- processoMD5 (
string[]): L'hash MD5 associato al processo dell'incidente.
Resi
- stato (
pair): Fornisce lo stato della quarantena del processo.
Esempio di utilizzo
# Example of using the quarantineProcessByMD5 function
result = quarantineProcessByMD5(processMD5=["MD5Value1", "MD5Value2"])
print(result)
6.6 quarantineProcessByMD5 Funzione
Description
Questa funzione mette in quarantena un file sul computer host in base al percorso file fornito.
Scheda Sintetica
- filePath (stringa[]): Percorso del file associato al file dell'incidente.
Resi
- stato (coppia): Fornisce lo stato della quarantena del file.
Esempio di utilizzo
# Example of using the quarantineFileByFilePath function
result = quarantineFileByFilePath(filePath=["Path1", "Path2"])
print(result)
6.7 deleteRegistryKey Funzione
Description
Questa funzione elimina una chiave di registro sul computer host.
Scheda Sintetica
- regKey (stringa[]): La chiave di registro dell'incidente.
Resi
- stato (coppia): Fornisce lo stato dell'eliminazione della chiave di registro.
Esempio di utilizzo
# Example of using the deleteRegistryKey function
result = deleteRegistryKey(regKey=["RegistryKey1", "RegistryKey2"])
print(result)
7. Risposta O365
7.1 temporaryDeleteEmail Funzione
Description
Questa funzione elimina temporaneamente una conversazione e-mail.
Scheda Sintetica
- ID utente (
string): ID e-mail associato all'utente. - ID conversazione (
string): ID della conversazione da eliminare per l'ID e-mail specificato.
Resi
- stato (
pair): Fornisce lo stato di eliminazione della conversazione, insieme al conteggio delle email rimanenti.
Esempio di utilizzo
# Example of using the temporaryDeleteEmail function
result = temporaryDeleteEmail(userId="user@example.com", conversationId="123456789")
print(result)
7.2 recoverDeletedEmail Funzione
Description
Questa funzione recupera una conversazione e-mail temporaneamente eliminata.
Scheda Sintetica
- userId (stringa): ID e-mail associato all'utente.
- conversationId (stringa): ID della conversazione da recuperare per l'ID e-mail specificato.
Resi
- stato (coppia): Fornisce lo stato del recupero della conversazione, insieme al conteggio aggiornato delle email.
Esempio di utilizzo
# Example of using the recoverDeletedEmail function
result = recoverDeletedEmail(userId="user@example.com", conversationId="123456789")
print(result)
7.3 permanentlyDeleteEmail Funzione
Description
Questa funzione elimina definitivamente una conversazione e-mail.
Scheda Sintetica
- userId (stringa): ID e-mail associato all'utente.
- conversationId (stringa): ID della conversazione da eliminare definitivamente per l'ID e-mail specificato.
Resi
- stato (coppia): Fornisce lo stato di eliminazione definitiva della conversazione, insieme al conteggio aggiornato delle email.
Esempio di utilizzo
# Example of using the permanentlyDeleteEmail function
result = permanentlyDeleteEmail(userId="user@example.com", conversationId="123456789")
print(result)
8. Risposta O365 PS
8.1 addTenantSenderEmailBlockItem Funzione
Description
Questa funzione aggiunge un elenco di ID e-mail del mittente agli elenchi di utenti autorizzati/bloccati del tenant.
Scheda Sintetica
- IDemail (
string[]): Elenco degli ID e-mail da bloccare.
Resi
- stato (
pair): Fornisce lo stato dell'operazione di blocco degli ID e-mail.
Esempio di utilizzo
# Example of using the addTenantSenderEmailBlockItem function
result = addTenantSenderEmailBlockItem(emailId=["sender1@example.com", "sender2@example.com"])
print(result)
9. Google Workspace Risposta
9.1 temporaryDeleteEmail Funzione
Descrizione:
Questa funzione elimina temporaneamente un messaggio di posta elettronica.
Scheda Sintetica
- ID utente (
string): ID e-mail associato all'utente. - IDMessaggioInternet (
string): ID del messaggio da eliminare per l'ID e-mail specificato.
Resi:
- stato (
pair): Fornisce lo stato dell'eliminazione dell'ID del messaggio.
Esempio di utilizzo
# Example of using the temporaryDeleteEmail function
result = temporaryDeleteEmail(userId="user@example.com", internetMessageId="123456789")
print(result)
9.2 permanentlyDeleteEmail Funzione
Description
Questa funzione elimina definitivamente un messaggio di posta elettronica.
Scheda Sintetica
- ID utente (
string): ID e-mail associato all'utente. - IDMessaggioInternet (
string): ID del messaggio da eliminare definitivamente per l'ID e-mail specificato.
Resi
- stato (
pair): Fornisce lo stato di eliminazione permanente dell'ID del messaggio.
Utilizzo di esempio:
# Example of using the permanentlyDeleteEmail function
result = permanentlyDeleteEmail(userId="user@example.com", internetMessageId="123456789")
print(result)
9.3 recoverDeletedEmail Funzione
Description
Questa funzione recupera un messaggio di posta elettronica temporaneamente eliminato.
Scheda Sintetica
- ID utente (
string): ID e-mail associato all'utente. - IDMessaggioInternet (
string): ID del messaggio da recuperare per l'ID e-mail specificato.
Resi
- stato (
pair): Fornisce lo stato del recupero dell'ID del messaggio.
Esempio di utilizzo
# Example of using the recoverTemporaryDeletedEmail function
result = recoverTemporaryDeletedEmail(userId="user@example.com", internetMessageId="123456789")
print(result)
10. Risposta al checkpoint
10.1 blockIp Funzione
Description
Questa funzione blocca un indirizzo IP sospetto.
Scheda Sintetica
- indirizzo IP (
string[]): L'indirizzo IP da bloccare.
Resi
- stato (
pair): Fornisce lo stato dell'operazione di blocco dell'indirizzo IP.
Esempio di utilizzo
# Example of using the blockIp function
result = blockIp(ip=["192.168.1.1", "10.0.0.2"])
print(result)
10.2 blockIp Funzione
Description
Questa funzione blocca un URL sospetto.
Scheda Sintetica
- l'url (
string[]): L'URL da bloccare.
Resi
- stato (
pair): Fornisce lo stato dell'operazione di blocco URL.
Esempio di utilizzo
# Example of using the blockUrl function
result = blockUrl(url=["http://suspicious1.com", "https://suspicious2.com"])
print(result)
10.3 blockIp Funzione
Description
Questa funzione blocca un file con un hash MD5 sospetto.
Scheda Sintetica
- MD5 (
string[]): Hash MD5 del file da bloccare.
Resi
- stato (
pair): Fornisce lo stato dell'operazione del blocco MD5.
Esempio di utilizzo
# Example of using the blockMd5 function
result = blockMd5(MD5=["MD5Value1", "MD5Value2"])
print(result)
11. Risposta di FortiGate
11.1 blockIp Funzione
Description
Questa funzione blocca un indirizzo IP sospetto.
Scheda Sintetica
- indirizzo IP (
string[]): L'indirizzo IP da bloccare.
Resi
- stato (
pair): Fornisce lo stato dell'operazione di blocco dell'indirizzo IP.
Utilizzo di esempio:
# Example of using the blockIPs function
result = blockIPs(ip=["192.168.1.1", "10.0.0.2"])
print(result)
11.2 blockURLs Funzione
Description
Questa funzione blocca un URL sospetto.
Scheda Sintetica
- l'url (
string[]): L'URL da bloccare.
Resi
- stato (
pair): Fornisce lo stato dell'operazione di blocco URL.
Esempio di utilizzo
# Example of using the blockURLs function
result = blockURLs(url=["http://suspicious1.com", "https://suspicious2.com"])
print(result)
11.3 blockHashes Funzione
Description
Questa funzione blocca un file con un hash MD5 sospetto.
Scheda Sintetica
- MD5 (stringa[]): Hash MD5 del file da bloccare.
Resi
- stato (coppia): Fornisce lo stato dell'operazione del blocco MD5.
Esempio di utilizzo
# Example of using the blockHashes function
result = blockHashes(MD5=["MD5Value1", "MD5Value2"])
print(result)
11.4 unblockIPs Funzione
Description
Questa funzione sblocca un indirizzo IP sospetto precedentemente bloccato.
Scheda Sintetica
- ip (stringa[]): L'indirizzo IP da sbloccare.
Resi
- stato (coppia): Fornisce lo stato dell'operazione di sblocco dell'indirizzo IP.
Esempio di utilizzo
# Example of using the unblockIPs function
result = unblockIPs(ip=["192.168.1.1", "10.0.0.2"])
print(result)
11.5 unblockURLs Funzione
Description
Questa funzione sblocca un URL sospetto precedentemente bloccato.
Scheda Sintetica
- l'url (
string[]): L'URL da sbloccare.
Resi
- stato (
pair): Fornisce lo stato dell'operazione di sblocco dell'URL.
Esempio di utilizzo
# Example of using the unblockURLs function
result = unblockURLs(url=["http://suspicious1.com", "https://suspicious2.com"])
print(result)
11.6 unblockHashes Funzione
Description
Questa funzione sblocca un file precedentemente bloccato con un hash MD5 sospetto.
Scheda Sintetica
- MD5 (
string[]): Hash MD5 del file da sbloccare.
Resi
- stato (
pair): Fornisce lo stato dell'operazione di sblocco MD5.
Esempio di utilizzo
# Example of using the unblockHashes function
result = unblockHashes(MD5=["MD5Value1", "MD5Value2"])
print(result)
12. Risposta di AWS Guardduty
12.1 stopEc2Instance Funzione
Description
Questa funzione blocca le istanze EC2 sospette.
Scheda Sintetica
- ec2Istanza (
string[]): Gli ID delle istanze EC2 sospette da interrompere.
Resi
- stato (
pair): Fornisce lo stato dell'operazione di arresto dell'istanza EC2.
Esempio di utilizzo
# Example of using the stopEc2Instance function
result = stopEc2Instance(ec2Instance=["i-1234567890abcdef0", "i-0987654321fedcba0"])
print(result)
12.2 restartEc2Instance Funzione
Description
Questa funzione riavvia le istanze EC2 sospette.
Scheda Sintetica
- ec2Instance (stringa[]): Gli ID delle istanze EC2 sospette da riavviare.
Resi
- stato (coppia): Fornisce lo stato dell'operazione di riavvio dell'istanza EC2.
Esempio di utilizzo
# Example of using the restartEc2Instance function
result = restartEc2Instance(ec2Instance=["i-1234567890abcdef0", "i-0987654321fedcba0"])
print(result)
12.3 stopEksCluster Funzione
Description
Questa funzione arresta i cluster Amazon Elastic Kubernetes Service (EKS) sospetti.
Scheda Sintetica
- eksCluster (
string[]): Gli ID dei cluster EKS sospetti da fermare.
Resi
- stato (
pair): Fornisce lo stato dell'operazione di arresto del cluster EKS.
Esempio di utilizzo
# Example of using the stopEksCluster function
result = stopEksCluster(eksCluster=["eks-cluster-1", "eks-cluster-2"])
print(result)
12.4 restartEksCluster Funzione
Description
Questa funzione riavvia i cluster Amazon Elastic Kubernetes Service (EKS) sospetti.
Scheda Sintetica
- eksCluster (
string[]): Gli ID dei cluster EKS sospetti da riavviare.
Resi
- stato (
pair): Fornisce lo stato dell'operazione di riavvio del cluster EKS.
Esempio di utilizzo
# Example of using the restartEksCluster function
result = restartEksCluster(eksCluster=["eks-cluster-1", "eks-cluster-2"])
print(result)