CELの例🔗

注意

Taegis XDRでは、Alerts および Investigations という用語が、最近検出および ケース に変更されました。SophosとTaegisテクノロジーのプラットフォーム統合作業が進行中のため、引き続き旧用語が参照されている場合があります。詳細については、Taegis用語の更新をご覧ください。

以下は、Secureworks® Taegis™ XDRコネクターテンプレートで使用できるCommon Expression Languageの例です。

アラートからユーザー名にアクセスする🔗

${alertUsernames(inputs)}

アラートからホスト名にアクセスする🔗

${alertHostnames(inputs)}

アラートから`source_ip`アドレスにアクセスする🔗

${alertSourceIPs(inputs)}

アラートから`destination_ip`アドレスにアクセスする🔗

${alertDestinationIPs(inputs)}

アラートのタイムスタンプを人が読める形式で返す🔗

 ${string(alertCreatedAtSeconds(inputs)).toTimestamp()}

アラートに特定の`related_entity`値が含まれている場合に`true`を返す🔗

この例は、アラートに指定したsensorId値が含まれている場合にtrueを返します。

${'sensorId:1234redacted5678' in alertEntities(inputs)}

デフォルトのエラーメッセージを作成する🔗

${!has(status.code) || status.code != 201 ? (has(body.errorMessages) ? body.errorMessages[0] : 'Unknown error returned by Vendor API') : ''}

アラートの`source_event`からTargetUserNameにアクセスする🔗

この例は、アラートのsource_eventからTargetUserNameにアクセスします。

${alertEntities(inputs).filter(e, e.startsWith('targetUserName'))}

テナントに割り当てられたインベスティゲーションを一致させる🔗

investigationAssigneeId(inputs) == '@customer'

アラートのプロパティを否定する🔗

否定する部分は必ず括弧()で囲む必要があります。タイトルを小文字にするには.lowerAscii()を使用してください。

!(alertTitle(inputs).lowerAscii().contains('this is a test'))

インベスティゲーションの優先度を文字列にマッピングする🔗

${investigationPriority(inputs)}