Etapas de usuario

Cree etapas de usuario para personalizar y guardar etapas para usarlas en la creación de bots. Una vez creadas, las fases están disponibles para su reutilización en el Editor de Neurons Bots, en Fases > Usuario .

Para crear una etapa de usuario

  1. En Neurons Bots, seleccione Crear Bot.
  2. En la página Crear bot, seleccione Crear para Programar o Acción personalizada.
  3. En la página Nuevo editor de bots, seleccione Gestionar etapas de usuario para mostrar la página Gestor de etapas de usuario.
  4. En la página Gestor de la etapa del usuario seleccione Crear y la etapa de entre las siguientes:
    • Consulta de PowerShell
    • Acción de Powershell
    • Acción de Bash
    • Acción de comando
    • OSQuery
  5. En la página Editor de la etapa del usuario, introduzca el nombre etapa. Por ejemplo, Comprimir archivo/carpeta.
  6. Alternativamente, introduzca una descripción. El texto descriptivo se muestra cuando en el editor de bots se selecciona Información de etapa en el panel Ajustes de etapa . Por ejemplo, eEsta etapa comprime archivos de origen desde una ruta específica a una ruta de destino al nivel de compresión especificado.
  7. Introduzca el código de la secuencia de comandos.
    Ejemplo:
    Compress-Archive -ruta C:\logs\file.txt 
    -destinationpath C:\\logs\\file.zip 
    -nivel de compresión Óptimo

Puede hacer que este script sea más flexible reemplazando parte del código duro con variables. Esto permitiría personalizar los elementos al usar la fase.
Ejemplo:
Compress-Archive -path __Ruta al archivo o carpeta de origen__
-destinationpath__ Ruta de destino__
-compressionlevel __Nivel de compresión|opciones: Más rápido, Óptimo, Sin compresión

Seleccione Ctrl + Espacio para introducir una Variable de opciones o una Variable de valor:

  • Se muestra una Variable de opciones en la configuración como un menú desplegable de selección, las opciones disponibles serán las que introduzca en el script. En este ejemplo: Opciones de nivel de compresión Más rápido, Óptimo, Sin compresión.
  • Una variable de valor se muestra en la configuración como un cuadro de texto, con la etiqueta que introduzca en el script. En este ejemplo: Parche al archivo o carpeta de origen, Ruta de destinoy Nivel de compresión.

Para este ejemplo, el sitio Ajustes de la etapa tendría el aspecto siguiente:

configuraciones de etapa personalizadas

  1. Rellene el formulario Ajustes de etapa, los ajustes disponibles dependen del tipo de etapa de usuario que esté creando:

    2. Ejecutar como:

    • Sistema
    • Usuario registrado

    Tipo:

    • PowerShell
    • Núcleo
    • Auto

    Salida: agregue una salida para cada nombre de columna devuelto por la consulta de PowerShell que desee usar en una fase de resultados de filtro descendente o como una variable en otra fase.

    Resultado singular: activar/desactivar. Utilice resultados únicos/múltiples para definir si la consulta devolverá resultados únicos o múltiples por dispositivo. Esto determina si las variables están disponibles como entradas de token en las fases posteriores directamente (simple) o si solo están disponibles para las fases en un bloque de resultados para cada (múltiple) para recorrer esas fases para cada resultado.

    Ejemplo de consulta de PowerShell:

    Utilice PowerShell para consultar su entorno cuando los comportamientos personalizados deseados no puedan conseguirse mediante las etapas estándar de los bots.

    Para ejecutar la consulta correctamente, asegúrese de que:

    • La salida del script es JSON (puede utilizar el commandlet ConvertTo-JSON).
    • Puede nombrar cada campo de datos como una entrada de salida en la configuración de la etapa.

    Por defecto, el tiempo de espera del script es de 25 minutos.

    Tipos de PowerShell:

    • Si selecciona tipo PowerShell como Core, el script de PowerShell se ejecuta en el PowerShell Core .Net Core 3.1 Desktop Runtime, versión 24.64.28315 o superior debe estar instalado en el equipo en la que se está ejecutando.
    • Si selecciona PowerShell tipo como Auto, la consulta busca Net Core 3.1 Desktop Runtime, versión 24.64.28315 o superior. Los resultados son los siguientes:
      • Una vez instalado el tiempo de ejecución, el script se ejecutará en PowerShell Core.
      • Cuando el tiempo de ejecución no esté instalado, el script se ejecutará en PowerShell.

    Tipos de salida:

    Active esta opción si desea que los resultados aparezcan en múltiplos y desactívela si desea que aparezcan en unidades.

    • Single: si el tipo de salida se especifica como single, se puede devolver un objeto en formato JSON.

      • $name = [System.Net.Dns]::GetHostName()

      ConvertTo-Json @([customobject]@{Nombre = $nombre;})

    • Múltiple: si el tipo de salida se especifica como múltiple, debe devolver los datos como una matriz de objetos en formato JSON.

      [{“Example Field”: “A”}, {“Example Field”: “B”}]

      Los objetos dentro de la matriz contienen los tipos primitivos. En el campo Salida del inspector de etapas, debe enlazar el campo Ejemplo e introducir Nombre.

      $processes = Get-Process | Select-Object Name
      ConvertTo-Json $procesos

    Ejecutar como:

    • Sistema
    • Usuario registrado

    Tipo:

    • PowerShell
    • Núcleo
    • Auto

    Ejemplo de acción de PowerShell:

    PowerShell Action es similar a PowerShell Query, excepto que no hay salidas en PowerShell Action. Para obtener más información, consulte Ejemplo de consulta PowerShell.

    Ejecutar como:

    • Sistema
    • Usuario registrado

    Ejemplo de acción de Bash:

    Para reducir el tamaño eliminando las 100 primeras entradas, utilice el siguiente comando:

    sed 1,100d your-filename

    Ejecutar como:

    • Sistema
    • Usuario registrado

    Ejemplo de acción de comando:

    • Para analizar y reparar archivos dañados:

    sfc /scannow

    • Para comprobar y arreglar el estado del disco físico:

    chkdsk /offlinescanandfix

    Resultado singular: activar/desactivar. Utilice resultados únicos/múltiples para definir si la consulta devolverá resultados únicos o múltiples por dispositivo. Esto determina si las variables están disponibles como entradas de token en las fases posteriores directamente (simple) o si solo están disponibles para las fases en un bloque de resultados para cada (múltiple) para recorrer esas fases para cada resultado.

    Agregar asignación de columnas: agregue una asignación de columnas para cada nombre de columna devuelto por el osquery que desea usar en una etapa de resultados de filtro descendente o como una variable en otra etapa.

    Ejemplo de OSQuery:

    Para detectar las aplicaciones iniciadas con más frecuencia por dispositivo, ejecute el script.

    seleccione ruta,hora_última_ejecución,número,
    orden de sid de userassist descendente
    limit __Número de aplicaciones a devolver|opciones:1,5,10__

  1. Seleccione Aplicar y Cerrar para guardar la fase de usuario.
    Si ha realizado ediciones en una fase de usuario existente, se crea una nueva versión. Al guardar, aparece un cuadro de diálogo para advertir que cualquier bot que use la fase de usuario deberá actualizarse para usar la última versión.

Acciones

Puede realizar las siguientes acciones en cualquiera de las fases del usuario:

  • Clonar: seleccione una etapa de usuario, seleccione Acciones > Clonar. Aparece el cuadro de diálogo Clonar etapa. Introduzcaun nombre único y seleccione Clonar. Aparece un mensaje emergente para informarle que la creación de la etapa se completó correctamente. La fase clonada aparece en la lista para que la seleccione y la edite.
  • Borrar: seleccione una o más etapas de usuario, seleccione Acciones > Borrar. Aparece el cuadro de diálogo Borrar etapas. Seleccione Eliminar para confirmar la eliminación de la fase. Esta acción no se puede deshacer y dejará obsoleta la etapa de cualquier bot que la use. Las etapas obsoletas se indican con un borde rojo.

Temas relacionados

Fases de Neurons Bots