Fasi utente

Creare fasi utente per personalizzare e salvare fasi da utilizzare nella creazione di bot. Una volta create, le fasi sono disponibili per il riutilizzo nell'editor Editor Neurons Bots, sotto Fasi > Utente .

Per creare una fase utente

  1. In Neurons Bots, selezionare Crea bot.
  2. Nella pagina Crea bot, selezionare Crea per Pianifica o Azione personalizzata.
  3. Nella pagina Editor nuovi bot, selezionare Gestisci fasi utente per visualizzare la pagina Gestione fasi utente.
  4. Nella pagina Gestione fase utente selezionare Crea e la fase tra i seguenti:
    • Query PowerShell
    • Azione PowerShell
    • Azione bash
    • Azione di comando
    • OSQuery
  5. Nella pagina Editor fase utente, inserire Nome fase. Ad esempio, Comprimi file/cartella.
  6. Facoltativamente, inserire una descrizione. Il testo descrittivo viene visualizzato quando nell'editor del bot le informazioni sulla fase sono selezionate dal pannello Impostazioni fase. Ad esempio, Questa fase comprime i file di origine da un percorso specificato a un percorso di destinazione al livello di compressione specificato.
  7. Inserire il codice dello script.
    Esempio:
    Compress-Archive -path C:\logs\file.txt
    -destinationpath C:\logs\file.zip
    -compressionlevel Optimal

È possibile rendere questo script più flessibile sostituendo parte del codice rigido con variabili. Ciò consentirebbe di personalizzare gli elementi durante l'utilizzo della fase.
Esempio:
Compress-Archive -path __Percorso del file o della cartella di origine__
-destinationpath __Percorso di destinazione__
-compressionlevel __Compression level|options:Fastest,Optimal,No Compression_

Selezionare Ctrl + Spazio per inserire una Variabile Opzioni o una Variabile Valore:

  • Una Variabile opzioni viene visualizzata nelle impostazioni come un menu a discesa di selezione, le opzioni disponibili saranno quelle inserite nello script. In questo esempio: Opzioni del livello di compressione Più veloce, Ottimale, Nessuna compressione.
  • Una Variabile valore viene visualizzata nelle impostazioni come casella di testo, con l'etichetta inserita nello script. In questo esempio: Patch al file o alla cartella di origine, Percorso di destinazione e Livello di compressione.

Per questo esempio, le Impostazioni fase sarebbero simili a queste:

impostazioni fase personalizzate

  1. Completare le Impostazioni fase, le impostazioni disponibili dipendono dal tipo di fase utente che si sta creando:

    2. Esegui come:

    • Sistema
    • Utente registrato

    Tipo:

    • PowerShell
    • Core
    • Auto

    Output: aggiungere un output per ogni nome di colonna restituito dalla query di PowerShell che si desidera usare in una fase Filtra risultati a valle o come variabile in un'altra fase.

    Risultato singolare: Attiva/disattiva. Utilizzare risultati singoli/multipli per definire se la query restituirà risultati singoli o multipli per dispositivo. Questo determina se le variabili sono disponibili come input di token direttamente nelle fasi a valle (singole) o se sono disponibili solo per le fasi in un blocco di risultati for-each (multiplo) per eseguire il ciclo di tali fasi per ciascun risultato.

    Esempio di query PowerShell:

    Usa PowerShell per interrogare l'ambiente quando i comportamenti personalizzati desiderati non sono ottenibili con le fasi standard del bot.

    Per eseguire la query con successo, assicurarsi che:

    • L'output dello script sia JSON (è possibile usare il commandlet ConvertTo-JSON).
    • È possibile nominare ogni campo dati come voce di output nelle Impostazioni fase.

    Per impostazione predefinita, il timeout dello script è di 25 minuti.

    Tipi PowerShell:

    • Se si seleziona il tipo PowerShell come Core, lo script PowerShell viene eseguito su PowerShell Core .Net Core 3.1 Desktop Runtime, versione 24.64.28315 o superiore e deve essere installato sul computer su cui si sta eseguendo.
    • Se si seleziona il tipo PowerShell come Auto, la query cerca Net Core 3.1 Desktop Runtime, versione 24.64.28315 o superiore. Gli esiti sono i seguenti:
      • Quando il runtime è installato, lo script viene eseguito su PowerShell Core.
      • Quando il runtime non è installato, lo script viene eseguito su PowerShell.

    Tipi di output:

    Attivare se si desidera che i risultati vengano visualizzati in multipli e disattivare se si desidera che i risultati vengano visualizzati in singoli.

    • Singolo - Se il tipo di output è specificato come singolo, può essere restituito un oggetto in formato JSON.

      • $name = [System.Net.Dns]::GetHostName()

      ConvertTo-Json @([customobject]@{Name = $name;})

    • Multiplo - Se il tipo di output è specificato come multiplo, è necessario restituire i dati come array di oggetti in formato JSON.

      [{“Example Field”: “A”}, {“Example Field”: “B”}]

      Gli oggetti all'interno dell'array contengono i tipi primitivi. Nel campo Output dello Stage inspector, è necessario vincolare il campo Esempio e inserire Nome.

      $processes = Get-Process | Select-Object Name
      ConvertTo-Json $processes

    Esegui come:

    • Sistema
    • Utente registrato

    Tipo:

    • PowerShell
    • Core
    • Auto

    Esempio di azione PowerShell:

    L'Azione PowerShell è simile alla query PowerShell , tranne per il fatto che non ci sono output nell'azione PowerShell. Per saperne di più vedere Esempio di query PowerShell.

    Esegui come:

    • Sistema
    • Utente registrato

    Esempio di azione bash:

    Per ridurre le dimensioni eliminando le prime 100 voci, utilizzare il seguente comando:

    sed 1,100d your-filename

    Esegui come:

    • Sistema
    • Utente registrato

    Esempio di azione di comando:

    • Per scansionare e riparare i file danneggiati:

    sfc /scannow

    • Per controllare e correggere lo stato del disco fisico:

    chkdsk /offlinescanandfix

    Risultato singolare: Attiva/disattiva. Utilizzare risultati singoli/multipli per definire se la query restituirà risultati singoli o multipli per dispositivo. Questo determina se le variabili sono disponibili come input di token direttamente nelle fasi a valle (singole) o se sono disponibili solo per le fasi in un blocco di risultati for-each (multiplo) per eseguire il ciclo di tali fasi per ciascun risultato.

    Aggiungi mapping colonne: aggiunge un mapping colonne per ogni nome di colonna restituito dall'osquery che si desidera utilizzare in una fase Filtra risultati a valle o come variabile in un'altra fase.

    Esempio OSQuery:

    Per individuare le applicazioni lanciate più di frequente per dispositivo eseguire lo script:

    select path,last_execution_time,count,
    sid da ordine userassist per conteggio desc
    limit __Number of Apps to return|options:1,5,10__

  1. Selezionare Applica e chiudi per salvare la fase utente.
    Se si sono apportate modifiche a una fase utente esistente, viene creata una nuova versione. Al momento del salvataggio, viene visualizzata una finestra di dialogo per avvisare che tutti i bot che utilizzano la fase utente dovranno essere aggiornati per utilizzare la versione più recente.

Azioni

È possibile eseguire le seguenti azioni in qualsiasi fase utente:

  • Clona: selezionare una fase utente, selezionare Azioni > Clona. Viene visualizzata la finestra di dialogo Clona fase. Immettere un nome univoco e selezionare Clona. Viene visualizzato un messaggio pop-up per informare che la creazione della fase è andata a buon fine. La fase clonata viene visualizzata nell'elenco per essere selezionata e modificata.
  • Elimina: selezionare una o più fasi utente, selezionare Azioni > Elimina. Viene visualizzata la finestra di dialogo Elimina fasi. Selezionare Elimina per confermare l'eliminazione della fase. Questa azione non può essere annullata e deprecherà la fase da qualsiasi bot che la utilizza. Le fasi deprecate sono indicate da un bordo rosso.

Argomenti correlati

Fasi Neurons Bots