Gebruikersfasen

Maak gebruikersfasen om fasen aan te passen en op te slaan voor gebruik bij het maken van bots. Zodra ze zijn gemaakt, zijn de fasen beschikbaar voor hergebruik in de Neurons Bots editor, onder Fasen > Gebruiker .

Een gebruikersfase maken

  1. Selecteer Bot maken in Neurons Bots.
  2. Selecteer op de pagina Bot maken, de optie Maken voor Planning of Aangepaste actie.
  3. Selecteer Gebruikersfasen beheren op de pagina Nieuwe Bots editor om de pagina Beheer gebruikersfase weer te geven.
  4. Selecteer Maken op de pagina Gebruikersfasebeheer en kies de fase uit het volgende:
    • PowerShell-query
    • PowerShell-actie
    • Bash-actie
    • Opdracht Actie
    • OSQuery
  5. Voer op de pagina Editor gebruikersfase de naam Fasenaam in. Bijvoorbeeld Bestand/map comprimeren.
  6. Vul optioneel een beschrijving in. De beschrijvende tekst wordt weergegeven in de bot-editor en Fase-informatie wordt geselecteerd in het paneel Fase-instellingen. Deze fase comprimeert bijvoorbeeld bronbestanden van een opgegeven pad naar een bestemmingspad tot het opgegeven compressieniveau.
  7. Voer de scriptcode in.
    Voorbeeld:
    Comprimeren-Archiveren-pad C:\\logs\\file.txt 
    -destinationpath C:\logs\file.zip 
    -compressionlevel Optimal

U kunt dit script flexibeler maken door een deel van de hardwarecode te vervangen door variabelen. Hierdoor kunnen elementen worden aangepast wanneer bij gebruik van de fase.
Voorbeeld:
Comprimeren-Archiveren -padpath __Pad naar bronbestand of -map__
-destinationpath __Destination Path__
-compressionlevel __Compression level|options:Fastest,Optimal,No Compression_

Selecteer Ctrl + spatie om een Optievariabele of een Waardevariabelein te voegen:

  • Een Optievariabele wordt weergegeven in de instellingen als een vervolgkeuzelijst, de beschikbare opties zijn deze die u invoert in het script. In dit voorbeeld: opties voor compressieniveau Snelst, Optimaal, Geen compressie.
  • Een Waardevariabele wordt weergegeven in de instellingen als een tekstvak, met het label dat u invoert in het script. In dit voorbeeld: Patch naar bronbestand of -map, Doelpaden Compressieniveau.

Voor dit voorbeeld zouden de Fase-instellingen er als volgt uitzien:

aangepaste fase-instellingen

  1. Voltooi de Fase-instellingen. De beschikbare instellingen zijn afhankelijk van het type gebruikersfase dat u aanmaakt:

    2. Uitvoeren als:

    • Systeem
    • Aangemelde gebruiker

    Type:

    • PowerShell
    • Kern
    • Auto

    Uitvoer: voeg een uitvoer toe voor elke kolomnaam die wordt geretourneerd door de PowerShell-query die u wilt gebruiken in een downstream filterresultatenfase of als een variabele in een andere fase.

    Enkelvoudig resultaat: in-/uitschakelen. Gebruik enkele/meerdere resultaten om te definiëren of de query enkele of meerdere resultaten per apparaat zal retourneren. Dit bepaalt of variabelen direct beschikbaar zijn als tokeninvoer in stroomafwaartse fasen (enkelvoudig) of dat ze alleen beschikbaar zijn voor fasen in een resultatenblok (meerdere) Voor elk om die fasen voor elk resultaat te herhalen.

    PowerShell Query-voorbeeld:

    Gebruik PowerShell om een query uit te voeren op uw omgeving wanneer de gewenste aangepaste gedragingen niet bereikbaar zijn via standaard botfasen.

    Om de query met succes uit te voeren, moet u zorgen dat:

    • De scriptuitvoer is JSON (u kunt de commandlet ConvertTo-JSON gebruiken).
    • U kunt elk gegevensveld een naam geven als een uitvoergegeven in de Fase-instellingen.

    De time-out voor het script is standaard 25 minuten.

    PowerShell-types:

    • Als u het type PowerShell selecteert als Kern, wordt het PowerShell-script uitgevoerd op de PowerShell Core moet .Net Core 3.1 Desktop Runtime, versie 24.64.28315 of hoger worden geïnstalleerd op de machine waarop u werkt.
    • Als u PowerShell-type selecteert als Auto, zoekt de query naar Net Core 3.1 Desktop Runtime, versie 24.64.28315 of hoger. Het volgende zijn resultaten:
      • Wanneer de runtime is geïnstalleerd, wordt het script uitgevoerd met PowerShell Core.
      • Wanneer de runtime niet is geïnstalleerd, wordt het script uitgevoerd met PowerShell.

    Uitvoertypes:

    Schakel dit in als u wilt dat de resultaten verschijnen in meervouden en schakel dit uit als u de resultaten in enkelvouden wilt weergeven.

    • Enkelvoudig - Als het uitvoertype is opgegeven als enkelvoudig, kan één object worden geretourneerd in JSON-indeling.

      • $name = [System.Net.Dns]::GetHostName()

      ConvertTo-Json @([customobject]@{Name = $name;})

    • Meervoudig - Als het uitvoertype is opgegeven als meervoudig, moet u de gegevens retourneren als een reeks objecten in JSON-indeling.

      [{“Example Field”: “A”}, {“Example Field”: “B”}]

      De objecten binnen de reeks bevaten de primitieve types. In het veld Uitvoer van het Fase-infovenster, moet u het veld Voorbeeld verbinden en de Naam invoeren.

      $processes = Get-Process | Select-Object Name
      ConvertTo-Json $processes

    Uitvoeren als:

    • Systeem
    • Aangemelde gebruiker

    Type:

    • PowerShell
    • Kern
    • Auto

    Voorbeeld van PowerShell-actie:

    PowerShell-actie lijkt op de PowerShell-query, behalve dat er geen uitgangen zijn in de PowerShell-actie. Zie Voorbeeld PowerShell-query example voor meer informatie.

    Uitvoeren als:

    • Systeem
    • Aangemelde gebruiker

    Voorbeeld bash-actie:

    Om de grootte te verminderen door de eerste 100 gegevens te verwijderen met de volgende opdracht:

    sed 1,100d uw-bestandsnaam

    Uitvoeren als:

    • Systeem
    • Aangemelde gebruiker

    Voorbeeld opdracht actie

    • Beschadigd(e) bestand(en) scannen en repareren:

    sfc /scannow

    • De status van de fysieke schijf controleren en oplossen:

    chkdsk /offlinescanandfix

    Enkelvoudig resultaat: in-/uitschakelen. Gebruik enkele/meerdere resultaten om te definiëren of de query enkele of meerdere resultaten per apparaat zal retourneren. Dit bepaalt of variabelen direct beschikbaar zijn als tokeninvoer in stroomafwaartse fasen (enkelvoudig) of dat ze alleen beschikbaar zijn voor fasen in een resultatenblok (meerdere) Voor-elk om die fasen voor elk resultaat te herhalen.

    Kolomtoewijzing toevoegen: voeg een kolomtoewijzing toe voor elke kolomnaam die wordt geretourneerd door de osquery die u wilt gebruiken in een downstream-filterresultatenfase of als een variabele in een andere fase.

    Voorbeeld OSQuery:

    Om de vaakst gestarte toepassingen per apparaat te detecteren, moet u het script uitvoeren:

    select path,last_execution_time,count,
    sid van userassist order volgens aantal beschr
    limit __Number of Apps to return|options:1,5,10__

  1. Selecteer Toepassen en sluiten om de gebruikersfase op te slaan.
    Als u wijzigingen hebt aangebracht aan een bestaande gebruikersfase, wordt er een nieuwe versie gemaakt. Bij het opslaan wordt een dialoogvenster weergegeven om te waarschuwen dat alle bots die de gebruikersfase gebruiken, moeten worden bijgewerkt om de nieuwste versie te gebruiken.

Acties

U kunt de volgende acties uitvoeren op elk van de gebruikersfasen:

  • Klonen: selecteer een gebruikersfase, selecteer Acties > Klonen. Het dialoogvenster Fase klonen wordt weergegeven. Voer een unieke naam in en selecteer Klonen. Er wordt een pop-upbericht weergegeven om u te informeren dat het maken van de fase is gelukt. De gekloonde fase verschijnt in de lijst zodat u deze kunt selecteren en bewerken.
  • Verwijderen: selecteer een of meer gebruikersfasen, selecteer Acties > Verwijderen. Het dialoogvenster Fasen verwijderen wordt weergegeven. Selecteer Verwijderen om het verwijderen van de fase te bevestigen. Deze actie kan niet ongedaan worden gemaakt en zal de fase van elke bot die deze gebruikt, afschaffen. Verouderde fasen worden aangegeven met een rode rand.

Verwante onderwerpen

Neurons Bots fasen