python - TheHive / Cortext - 在分析器脚本中添加 observable
问题描述
在 TheHive /Cortex 中,我解析了一个可观察的,具体来说是一个 .eml 文件。解析器提取其中的所有 ip 和域并将它们保存在变量中。现在我想将这些提取的 ips 和域保存在新的 observables 中,并将它们添加到活动案例中。(用于在它们上运行其他分析器......)
不幸的是,我不知道如何从分析器(.py)中保存可观察的数据,而且我在文档中找不到任何线索......欢迎任何帮助。
解决方案
您需要实现该artifacts方法以返回定义这些可观察对象的数组。您可以使用类中的build_artifact实用程序方法Analyzer。
看看:https ://github.com/TheHive-Project/Cortex-Analyzers/blob/master/analyzers/EmlParser/parse.py#L47