将 CrowdStrike Falcon 与 Google SecOps 集成
本文档介绍了如何将 CrowdStrike Falcon 与 Google Security Operations (Google SecOps) 集成。
集成版本:56.0
此集成使用一个或多个开源组件。 您可以从 Cloud Storage 存储桶下载此集成的完整源代码副本。
使用场景
在 Google SecOps 平台中,CrowdStrike Falcon 集成可解决以下使用场景:
自动遏制恶意软件:利用 Google SecOps 平台的功能自动隔离受影响的端点,检索文件哈希以供进一步分析,并防止恶意软件传播。当钓鱼式电子邮件触发 CrowdStrike Falcon 针对可疑文件下载的提醒时,自动恶意软件隔离功能会启动。
加快突发事件响应速度:使用 Google SecOps 收集进程树和网络连接等情境数据,隔离受入侵的主机,并创建工单以供调查。
威胁搜寻和调查:利用 Google SecOps 平台的功能,在指定时间段内查询 CrowdStrike Falcon,以了解特定用户操作、文件修改和网络连接。借助威胁搜寻和调查功能,安全分析师可以调查潜在的内部威胁并分析历史端点活动,同时简化调查流程。
钓鱼式攻击响应和补救:使用 CrowdStrike Falcon 和 Google SecOps 平台扫描电子邮件附件,在沙盒环境中打开附件,并在检测到恶意活动时自动屏蔽发件人电子邮件地址。
漏洞管理:利用 Google SecOps 平台的功能,自动为每个存在漏洞的系统创建工单,根据严重程度和资产价值确定优先级,并触发自动修补工作流。借助漏洞管理,您可以识别多个端点上的严重漏洞。
准备工作
在 Google SecOps 中配置集成之前,请完成以下步骤:
配置 CrowdStrike Falcon API 客户端。
配置操作权限。
配置连接器权限。
配置 CrowdStrike Falcon API 客户端
如需定义 CrowdStrike API 客户端并查看、创建或修改 API 客户端或密钥,您需要拥有 FalconAdministrator 角色。
仅当您创建新的 API 客户端或重置 API 客户端时,系统才会显示密钥。
如需配置 CrowdStrike Falcon API 客户端,请完成以下步骤:
- 在 Falcon 界面中,依次前往支持和资源 > 资源和工具 > API 客户端和密钥。在此页面上,您可以查找现有客户端、添加新的 API 客户端或查看审核日志。
- 点击创建 API 客户端。
- 为新的 API 客户端提供名称。
- 选择合适的 API 范围。
点击创建。系统会显示客户端 ID 和客户端密钥值。
这是您唯一一次看到客户端密钥值。请务必妥善保管。如果客户端密钥丢失,请重置 API 客户端,并使用新凭据更新所有依赖于该客户端密钥的应用。
如需详细了解如何访问 CrowdStrike API,请参阅 CrowdStrike 博客上的获取 CrowdStrike API 访问权限指南。
配置操作权限
请参阅下表,了解操作所需的最低权限:
| 操作 | 所需权限 |
|---|---|
| 向检测结果添加评论 | Detections.ReadDetection.Write |
| 添加身份保护检测注释 | Alerts.ReadAlerts.Write |
| 添加突发事件注释 | Incidents.Write |
| 关闭检测 | Detections.ReadDetection.Write |
| 包含端点 | Hosts.ReadHosts.Write |
| 删除 IOC | IOC Management.ReadIOC Management.Write |
| 下载文件 | Hosts.ReadReal time response.ReadReal time response.Write |
| 执行命令 | Hosts.ReadReal time response.ReadReal time response.WriteReal time response (admin).Write* 用于完整权限命令。
|
| 获取活动偏移量 | Event streams.Read |
| 按 IOC 获取主机 | 不可用:已弃用 |
| 获取主机信息 | Hosts.Read |
| 按 IOC 获取进程名称 | 不可用:已弃用 |
| 升起包含的端点 | Hosts.ReadHosts.Write |
| 列出主机 | Hosts.Read |
| 列出主机漏洞 | Hosts.ReadSpotlight vulnerabilities.Read |
| 列出已上传的 IOC | IOC Management.Read |
| 按需扫描 | On-demand scans (ODS).ReadOn-demand scans (ODS).Write |
| Ping | Hosts.Read |
| 提交文件 | Reports (Falcon Intelligence).ReadSandbox (Falcon Intelligence).ReadSandbox (Falcon Intelligence).Write |
| 提交网址 | Reports (Falcon Intelligence).ReadSandbox (Falcon Intelligence).ReadSandbox (Falcon Intelligence).Write |
| 更新检测 | Detections.ReadDetection.WriteUser management.Read |
| 更新了身份保护检测 | Alerts.ReadAlerts.Write |
| 更新突发事件 | Incidents.Write |
| 更新了 IOC 信息 | IOC Management.ReadIOC Management.Write |
| 上传 IOC | IOC Management.ReadIOC Management.Write |
配置连接器权限
请参阅下表中列出的连接器的最低权限:
| 连接器 | 所需权限 |
|---|---|
| CrowdStrike 检测连接器 | Detection.Read |
| CrowdStrike Falcon Streaming Events 连接器 | Event streams.Read |
| CrowdStrike Identity Protection Detections 连接器 | Alerts.Read |
| CrowdStrike 突发事件连接器 | Incidents.Read |
端点
CrowdStrike Falcon 集成与以下 CrowdStrike Falcon API 端点进行交互:
常规 API 端点:
/oauth2/token
主机和设备:
/devices/entities/devices/v1/devices/entities/devices-actions/v2
检测和事件:
/detections/entities/detections/v2/detections/entities/summaries/GET/v1/protection/entities/detections/v1
失陷指标 (IOC):
/intel/entities/indicators/v1/intel/queries/devices/v1
漏洞:
/devices/combined/devices/vulnerabilities/v1
响应和遏制:
/respond/entities/command-queues/v1/respond/entities/extracted-files/v1
突发事件:
/incidents/entities/incidents/GET/v1/incidents/entities/incidents/comments/GET/v1/incidents/entities/incidents/GET/v1
文件和网址分析:
/malware-uploads/entities/submissions/v2/url/entities/scans/v1
集成参数
为了让集成服务正常运行,您需要使用功能全面的 CrowdStrike Falcon 高级版。某些操作无法在 CrowdStrike Falcon 的基本版本中使用。
CrowdStrike Falcon 集成需要以下参数:
| 参数 | |
|---|---|
API Root |
CrowdStrike 实例的 API 根。 默认值为 |
Client API ID |
必需 CrowdStrike API 的客户端 ID。 |
Client API Secret |
必需 CrowdStrike API 的客户端密钥。 |
Verify SSL |
如果选择此项,集成会验证用于连接到 CrowdStrike Falcon 服务器的 SSL 证书是否有效。 默认情况下未选中。 |
Customer ID |
可选 要执行集成的租户的客户 ID。适用于多租户 (MSSP) 环境。 |
有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成。
如果需要,您可以在稍后阶段进行更改。配置集成实例后,您可以在剧本中使用该实例。如需详细了解如何配置和支持多个实例,请参阅支持多个实例。
操作
在继续进行集成配置之前,请为每个集成项配置所需的最低权限。如需了解详情,请参阅本文档的操作权限部分。
添加提醒评论
使用 Add Alert Comment 操作可向 CrowdStrike Falcon 中的提醒添加评论。
此操作不会在实体上运行。
操作输入
添加提醒注释操作需要以下参数:
| 参数 | |
|---|---|
Alert |
必需 要更新的提醒的 ID。 |
Comment |
必需 要添加到提醒中的评论。 |
操作输出
添加提醒评论操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
输出消息
添加提醒注释操作会提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
Successfully added comment to the alert with ID
ALERT_ID in CrowdStrike |
操作成功。 |
|
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表介绍了使用添加提醒注释操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
向检测结果添加评论
使用向检测添加评论操作,向 CrowdStrike Falcon 中的检测添加评论。
此操作会在所有实体上运行。
操作输入
向检测结果添加注释操作需要以下参数:
| 参数 | |
|---|---|
Detection ID |
必需
要添加评论的检测的 ID。 |
Comment |
必需
要添加到检测中的注释。 |
操作输出
向检测添加注释操作提供以下输出:
| 操作输出类型 | |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 脚本结果 | 可用 |
脚本结果
下表介绍了使用向检测结果添加注释操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
添加身份保护检测注释
使用 Add Identity Protection Detection Comment 操作可向 CrowdStrike 中的身份保护检测添加评论。
此操作需要 Identity Protection 许可。
此操作不会在实体上运行。
操作输入
添加身份保护检测注释操作需要以下参数:
| 参数 | |
|---|---|
Detection ID |
必需
要更新的检测的 ID。 |
Comment |
必需
要添加到检测中的注释。 |
操作输出
添加身份保护检测评论操作提供以下输出:
| 操作输出类型 | |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
输出消息
添加身份保护检测注释操作提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
Successfully added comment to the
identity protection detection with ID
DETECTION_ID in CrowdStrike |
操作成功。 |
Error executing action "Add Identity
Protection Detection Comment". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
Error executing action "Add Identity
Protection Detection Comment". Reason: identity protection detection with
ID DETECTION_ID wasn't found in
CrowdStrike. Please check the
spelling. |
操作失败。 检查拼写。 |
脚本结果
下表介绍了使用 Add Identity Protection Detection Comment 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
添加突发事件注释
使用添加突发事件评论操作可向 CrowdStrike 中的突发事件添加评论。
此操作不会在实体上运行。
操作输入
添加突发事件评论操作需要以下参数:
| 参数 | |
|---|---|
Incident ID |
必需
要更新的突发事件的 ID。 |
Comment |
必需
要添加到突发事件的评论。 |
操作输出
添加突发事件评论操作提供以下输出:
| 操作输出类型 | |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
输出消息
添加突发事件评论操作提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
Successfully added comment to the
incident INCIDENT_ID in CrowdStrike
|
操作成功。 |
Error executing action "Add Incident Comment". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
Error executing action "Add Incident Comment". Reason: incident
with ID INCIDENT_ID wasn't found in
CrowdStrike. Please check the spelling. |
操作失败。 检查拼写。 |
脚本结果
下表介绍了使用添加突发事件注释操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
关闭检测
使用关闭检测操作来关闭 CrowdStrike Falcon 检测。
对于此使用情形,最佳实践是使用更新检测操作。
此操作会在所有实体上运行。
操作输入
关闭检测操作需要以下参数:
| 参数 | |
|---|---|
Detection ID |
必需
要关闭的检测的 ID。 |
Hide Detection |
可选
如果选择此操作,系统会在界面中隐藏检测结果。 此选项将会默认选中。 |
操作输出
关闭检测操作提供以下输出:
| 操作输出类型 | |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 脚本结果 | 可用 |
脚本结果
下表介绍了使用 Close Detection 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
包含端点
使用 Contain Endpoint 操作在 CrowdStrike Falcon 中隔离端点。
此操作适用于以下实体:
- IP 地址
- 主机名
操作输入
包含端点操作需要以下参数:
| 参数 | |
|---|---|
Fail If Timeout |
必需
如果已选择此参数,但未包含所有端点,则操作会失败。 此选项将会默认选中。 |
操作输出
包含端点操作提供以下输出:
| 操作输出类型 | |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 实体丰富化表 | 可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
实体丰富化
包含端点操作支持以下实体丰富逻辑:
| 扩充项字段 | 逻辑 |
|---|---|
status |
返回 JSON 结果中是否存在相应键 |
modified_timestamp |
返回 JSON 结果中是否存在相应键 |
major_version |
返回 JSON 结果中是否存在相应键 |
policies |
返回 JSON 结果中是否存在相应键 |
config_id_platform |
返回 JSON 结果中是否存在相应键 |
bios_manufacturer |
返回 JSON 结果中是否存在相应键 |
system_manufacturer |
返回 JSON 结果中是否存在相应键 |
device_policies |
返回 JSON 结果中是否存在相应键 |
meta |
返回 JSON 结果中是否存在相应键 |
pointer_size |
返回 JSON 结果中是否存在相应键 |
last_seen |
返回 JSON 结果中是否存在相应键 |
agent_local_time |
返回 JSON 结果中是否存在相应键 |
first_seen |
返回 JSON 结果中是否存在相应键 |
service_pack_major |
返回 JSON 结果中是否存在相应键 |
slow_changing_modified_timestamp |
返回 JSON 结果中是否存在相应键 |
service_pack_minor |
返回 JSON 结果中是否存在相应键 |
system_product_name |
返回 JSON 结果中是否存在相应键 |
product_type_desc |
返回 JSON 结果中是否存在相应键 |
build_number |
返回 JSON 结果中是否存在相应键 |
cid |
返回 JSON 结果中是否存在相应键 |
local_ip |
返回 JSON 结果中是否存在相应键 |
external_ip |
返回 JSON 结果中是否存在相应键 |
hostname |
返回 JSON 结果中是否存在相应键 |
config_id_build |
返回 JSON 结果中是否存在相应键 |
minor_version |
返回 JSON 结果中是否存在相应键 |
platform_id |
返回 JSON 结果中是否存在相应键 |
os_version |
返回 JSON 结果中是否存在相应键 |
config_id_base |
返回 JSON 结果中是否存在相应键 |
provision_status |
返回 JSON 结果中是否存在相应键 |
mac_address |
返回 JSON 结果中是否存在相应键 |
bios_version |
返回 JSON 结果中是否存在相应键 |
platform_name |
返回 JSON 结果中是否存在相应键 |
agent_load_flags |
返回 JSON 结果中是否存在相应键 |
device_id |
返回 JSON 结果中是否存在相应键 |
product_type |
返回 JSON 结果中是否存在相应键 |
agent_version |
返回 JSON 结果中是否存在相应键 |
JSON 结果
以下示例描述了使用 Contain Endpoint 操作时收到的 JSON 结果输出:
{
"EntityResult":
{
"status": "contained",
"modified_timestamp": "2019-06-24T07:47:37Z",
"major_version": "6",
"policies":
[{
"applied": "True",
"applied_date": "2019-04-29T07:40:06.876850888Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-29T07:39:55.218651583Z",
"policy_id": ""
}],
"config_id_platform": "3",
"bios_manufacturer": "Example Inc.",
"system_manufacturer": "Example Corporation",
"device_policies":
{
"global_config":
{
"applied": "True",
"applied_date": "2019-06-03T23:24:04.893780991Z",
"settings_hash": "a75911b0",
"policy_type": "globalconfig",
"assigned_date": "2019-06-03T23:23:17.184432743Z",
"policy_id": ""
},
"Sensor_update":
{
"applied": "True",
"applied_date": "2019-05-30T23:13:55.23597658Z",
"settings_hash": "65994753|3|2|automatic;101",
"uninstall_protection": "ENABLED",
"policy_type": "sensor-update",
"assigned_date": "2019-05-30T23:04:31.485311459Z",
"policy_id": ""
},
"prevention":
{
"applied": "True",
"applied_date": "2019-04-29T07:40:06.876850888Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-29T07:39:55.218651583Z",
"policy_id": ""
},
"device_control":
{
"applied": "True",
"applied_date": "2019-06-03T23:14:29.800434222Z",
"policy_type": "device-control",
"assigned_date": "2019-06-03T23:05:17.425127539Z",
"policy_id": ""
},
"remote_response":
{
"applied": "True",
"applied_date": "2019-04-29T07:40:04.469808388Z",
"settings_hash": "f472bd8e",
"policy_type": "remote-response",
"assigned_date": "2019-04-29T07:39:55.218642441Z",
"policy_id": ""
}
},
"meta":
{
"Version":"12765"
},
"pointer_size": "8",
"last_seen": "2019-06-24T07:45:34Z",
"agent_local_time": "2019-06-18T12:17:06.259Z",
"first_seen": "2019-04-29T07:39:45Z",
"service_pack_major": "0",
"slow_changing_modified_timestamp": "2019-06-23T11:20:42Z",
"service_pack_minor": "0",
"system_product_name": "Virtual Machine",
"product_type_desc": "Server",
"build_number": "9600",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"hostname": "",
"config_id_build": "example-id",
"minor_version": "3",
"platform_id": "x",
"os_version": "Windows Server 2012 R2",
"config_id_base": "example-config",
"provision_status": "Provisioned",
"mac_address": "01:23:45:ab:cd:ef",
"bios_version": "090007 ",
"platform_name": "Windows",
"Agent_load_flags":"1",
"device_id": "",
"product_type": "3",
"agent_version": "5.10.9106.0"
},
"Entity": "198.51.100.255"
}
输出消息
隔离端点操作提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Contain
Endpoint". Reason: ERROR_REASON
|
操作失败。 检查与服务器的连接、输入参数或凭据。 |
Error executing action "Contain
Endpoint". Reason: the following endpoints initiated containment, but were
not able to finish it during action execution:
ENTITY_ID
|
操作失败。 检查端点状态和 |
脚本结果
下表介绍了使用 Contain Endpoint 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
删除 IOC
使用 Delete IOC 操作删除 CrowdStrike Falcon 中的自定义 IOC。
此操作会将主机名实体视为网域 IOC,并从网址中提取网域部分。此操作仅支持 MD5 和 SHA-256 哈希。
删除 IOC 操作在以下实体上运行:
- IP 地址
- 主机名
- 网址
- 哈希
操作输入
无。
操作输出
删除 IOC 操作会提供以下输出:
| 操作输出类型 | |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
脚本结果
下表介绍了使用 Delete IOC 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
输出消息
在“问题墙”上,“删除 IOC”操作会提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Delete IOC".
Reason: ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
下载文件
使用 Download File 操作从 CrowdStrike Falcon 中的主机下载文件。
此操作要求文件名和 IP 地址或主机名实体都在 Google SecOps 提醒的范围内。
您可以在受密码保护的 zip 软件包中找到下载的文件。如需访问该文件,请提供以下密码:infected。
下载文件操作在以下实体上运行:
- 文件名
- IP 地址
- 主机
操作输入
下载文件操作需要以下参数:
| 参数 | |
|---|---|
Download Folder Path |
必需
存储下载文件的文件夹的路径。 格式取决于您的部署:
|
Overwrite |
必需
如果选择此选项,相应操作会覆盖同名文件。 默认情况下未选中。 |
操作输出
下载文件操作提供以下输出:
| 操作输出类型 | |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 实体表 | 可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
实体表
下载文件操作提供以下实体表格:
| 实体 | |
|---|---|
filepath |
文件的绝对路径。 |
JSON 结果
以下示例介绍了使用下载文件操作时收到的 JSON 结果输出:
{
"absolute_paths": ["/opt/file_1", "opt_file_2"]
}
输出消息
下载文件操作提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Download
File". Reason: ERROR_REASON
|
操作失败。 检查与服务器的连接、输入参数或凭据。 |
Error executing action "Download
File". Reason: file with path PATH
already exists. Please delete the file or set "Overwrite" to true.
|
操作失败。 检查 |
Waiting for results for the following
entities: ENTITY_ID |
异步消息。 |
脚本结果
下表介绍了使用下载文件操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
执行命令
使用 Execute Command 操作在 CrowdStrike Falcon 中的主机上执行命令。
此操作适用于以下实体:
- IP 地址
- 主机名
操作输入
执行命令操作需要以下参数:
| 参数 | |
|---|---|
Command |
必需
要在主机上执行的命令。 |
Admin Command |
可选
如果值为 默认情况下为 |
操作输出
执行命令操作提供以下输出:
| 操作输出类型 | |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
输出消息
在 Case Wall 上,执行命令操作会提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
Successfully executed command
"COMMAND" on the following
endpoints in CrowdStrike Falcon:
ENTITY_ID |
操作成功。 |
Error executing action "Execute Command". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
Waiting for results for the following
entities: ENTITY_ID |
异步消息。 |
脚本结果
下表介绍了使用执行命令操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
获取提醒详细信息
使用 Get Alert Details 操作可检索 CrowdStrike Falcon 中提醒的详细信息。
此操作不适用于 Google SecOps 实体。
操作输入
获取提醒详情操作需要以下参数:
| 参数 | 说明 |
|---|---|
Alert ID |
必填。 要从中检索详细信息的提醒的唯一 ID。 |
操作输出
获取提醒详情操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例展示了使用 获取提醒详情操作时收到的 JSON 结果输出:
{
"added_privileges": [
"DomainAdminsRole"
],
"aggregate_id": "aggind:CID_VALUE:AGGREGATE_ID_VALUE",
"assigned_to_uid": "analyst@example.com",
"cid": "CID_VALUE",
"composite_id": "CID_VALUE:ind:CID_VALUE:COMPOSITE_ID_VALUE",
"confidence": 20,
"context_timestamp": "2022-11-15T12:58:15.629Z",
"crawl_edge_ids": {
"Sensor": [
"EDGE_ID_1_OBFUSCATED_STRING",
"EDGE_ID_2_OBFUSCATED_STRING",
"EDGE_ID_3_OBFUSCATED_STRING"
]
},
"crawl_vertex_ids": {
"Sensor": [
"aggind:CID_VALUE:AGGREGATE_ID_VALUE",
"idpind:CID_VALUE:IDP_DETECTION_ID",
"ind:CID_VALUE:DETECTION_ID",
"uid:CID_VALUE:SOURCE_SID_VALUE"
]
},
"crawled_timestamp": "2022-11-15T13:58:17.251061883Z",
"created_timestamp": "2022-11-15T12:59:17.239585706Z",
"description": "A user received new privileges",
"display_name": "Privilege escalation (user)",
"end_time": "2022-11-15T12:58:15.629Z",
"falcon_host_link": "https://falcon.crowdstrike.com/identity-protection/detections/DETECTION_ID?cid=CID_VALUE",
"id": "ind:CID_VALUE:DETECTION_ID",
"name": "IdpEntityPrivilegeEscalationUser",
"objective": "Gain Access",
"pattern_id": 51113,
"previous_privileges": "0",
"privileges": "8321",
"product": "idp",
"scenario": "privilege_escalation",
"severity": 2,
"show_in_ui": true,
"source_account_domain": "EXAMPLE.LOCAL",
"source_account_name": "TEST_MAILBOX",
"source_account_object_sid": "S-1-5-21-3479765008-4256118348-3151044947-3595",
"start_time": "2022-11-15T12:58:15.629Z",
"status": "new",
"tactic": "Privilege Escalation",
"tactic_id": "TA0004",
"tags": [
"red_team"
],
"technique": "Valid Accounts",
"technique_id": "T1078",
"timestamp": "2022-11-15T12:58:17.239Z",
"type": "idp-user-endpoint-app-info",
"updated_timestamp": "2022-11-23T15:22:20.271100181Z"
}
输出消息
获取提醒详细信息操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Get Alert Details". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用 Get Alert Details 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
true 或 false |
获取活动偏移量
使用 Get Event Offset 操作检索 Streaming Events Connector 使用的事件偏移量。
此操作会开始处理 30 天前的事件。
此操作不会在实体上运行。
操作输入
获取活动偏移量操作需要以下参数:
| 参数 | |
|---|---|
Max Events To Process |
必需
操作需要处理的事件数量(从 30 天前开始)。 默认值为 |
操作输出
获取活动偏移量操作提供以下输出:
| 操作输出类型 | |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例说明了使用 Get Event Offset 操作时收到的 JSON 结果输出:
{
"offset": 100000
"timestamp": "<code><var>EVENT_TIMESTAMP</var></code>"
}
输出消息
获取活动偏移量操作提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
Successfully retrieved event offset in CrowdStrike Falcon.
|
操作成功。 |
Error executing action "Get Event
Offset". Reason: ERROR_REASON
|
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表介绍了使用 Get Event Offset 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
获取主机信息
使用 Get Host Information 操作从 CrowdStrike Falcon 检索有关主机名的信息。
此操作适用于以下实体:
- 主机名
- IP 地址
操作输入
获取主机信息操作需要以下参数:
| 参数 | |
|---|---|
Create Insight |
可选
如果选择此值,操作会创建包含实体相关信息的分析。 此选项将会默认选中。 |
操作输出
获取主机信息操作提供以下输出:
| 操作输出类型 | |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 实体丰富化表 | 可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
实体丰富化
获取主机信息操作支持以下实体丰富逻辑:
| 扩充项字段 | 逻辑 |
|---|---|
modified_timestamp |
返回 JSON 结果中是否存在相应键 |
major_version |
返回 JSON 结果中是否存在相应键 |
site_name |
返回 JSON 结果中是否存在相应键 |
platform_id |
返回 JSON 结果中是否存在相应键 |
config_id_platform |
返回 JSON 结果中是否存在相应键 |
system_manufacturer |
返回 JSON 结果中是否存在相应键 |
meta |
返回 JSON 结果中是否存在相应键 |
first_seen |
返回 JSON 结果中是否存在相应键 |
service_pack_minor |
返回 JSON 结果中是否存在相应键 |
product_type_desc |
返回 JSON 结果中是否存在相应键 |
build_number |
返回 JSON 结果中是否存在相应键 |
hostname |
返回 JSON 结果中是否存在相应键 |
config_id_build |
返回 JSON 结果中是否存在相应键 |
minor_version |
返回 JSON 结果中是否存在相应键 |
os_version |
返回 JSON 结果中是否存在相应键 |
provision_status |
返回 JSON 结果中是否存在相应键 |
mac_address |
返回 JSON 结果中是否存在相应键 |
bios_version |
返回 JSON 结果中是否存在相应键 |
agent_load_flags |
返回 JSON 结果中是否存在相应键 |
status |
返回 JSON 结果中是否存在相应键 |
bios_manufacturer |
返回 JSON 结果中是否存在相应键 |
machine_domain |
返回 JSON 结果中是否存在相应键 |
agent_local_time |
返回 JSON 结果中是否存在相应键 |
slow_changing_modified_timestamp |
返回 JSON 结果中是否存在相应键 |
service_pack_major |
返回 JSON 结果中是否存在相应键 |
device_id |
返回 JSON 结果中是否存在相应键 |
system_product_name |
返回 JSON 结果中是否存在相应键 |
product_type |
返回 JSON 结果中是否存在相应键 |
local_ip |
返回 JSON 结果中是否存在相应键 |
external_ip |
返回 JSON 结果中是否存在相应键 |
cid |
返回 JSON 结果中是否存在相应键 |
platform_name |
返回 JSON 结果中是否存在相应键 |
config_id_base |
返回 JSON 结果中是否存在相应键 |
last_seen |
返回 JSON 结果中是否存在相应键 |
pointer_size |
返回 JSON 结果中是否存在相应键 |
agent_version |
返回 JSON 结果中是否存在相应键 |
JSON 结果
以下示例描述了使用 Get Host Information 操作时收到的 JSON 结果输出:
[
{
"EntityResult": [
{
"modified_timestamp": "2019-01-17T13: 44: 57Z",
"major_version": "10",
"site_name": "Default-First-Site-Name",
"platform_id": "0",
"config_id_platform": "3",
"system_manufacturer": "ExampleInc.",
"meta": {
"version": "1111"
},
"first_seen": "2018-04-22T13: 06: 53Z",
"service_pack_minor": "0",
"product_type_desc": "Workstation",
"build_number": "111",
"hostname": "name",
"config_id_build": "8104",
"minor_version": "0",
"os_version": "Windows10",
"provision_status": "Provisioned",
"mac_address": "64-00-6a-2a-43-3f",
"bios_version": "1.2.1",
"agent_load_flags": "1",
"status": "normal",
"bios_manufacturer": "ExampleInc.",
"machine_domain": "Domain name",
"agent_local_time": "2019-01-14T19: 41: 09.738Z",
"slow_changing_modified_timestamp": "2019-01-14T17: 44: 40Z",
"service_pack_major": "0",
"device_id": "example-id",
"system_product_name": "OptiPlex7040",
"product_type": "1",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"cid": "example-cid",
"platform_name": "Windows",
"config_id_base": "65994753",
"last_seen": "2019-01-17T13: 44: 46Z",
"pointer_size": "8",
"agent_version": "4.18.8104.0",
"recent_logins": [
{
"user_name": "test",
"login_time": "2022-08-10T07:36:38Z"
},
{
"user_name": "test",
"login_time": "2022-08-10T07:36:35Z"
}
],
"online_status": "offline"
}
],
"Entity": "198.51.100.255"
}
]
输出消息
获取主机信息操作提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Get Host
Information". Reason: ERROR_REASON
|
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表介绍了使用获取主机信息操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
按 IOC 获取主机 - 已弃用
列出 CrowdStrike Falcon 中与 IOC 相关的主机。支持的实体:
主机名、网址、IP 地址和哈希值。
注意:主机名实体会被视为网域 IOC。该操作会从网址中提取网域部分。仅支持 MD5 和 SHA-256 哈希。
实体
此操作适用于以下实体:
- IP 地址
- 主机名
- 网址
- 哈希
操作输入
不适用
操作输出
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"hash":
[{
"modified_timestamp": "2019-01-17T13: 44: 57Z",
"major_version": "10",
"site_name": "Example-Name",
"platform_id": "ExampleID",
"config_id_platform": "3",
"system_manufacturer": "ExampleInc.",
"meta": {"version": "49622"},
"first_seen": "2018-04-22T13: 06: 53Z",
"service_pack_minor": "0",
"product_type_desc": "Workstation",
"build_number": "14393",
"hostname": "name",
"config_id_build": "ExampleID",
"minor_version": "0",
"os_version": "Windows10",
"provision_status": "Provisioned",
"mac_address": "01:23:45:ab:cd:ef",
"bios_version": "1.2.1",
"agent_load_flags": "1",
"status": "normal",
"bios_manufacturer": "ExampleInc.",
"machine_domain": "Example Domain",
"Device_policies":
{
"sensor_update":
{
"applied": true,
"applied_date": "2018-12-11T23: 09: 18.071417837Z",
"settings_hash": "65994753|3|2|automatic",
"policy_type": "sensor-update",
"assigned_date": "2018-12-11T23: 08: 38.16990705Z",
"policy_id": "Example ID"
}
},
"agent_local_time": "2019-01-14T19: 41: 09.738Z",
"slow_changing_modified_timestamp": "2019-01-14T17: 44: 40Z",
"service_pack_major": "0", "device_id": "2653595a063e4566519ef4fc813fcc56",
"system_product_name": "OptiPlex7040",
"product_type": "1",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"platform_name": "Windows",
"config_id_base": "ExampleID",
"policies":
[{
"applied": true,
"applied_date": "2019-01-02T22: 45: 21.315392338Z",
"settings_hash": "18db1203",
"policy_type": "prevention",
"assigned_date": "2019-01-02T22: 45: 11.214774996Z",
"policy_id": "Example ID"
}],
"last_seen": "2019-01-17T13: 44: 46Z",
"pointer_size": "8",
"agent_version": "4.18.8104.0"
}]
}
实体丰富化
| 扩充项字段 | 逻辑 |
|---|---|
| modified_timestamp | 返回 JSON 结果中是否存在相应值 |
| major_version | 返回 JSON 结果中是否存在相应值 |
| site_name | 返回 JSON 结果中是否存在相应值 |
| platform_id | 返回 JSON 结果中是否存在相应值 |
| config_id_platform | 返回 JSON 结果中是否存在相应值 |
| system_manufacturer | 返回 JSON 结果中是否存在相应值 |
| meta | 返回 JSON 结果中是否存在相应值 |
| first_seen | 返回 JSON 结果中是否存在相应值 |
| service_pack_minor | 返回 JSON 结果中是否存在相应值 |
| product_type_desc | 返回 JSON 结果中是否存在相应值 |
| build_number | 返回 JSON 结果中是否存在相应值 |
| 主机名 | 返回 JSON 结果中是否存在相应值 |
| config_id_build | 返回 JSON 结果中是否存在相应值 |
| minor_version | 返回 JSON 结果中是否存在相应值 |
| os_version | 返回 JSON 结果中是否存在相应值 |
| provision_status | 返回 JSON 结果中是否存在相应值 |
| mac_address | 返回 JSON 结果中是否存在相应值 |
| bios_version | 返回 JSON 结果中是否存在相应值 |
| agent_load_flags | 返回 JSON 结果中是否存在相应值 |
| 状态 | 返回 JSON 结果中是否存在相应值 |
| bios_manufacturer | 返回 JSON 结果中是否存在相应值 |
| machine_domain | 返回 JSON 结果中是否存在相应值 |
| Device_policies | 返回 JSON 结果中是否存在相应值 |
| agent_local_time | 返回 JSON 结果中是否存在相应值 |
| slow_changing_modified_timestamp | 返回 JSON 结果中是否存在相应值 |
| service_pack_major | 返回 JSON 结果中是否存在相应值 |
| system_product_name | 返回 JSON 结果中是否存在相应值 |
| product_type | 返回 JSON 结果中是否存在相应值 |
| local_ip | 返回 JSON 结果中是否存在相应值 |
| external_ip | 返回 JSON 结果中是否存在相应值 |
| cid | 返回 JSON 结果中是否存在相应值 |
| platform_name | 返回 JSON 结果中是否存在相应值 |
| config_id_base | 返回 JSON 结果中是否存在相应值 |
| 政策 | 返回 JSON 结果中是否存在相应值 |
| last_seen | 返回 JSON 结果中是否存在相应值 |
| pointer_size | 返回 JSON 结果中是否存在相应值 |
| agent_version | 返回 JSON 结果中是否存在相应值 |
实体数据分析
不适用
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 该操作不应失败,也不应停止 playbook 执行: 如果成功且至少找到一个与所提供的 IOC 相关的主机 (is_success=true):“Successfully retrieved hosts related to the provided IOCs in CrowdStrike Falcon.” 如果未找到相关主机 (is_success=false):“CrowdStrike Falcon 中没有与所提供的 IOC 相关的主机。” 操作应失败并停止 playbook 执行: 如果报告了严重错误:“执行操作‘{action name}’时出错。原因:{traceback}。” |
常规 |
按 IOC 获取进程名称 - 已弃用
在 CrowdStrike Falcon 中检索与 IOC 和所提供设备相关的进程。支持的实体:主机名、网址、IP 地址和哈希值。
注意:主机名实体会被视为网域 IOC。该操作可从网址中提取网域部分。仅支持 MD5、SHA-1 和 SHA-256 哈希。IP 地址实体被视为 IOC。
参数
| 参数名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 设备名称 | 11 | 不适用 | 是 | 指定一个以英文逗号分隔的设备列表,用于检索与实体相关的进程。 |
运行于
此操作适用于以下实体:
- 主机名
- 网址
- 哈希
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"EntityResult":
[{
"Process Name": "example.exe",
"Indicator": "986a4715113359b527b15efe1ee09306", "Host Name": "example-name"
},{
"Process Name": "example.exe",
"Indicator": "986a4715113359b527b15efe1ee09306",
"Host Name": "example-name"
},{
"Process Name": "example.exe",
"Indicator": "986a4715113359b527b15efe1ee09306",
"Host Name": "example-name"
}],
"Entity": "example_entity"
}
实体扩充
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| 进程名称 | 返回 JSON 结果中是否存在相应值 |
| 指标 | 返回 JSON 结果中是否存在相应值 |
| 主机名 | 返回 JSON 结果中是否存在相应值 |
实体分析
不适用
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 该操作不应失败,也不应停止 playbook 执行: 如果至少在一个端点上找到了与实体相关的进程(is_success=true):“已成功检索到 CrowdStrike Falcon 中以下端点上与 IOC 相关的进程:{设备名称}。” 如果至少一个端点未找到任何进程,或者未找到设备 (is_success=true):“CrowdStrike Falcon 中以下端点未找到任何相关进程:{设备名称}。” 如果 未找到任何端点的任何进程,或者未找到任何设备 (is_success=false):“在 CrowdStrike Falcon 中,未在所提供的端点上找到任何相关进程。 操作应失败并停止 playbook 执行: 如果报告了严重错误: “执行‘{操作名称}’时出错。 原因:{trace back}。” |
获取 Vertex 详细信息
使用 Get Vertex Details 操作可列出与特定指标关联的所有属性。
Google SecOps 实体被视为 IOC。
此操作适用于以下实体:
- 主机名
- 网址
- 哈希
操作输入
无。
操作输出
获取 Vertex 详细信息操作提供以下输出:
| 操作输出类型 | |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 实体丰富化表 | 可用 |
| JSON 结果 | 可用 |
| 脚本结果 | 可用 |
实体丰富化
获取 Vertex 详细信息操作支持以下丰富功能:
| 扩充项字段 | 逻辑 |
|---|---|
vertex_type |
返回 JSON 结果中是否存在相应键 |
timestamp |
返回 JSON 结果中是否存在相应键 |
object_id |
返回 JSON 结果中是否存在相应键 |
properties |
返回 JSON 结果中是否存在相应键 |
edges |
返回 JSON 结果中是否存在相应键 |
scope |
返回 JSON 结果中是否存在相应键 |
customer_id |
返回 JSON 结果中是否存在相应键 |
id |
返回 JSON 结果中是否存在相应键 |
device_id |
返回 JSON 结果中是否存在相应键 |
JSON 结果
以下示例描述了使用 Get Vertex Details 操作时收到的 JSON 结果输出:
[{
"EntityResult":
[{
"vertex_type": "module",
"timestamp": "2019-01-17T10: 52: 40Z",
"object_id":"example_id",
"properties":
{
"SHA256HashData": "7afb56dd48565c3c9804f683c80ef47e5333f847f2d3211ec11ed13ad36061e1",
"MD5HashData": "54cb91395cdaad9d47882533c21fc0e9",
"SHA1HashData": "3b1333f826e5fe36395042fe0f1b895f4a373f1b"
},
"edges":
{
"primary_module":
[{
"direction": "in",
"timestamp": "2019-01-13T10: 58: 51Z",
"object_id": "example-id",
"id": "pid: cb4493e4af2742b068efd16cb48b7260: 3738513791849",
"edge_type": "primary_module",
"path": "example-path",
"scope": "device",
"properties": {},
"device_id": "example-id"
}]
},
"scope": "device",
"customer_id": "example-id",
"id": "mod: cb4493e4af2742b068efd16cb48b7260: 7afb56dd48565c3c9804f683c80ef47e5333f847f2d3211ec11ed13ad36061e1",
"device_id": "example-id"
}],
"Entity": "198.51.100.255"
}]
脚本结果
下表介绍了使用 Get Vertex Details 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
升起包含的端点
使用 Lift Contained Endpoint 操作可在 CrowdStrike Falcon 中解除端点隔离。
此操作适用于以下实体:
- IP 地址
- 主机名
操作输入
提升受限端点操作需要以下参数:
| 参数 | |
|---|---|
Fail If Timeout |
必需
如果已选择此选项,但未在所有端点上解除隔离,则操作会失败。 此选项将会默认选中。 |
操作输出
提升受限端点操作提供以下输出:
| 操作输出类型 | |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 实体丰富化表 | 可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
实体丰富化
提升包含的端点操作支持以下实体丰富功能:
| 扩充项字段 | 逻辑 |
|---|---|
status |
返回 JSON 结果中是否存在相应键 |
modified_timestamp |
返回 JSON 结果中是否存在相应键 |
major_version |
返回 JSON 结果中是否存在相应键 |
config_id_platform |
返回 JSON 结果中是否存在相应键 |
system_manufacturer |
返回 JSON 结果中是否存在相应键 |
device_policies |
返回 JSON 结果中是否存在相应键 |
meta |
返回 JSON 结果中是否存在相应键 |
pointer_size |
返回 JSON 结果中是否存在相应键 |
last_seen |
返回 JSON 结果中是否存在相应键 |
agent_local_time |
返回 JSON 结果中是否存在相应键 |
first_seen |
返回 JSON 结果中是否存在相应键 |
service_pack_major |
返回 JSON 结果中是否存在相应键 |
slow_changing_modified_timestamp |
返回 JSON 结果中是否存在相应键 |
service_pack_minor |
返回 JSON 结果中是否存在相应键 |
system_product_name |
返回 JSON 结果中是否存在相应键 |
product_type_desc |
返回 JSON 结果中是否存在相应键 |
build_number |
返回 JSON 结果中是否存在相应键 |
cid |
返回 JSON 结果中是否存在相应键 |
local_ip |
返回 JSON 结果中是否存在相应键 |
external_ip |
返回 JSON 结果中是否存在相应键 |
hostname |
返回 JSON 结果中是否存在相应键 |
config_id_build |
返回 JSON 结果中是否存在相应键 |
minor_version |
返回 JSON 结果中是否存在相应键 |
platform_id |
返回 JSON 结果中是否存在相应键 |
os_version |
返回 JSON 结果中是否存在相应键 |
config_id_base |
返回 JSON 结果中是否存在相应键 |
provision_status |
返回 JSON 结果中是否存在相应键 |
mac_address |
返回 JSON 结果中是否存在相应键 |
bios_version |
返回 JSON 结果中是否存在相应键 |
platform_name |
返回 JSON 结果中是否存在相应键 |
agent_load_flags |
返回 JSON 结果中是否存在相应键 |
device_id |
返回 JSON 结果中是否存在相应键 |
product_type |
返回 JSON 结果中是否存在相应键 |
agent_version |
返回 JSON 结果中是否存在相应键 |
JSON 结果
以下示例介绍了使用 Lift Contained Endpoint 操作时收到的 JSON 结果输出:
{
"EntityResult":
{
"status": "contained",
"modified_timestamp": "2019-06-24T07:47:37Z",
"major_version": "6", "policies":
[{
"applied": "True",
"applied_date": "2019-04-29T07:40:06.876850888Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-29T07:39:55.218651583Z",
"policy_id": ""
}],
"config_id_platform": "example-id",
"bios_manufacturer": "Example Inc.",
"system_manufacturer": "Example Corporation",
"Device_policies":
{
"global_config":
{
"applied": "True",
"applied_date": "2019-06-03T23:24:04.893780991Z",
"settings_hash": "a75911b0",
"policy_type": "globalconfig",
"assigned_date": "2019-06-03T23:23:17.184432743Z",
"policy_id": ""
},
"Sensor_update":
{
"applied": "True",
"applied_date": "2019-05-30T23:13:55.23597658Z",
"settings_hash": "65994753|3|2|automatic;101",
"uninstall_protection": "ENABLED",
"policy_type": "sensor-update",
"assigned_date": "2019-05-30T23:04:31.485311459Z",
"policy_id": "9d1e405846de4ebdb63f674866d390dc"
},
"Prevention":
{
"applied": "True",
"applied_date": "2019-04-29T07:40:06.876850888Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-29T07:39:55.218651583Z",
"policy_id": ""
},
"device_control":
{
"applied": "True",
"applied_date": "2019-06-03T23:14:29.800434222Z",
"policy_type": "device-control",
"assigned_date": "2019-06-03T23:05:17.425127539Z",
"policy_id": ""
},
"Remote_response":
{
"applied": "True",
"applied_date": "2019-04-29T07:40:04.469808388Z",
"settings_hash": "f472bd8e",
"policy_type": "remote-response",
"assigned_date": "2019-04-29T07:39:55.218642441Z",
"policy_id": ""
}
},
"meta":
{"version": "12765"},
"pointer_size": "8",
"last_seen": "2019-06-24T07:45:34Z",
"agent_local_time": "2019-06-18T12:17:06.259Z",
"first_seen": "2019-04-29T07:39:45Z",
"service_pack_major": "0",
"slow_changing_modified_timestamp": "2019-06-23T11:20:42Z",
"service_pack_minor": "0",
"system_product_name":"Virtual Machine",
"product_type_desc": "Server",
"build_number": "9600",
"cid": "",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"hostname": "example-hostname",
"config_id_build": "9106",
"minor_version": "3",
"platform_id": "0",
"os_version": "Windows Server 2012 R2",
"config_id_base": "example-id",
"provision_status": "Provisioned",
"mac_address": "01-23-45-ab-cd-ef",
"bios_version": "090007 ",
"platform_name": "Windows",
"agent_load_flags": "1",
"device_id": "",
"product_type": "3",
"agent_version": "5.10.9106.0"
},
"Entity": "198.51.100.255"
}
输出消息
提升受限端点操作会提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Waiting for containment lift to finish for the following
endpoints: ENTITY_ID |
异步消息。 |
Error executing action "Lift
Contained Endpoint". Reason: the following endpoints initiated containment
lift, but were not able to finish it during action execution:
ENTITY_ID |
操作失败。 检查端点状态和 |
Error executing action "Lift Contained Endpoint". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表介绍了使用 Lift Contained Endpoint 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
列出主机漏洞
使用 List Host Vulnerabilities 操作列出 CrowdStrike Falcon 中在主机上发现的漏洞。
此操作需要 Falcon Spotlight 许可和权限。
此操作适用于以下实体:
- IP 地址
- 主机名
操作输入
列出主机漏洞操作需要以下参数:
| 参数 | |
|---|---|
Severity Filter |
可选
以英文逗号分隔的漏洞严重程度列表。 如果您未提供任何值,该操作会提取所有相关漏洞。 可能的值如下:
|
Create Insight |
可选
如果选择此操作,系统会为每个包含相关漏洞统计信息的实体创建数据洞见。 此选项将会默认选中。 |
Max Vulnerabilities To Return |
可选
要针对单个主机返回的漏洞数量。 如果您未提供任何值,该操作会处理所有相关漏洞。 默认值为 |
操作输出
列出主机漏洞操作提供以下输出:
| 操作输出类型 | |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
“支持请求墙”表格
在“问题墙”上,“列出主机漏洞”操作会提供以下表格:
类型:实体
列:
- 名称
- 得分
- 严重程度
- 状态
- 应用
- 有修复
JSON 结果
以下示例介绍了使用列出主机漏洞操作时收到的 JSON 结果输出:
{
"statistics": {
"total": 123,
"severity": {
"critical": 1,
"high": 1,
"medium": 1,
"low": 1,
"unknown": 1
},
"status": {
"open": 1,
"reopened": 1
},
"has_remediation": 1
},
"details": [
{
"id": "74089e36ac3a4271ab14abc076ed18eb_fff6de34c1b7352babdf7c7d240749e7",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"aid": "74089e36ac3a4271ab14abc076ed18eb",
"created_timestamp": "2021-05-12T22:45:47Z",
"updated_timestamp": "2021-05-12T22:45:47Z",
"status": "open",
"cve": {
"id": "CVE-2021-28476",
"base_score": 9.9,
"severity": "CRITICAL",
"exploit_status": 0
},
"app": {
"product_name_version": "Example 01"
},
"apps": [
{
"product_name_version": "Example 01",
"sub_status": "open",
"remediation": {
"ids": [
"acc34cd461023ff8a966420fa8839365"
]
}
}
],
"host_info": {
"hostname": "example-hostname",
"local_ip": "192.0.2.1",
"machine_domain": "",
"os_version": "Windows 10",
"ou": "",
"site_name": "",
"system_manufacturer": "Example Inc.",
"groups": [],
"tags": [],
"platform": "Windows"
},
"remediation": [
{
"id": "acc34cd461023ff8a966420fa8839365",
"reference": "KB5003169",
"title": "Update Microsoft Windows 10 1909",
"action": "Install patch for Microsoft Windows 10 1909 x64 (Workstation): Security Update ABCDEF",
"link": "https://example.com/ABCDEF"
}
]
}
]
}
输出消息
列出主机漏洞操作提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "List Host Vulnerabilities". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
Error executing action "List Host
Vulnerabilities". Reason: Invalid value provided in the Severity Filter
parameter. Possible values: Critical, High, Medium, Low, Unknown.
|
操作失败。 检查 |
脚本结果
下表介绍了使用 List Host Vulnerabilities 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
列出主机
使用 List Hosts 操作列出 CrowdStrike Falcon 中的可用主机。
此操作会在所有实体上运行。
操作输入
列出主机操作需要以下参数:
| 参数 | |
|---|---|
Filter Logic |
可选
搜索主机时要使用的逻辑。 默认值为
|
Filter Value |
可选
用于主机过滤的值。 |
Max Hosts To Return |
可选
要返回的主机数量。 默认值为 最大值为 |
操作输出
列出主机操作提供以下输出:
| 操作输出类型 | |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例描述了使用 List Hosts 操作时收到的 JSON 结果输出:
[{
"modified_timestamp": "2019-05-15T15:03:12Z",
"platform_id": "0",
"config_id_platform": "3",
"system_manufacturer": "Example Corporation",
"meta": {"version": "4067"},
"first_seen": "2019-04-29T07:39:45Z",
"service_pack_minor": "0",
"product_type_desc": "Server",
"build_number": "9600",
"hostname": "example-hostname",
"config_id_build": "8904",
"minor_version": "3",
"os_version": "Windows Server 2012 R2",
"provision_status": "Provisioned",
"mac_address": "01:23:45:ab:cd:ef",
"bios_version": "090007 ",
"agent_load_flags": "0",
"status": "normal",
"bios_manufacturer": "Example Inc.",
"device_policies":
{
"Sensor_update":
{
"applied": true,
"applied_date": "2019-05-02T22:05:09.577000651Z",
"settings_hash": "65994753|3|2|automatic",
"policy_type": "sensor-update",
"assigned_date": "2019-05-02T22:03:36.804382667Z",
"policy_id": "9d1e405846de4ebdb63f674866d390dc"
},
"remote_response":
{
"applied": true,
"applied_date": "2019-04-29T07:40:04.469808388Z",
"settings_hash": "f472bd8e",
"policy_type": "remote-response",
"assigned_date": "2019-04-29T07:39:55.218642441Z",
"policy_id": "21e4fb4dedd74c6fb0bcd6a348aa046c"
},
"device_control":
{
"applied": true,
"applied_date": "2019-04-29T07:40:06.896362608Z",
"assigned_date": "2019-04-29T07:39:55.218637999Z",
"policy_type": "device-control",
"policy_id": "c360df7193364b23aa4fc47f0238c899"
},
"prevention":
{
"applied": true,
"applied_date": "2019-04-29T07:40:06.876850888Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-29T07:39:55.218651583Z",
"policy_id": "7efdf97d7805402186b61151e8abd745"
},
"global_config":
{
"applied": true,
"applied_date": "2019-04-29T07:45:18.94807838Z",
"settings_hash": "3d78f9ab",
"policy_type": "globalconfig",
"assigned_date": "2019-04-29T07:45:08.165941325Z",
"policy_id": "985b1a25afcb489ea442d2d1430b1679"
}
},
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"agent_local_time": "2019-05-02T22:05:00.015Z",
"slow_changing_modified_timestamp": "2019-05-02T22:05:09Z",
"service_pack_major": "0",
"device_id": "0ab8bc6d968b473b72a5d11a41a24c21",
"system_product_name": "Virtual Machine",
"product_type": "3",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"major_version": "6",
"platform_name": "Windows",
"config_id_base": "65994753",
"policies":
[{
"applied": true,
"applied_date": "2019-04-29T07:40:06.876850888Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-29T07:39:55.218651583Z",
"policy_id": "7efdf97d7805402186b61151e8abd745"
}],
"agent_version": "4.26.8904.0",
"pointer_size": "8",
"last_seen": "2019-05-15T15:01:23Z"
},
{
"modified_timestamp": "2019-05-13T07:24:36Z",
"site_name": "Example-Site-Name",
"config_id_platform": "3",
"system_manufacturer": "Example Inc.",
"meta": {"version": "14706"},
"first_seen": "2018-04-17T11:02:20Z",
"platform_name": "Windows",
"service_pack_minor": "0",
"product_type_desc": "Workstation",
"build_number": "17134",
"hostname": "example-hostname",
"config_id_build": "8904",
"minor_version": "0",
"os_version": "Windows 10",
"provision_status": "Provisioned",
"mac_address": "01:23:45:ab:cd:ef",
"bios_version": "1.6.5",
"agent_load_flags": "0",
"status": "normal",
"bios_manufacturer": "Example Inc.",
"machine_domain": "example.com",
"device_policies":
{
"sensor_update":
{
"applied": true,
"applied_date": "2019-05-05T12:52:23.121596885Z",
"settings_hash": "65994753|3|2|automatic",
"policy_type": "sensor-update",
"assigned_date": "2019-05-05T12:51:37.544605747Z",
"policy_id": "9d1e405846de4ebdb63f674866d390dc"
},
"Remote_response":
{
"applied": true,
"applied_date": "2019-02-10T07:57:59.064362539Z",
"settings_hash": "f472bd8e",
"policy_type": "remote-response",
"assigned_date": "2019-02-10T07:57:50.610924385Z",
"policy_id": "21e4fb4dedd74c6fb0bcd6a348aa046c"
},
"device_control":
{
"applied": true,
"applied_date": "2019-03-25T15:01:28.51681072Z",
"assigned_date": "2019-03-25T15:00:22.442519168Z",
"policy_type": "device-control",
"policy_id": "c360df7193364b23aa4fc47f0238c899"
},
"Prevention":
{
"applied": true,
"applied_date": "2019-04-04T06:54:06.909774295Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-04T06:53:57.135897343Z",
"policy_id": "7efdf97d7805402186b61151e8abd745"
},
"global_config":
{
"applied": true,
"applied_date": "2019-02-10T07:57:53.70275875Z",
"settings_hash": "3d78f9ab",
"policy_type": "globalconfig",
"assigned_date": "2019-02-10T07:57:50.610917888Z",
"policy_id": "985b1a25afcb489ea442d2d1430b1679"
}
},
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"agent_local_time": "2019-05-05T15:52:08.172Z",
"slow_changing_modified_timestamp": "2019-05-12T12:37:35Z",
"service_pack_major": "0",
"device_id": "cb4493e4af2742b068efd16cb48b7260",
"system_product_name": "example-name",
"product_type": "1",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"major_version": "10",
"platform_id": "0",
"config_id_base": "65994753",
"policies":
[{
"applied": true,
"applied_date": "2019-04-04T06:54:06.909774295Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-04T06:53:57.135897343Z",
"policy_id": "7efdf97d7805402186b61151e8abd745"
}],
"agent_version": "4.26.8904.0",
"pointer_size": "8",
"last_seen": "2019-05-13T07:21:30Z"
},
{
"modified_timestamp": "2019-05-09T14:22:50Z",
"site_name": "Example-Site-Name",
"config_id_platform": "3",
"system_manufacturer": "Dell Inc.",
"meta": {"version": "77747"},
"first_seen": "2018-07-01T12:19:23Z",
"platform_name": "Windows",
"service_pack_minor": "0",
"product_type_desc": "Workstation",
"build_number": "17134",
"hostname":"example-hostname",
"config_id_build": "8904",
"minor_version": "0",
"os_version": "Windows 10",
"provision_status": "Provisioned",
"mac_address": "01:23:45:ab:cd:ef",
"bios_version": "1.2.1",
"agent_load_flags": "0",
"status": "normal",
"bios_manufacturer": "Example Inc.",
"machine_domain": "example.com",
"device_policies":
{
"sensor_update":
{
"applied": true,
"applied_date": "2019-05-02T22:10:50.336101107Z",
"settings_hash": "65994753|3|2|automatic",
"policy_type": "sensor-update",
"assigned_date": "2019-05-02T22:10:50.336100731Z",
"policy_id": "9d1e405846de4ebdb63f674866d390dc"
},
"remote_response":
{
"applied": true,
"applied_date": "2019-02-08T02:46:31.919442939Z",
"settings_hash": "f472bd8e",
"policy_type": "remote-response",
"assigned_date": "2019-02-08T02:46:22.219718098Z",
"policy_id": "21e4fb4dedd74c6fb0bcd6a348aa046c"
},
"device_control":
{
"applied": true,
"applied_date": "2019-03-24T16:43:31.777981725Z",
"assigned_date": "2019-03-24T16:42:21.395540493Z",
"policy_type": "device-control",
"policy_id": "c360df7193364b23aa4fc47f0238c899"
},
"prevention":
{
"applied": true,
"applied_date": "2019-04-03T23:58:50.870694195Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-03T23:57:22.534513932Z",
"policy_id": "7efdf97d7805402186b61151e8abd745"
},
"global_config":
{
"applied": true,
"applied_date": "2019-02-08T01:14:14.810607774Z",
"settings_hash": "3d78f9ab",
"policy_type": "globalconfig",
"assigned_date": "2019-02-08T01:14:05.585922067Z",
"policy_id": "985b1a25afcb489ea442d2d1430b1679"
}
},
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"agent_local_time": "2019-05-03T01:10:29.340Z",
"slow_changing_modified_timestamp": "2019-05-02T22:10:46Z",
"service_pack_major": "0",
"device_id": "1c2f1a7f88f8457f532f1c615f07617b",
"system_product_name": "Example Name",
"product_type": "1",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"major_version": "10",
"platform_id": "0",
"config_id_base": "65994753",
"policies":
[{
"applied": true,
"applied_date": "2019-04-03T23:58:50.870694195Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-03T23:57:22.534513932Z",
"policy_id": "7efdf97d7805402186b61151e8abd745"
}],
"agent_version": "4.26.8904.0",
"pointer_size": "8",
"last_seen": "2019-05-09T14:20:53Z"
}]
输出消息
列出主机操作提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "List Hosts".
Reason: ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表介绍了使用 List Hosts 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
列出已上传的 IOC
使用 List Uploaded IOCs 操作列出 CrowdStrike Falcon 中的可用自定义 IOC。
此操作会在所有实体上运行。
操作输入
列出已上传的 IOC 操作需要以下参数:
| 参数 | |
|---|---|
IOC Type Filter |
可选
要返回的 IOC 类型的英文逗号分隔列表。 默认值为
|
Value Filter Logic |
可选
过滤条件逻辑的值。 默认值为
如果设置了 |
Value Filter String |
可选
用于在 IOC 中进行搜索的字符串。 |
Max IOCs To Return |
可选
要返回的 IOC 数量。 默认值为 最大值为 500。 |
操作输出
列出已上传的 IOC 操作提供以下输出:
| 操作输出类型 | |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
“支持请求墙”表格
在“问题墙”上,“列出已上传的 IOC”操作会提供下表:
列:
- 操作
- 严重程度
- 已签名
- AV Hits
- 平台
- 标记
- 创建时间
- 创建者
JSON 结果
以下示例描述了使用列出已上传的 IOC 操作时收到的 JSON 结果输出:
{
"id": "fbe8c2739f3c6df95e62e0ae54569974437b2d9306eaf6740134ccf1a05e23d3",
"type": "sha256",
"value": "8a86c4eecf12446ff273afc03e1b3a09a911d0b7981db1af58cb45c439161295",
"action": "no_action",
"severity": "",
"metadata": {
"signed": false,
"av_hits": -1
},
"platforms": [
"windows"
],
"tags": [
"Hashes 22.Nov.20 15:29 (Windows)"
],
"expired": false,
"deleted": false,
"applied_globally": true,
"from_parent": false,
"created_on": "2021-04-22T03:54:09.235120463Z",
"created_by": "internal@example.com",
"modified_on": "2021-04-22T03:54:09.235120463Z",
"modified_by": "internal@example.com"
}
输出消息
列出已上传的 IOC 操作会提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
Successfully found custom IOCs for the provided criteria in
CrowdStrike Falcon. |
操作成功。 |
Error executing action "List Uploaded IOCs". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
Error executing action "List Uploaded IOCs". Reason: "IOC Type
Filter" contains an invalid value. Please check the spelling. Possible
values: ipv4, ipv6, md5, sha1, sha256, domain. |
操作失败。 检查拼写和 |
脚本结果
下表介绍了使用 List Uploaded IOCs 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
按需扫描
使用 On-Demand Scan(按需扫描)操作在 CrowdStrike 中按需扫描端点。
此操作仅在 Windows 主机和以下实体上运行:
- IP 地址
- 主机名
按需扫描操作以异步方式运行。如有必要,请在 Google SecOps IDE 中调整脚本超时值。
操作输入
按需扫描操作需要以下参数:
| 参数 | |
|---|---|
File Paths To Scan |
必需 要扫描的路径的逗号分隔列表。 默认值为 |
File Paths To Exclude From Scan |
可选 要从扫描中排除的路径的逗号分隔列表。 |
Host Group Name |
可选 以英文逗号分隔的主机组名称列表,用于启动扫描。 该操作会为每个主机组创建单独的扫描进程。 |
Scan Description |
可选 用于扫描过程的说明。如果您未设置任何值,则该操作会将说明设置为以下内容: |
CPU Priority |
可选 扫描期间用于底层主机的 CPU 量。可能的值如下所示:
默认值为 |
Sensor Anti-malware Detection Level |
可选 传感器反恶意软件检测级别的值。 检测级别必须等于或高于预防级别。 可能的值如下所示:
默认值为 |
Sensor Anti-malware Prevention Level |
可选 传感器反恶意软件防范级别的值。 检测级别必须等于或高于预防级别。 可能的值如下所示:
默认值为 |
Cloud Anti-malware Detection Level |
可选 云端恶意软件检测级别的价值。 检测级别必须等于或高于预防级别。 可能的值如下所示:
默认值为 |
Cloud Anti-malware Prevention Level |
可选 云反恶意软件防范级别的价值。 检测级别必须等于或高于预防级别。 可能的值如下所示:
默认值为 |
Quarantine Hosts |
可选 如果选择此操作,系统会在扫描过程中隔离底层主机。 默认情况下未选中。 |
Create Endpoint Notification |
可选 如果选中此选项,扫描过程会创建端点通知。 此选项将会默认选中。 |
Max Scan Duration |
可选 扫描运行的小时数。 如果您不提供任何值,扫描会持续运行。 |
操作输出
按需扫描操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例介绍了使用按需扫描操作时收到的 JSON 结果输出:
{
"id": "ID",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"profile_id": "c94149b9a52d4c76b027e63a88dcc710",
"description": "test APIS ",
"file_paths": [
"C:\\Windows"
],
"initiated_from": "falcon_adhoc",
"quarantine": true,
"cpu_priority": 1,
"preemption_priority": 1,
"metadata": [
{
"host_id": "HOST_ID",
"host_scan_id": "909262bd2fff664282a46464d8625a62",
"scan_host_metadata_id": "815dae51d8e543108ac01f6f139f42b1",
"filecount": {
"scanned": 16992,
"malicious": 0,
"quarantined": 0,
"skipped": 124998,
"traversed": 198822
},
"status": "completed",
"started_on": "2024-02-05T13:55:45.25066635Z",
"completed_on": "2024-02-05T14:11:18.092427363Z",
"last_updated": "2024-02-05T14:11:18.092431457Z"
}
],
"filecount": {
"scanned": 16992,
"malicious": 0,
"quarantined": 0,
"skipped": 124998,
"traversed": 198822
},
"targeted_host_count": 1,
"completed_host_count": 1,
"status": "completed",
"hosts": [
"86db81f390394cb080417a1ffb7d46fd"
],
"endpoint_notification": true,
"pause_duration": 2,
"max_duration": 1,
"max_file_size": 60,
"sensor_ml_level_detection": 2,
"sensor_ml_level_prevention": 2,
"cloud_ml_level_detection": 2,
"cloud_ml_level_prevention": 2,
"policy_setting": [
26439818674573,
],
"scan_started_on": "2024-02-05T13:55:45.25Z",
"scan_completed_on": "2024-02-05T14:11:18.092Z",
"created_on": "2024-02-05T13:55:43.436807525Z",
"created_by": "88f5d9e8284f4b85b92dab2389cb349d",
"last_updated": "2024-02-05T14:14:18.776620391Z"
}
输出消息
按需扫描操作会提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
|
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表介绍了使用按需扫描操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
Ping
使用 Ping 操作测试与 CrowdStrike Falcon 的连接。
此操作会在所有实体上运行。
操作输入
无。
操作输出
Ping 操作提供以下输出:
| 操作输出类型 | |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 脚本结果 | 可用 |
脚本结果
下表介绍了使用 Ping 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
运行脚本
使用 Run Script 操作在 CrowdStrike 中的端点上执行 PowerShell 脚本。
此操作是异步的。如有必要,请在 Google SecOps IDE 中调整脚本超时值。
此操作会在 IP 地址和主机名实体上运行。
操作输入
运行脚本操作需要以下参数:
| 参数 | |
|---|---|
Customer ID |
可选 要为其执行操作的客户的 ID。 |
Script Name |
可选 要执行的脚本文件的名称。 配置 |
Raw Script |
可选 要在端点上执行的原始 PowerShell 脚本载荷。 配置 |
操作输出
运行脚本操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
输出消息
在“支持请求墙”上,“运行脚本”操作会提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
|
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表介绍了使用运行脚本操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
搜索活动
使用此操作可在 CrowdStrike 中搜索事件。 注意:操作以异步方式运行,请根据需要在 Google SecOps IDE 中调整操作的脚本超时值。
此操作不会在实体上运行。
操作输入
搜索活动操作需要以下参数:
| 参数 | |
|---|---|
Repository |
必需
应搜索的代码库。 可能的值如下所示:
|
Query |
必需
需要在 CrowdStrike 中执行的查询。 注意:请勿在查询中提供“head”。操作会根据“要返回的最大结果数”参数中提供的值自动提供该值。 |
Time Frame |
可选
结果的时间范围。如果选择“自定义”,您还需要提供“开始时间”。 “过去 1 小时”的可能值如下:
|
Start Time |
可选
结果的开始时间。如果为“时间范围”参数选择“自定义”,则此参数是必需的。 格式:ISO 8601。 |
End Time |
可选
要为查询返回的结果数。 操作会将“head”附加到提供的查询中。 默认值:50。最大值:1000。 |
操作输出
搜索活动操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
输出消息
在“支持请求墙”上,“搜索事件”操作会提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
|
该操作不应失败或停止 playbook 执行。 |
|
|
操作失败。 |
脚本结果
下表介绍了使用 Search Events 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
提交文件
使用提交文件操作可将文件提交到 CrowdStrike 中的沙盒。
此操作需要 Falcon 沙箱许可。
此操作不会在实体上运行。
支持的文件和归档格式
根据 CrowdStrike 门户网站的说明,沙盒支持以下文件格式:
| 支持的文件格式 | |
|---|---|
.exe、.scr、.pif、.dll、.com、.cpl |
可移植可执行文件 |
.doc、.docx、.ppt、.pps、.pptx、.ppsx、.xls、.xlsx、.rtf、.pub |
Office 文档 |
.pdf |
|
.apk |
APK |
.jar |
可执行 JAR |
.sct |
Windows 脚本组件 |
.lnk |
Windows 快捷方式 |
.chm |
Windows 帮助 |
.hta |
HTML 应用 |
.wsf |
Windows 脚本文件 |
.js |
JavaScript |
.vbs,.vbe |
Visual Basic |
.swf |
Shockwave Flash |
.pl |
Perl |
.ps1、.psd1、.psm1 |
PowerShell |
.svg |
可缩放矢量图形 |
.py |
Python |
.elf |
Linux ELF 可执行文件 |
.eml |
电子邮件文件:MIME RFC 822 |
.msg |
电子邮件文件:Outlook |
根据 CrowdStrike 门户网站的说明,沙盒支持以下归档格式:
.zip.7z
操作输入
提交文件操作需要以下参数:
| 参数 | |
|---|---|
File Paths |
必需
提交的文件的绝对路径列表。 格式取决于您的部署:
如需查看支持的文件格式列表,请参阅支持的文件和归档格式。 |
Sandbox Environment |
可选
用于分析的沙盒环境。 默认值为
|
Network Environment |
可选
要分析的网络环境。 默认值为
|
Archive Password |
可选
处理归档文件时要使用的密码。 |
Document Password |
可选
在处理 Adobe 或 Office 文件时使用的密码。 密码长度上限为 32 个字符。 |
Check Duplicate |
可选
如果选择此操作,系统会检查相应文件之前是否已提交,并返回可用的报告。 在验证期间,操作不会考虑 此选项将会默认选中。 |
Comment |
可选
要提交的评论。 |
Confidential Submission |
可选
如果选择此选项,则文件仅向您客户账号内的用户显示。 默认情况下未选中。 |
操作输出
提交文件操作会提供以下输出:
| 操作输出类型 | |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
“支持请求墙”表格
在案例墙上,提交文件操作会提供下表:
列:
- 结果
- 名称
- 威胁得分
- 判定
- 标记
输出消息
提交文件操作提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
|
相应操作返回了错误。 查看此操作的支持的文件格式。 |
Waiting for results for the following
files: PATHS |
异步消息。 |
Error executing action "Submit File".
Reason: ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
Error executing action "Submit File".
Reason: action ran into a timeout during execution. Pending files:
FILES_IN_PROGRESS. Please increase
the timeout in IDE.
|
操作失败。 增加 IDE 中的超时时间。 |
脚本结果
下表介绍了使用 Submit File 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
提交网址
使用提交网址操作将网址提交到 CrowdStrike 中的沙盒。
此操作需要 Falcon 沙箱许可。如需查看沙盒支持哪些文件格式,请参阅本文档的支持的文件和归档格式部分。
此操作不会在实体上运行。
操作输入
提交网址操作需要以下参数:
| 参数 | |
|---|---|
URLs |
必需
要提交的网址。 |
Sandbox Environment |
可选
用于分析的沙盒环境。 默认值为
|
Network Environment |
可选
要分析的网络环境。 默认值为
|
Check Duplicate |
可选
如果选中此选项,该操作会检查相应网址之前是否已提交过,并返回可用的报告。 在验证期间,操作不会考虑 此选项将会默认选中。 |
操作输出
提交网址操作提供以下输出:
| 操作输出类型 | |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
输出消息
提交网址操作会提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Waiting for results for the following
URLs: PATHS |
异步消息。 |
Error executing action "Submit URL".
Reason: ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
Error executing action "Submit URL".
Reason: action ran into a timeout during execution. Pending files:
FILES_IN_PROGRESS. Please increase
the timeout in IDE. |
操作失败。 增加 IDE 中的超时时间。 |
脚本结果
下表介绍了使用提交网址操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
更新提醒
使用 Update Alert 操作更新 CrowdStrike Falcon 中的提醒。
此操作不会在实体上运行。
操作输入
更新提醒操作需要以下参数:
| 参数 | |
|---|---|
Alert ID |
必需 要更新的提醒的 ID。 |
Status |
可选 提醒的状态。 可能的值如下:
|
Verdict |
可选 相应提醒的判决。 可能的值如下:
|
Assign To |
可选 要将提醒分配给的分析师的名称。 如果您提供 即使所提供的用户在系统中不存在,该 API 也会接受任何值。 |
操作输出
更新提醒操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例介绍了使用更新提醒操作时收到的 JSON 结果输出:
{
"added_privileges": [
"DomainAdminsRole"
],
"aggregate_id": "aggind:ID",
"assigned_to_uid": "example@example.com",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"composite_id": "27fe4e476ca3490b8476b2b6650e5a74:ind:ID",
"confidence": 20,
"context_timestamp": "2022-11-15T12:58:15.629Z",
"crawl_edge_ids": {
"Sensor": [
"N6KIZ`%V`&d#&#sRaHNV[f3[CA4lr/C_N;.JnbglJpdg8TCCTqnr!9D\\['ALM&eNbPq?kt$#@]+01Ac[&th0-0]E'J8:]mFV?'g5HZ/$B.%BC29_`4U_?%a)_&#k>,G>:=E>%[7^<aLSVj=`UCMcRUH[a9/*^hO_7Ft(js#P<M<(eG3(B=I8rr",
"XNXnKK.mi:ckQ^2c7AGRMK^'rd:p[_JkD_5ZM$W:d'J8oN:42nj.Ho1-^E5D16b0VALJ`2cDEEJTVdY\\n.-WQ^_B[7$1pH[Glgm@go]-LB%M1,c#2F)nli-Ge#V<=[!c_jh8e3D8E-S0FheDm*BHh-P/s6q!!*'!",
"N6L*L\">LGfi/.a$IkpaFlWjT.YU#P@Gu8Qe6'0SK=M]ChI,FQXqo=*M(QR+@6c8@m1pIc)Dqs+WLXjbpom5@$T+oqC5RJk!9atPF/<mG'H`V9P0YII;!>C8YL)XS&ATORi>!U.7<Ds\"<dT/Mkp\\V%!U[RS_YC/Wrn[Z`S(^4NU,lV#X3/#pP7K*>g!<<'"
]
},
"crawl_vertex_ids": {
"Sensor": [
"aggind:ID",
"idpind:ID",
"ind:ID",
"uid:ID"
]
},
"crawled_timestamp": "2022-11-15T13:58:17.251061883Z",
"created_timestamp": "2022-11-15T12:59:17.239585706Z",
"description": "A user received new privileges",
"display_name": "Privilege escalation (user)",
"end_time": "2022-11-15T12:58:15.629Z",
"falcon_host_link": "https://falcon.crowdstrike.com/identity-protection/detections/ID",
"id": "ind:ID",
"name": "IdpEntityPrivilegeEscalationUser",
"objective": "Gain Access",
"pattern_id": 51113,
"previous_privileges": "0",
"privileges": "8321",
"product": "idp",
"scenario": "privilege_escalation",
"severity": 2,
"show_in_ui": true,
"source_account_domain": "EXAMPLE.EXAMPLE",
"source_account_name": "ExampleMailbox",
"source_account_object_sid": "S-1-5-21-3479765008-4256118348-3151044947-3595",
"start_time": "2022-11-15T12:58:15.629Z",
"status": "new",
"tactic": "Privilege Escalation",
"tactic_id": "TA0004",
"tags": [
"red_team"
],
"technique": "Valid Accounts",
"technique_id": "T1078",
"timestamp": "2022-11-15T12:58:17.239Z",
"type": "idp-user-endpoint-app-info",
"updated_timestamp": "2022-11-23T15:22:20.271100181Z"
}
输出消息
更新提醒操作提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
Successfully updated alert with ID
ALERT_ID in CrowdStrike |
操作成功。 |
|
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表介绍了使用更新提醒操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
更新检测
使用更新检测操作来更新 CrowdStrike Falcon 中的检测。
此操作会在所有实体上运行。
操作输入
更新检测操作需要以下参数:
| 参数 | |
|---|---|
Detection ID |
必需
要更新的检测的 ID。 |
Status |
必需
检测状态。 默认值为
|
Assign Detection to |
可选
检测结果的指派对象的 CrowdStrike Falcon 用户的电子邮件地址。 |
操作输出
更新检测操作提供以下输出:
| 操作输出类型 | |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
输出消息
更新检测操作提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
Successfully updated detection
DETECTION_ID in CrowdStrike Falcon.
|
操作成功。 |
Error executing action "Update
Detection". Reason: ERROR_REASON
|
操作失败。 检查与服务器的连接、输入参数或凭据。 |
Error executing action "Update
Detection". Reason: Either "Status" or "Assign Detection To" should have a
proper value. |
操作失败。 检查 |
脚本结果
下表介绍了使用更新检测操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
更新了身份保护检测
使用 Update Identity Protection Detection 更新 CrowdStrike 中的身份保护检测。
此操作需要 Identity Protection 许可。
此操作不会在实体上运行。
操作输入
更新身份保护检测操作需要以下参数:
| 参数 | |
|---|---|
Detection ID |
必需
要更新的检测的 ID。 |
Status |
可选
检测的状态。 默认值为 可能的值如下:
|
Assign to |
可选
分配的分析师的姓名。 如果提供了 如果提供的值无效,该操作不会更改当前受让人。 |
操作输出
更新 Identity Protection 检测操作提供以下输出:
| 操作输出类型 | |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例介绍了使用 Update Identity Protection Detection 操作时收到的 JSON 结果输出:
{
"added_privileges": [
"DomainAdminsRole"
],
"aggregate_id": "aggind:ID",
"assigned_to_uid": "example@example.com",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"composite_id": "27fe4e476ca3490b8476b2b6650e5a74:ind:ID",
"confidence": 20,
"context_timestamp": "2022-11-15T12:58:15.629Z",
"crawl_edge_ids": {
"Sensor": [
"N6KIZ`%V`&d#&#sRaHNV[f3[CA4lr/C_N;.JnbglJpdg8TCCTqnr!9D\\['ALM&eNbPq?kt$#@]+01Ac[&th0-0]E'J8:]mFV?'g5HZ/$B.%BC29_`4U_?%a)_&#k>,G>:=E>%[7^<aLSVj=`UCMcRUH[a9/*^hO_7Ft(js#P<M<(eG3(B=I8rr",
"XNXnKK.mi:ckQ^2c7AGRMK^'rd:p[_JkD_5ZM$W:d'J8oN:42nj.Ho1-^E5D16b0VALJ`2cDEEJTVdY\\n.-WQ^_B[7$1pH[Glgm@go]-LB%M1,c#2F)nli-Ge#V<=[!c_jh8e3D8E-S0FheDm*BHh-P/s6q!!*'!",
"N6L*L\">LGfi/.a$IkpaFlWjT.YU#P@Gu8Qe6'0SK=M]ChI,FQXqo=*M(QR+@6c8@m1pIc)Dqs+WLXjbpom5@$T+oqC5RJk!9atPF/<mG'H`V9P0YII;!>C8YL)XS&ATORi>!U.7<Ds\"<dT/Mkp\\V%!U[RS_YC/Wrn[Z`S(^4NU,lV#X3/#pP7K*>g!<<'"
]
},
"crawl_vertex_ids": {
"Sensor": [
"aggind:ID",
"idpind:ID",
"ind:ID",
"uid:ID"
]
},
"crawled_timestamp": "2022-11-15T13:58:17.251061883Z",
"created_timestamp": "2022-11-15T12:59:17.239585706Z",
"description": "A user received new privileges",
"display_name": "Privilege escalation (user)",
"end_time": "2022-11-15T12:58:15.629Z",
"falcon_host_link": "https://example.com/",
"id": "ind:ID",
"name": "IdpEntityPrivilegeEscalationUser",
"objective": "Gain Access",
"pattern_id": 51113,
"previous_privileges": "0",
"privileges": "8321",
"product": "idp",
"scenario": "privilege_escalation",
"severity": 2,
"show_in_ui": true,
"source_account_domain": "EXAMPLE.COM",
"source_account_name": "ExampleName",
"source_account_object_sid": "S-1-5-21-3479765008-4256118348-3151044947-3595",
"start_time": "2022-11-15T12:58:15.629Z",
"status": "new",
"tactic": "Privilege Escalation",
"tactic_id": "TA0004",
"tags": [
"red_team"
],
"technique": "Valid Accounts",
"technique_id": "T1078",
"timestamp": "2022-11-15T12:58:17.239Z",
"type": "idp-user-endpoint-app-info",
"updated_timestamp": "2022-11-23T15:22:20.271100181Z"
}
输出消息
在支持请求墙上,“更新身份保护检测”操作会提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
Successfully updated identity protection detection with ID
DETECTION_ID in CrowdStrike.
|
操作成功。 |
Error executing action "Update Identity Protection Detection".
Reason: ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
Error executing action "Update Identity Protection Detection".
Reason: identity protection detection with ID
DETECTION_ID wasn't found in
CrowdStrike. Please check the spelling. |
操作失败。 检查拼写。 |
Error executing action "Update
Identity Protection Detection". Reason: at least one of the "Status" or
"Assign To" parameters should have a value. |
操作失败。 检查 |
脚本结果
下表介绍了使用 Update Identity Protection Detection 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
更新突发事件
使用 Update Incident 操作更新 CrowdStrike 中的突发事件。
此操作不会在实体上运行。
操作输入
更新突发事件操作需要以下参数:
| 参数 | |
|---|---|
Incident ID |
必需
要更新的突发事件的 ID。 |
Status |
可选
突发事件的状态。 可能的值如下:
|
Assign to |
可选
分配的分析师的姓名或电子邮件地址。 如果提供了 如需指定名称,请按以下格式提供分析师的名字和姓氏:
|
操作输出
更新突发事件操作提供以下输出:
| 操作输出类型 | |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例介绍了使用更新突发事件操作时收到的 JSON 结果输出:
{
"data_type": "Incident"
"incident_id": "inc:fee8a6ef0cb3412e9a781dcae0287c85:9dfa480ae6214309bff0c8dc2ad8af7c",
"incident_type": 1,
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"host_ids": [
"fee8a6ef0cb3412e9a781dcae0287c85"
],
"hosts": [
{
"device_id": "fee8a6ef0cb3412e9a781dcae0287c85",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"agent_load_flags": "1",
"agent_local_time": "2023-01-09T11:28:59.170Z",
"agent_version": "6.48.16207.0",
"bios_manufacturer": "Example Inc.",
"bios_version": "1.20.0",
"config_id_base": "65994753",
"config_id_build": "16207",
"config_id_platform": "3",
"external_ip": "198.51.100.1",
"hostname": "DESKTOP-EXAMPLE",
"first_seen": "2022-09-26T09:56:42Z",
"last_seen": "2023-01-09T12:11:35Z",
"local_ip": "192.0.2.1",
"mac_address": "00-15-5d-65-39-86",
"major_version": "10",
"minor_version": "0",
"os_version": "Windows 10",
"platform_id": "0",
"platform_name": "Windows",
"product_type": "1",
"product_type_desc": "Workstation",
"status": "contained",
"system_manufacturer": "Example Inc.",
"system_product_name": "G5 5500",
"modified_timestamp": "2023-01-09T12:11:48Z"
}
],
"created": "2023-01-09T12:12:51Z",
"start": "2023-01-09T11:23:27Z",
"end": "2023-01-09T12:52:01Z",
"state": "closed",
"status": 20,
"tactics": [
"Defense Evasion",
"Privilege Escalation",
"Credential Access"
],
"techniques": [
"Disable or Modify Tools",
"Access Token Manipulation",
"Input Capture",
"Bypass User Account Control"
],
"objectives": [
"Keep Access",
"Gain Access"
],
"users": [
"DESKTOP-EXAMPLE$",
"EXAMPLE"
],
"fine_score": 21
}
输出消息
更新突发事件操作提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
Successfully Successfully updated incident with ID
INCIDENT_ID in
CrowdStrike |
操作成功。 |
Error executing action "Update
Incident". Reason: ERROR_REASON
|
操作失败。 检查与服务器的连接、输入参数或凭据。 |
Error executing action "Update Incident". Reason: incident with
ID INCIDENT_ID wasn't found in
CrowdStrike. Please check the spelling. |
操作失败。 检查拼写。 |
Error executing action "Update
Incident". Reason: user USER_ID
wasn't found in CrowdStrike. Please check the spelling. |
操作失败。 检查拼写。 |
Error executing action "Update
Incident". Reason: at least one of the "Status" or "Assign To" parameters
should have a value. |
操作失败。 检查输入参数。 |
脚本结果
下表介绍了使用更新突发事件操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
更新了 IOC 信息
使用更新 IOC 信息操作来更新 CrowdStrike Falcon 中有关自定义 IOC 的信息。
此操作会将主机名实体视为网域 IOC,并从网址中提取网域部分。此操作仅支持 MD5 和 SHA-256 哈希。
更新 IOC 信息操作在以下实体上运行:
- 主机名
- 网址
- IP 地址
- 哈希
操作输入
更新 IOC 信息操作需要以下参数:
| 参数 | |
|---|---|
Description |
可选
自定义 IOC 的新说明。 |
Source |
可选
自定义 IOC 的来源。 |
Expiration days |
可选
距离到期还剩的天数。 此参数仅影响网址、IP 地址和主机名实体。 |
Detect policy |
可选
如果选择此操作,系统会针对已识别的 IOC 发送通知。如果未选择,则操作不会发送任何通知。 此选项将会默认选中。 |
操作输出
更新 IOC 信息操作提供以下输出:
| 操作输出类型 | |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例描述了使用更新 IOC 信息操作时收到的 JSON 结果输出:
{
"id": "563df6a812f2e7020a17f77ccd809176ca3209cf7c9447ee36c86b4215860856",
"type": "md5",
"value": "7e4b0f81078f27fde4aeb87b78b6214c",
"source": "testSource",
"action": "detect",
"severity": "high",
"description": "test description update",
"platforms": [
"example"
],
"tags": [
"Hashes 17.Apr.18 12:20 (Example)"
],
"expiration": "2022-05-01T12:00:00Z",
"expired": false,
"deleted": false,
"applied_globally": true,
"from_parent": false,
"created_on": "2021-04-22T03:54:09.235120463Z",
"created_by": "internal@example.com",
"modified_on": "2021-09-16T10:09:07.755804336Z",
"modified_by": "c16fd3a055eb46eda81e064fa6dd43de"
}
输出消息
在“案例墙”上,“更新 IOC 信息”操作会提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Update IOC
Information". Reason: ERROR_REASON
|
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表介绍了使用更新 IOC 信息 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
上传 IOC
使用 Upload IOCs 操作可在 CrowdStrike Falcon 中添加自定义 IOC。
此操作会将主机名实体视为网域 IOC,并从网址中提取网域部分。此操作仅支持 MD5 和 SHA-256 哈希。
上传 IOC 操作在以下实体上运行:
- IP 地址
- 主机名
- 网址
- 哈希
操作输入
上传 IOC 操作需要以下参数:
| 参数 | |
|---|---|
Platform |
必需
与 IOC 相关的平台列表(以英文逗号分隔)。 默认值为
|
Severity |
必需
IOC 的严重程度。 默认值为
|
Comment |
可选
包含与 IOC 相关的更多背景信息的评论。 |
Host Group Name |
必需
主机组的名称。 |
Action |
可选
针对上传的 IOC 的操作。 默认值为 可能的值如下:
|
操作输出
上传 IOC 操作会提供以下输出:
| 操作输出类型 | |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
输出消息
上传 IOC 操作提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Upload IOCs".
Reason: ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
Error executing action "Upload IOCs". Reason: Host group
"HOST_GROUP_NAME" was not found.
Please check the spelling. |
操作失败。 检查 |
Error executing action "Upload IOCs".
Invalid value provided for the parameter "Platform". Possible values:
Windows, Linux, Mac. |
操作失败。 检查 |
脚本结果
下表介绍了使用上传 IOC 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
连接器
请确保您已为每个 CrowdStrike 连接器配置最低权限。如需了解详情,请参阅本文档的连接器权限部分。
如需了解如何在 Google SecOps 中配置连接器,请参阅注入数据(连接器)。
CrowdStrike 事件
事件是指由主机上的 Falcon 传感器收集的信息。 CrowdStrike 中的事件分为四种类型:
| CrowdStrike 事件类型 | |
|---|---|
| 身份验证活动审核事件 | 每次在端点上请求、允许或完成授权时生成的事件。 |
| 检测摘要事件 | 在端点上检测到威胁时生成的事件。 |
| 远程响应会话结束事件 | 从端点上的远程会话生成的事件。 |
| 用户活动审核事件 | 生成的用于监控活跃用户在端点上执行的活动的事件。 |
连接器会将事件注入到 Google SecOps 中,以创建提醒并使用事件数据丰富案例。您可以选择将哪些事件注入到 Google SecOps 中:所有事件类型或选定的事件类型。
CrowdStrike 检测连接器
使用 CrowdStrike 检测连接器从 CrowdStrike 拉取检测结果。
动态列表适用于 CrowdStrike API 支持的过滤条件。
如何使用动态列表
使用动态列表时,请遵循以下建议:
- 使用 CrowdStrike FQL 语言修改连接器发送的过滤条件。
- 为每个过滤条件在动态列表中提供单独的条目。
如需注入分配给特定分析师的所有检测结果,请确保该分析师提供以下动态列表条目:
assigned_to_name:'ANALYST_USER_NAME'
动态列表支持以下参数:
| 支持的参数 | |
|---|---|
q |
对所有元数据字段进行全文搜索。 |
date_updated |
最近一次检测更新的日期。 |
assigned_to_name |
检测分配对象的直观易懂的用户名。 |
max_confidence |
如果检测到多个关联行为,且这些行为的置信度各不相同,则此字段会捕获所有行为的最高置信度值。 参数值可以是 1 到 100 之间的任何整数。 |
detection_id |
可与其他 API(例如检测详情 API 或解析检测 API)搭配使用的检测 ID。 |
max_severity |
如果检测到多个关联行为,且这些行为的严重程度各不相同,则此字段会捕获所有行为的最高严重程度值。 参数值可以是 1 到 100 之间的任何整数。 |
max_severity_displayname |
界面中用于确定检测严重程度的名称。 可能的值如下:
|
seconds_to_triaged |
检测从 new 状态更改为 in_progress 状态所需的时间。 |
seconds_to_resolved |
检测从 new 状态变为任何已解决状态(true_positive、false_positive、ignored 和 closed)所需的时间。 |
status |
检测的当前状态。 可能的值如下:
|
adversary_ids |
CrowdStrike Falcon Intelligence 跟踪的攻击者拥有与检测中归因的行为或指示相关联的 ID。 这些 ID 位于可通过检测详情 API 访问的检测元数据中。 |
cid |
您组织的客户 ID (CID)。 |
连接器参数
CrowdStrike 检测连接器需要以下参数:
| 参数 | |
|---|---|
Product Field Name |
必需
包含 默认值为 |
Event Field Name |
必需
包含 默认值为 |
Environment Field Name |
可选
存储环境名称的字段的名称。 如果找不到环境字段,则使用默认环境。 默认值为 |
Environment Regex Pattern |
可选
要对 使用默认值 如果正则表达式模式为 null 或空,或者环境值为 null,则最终环境结果为默认环境。 |
Script Timeout (Seconds) |
必需 运行当前脚本的 Python 进程的超时时间限制(以秒为单位)。 默认值为 |
API Root |
必需
CrowdStrike 实例的 API 根。 默认值为 |
Client ID |
必需
CrowdStrike 账号的客户端 ID。 |
Client Secret |
必需
CrowdStrike 账号的客户端密钥。 |
Lowest Severity Score To Fetch |
可选
要提取的检测结果的最低严重程度得分。 如果未提供任何值,连接器将不应用此过滤条件。 最大值为 默认值为 |
Lowest Confidence Score To Fetch |
可选
要提取的检测结果的最低置信度得分。 如果未提供任何值,连接器将不应用此过滤条件。 最大值为 默认值为 |
Max Hours Backwards |
可选
提取检测结果的小时数。 默认值为 |
Max Detections To Fetch |
可选
单次连接器迭代中要处理的检测次数。 默认值为 |
Disable Overflow |
可选 如果选中此选项,连接器会忽略溢出机制。 默认情况下未选中。 |
Verify SSL |
必需
如果选择此项,集成会验证与 CrowdStrike 服务器的连接所用的 SSL 证书是否有效。 默认情况下未选中。 |
Proxy Server Address |
可选
要使用的代理服务器的地址。 |
Proxy Username |
可选
用于进行身份验证的代理用户名。 |
Proxy Password |
可选
用于进行身份验证的代理密码。 |
Case Name Template |
可选
如果提供了该参数,连接器会向 Google SecOps 事件添加一个名为 您可以按以下格式提供占位符:[ 注意:连接器使用第一个 Google SecOps 事件作为占位符。此参数仅允许使用具有字符串值的键。 |
Alert Name Template |
可选
如果提供,连接器会将此值用作 Google SecOps 提醒名称。 您可以按以下格式提供占位符:[ 注意:如果您未提供值或提供的模板无效,连接器将使用默认的提醒名称。连接器使用第一个 Google SecOps 事件作为占位符。此参数仅允许使用具有字符串值的键。 |
Padding Period |
可选
连接器用于填充的小时数。 最大值为 |
Include Hidden Alerts |
可选
如果启用,连接器还会提取 CrowdStrike 标记为“隐藏”的提醒。 |
Fallback Severity |
可选
应应用于缺少严重程度信息的 CrowdStrike 提醒的 Google SecOps 提醒的后备严重程度。可能的值:信息性、低、中、高、严重。如果未提供任何内容,连接器将使用“信息”严重程度。 |
Customer ID |
可选 要执行连接器的租户的客户 ID。适用于多租户 (MSSP) 环境。 |
连接器规则
连接器支持代理。
连接器事件
连接器事件的示例如下:
{
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"created_timestamp": "2021-01-12T16:19:08.651448357Z",
"detection_id": "ldt:74089e36ac3a4271ab14abc076ed18eb:4317290676",
"device": {
"device_id": "74089e36ac3a4271ab14abc076ed18eb",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"agent_load_flags": "0",
"agent_local_time": "2021-01-12T16:07:16.205Z",
"agent_version": "6.13.12708.0",
"bios_manufacturer": "Example LTD",
"bios_version": "6.00",
"config_id_base": "65994753",
"config_id_build": "12708",
"config_id_platform": "3",
"external_ip": "203.0.113.1",
"hostname": "EXAMPLE-01",
"first_seen": "2021-01-12T16:01:43Z",
"last_seen": "2021-01-12T16:17:21Z",
"local_ip": "192.0.2.1",
"mac_address": "00-50-56-a2-5d-a3",
"major_version": "10",
"minor_version": "0",
"os_version": "Windows 10",
"platform_id": "0",
"platform_name": "Windows",
"product_type": "1",
"product_type_desc": "Workstation",
"status": "normal",
"system_manufacturer": "Example, Inc.",
"system_product_name": "Example ",
"modified_timestamp": "2021-01-12T16:17:29Z",
"behaviors":
{
"device_id": "74089e36ac3a4271ab14abc076ed18eb",
"timestamp": "2021-01-12T16:17:19Z",
"template_instance_id": "10",
"behavior_id": "10146",
"filename": "reg.exe",
"filepath": "\\Device\\HarddiskVolume2\\Windows\\System32\\reg.exe",
"alleged_filetype": "exe",
"cmdline": "REG ADD HKCU\\Environment /f /v UserInitMprLogonScript /t REG_MULTI_SZ /d \"C:\\TMP\\mim.exe sekurlsa::LogonPasswords > C:\\TMP\\o.txt\"",
"scenario": "credential_theft",
"objective": "Gain Access",
"tactic": "Credential Access",
"tactic_id": "TA0006",
"technique": "Credential Dumping",
"technique_id": "T1003",
"display_name": "Example-Name",
"severity": 70,
"confidence": 80,
"ioc_type": "hash_sha256",
"ioc_value": "b211c25bf0b10a82b47e9d8da12155aad95cff14cebda7c4acb35a94b433ddfb",
"ioc_source": "library_load",
"ioc_description": "\\Device\\HarddiskVolume2\\Windows\\System32\\reg.exe",
"user_name": "Admin",
"user_id": "example-id",
"control_graph_id": "ctg:74089e36ac3a4271ab14abc076ed18eb:4317290676",
"triggering_process_graph_id": "pid:74089e36ac3a4271ab14abc076ed18eb:4746437404",
"sha256": "b211c25bf0b10a82b47e9d8da12155aad95cff14cebda7c4acb35a94b433ddfb",
"md5": "05cf3ce225b05b669e3118092f4c8eab",
"parent_details": {
"parent_sha256": "d0ceb18272966ab62b8edff100e9b4a6a3cb5dc0f2a32b2b18721fea2d9c09a5",
"parent_md5": "9d59442313565c2e0860b88bf32b2277",
"parent_cmdline": "C:\\Windows\\system32\\cmd.exe /c \"\"C:\\Users\\Admin\\Desktop\\APTSimulator-master\\APTSimulator-master\\APTSimulator.bat\" \"",
"parent_process_graph_id": "pid:74089e36ac3a4271ab14abc076ed18eb:4520199381"
},
"pattern_disposition": 2048,
"pattern_disposition_details": {
"indicator": false,
"detect": false,
"inddet_mask": false,
"sensor_only": false,
"rooting": false,
"kill_process": false,
"kill_subprocess": false,
"quarantine_machine": false,
"quarantine_file": false,
"policy_disabled": false,
"kill_parent": false,
"operation_blocked": false,
"process_blocked": true,
"registry_operation_blocked": false,
"critical_process_disabled": false,
"bootup_safeguard_enabled": false,
"fs_operation_blocked": false,
"handle_operation_downgraded": false
}
}
},
"email_sent": false,
"first_behavior": "2021-01-12T16:17:19Z",
"last_behavior": "2021-01-12T16:17:19Z",
"max_confidence": 80,
"max_severity": 70,
"max_severity_displayname": "High",
"show_in_ui": true,
"status": "new",
"hostinfo": {
"domain": ""
},
"seconds_to_triaged": 0,
"seconds_to_resolved": 0,
}
CrowdStrike Falcon Streaming Events 连接器
CrowdStrike Falcon Streaming Events 连接器可满足以下使用情形:
检测事件数据注入。
CrowdStrike Falcon 检测到有人尝试在端点上执行恶意
SophosCleanM.exe文件。CrowdStrike 会停止该操作,并在事件数据中创建包含文件哈希的提醒。一位对文件信誉感兴趣的分析师在 VirusTotal 中运行发现的哈希值,并发现其中一个哈希值是恶意的。接下来,McAfee EDR 操作会隔离恶意文件。
用户活动审核事件数据注入。
CrowdStrike 用户 Dani 将检测状态从
new更新为false-positive。此用户操作会创建一个名为 detection_update 的事件。分析师随后跟进,了解 Dani 为何将该操作标记为假正例,并检查包含 Dani 身份信息的已提取事件。
接下来,分析师运行 Active Directory 丰富实体操作,以获取有关该事件的更多详细信息,并简化对 Dani 的追踪。
身份验证活动审核事件数据注入。
此事件表示 Dani 已创建新用户账号并向其授予用户角色。
为了调查此事件并了解创建该用户的原因,分析师使用 Dani 的用户 ID 运行 Active Directory 丰富实体操作,并找出 Dani 的用户角色,以确认其是否有权添加新用户。
远程响应结束事件数据注入。
远程事件表明,Dani 曾远程连接到特定主机,并以根用户身份执行命令来访问 Web 服务器目录。
为了详细了解 Dani 和相关主机,分析师运行 Active Directory 操作来丰富用户和主机信息。根据返回的信息,分析师可能会决定暂停 Dani 的账号,直到远程连接的目的明确为止。
连接器输入
CrowdStrike Falcon 流式事件连接器需要以下参数:
| 参数 | |
|---|---|
Product Field Name |
必需
包含 默认值为 |
Event Field Name |
必需
包含 默认值为 |
Environment Field Name |
可选
存储环境名称的字段的名称。 如果找不到环境字段,则使用默认环境。 默认值为 |
Environment Regex Pattern |
可选
要对 使用默认值 如果正则表达式模式为 null 或空,或者环境值为 null,则最终环境结果为默认环境。 |
Alert Name Template |
可选
如果提供,连接器会将此值用作 Google SecOps 提醒名称。 您可以按以下格式提供占位符:[ 注意:如果您未提供值或提供的模板无效,连接器将使用默认的提醒名称。连接器使用第一个 Google SecOps 事件作为占位符。此参数仅允许使用具有字符串值的键。 |
API Root |
必需
CrowdStrike 实例的 API 根。 默认值为 |
Client ID |
必需
CrowdStrike 账号的客户端 ID。 |
Client Secret |
必需
CrowdStrike 账号的客户端密钥。 |
Event types |
可选
以英文逗号分隔的事件类型列表。 以下是事件类型的示例:
|
Max Days Backwards |
可选
要检索检测结果的日期(相对于今天)。 默认值为 |
Max Events Per Cycle |
可选
单次连接器迭代中要处理的事件数量。 默认值为 |
Min Severity |
可选 要根据事件严重程度(检测事件)注入的事件。该值的范围为 0 到 5。 如果除了检测事件之外还提取了其他事件类型,则这些事件的严重程度会设置为 |
Disable Overflow |
可选 如果选中此选项,连接器会忽略溢出机制。 默认情况下未选中。 |
Verify SSL |
必需
如果选择此项,集成会验证与 CrowdStrike 服务器的连接所用的 SSL 证书是否有效。 默认情况下未选中。 |
Script Timeout (Seconds) |
必需 运行当前脚本的 Python 进程的超时时间限制。 默认值为 60 秒。 |
Proxy Server Address |
可选
要使用的代理服务器的地址。 |
Proxy Username |
可选
用于进行身份验证的代理用户名。 |
Proxy Password |
可选
用于进行身份验证的代理密码。 |
Rule Generator Template |
可选
如果提供,连接器会使用此值作为 Google SecOps 规则生成器。 您可以按以下格式提供占位符:[ 如果您未提供值或提供的模板无效,连接器将使用默认规则生成器。 连接器使用第一个 Google SecOps 事件作为占位符。 此参数仅允许使用具有字符串值的键。 |
Customer ID |
可选 要执行连接器的租户的客户 ID。适用于多租户 (MSSP) 环境。 |
连接器规则
此连接器支持代理。
此连接器不支持动态列表。
CrowdStrike Identity Protection Detections 连接器
使用 CrowdStrike Identity Protection Detections 连接器从 CrowdStrike 拉取身份保护检测结果。动态列表可与 display_name 参数搭配使用。
此连接器需要 Identity Protection 许可。
连接器输入
CrowdStrike Identity Protection Detections 连接器需要以下参数:
| 参数 | |
|---|---|
Product Field Name |
必需
包含 默认值为 |
Event Field Name |
必需
包含 默认值为 |
Environment Field Name |
可选
存储环境名称的字段的名称。 如果找不到环境字段,则使用默认环境。 默认值为 |
Environment Regex Pattern |
可选
要对 使用默认值 如果正则表达式模式为 null 或空,或者环境值为 null,则最终环境结果为默认环境。 |
Script Timeout (Seconds) |
必需 运行当前脚本的 Python 进程的超时时间限制(以秒为单位)。 默认值为 |
API Root |
必需
CrowdStrike 实例的 API 根。 默认值为 |
Client ID |
必需
CrowdStrike 账号的客户端 ID。 |
Client Secret |
必需
CrowdStrike 账号的客户端密钥。 |
Lowest Severity Score To Fetch |
可选
要提取的检测结果的最低严重程度得分。 如果未提供任何值,连接器将不应用此过滤条件。 最大值为 默认值为 连接器还支持此参数的以下值:
|
Lowest Confidence Score To Fetch |
可选
要提取的检测结果的最低置信度得分。 如果未提供任何值,连接器将不应用此过滤条件。 最大值为 默认值为 |
Max Hours Backwards |
可选
要检索检测结果的小时数(相对于当前时间)。 默认值为 |
Max Detections To Fetch |
可选
单次连接器迭代中要处理的检测次数。 默认值为 |
Case Name Template |
可选
如果提供了该参数,连接器会向 Google SecOps 事件添加一个名为 您可以按以下格式提供占位符:[ 注意:连接器使用第一个 Google SecOps 事件作为占位符。此参数仅允许使用具有字符串值的键。 |
Alert Name Template |
可选
如果提供,连接器会将此值用作 Google SecOps 提醒名称。 您可以按以下格式提供占位符:[ 注意:如果您未提供值或提供的模板无效,连接器将使用默认的提醒名称。连接器使用第一个 Google SecOps 事件作为占位符。此参数仅允许使用具有字符串值的键。 |
Disable Overflow |
可选 如果选中此选项,连接器会忽略溢出机制。 默认情况下未选中。 |
Verify SSL |
必需
如果选择此项,集成会验证与 CrowdStrike 服务器的连接所用的 SSL 证书是否有效。 默认情况下未选中。 |
Proxy Server Address |
可选
要使用的代理服务器的地址。 |
Proxy Username |
可选
用于进行身份验证的代理用户名。 |
Proxy Password |
可选
用于进行身份验证的代理密码。 |
Customer ID |
可选 要执行连接器的租户的客户 ID。适用于多租户 (MSSP) 环境。 |
连接器规则
此连接器支持代理。
连接器事件
连接器事件的示例如下:
{
"added_privileges": [
"DomainAdminsRole"
],
"aggregate_id": "aggind:27fe4e476ca3490b8476b2b6650e5a74:C34185DF-C3BA-4F69-93EB-1B61A213AF86",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"composite_id": "27fe4e476ca3490b8476b2b6650e5a74:ind:27fe4e476ca3490b8476b2b6650e5a74:C34185DF-C3BA-4F69-93EB-1B61A213AF86",
"confidence": 20,
"context_timestamp": "2022-11-15T12:58:13.155Z",
"crawl_edge_ids": {
"Sensor": [
"N6Fq4_]TKjckDDWI$fKO`l>_^KFO4!,Z/&o<H7_)4[Ip*h@KUG8%Xn3Fm3@]<gF_c,c1eeW\\O-J9l;HhVHA\"DH#\\pO1M#>X^dZWWg%V:`[+@g9@3h\"Q\"7r8&lj-o[K@24f;Xl.rlhgWC8%j5\\O7p/G7iQ*ST&12];a_!REjkIUL.R,/U^?]I!!*'!",
"XNXPaK.m]6i\"HhDPGX=XlMl2?8Mr#H;,A,=7aF9N)>5*/Hc!D_>MmDTO\\t1>Oi6ENO`QkWK=@M9q?[I+pm^)mj5=T_EJ\"4cK99U+!/ERSdo(X^?.Z>^]kq!ECXH$T.sfrJpT:TE+(k]<'Hh]..+*N%h_5<Z,63,n!!*'!",
"N6L$J`'>\":d#'I2pLF4-ZP?S-Qu#75O,>ZD+B,m[\"eGe@(]>?Nqsh8T3*q=L%=`KI_C[Wmj3?D!=:`(K)7/2g&8cCuB`r9e\"jTp/QqK7.GocpPSq4\\-#t1Q*%5C0%S1$f>KT&a81dJ!Up@EZY*;ssFlh8$cID*qr1!)S<!m@A@s%JrG9Go-f^B\"<7s8N"
]
},
"crawl_vertex_ids": {
"Sensor": [
"uid:27fe4e476ca3490b8476b2b6650e5a74:S-1-5-21-3479765008-4256118348-3151044947-3195",
"ind:27fe4e476ca3490b8476b2b6650e5a74:C34185DF-C3BA-4F69-93EB-1B61A213AF86",
"aggind:27fe4e476ca3490b8476b2b6650e5a74:C34185DF-C3BA-4F69-93EB-1B61A213AF86",
"idpind:27fe4e476ca3490b8476b2b6650e5a74:715224EE-7AD6-33A1-ADA9-62C4608DA546"
]
},
"crawled_timestamp": "2022-11-15T14:33:50.641703679Z",
"created_timestamp": "2022-11-15T12:59:15.444106807Z",
"description": "A user received new privileges",
"display_name": "Privilege escalation (user)",
"end_time": "2022-11-15T12:58:13.155Z",
"falcon_host_link": "https://example.com/identity-protection/detections/",
"id": "ind:27fe4e476ca3490b8476b2b6650e5a74:C34185DF-C3BA-4F69-93EB-1B61A213AF86",
"name": "IdpEntityPrivilegeEscalationUser",
"objective": "Gain Access",
"pattern_id": 51113,
"previous_privileges": "0",
"privileges": "8321",
"product": "idp",
"scenario": "privilege_escalation",
"severity": 2,
"show_in_ui": true,
"source_account_domain": "EXAMPLE.COM",
"source_account_name": "ExampleName",
"source_account_object_sid": "S-1-5-21-3479765008-4256118348-3151044947-3195",
"start_time": "2022-11-15T12:58:13.155Z",
"status": "new",
"tactic": "Privilege Escalation",
"tactic_id": "TA0004",
"technique": "Valid Accounts",
"technique_id": "T1078",
"timestamp": "2022-11-15T12:58:15.397Z",
"type": "idp-user-endpoint-app-info",
"updated_timestamp": "2022-11-15T14:33:50.635238527Z"
}
CrowdStrike 突发事件连接器
使用 CrowdStrike 突发事件连接器从 CrowdStrike 拉取突发事件和相关行为。
动态列表可与 incident_type 参数搭配使用。
连接器参数
CrowdStrike Incidents 连接器需要以下参数:
| 参数 | |
|---|---|
Product Field Name |
必需
包含 默认值为 |
Event Field Name |
必需
包含 默认值为 |
Environment Field Name |
可选
存储环境名称的字段的名称。 如果找不到环境字段,则使用默认环境。 默认值为 |
Environment Regex Pattern |
可选
要对 要对 使用默认值 如果正则表达式模式为 null 或空,或者环境值为 null,则最终环境结果为默认环境。 |
Script Timeout (Seconds) |
必需 运行当前脚本的 Python 进程的超时时间限制(以秒为单位)。 默认值为 |
API Root |
必需
CrowdStrike 实例的 API 根。 默认值为 |
Client ID |
必需
CrowdStrike 账号的客户端 ID。 |
Client Secret |
必需
CrowdStrike 账号的客户端密钥。 |
Lowest Severity Score To Fetch |
可选
要提取的突发事件的最低严重程度得分。 如果未提供值,连接器会注入所有严重程度的突发事件。 最大值为
|
Max Hours Backwards |
可选
要检索的事件距离当前时间的小时数。 默认值为 |
Max Incidents To Fetch |
可选
单次连接器迭代中要处理的事件数量。 最大值为 默认值为 |
Use dynamic list as a blocklist |
必需
如果选中,则动态列表用作屏蔽名单。 默认情况下未选中。 |
Disable Overflow |
可选 如果选中此选项,连接器会忽略溢出机制。 默认情况下未选中。 |
Verify SSL |
必需
如果选择此项,集成会验证与 CrowdStrike 服务器的连接所用的 SSL 证书是否有效。 默认情况下未选中。 |
Proxy Server Address |
可选
要使用的代理服务器的地址。 |
Proxy Username |
可选
用于进行身份验证的代理用户名。 |
Proxy Password |
可选
用于进行身份验证的代理密码。 |
Customer ID |
可选 要执行连接器的租户的客户 ID。适用于多租户 (MSSP) 环境。 |
连接器规则
此连接器支持代理。
连接器事件
CrowdStrike Incidents 连接器有两种类型的事件:一种基于事件,另一种基于行为。
以下是基于突发事件的事件示例:
{
"data_type": "Incident"
"incident_id": "inc:fee8a6ef0cb3412e9a781dcae0287c85:9dfa480ae6214309bff0c8dc2ad8af7c",
"incident_type": 1,
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"host_ids": [
"fee8a6ef0cb3412e9a781dcae0287c85"
],
"hosts": [
{
"device_id": "fee8a6ef0cb3412e9a781dcae0287c85",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"agent_load_flags": "1",
"agent_local_time": "2023-01-09T11:28:59.170Z",
"agent_version": "6.48.16207.0",
"bios_manufacturer": "Example Inc.",
"bios_version": "1.20.0",
"config_id_base": "65994753",
"config_id_build": "16207",
"config_id_platform": "3",
"external_ip": "203.0.113.1",
"hostname": "DESKTOP-EXAMPLE",
"first_seen": "2022-09-26T09:56:42Z",
"last_seen": "2023-01-09T12:11:35Z",
"local_ip": "192.0.2.1",
"mac_address": "00-15-5d-65-39-86",
"major_version": "01",
"minor_version": "0",
"os_version": "Windows 10",
"platform_id": "0",
"platform_name": "Windows",
"product_type": "1",
"product_type_desc": "Workstation",
"status": "contained",
"system_manufacturer": "Example Inc.",
"system_product_name": "G5 5500",
"modified_timestamp": "2023-01-09T12:11:48Z"
}
],
"created": "2023-01-09T12:12:51Z",
"start": "2023-01-09T11:23:27Z",
"end": "2023-01-09T12:52:01Z",
"state": "closed",
"status": 20,
"tactics": [
"Defense Evasion",
"Privilege Escalation",
"Credential Access"
],
"techniques": [
"Disable or Modify Tools",
"Access Token Manipulation",
"Input Capture",
"Bypass User Account Control"
],
"objectives": [
"Keep Access",
"Gain Access"
],
"users": [
"DESKTOP-EXAMPLE$",
"EXAMPLE"
],
"fine_score": 21
}
以下是基于行为的事件示例:
{
"behavior_id": "ind:fee8a6ef0cb3412e9a781dcae0287c85:1298143147841-372-840208",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"aid": "fee8a6ef0cb3412e9a781dcae0287c85",
"incident_id": "inc:fee8a6ef0cb3412e9a781dcae0287c85:9dfa480ae6214309bff0c8dc2ad8af7c",
"incident_ids": [
"inc:fee8a6ef0cb3412e9a781dcae0287c85:9dfa480ae6214309bff0c8dc2ad8af7c"
],
"pattern_id": 372,
"template_instance_id": 0,
"timestamp": "2023-01-09T11:24:25Z",
"cmdline": "\"C:\\WINDOWS\\system32\\SystemSettingsAdminFlows.exe\" SetNetworkAdapter {4ebe49ef-86f5-4c15-91b9-8da03d796416} enable",
"filepath": "\\Device\\HarddiskVolume3\\Windows\\System32\\SystemSettingsAdminFlows.exe",
"domain": "DESKTOP-EXAMPLE",
"pattern_disposition": -1,
"sha256": "78f926520799565373b1a8a42dc4f2fa328ae8b4de9df5eb885c0f7c971040d6",
"user_name": "EXAMPLE",
"tactic": "Privilege Escalation",
"tactic_id": "TA0004",
"technique": "Bypass User Account Control",
"technique_id": "T1548.002",
"display_name": "ProcessIntegrityElevationTarget",
"objective": "Gain Access",
"compound_tto": "GainAccess__PrivilegeEscalation__BypassUserAccountControl__1__0__0__0"
}
CrowdStrike - 提醒连接器
使用 CrowdStrike - 提醒连接器从 CrowdStrike 拉取提醒。
动态列表可与 display_name 参数搭配使用。
如需提取身份保护检测结果,请使用 Identity Protection Detections 连接器。
连接器输入
CrowdStrike - Alerts Connector 需要以下参数:
| 参数 | |
|---|---|
Product Field Name |
必需
包含 默认值为 |
Event Field Name |
必需
包含 默认值为 |
Environment Field Name |
可选
存储环境名称的字段的名称。 如果找不到环境字段,则使用默认环境。 默认值为 |
Environment Regex Pattern |
可选
要对 使用默认值 如果正则表达式模式为 null 或空,或者环境值为 null,则最终环境结果为默认环境。 |
Script Timeout (Seconds) |
必需 运行当前脚本的 Python 进程的超时时间限制(以秒为单位)。 默认值为 |
API Root |
必需
CrowdStrike 实例的 API 根。 默认值为 |
Client ID |
必需
CrowdStrike 账号的客户端 ID。 |
Client Secret |
必需
CrowdStrike 账号的客户端密钥。 |
Case Name Template |
可选
如果提供了该参数,连接器会向 Google SecOps 事件添加一个名为 您可以按以下格式提供占位符:[ 注意:连接器使用第一个 Google SecOps 事件作为占位符。此参数仅允许使用具有字符串值的键。 |
Alert Name Template |
可选
如果提供,连接器会将此值用作 Google SecOps 提醒名称。 您可以按以下格式提供占位符:[ 注意:如果您未提供值或提供的模板无效,连接器将使用默认的提醒名称。连接器使用第一个 Google SecOps 事件作为占位符。此参数仅允许使用具有字符串值的键。 |
Lowest Severity Score To Fetch |
可选
要提取的突发事件的最低严重程度得分。 如果未提供值,连接器会注入所有严重程度的突发事件。 最大值为
在 CrowdStrike 界面中,相同的值会除以 10。 |
Max Hours Backwards |
可选
要检索的事件距离当前时间的小时数。 默认值为 |
Max Alerts To Fetch |
可选
单次连接器迭代中要处理的提醒数量。 最大值为 默认值为 |
Use dynamic list as a blocklist |
必需
如果选中此选项,连接器会将动态列表用作屏蔽列表。 默认情况下未选中。 |
Disable Overflow |
可选 如果选中此选项,连接器会忽略溢出机制。 默认情况下未选中。 |
Verify SSL |
必需
如果选择此项,集成会验证与 CrowdStrike 服务器的连接所用的 SSL 证书是否有效。 默认情况下未选中。 |
Proxy Server Address |
可选
要使用的代理服务器的地址。 |
Proxy Username |
可选
用于进行身份验证的代理用户名。 |
Proxy Password |
可选
用于进行身份验证的代理密码。 |
Customer ID |
可选 要执行连接器的租户的客户 ID。适用于多租户 (MSSP) 环境。 |
连接器规则
此连接器支持代理。
连接器事件
以下是基于提醒的事件示例:
{
"added_privileges": [
"DomainAdminsRole"
],
"aggregate_id": "aggind:27fe4e476ca3490b8476b2b6650e5a74",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"composite_id": "27fe4e476ca3490b8476b2b6650e5a74:ind:27fe4e476ca3490b8476b2b6650e5a74",
"confidence": 20,
"context_timestamp": "2022-11-15T12:58:13.155Z",
"crawl_edge_ids": {
"Sensor": [
"N6Fq4_]TKjckDDWI$fKO`l>_^KFO4!,Z/&o<H7_)4[Ip*h@KUG8%Xn3Fm3@]<gF_c,c1eeW\\O-J9l;HhVHA\"DH#\\pO1M#>X^dZWWg%V:`[+@g9@3h\"Q\"7r8&lj-o[K@24f;Xl.rlhgWC8%j5\\O7p/G7iQ*ST&12];a_!REjkIUL.R,/U^?]I!!*'!",
"XNXPaK.m]6i\"HhDPGX=XlMl2?8Mr#H;,A,=7aF9N)>5*/Hc!D_>MmDTO\\t1>Oi6ENO`QkWK=@M9q?[I+pm^)mj5=T_EJ\"4cK99U+!/ERSdo(X^?.Z>^]kq!ECXH$T.sfrJpT:TE+(k]<'Hh]..+*N%h_5<Z,63,n!!*'!",
"N6L$J`'>\":d#'I2pLF4-ZP?S-Qu#75O,>ZD+B,m[\"eGe@(]>?Nqsh8T3*q=L%=`KI_C[Wmj3?D!=:`(K)7/2g&8cCuB`r9e\"jTp/QqK7.GocpPSq4\\-#t1Q*%5C0%S1$f>KT&a81dJ!Up@EZY*;ssFlh8$cID*qr1!)S<!m@A@s%JrG9Go-f^B\"<7s8N"
]
},
"crawl_vertex_ids": {
"Sensor": [
"uid:27fe4e476ca3490b8476b2b6650e5a74:S-1-5-21-3479765008-4256118348-3151044947-3195",
"ind:27fe4e476ca3490b8476b2b6650e5a74",
"aggind:27fe4e476ca3490b8476b2b6650e5a74",
"idpind:27fe4e476ca3490b8476b2b6650e5a74:715224EE-7AD6-33A1-ADA9-62C4608DA546"
]
},
"crawled_timestamp": "2022-11-15T14:33:50.641703679Z",
"created_timestamp": "2022-11-15T12:59:15.444106807Z",
"description": "A user received new privileges",
"display_name": "Privilege escalation (user)",
"end_time": "2022-11-15T12:58:13.155Z",
"falcon_host_link": "https://falcon.crowdstrike.com/identity-protection/detections/27fe4e476ca3490b8476b2b6650e5a74:ind:27fe4e476ca3490b8476b2b6650e5a74?cid=27fe4e476ca3490b8476b2b6650e5a74",
"id": "ind:27fe4e476ca3490b8476b2b6650e5a74",
"name": "IdpEntityPrivilegeEscalationUser",
"objective": "Gain Access",
"pattern_id": 51113,
"previous_privileges": "0",
"privileges": "8321",
"product": "idp",
"scenario": "privilege_escalation",
"severity": 2,
"show_in_ui": true,
"source_account_domain": "EXAMPLE.EXAMPLE",
"source_account_name": "ExampleMailbox",
"source_account_object_sid": "S-1-5-21-3479765008-4256118348-3151044947-3195",
"start_time": "2022-11-15T12:58:13.155Z",
"status": "new",
"tactic": "Privilege Escalation",
"tactic_id": "TA0004",
"technique": "Valid Accounts",
"technique_id": "T1078",
"timestamp": "2022-11-15T12:58:15.397Z",
"type": "idp-user-endpoint-app-info",
"updated_timestamp": "2022-11-15T14:33:50.635238527Z"
}
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。