將 CrowdStrike Falcon 與 Google SecOps 整合
本文說明如何將 CrowdStrike Falcon 與 Google Security Operations (Google SecOps) 整合。
整合版本:56.0
這項整合功能使用一或多個開放原始碼元件。 您可以從 Cloud Storage bucket 下載這項整合的完整原始碼副本。
用途
在 Google SecOps 平台中,CrowdStrike Falcon 整合功能可解決下列用途:
自動遏止惡意軟體:運用 Google SecOps 平台的功能,自動隔離受影響的端點、擷取檔案雜湊值以供進一步分析,並防止惡意軟體擴散。當網路釣魚電子郵件觸發 CrowdStrike Falcon 警報,指出有可疑檔案下載時,系統就會啟動自動惡意軟體防範措施。
加快事件回應速度:使用 Google SecOps 收集程序樹狀結構和網路連線等情境資料、隔離遭入侵的主機,並建立調查單。
威脅搜尋和調查:使用 Google SecOps 平台的功能,在指定時間範圍內查詢 CrowdStrike Falcon 的特定使用者動作、檔案修改和網路連線。安全分析師可透過威脅搜尋和調查功能,調查潛在的內部威脅,並分析過去的端點活動,同時簡化調查程序。
網路釣魚回應和修復:使用 CrowdStrike Falcon 和 Google SecOps 平台掃描電子郵件附件、在沙箱環境中開啟附件,並在偵測到惡意活動時自動封鎖寄件者的電子郵件地址。
安全漏洞管理:運用 Google SecOps 平台的功能,自動為每個有安全漏洞的系統建立工單、根據嚴重程度和資產價值排定優先順序,以及觸發自動修補工作流程。安全漏洞管理功能可協助您找出多個端點的重大安全漏洞。
事前準備
在 Google SecOps 中設定整合功能前,請先完成下列步驟:
設定 CrowdStrike Falcon API 用戶端。
設定動作權限。
設定連接器權限。
設定 CrowdStrike Falcon API 用戶端
如要定義 CrowdStrike API 用戶端,以及查看、建立或修改 API 用戶端或金鑰,您必須具備 FalconAdministrator 角色。
只有在建立或重設 API 用戶端時,系統才會顯示密鑰。
如要設定 CrowdStrike Falcon API 用戶端,請完成下列步驟:
- 在 Falcon 使用者介面中,依序前往「Support and resources」>「Resources and tools」>「API clients and keys」。您可以在這個頁面中找到現有用戶端、新增 API 用戶端,或查看稽核記錄。
- 按一下「建立 API 用戶端」。
- 為新的 API 用戶端命名。
- 選取適當的 API 範圍。
點按「Create」(建立)。系統會顯示「用戶端 ID」和「用戶端密鑰」值。
這是您唯一能看到用戶端密鑰值的機會。請務必妥善保管。如果遺失用戶端密碼,請重設 API 用戶端,並使用新憑證更新所有依賴用戶端密碼的應用程式。
如要進一步瞭解如何存取 CrowdStrike API,請參閱 CrowdStrike 網誌的「Getting Access to the CrowdStrike API」(取得 CrowdStrike API 的存取權) 指南。
設定動作權限
請參閱下表,瞭解各項動作的最低權限:
| 動作 | 所需權限 |
|---|---|
| 為偵測結果新增註解 | Detections.ReadDetection.Write |
| 新增 Identity Protection 偵測留言 | Alerts.ReadAlerts.Write |
| 新增事件註解 | Incidents.Write |
| Close Detection | Detections.ReadDetection.Write |
| 遏止端點 | Hosts.ReadHosts.Write |
| 刪除 IOC | IOC Management.ReadIOC Management.Write |
| 下載檔案 | Hosts.ReadReal time response.ReadReal time response.Write |
| 執行指令 | Hosts.ReadReal time response.ReadReal time response.WriteReal time response (admin).Write*,才能執行完整權限指令。
|
| 取得事件偏移 | Event streams.Read |
| 依 IOC 取得主機 | 不適用:已淘汰 |
| 取得主機資訊 | Hosts.Read |
| 依 IOC 取得程序名稱 | 不適用:已淘汰 |
| 升起包含的端點 | Hosts.ReadHosts.Write |
| 列出主機 | Hosts.Read |
| 列出主機安全漏洞 | Hosts.ReadSpotlight vulnerabilities.Read |
| 列出已上傳的 IOC | IOC Management.Read |
| 隨選掃描 | On-demand scans (ODS).ReadOn-demand scans (ODS).Write |
| 乒乓 | Hosts.Read |
| 提交檔案 | Reports (Falcon Intelligence).ReadSandbox (Falcon Intelligence).ReadSandbox (Falcon Intelligence).Write |
| 提交網址 | Reports (Falcon Intelligence).ReadSandbox (Falcon Intelligence).ReadSandbox (Falcon Intelligence).Write |
| 更新偵測 | Detections.ReadDetection.WriteUser management.Read |
| 更新 Identity Protection 偵測 | Alerts.ReadAlerts.Write |
| 更新事件 | Incidents.Write |
| 更新 IOC 資訊 | IOC Management.ReadIOC Management.Write |
| 上傳 IOC | IOC Management.ReadIOC Management.Write |
設定連接器權限
請參閱下表所列連接器的最低權限:
| 連接器 | 所需權限 |
|---|---|
| CrowdStrike Detections 連接器 | Detection.Read |
| CrowdStrike Falcon 串流事件連接器 | Event streams.Read |
| CrowdStrike Identity Protection Detections 連接器 | Alerts.Read |
| CrowdStrike 事件連接器 | Incidents.Read |
端點
CrowdStrike Falcon 整合功能會與下列 CrowdStrike Falcon API 端點互動:
一般 API 端點:
/oauth2/token
主機和裝置:
/devices/entities/devices/v1/devices/entities/devices-actions/v2
偵測和事件:
/detections/entities/detections/v2/detections/entities/summaries/GET/v1/protection/entities/detections/v1
入侵指標 (IOC):
/intel/entities/indicators/v1/intel/queries/devices/v1
安全漏洞:
/devices/combined/devices/vulnerabilities/v1
回應與壓制:
/respond/entities/command-queues/v1/respond/entities/extracted-files/v1
事件:
/incidents/entities/incidents/GET/v1/incidents/entities/incidents/comments/GET/v1/incidents/entities/incidents/GET/v1
檔案和網址分析:
/malware-uploads/entities/submissions/v2/url/entities/scans/v1
整合參數
如要讓整合功能正常運作,您必須使用完整功能的 CrowdStrike Falcon 進階版。CrowdStrike Falcon 基本版不支援某些動作。
整合 CrowdStrike Falcon 時,需要下列參數:
| 參數 | |
|---|---|
API Root |
CrowdStrike 執行個體的 API 根目錄。 預設值為 |
Client API ID |
必要 CrowdStrike API 的用戶端 ID。 |
Client API Secret |
必要 CrowdStrike API 的用戶端密鑰。 |
Verify SSL |
如果選取這個選項,整合服務會驗證連線至 CrowdStrike Falcon 伺服器的 SSL 憑證是否有效。 預設為未選取。 |
Customer ID |
選用 要執行整合作業的房客客戶 ID。適用於多租戶 (MSSP) 環境。 |
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
如有需要,您之後可以變更。設定整合執行個體後,您就可以在劇本中使用該執行個體。如要進一步瞭解如何設定及支援多個執行個體,請參閱「支援多個執行個體」。
動作
繼續設定整合功能前,請先設定每個整合項目所需的最低權限。詳情請參閱本文的「動作權限」一節。
新增快訊註解
使用「Add Alert Comment」(新增快訊註解) 動作,在 CrowdStrike Falcon 中為快訊新增註解。
這項操作不會對實體執行。
動作輸入內容
「新增快訊註解」動作需要下列參數:
| 參數 | |
|---|---|
Alert |
必要 要更新的快訊 ID。 |
Comment |
必要 要新增至快訊的註解。 |
動作輸出內容
「新增快訊註解」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 無法使用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
輸出訊息
「新增快訊註解」動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
Successfully added comment to the alert with ID
ALERT_ID in CrowdStrike |
動作成功。 |
|
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
指令碼結果
下表說明使用「新增快訊註解」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
為偵測結果新增註解
使用「Add Comment to Detection」(在偵測項目中新增註解) 動作,在 CrowdStrike Falcon 中為偵測項目新增註解。
這項操作會對所有實體執行。
動作輸入內容
「Add Comment to Detection」(在偵測結果中新增註解) 動作需要下列參數:
| 參數 | |
|---|---|
Detection ID |
必要
要新增註解的偵測 ID。 |
Comment |
必要
要新增至偵測結果的註解。 |
動作輸出內容
「Add Comment to Detection」(在偵測結果中新增註解) 動作會提供下列輸出內容:
| 動作輸出類型 | |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 無法使用 |
| 指令碼結果 | 可用 |
指令碼結果
下表說明使用「Add Comment to Detection」(在偵測結果中新增註解) 動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
新增 Identity Protection 偵測留言
使用「Add Identity Protection Detection Comment」(新增身分保護偵測註解) 動作,在 CrowdStrike 中為身分保護偵測新增註解。
這項動作需要 Identity Protection 授權。
這項操作不會對實體執行。
動作輸入內容
「Add Identity Protection Detection Comment」(新增 Identity Protection 偵測註解) 動作需要下列參數:
| 參數 | |
|---|---|
Detection ID |
必要
要更新的偵測 ID。 |
Comment |
必要
要新增至偵測結果的註解。 |
動作輸出內容
「Add Identity Protection Detection Comment」(新增 Identity Protection 偵測註解) 動作會提供下列輸出內容:
| 動作輸出類型 | |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 無法使用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
輸出訊息
「Add Identity Protection Detection Comment」動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
Successfully added comment to the
identity protection detection with ID
DETECTION_ID in CrowdStrike |
動作成功。 |
Error executing action "Add Identity
Protection Detection Comment". Reason:
ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
Error executing action "Add Identity
Protection Detection Comment". Reason: identity protection detection with
ID DETECTION_ID wasn't found in
CrowdStrike. Please check the
spelling. |
動作失敗。 檢查拼字。 |
指令碼結果
下表說明使用「新增身分識別保護偵測註解」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
新增事件註解
使用「新增事件註解」動作,在 CrowdStrike 中為事件新增註解。
這項操作不會對實體執行。
動作輸入內容
「新增事件註解」動作需要下列參數:
| 參數 | |
|---|---|
Incident ID |
必要
要更新的事件 ID。 |
Comment |
必要
要新增至事件的註解。 |
動作輸出內容
「新增事件註解」動作會提供下列輸出內容:
| 動作輸出類型 | |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 無法使用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
輸出訊息
「Add Incident Comment」(新增事件註解) 動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
Successfully added comment to the
incident INCIDENT_ID in CrowdStrike
|
動作成功。 |
Error executing action "Add Incident Comment". Reason:
ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
Error executing action "Add Incident Comment". Reason: incident
with ID INCIDENT_ID wasn't found in
CrowdStrike. Please check the spelling. |
動作失敗。 檢查拼字。 |
指令碼結果
下表說明使用「新增事件註解」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
Close Detection
使用「Close Detection」(關閉偵測) 動作關閉 CrowdStrike Falcon 偵測。
這項操作會對所有實體執行。
動作輸入內容
「關閉偵測」動作需要下列參數:
| 參數 | |
|---|---|
Detection ID |
必要
要關閉的偵測 ID。 |
Hide Detection |
選填
選取後,系統會在使用者介面中隱藏偵測結果。 預設為選取。 |
動作輸出內容
「關閉偵測」動作會提供下列輸出內容:
| 動作輸出類型 | |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 無法使用 |
| 指令碼結果 | 可用 |
指令碼結果
下表說明使用「Close Detection」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
遏止端點
使用「Contain Endpoint」動作,在 CrowdStrike Falcon 中封鎖端點。
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
動作輸入內容
「Contain Endpoint」(包含端點) 動作需要下列參數:
| 參數 | |
|---|---|
Fail If Timeout |
必要
如果選取這個選項,但並非所有端點都包含在內,動作就會失敗。 (此為預設選項)。 |
動作輸出內容
「遏止端點」動作會提供下列輸出內容:
| 動作輸出類型 | |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 實體擴充資料表 | 可用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
實體充實
「包含端點」動作支援下列實體擴充邏輯:
| 補充資料欄位 | 邏輯 |
|---|---|
status |
如果 JSON 結果中存在該值,則傳回該值 |
modified_timestamp |
如果 JSON 結果中存在該值,則傳回該值 |
major_version |
如果 JSON 結果中存在該值,則傳回該值 |
policies |
如果 JSON 結果中存在該值,則傳回該值 |
config_id_platform |
如果 JSON 結果中存在該值,則傳回該值 |
bios_manufacturer |
如果 JSON 結果中存在該值,則傳回該值 |
system_manufacturer |
如果 JSON 結果中存在該值,則傳回該值 |
device_policies |
如果 JSON 結果中存在該值,則傳回該值 |
meta |
如果 JSON 結果中存在該值,則傳回該值 |
pointer_size |
如果 JSON 結果中存在該值,則傳回該值 |
last_seen |
如果 JSON 結果中存在該值,則傳回該值 |
agent_local_time |
如果 JSON 結果中存在該值,則傳回該值 |
first_seen |
如果 JSON 結果中存在該值,則傳回該值 |
service_pack_major |
如果 JSON 結果中存在該值,則傳回該值 |
slow_changing_modified_timestamp |
如果 JSON 結果中存在該值,則傳回該值 |
service_pack_minor |
如果 JSON 結果中存在該值,則傳回該值 |
system_product_name |
如果 JSON 結果中存在該值,則傳回該值 |
product_type_desc |
如果 JSON 結果中存在該值,則傳回該值 |
build_number |
如果 JSON 結果中存在該值,則傳回該值 |
cid |
如果 JSON 結果中存在該值,則傳回該值 |
local_ip |
如果 JSON 結果中存在該值,則傳回該值 |
external_ip |
如果 JSON 結果中存在該值,則傳回該值 |
hostname |
如果 JSON 結果中存在該值,則傳回該值 |
config_id_build |
如果 JSON 結果中存在該值,則傳回該值 |
minor_version |
如果 JSON 結果中存在該值,則傳回該值 |
platform_id |
如果 JSON 結果中存在該值,則傳回該值 |
os_version |
如果 JSON 結果中存在該值,則傳回該值 |
config_id_base |
如果 JSON 結果中存在該值,則傳回該值 |
provision_status |
如果 JSON 結果中存在該值,則傳回該值 |
mac_address |
如果 JSON 結果中存在該值,則傳回該值 |
bios_version |
如果 JSON 結果中存在該值,則傳回該值 |
platform_name |
如果 JSON 結果中存在該值,則傳回該值 |
agent_load_flags |
如果 JSON 結果中存在該值,則傳回該值 |
device_id |
如果 JSON 結果中存在該值,則傳回該值 |
product_type |
如果 JSON 結果中存在該值,則傳回該值 |
agent_version |
如果 JSON 結果中存在該值,則傳回該值 |
JSON 結果
以下範例說明使用「Contain Endpoint」(包含端點) 動作時收到的 JSON 結果輸出內容:
{
"EntityResult":
{
"status": "contained",
"modified_timestamp": "2019-06-24T07:47:37Z",
"major_version": "6",
"policies":
[{
"applied": "True",
"applied_date": "2019-04-29T07:40:06.876850888Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-29T07:39:55.218651583Z",
"policy_id": ""
}],
"config_id_platform": "3",
"bios_manufacturer": "Example Inc.",
"system_manufacturer": "Example Corporation",
"device_policies":
{
"global_config":
{
"applied": "True",
"applied_date": "2019-06-03T23:24:04.893780991Z",
"settings_hash": "a75911b0",
"policy_type": "globalconfig",
"assigned_date": "2019-06-03T23:23:17.184432743Z",
"policy_id": ""
},
"Sensor_update":
{
"applied": "True",
"applied_date": "2019-05-30T23:13:55.23597658Z",
"settings_hash": "65994753|3|2|automatic;101",
"uninstall_protection": "ENABLED",
"policy_type": "sensor-update",
"assigned_date": "2019-05-30T23:04:31.485311459Z",
"policy_id": ""
},
"prevention":
{
"applied": "True",
"applied_date": "2019-04-29T07:40:06.876850888Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-29T07:39:55.218651583Z",
"policy_id": ""
},
"device_control":
{
"applied": "True",
"applied_date": "2019-06-03T23:14:29.800434222Z",
"policy_type": "device-control",
"assigned_date": "2019-06-03T23:05:17.425127539Z",
"policy_id": ""
},
"remote_response":
{
"applied": "True",
"applied_date": "2019-04-29T07:40:04.469808388Z",
"settings_hash": "f472bd8e",
"policy_type": "remote-response",
"assigned_date": "2019-04-29T07:39:55.218642441Z",
"policy_id": ""
}
},
"meta":
{
"Version":"12765"
},
"pointer_size": "8",
"last_seen": "2019-06-24T07:45:34Z",
"agent_local_time": "2019-06-18T12:17:06.259Z",
"first_seen": "2019-04-29T07:39:45Z",
"service_pack_major": "0",
"slow_changing_modified_timestamp": "2019-06-23T11:20:42Z",
"service_pack_minor": "0",
"system_product_name": "Virtual Machine",
"product_type_desc": "Server",
"build_number": "9600",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"hostname": "",
"config_id_build": "example-id",
"minor_version": "3",
"platform_id": "x",
"os_version": "Windows Server 2012 R2",
"config_id_base": "example-config",
"provision_status": "Provisioned",
"mac_address": "01:23:45:ab:cd:ef",
"bios_version": "090007 ",
"platform_name": "Windows",
"Agent_load_flags":"1",
"device_id": "",
"product_type": "3",
"agent_version": "5.10.9106.0"
},
"Entity": "198.51.100.255"
}
輸出訊息
「Contain Endpoint」動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Error executing action "Contain
Endpoint". Reason: ERROR_REASON
|
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
Error executing action "Contain
Endpoint". Reason: the following endpoints initiated containment, but were
not able to finish it during action execution:
ENTITY_ID
|
動作失敗。 檢查端點狀態和 |
指令碼結果
下表說明使用「Contain Endpoint」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
刪除 IOC
使用「Delete IOC」(刪除 IOC) 動作,刪除 CrowdStrike Falcon 中的自訂 IOC。
這項動作會將主機名稱實體視為網域 IOC,並從網址中擷取網域部分。這項動作僅支援 MD5 和 SHA-256 雜湊。
「刪除 IOC」動作會在下列實體上執行:
- IP 位址
- 主機名稱
- 網址
- 雜湊
動作輸入內容
無
動作輸出內容
「Delete IOC」(刪除 IOC) 動作會提供下列輸出內容:
| 動作輸出類型 | |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 無法使用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
指令碼結果
下表說明使用「Delete IOC」(刪除 IOC) 動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
輸出訊息
在案件牆上,「刪除 IOC」動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Error executing action "Delete IOC".
Reason: ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
下載檔案
使用「下載檔案」動作,從 CrowdStrike Falcon 中的主機下載檔案。
執行這項操作時,Google SecOps 快訊的範圍必須包含檔案名稱和 IP 位址,或主機名稱實體。
下載的檔案會以受密碼保護的 ZIP 檔案包形式提供。如要存取檔案,請輸入下列密碼:infected。
「下載檔案」動作會在下列實體上執行:
- 檔案名稱
- IP 位址
- 主機
動作輸入內容
「下載檔案」動作需要下列參數:
| 參數 | |
|---|---|
Download Folder Path |
必要
儲存下載檔案的資料夾路徑。 格式取決於部署方式:
|
Overwrite |
必要
如果選取這個選項,系統會覆寫名稱相同的檔案。 預設為未選取。 |
動作輸出內容
「下載檔案」動作會提供下列輸出內容:
| 動作輸出類型 | |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 實體表格 | 可用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
實體表格
「下載檔案」動作提供下列實體表格:
| 實體 | |
|---|---|
filepath |
檔案的絕對路徑。 |
JSON 結果
以下範例說明使用「下載檔案」動作時收到的 JSON 結果輸出內容:
{
"absolute_paths": ["/opt/file_1", "opt_file_2"]
}
輸出訊息
「下載檔案」動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Error executing action "Download
File". Reason: ERROR_REASON
|
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
Error executing action "Download
File". Reason: file with path PATH
already exists. Please delete the file or set "Overwrite" to true.
|
動作失敗。 檢查 |
Waiting for results for the following
entities: ENTITY_ID |
非同步訊息。 |
指令碼結果
下表說明使用「下載檔案」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
執行指令
使用「執行指令」動作,在 CrowdStrike Falcon 中的主機上執行指令。
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
動作輸入內容
「執行指令」動作需要下列參數:
| 參數 | |
|---|---|
Command |
必要
要在主機上執行的指令。 |
Admin Command |
選填
如果 預設為 |
動作輸出內容
「執行指令」動作會提供下列輸出內容:
| 動作輸出類型 | |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 無法使用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
輸出訊息
在案件牆上,「執行指令」動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
Successfully executed command
"COMMAND" on the following
endpoints in CrowdStrike Falcon:
ENTITY_ID |
動作成功。 |
Error executing action "Execute Command". Reason:
ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
Waiting for results for the following
entities: ENTITY_ID |
非同步訊息。 |
指令碼結果
下表說明使用「執行指令」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
取得快訊詳細資料
使用「Get Alert Details」動作,擷取 CrowdStrike Falcon 中快訊的詳細資料。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
「取得快訊詳細資料」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Alert ID |
必填。 要擷取詳細資料的警示專屬 ID。 |
動作輸出內容
「取得快訊詳細資料」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
以下範例顯示使用「取得快訊詳細資料」動作時收到的 JSON 結果輸出內容:
{
"added_privileges": [
"DomainAdminsRole"
],
"aggregate_id": "aggind:CID_VALUE:AGGREGATE_ID_VALUE",
"assigned_to_uid": "analyst@example.com",
"cid": "CID_VALUE",
"composite_id": "CID_VALUE:ind:CID_VALUE:COMPOSITE_ID_VALUE",
"confidence": 20,
"context_timestamp": "2022-11-15T12:58:15.629Z",
"crawl_edge_ids": {
"Sensor": [
"EDGE_ID_1_OBFUSCATED_STRING",
"EDGE_ID_2_OBFUSCATED_STRING",
"EDGE_ID_3_OBFUSCATED_STRING"
]
},
"crawl_vertex_ids": {
"Sensor": [
"aggind:CID_VALUE:AGGREGATE_ID_VALUE",
"idpind:CID_VALUE:IDP_DETECTION_ID",
"ind:CID_VALUE:DETECTION_ID",
"uid:CID_VALUE:SOURCE_SID_VALUE"
]
},
"crawled_timestamp": "2022-11-15T13:58:17.251061883Z",
"created_timestamp": "2022-11-15T12:59:17.239585706Z",
"description": "A user received new privileges",
"display_name": "Privilege escalation (user)",
"end_time": "2022-11-15T12:58:15.629Z",
"falcon_host_link": "https://falcon.crowdstrike.com/identity-protection/detections/DETECTION_ID?cid=CID_VALUE",
"id": "ind:CID_VALUE:DETECTION_ID",
"name": "IdpEntityPrivilegeEscalationUser",
"objective": "Gain Access",
"pattern_id": 51113,
"previous_privileges": "0",
"privileges": "8321",
"product": "idp",
"scenario": "privilege_escalation",
"severity": 2,
"show_in_ui": true,
"source_account_domain": "EXAMPLE.LOCAL",
"source_account_name": "TEST_MAILBOX",
"source_account_object_sid": "S-1-5-21-3479765008-4256118348-3151044947-3595",
"start_time": "2022-11-15T12:58:15.629Z",
"status": "new",
"tactic": "Privilege Escalation",
"tactic_id": "TA0004",
"tags": [
"red_team"
],
"technique": "Valid Accounts",
"technique_id": "T1078",
"timestamp": "2022-11-15T12:58:17.239Z",
"type": "idp-user-endpoint-app-info",
"updated_timestamp": "2022-11-23T15:22:20.271100181Z"
}
輸出訊息
「取得快訊詳細資料」動作可傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Error executing action "Get Alert Details". Reason:
ERROR_REASON |
動作失敗。 請檢查伺服器連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「取得快訊詳細資料」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
true或false |
取得事件偏移
使用「Get Event Offset」(取得事件偏移) 動作,擷取「Streaming Events Connector」(串流事件連接器) 使用的事件偏移。
這項動作會開始處理 30 天前的事件。
這項操作不會對實體執行。
動作輸入內容
「取得事件偏移」動作需要下列參數:
| 參數 | |
|---|---|
Max Events To Process |
必要
動作需要處理的事件數量 (從 30 天前開始計算)。 預設值為 |
動作輸出內容
「取得事件偏移」動作會提供下列輸出內容:
| 動作輸出類型 | |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
以下範例說明使用「取得事件偏移」動作時收到的 JSON 結果輸出內容:
{
"offset": 100000
"timestamp": "<code><var>EVENT_TIMESTAMP</var></code>"
}
輸出訊息
「Get Event Offset」動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
Successfully retrieved event offset in CrowdStrike Falcon.
|
動作成功。 |
Error executing action "Get Event
Offset". Reason: ERROR_REASON
|
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
指令碼結果
下表說明使用「取得事件偏移」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
取得主機資訊
使用「Get Host Information」動作,從 CrowdStrike Falcon 擷取主機名稱的相關資訊。
這項動作會對下列實體執行:
- 主機名稱
- IP 位址
動作輸入內容
「取得主機資訊」動作需要下列參數:
| 參數 | |
|---|---|
Create Insight |
選填
如果選取這個選項,動作會建立包含實體資訊的深入分析。 (此為預設選項)。 |
動作輸出內容
「取得主機資訊」動作會提供下列輸出內容:
| 動作輸出類型 | |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 實體擴充資料表 | 可用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
實體充實
「取得主機資訊」動作支援下列實體擴充邏輯:
| 補充資料欄位 | 邏輯 |
|---|---|
modified_timestamp |
如果 JSON 結果中存在該值,則傳回該值 |
major_version |
如果 JSON 結果中存在該值,則傳回該值 |
site_name |
如果 JSON 結果中存在該值,則傳回該值 |
platform_id |
如果 JSON 結果中存在該值,則傳回該值 |
config_id_platform |
如果 JSON 結果中存在該值,則傳回該值 |
system_manufacturer |
如果 JSON 結果中存在該值,則傳回該值 |
meta |
如果 JSON 結果中存在該值,則傳回該值 |
first_seen |
如果 JSON 結果中存在該值,則傳回該值 |
service_pack_minor |
如果 JSON 結果中存在該值,則傳回該值 |
product_type_desc |
如果 JSON 結果中存在該值,則傳回該值 |
build_number |
如果 JSON 結果中存在該值,則傳回該值 |
hostname |
如果 JSON 結果中存在該值,則傳回該值 |
config_id_build |
如果 JSON 結果中存在該值,則傳回該值 |
minor_version |
如果 JSON 結果中存在該值,則傳回該值 |
os_version |
如果 JSON 結果中存在該值,則傳回該值 |
provision_status |
如果 JSON 結果中存在該值,則傳回該值 |
mac_address |
如果 JSON 結果中存在該值,則傳回該值 |
bios_version |
如果 JSON 結果中存在該值,則傳回該值 |
agent_load_flags |
如果 JSON 結果中存在該值,則傳回該值 |
status |
如果 JSON 結果中存在該值,則傳回該值 |
bios_manufacturer |
如果 JSON 結果中存在該值,則傳回該值 |
machine_domain |
如果 JSON 結果中存在該值,則傳回該值 |
agent_local_time |
如果 JSON 結果中存在該值,則傳回該值 |
slow_changing_modified_timestamp |
如果 JSON 結果中存在該值,則傳回該值 |
service_pack_major |
如果 JSON 結果中存在該值,則傳回該值 |
device_id |
如果 JSON 結果中存在該值,則傳回該值 |
system_product_name |
如果 JSON 結果中存在該值,則傳回該值 |
product_type |
如果 JSON 結果中存在該值,則傳回該值 |
local_ip |
如果 JSON 結果中存在該值,則傳回該值 |
external_ip |
如果 JSON 結果中存在該值,則傳回該值 |
cid |
如果 JSON 結果中存在該值,則傳回該值 |
platform_name |
如果 JSON 結果中存在該值,則傳回該值 |
config_id_base |
如果 JSON 結果中存在該值,則傳回該值 |
last_seen |
如果 JSON 結果中存在該值,則傳回該值 |
pointer_size |
如果 JSON 結果中存在該值,則傳回該值 |
agent_version |
如果 JSON 結果中存在該值,則傳回該值 |
JSON 結果
以下範例說明使用「取得主機資訊」動作時收到的 JSON 結果輸出內容:
[
{
"EntityResult": [
{
"modified_timestamp": "2019-01-17T13: 44: 57Z",
"major_version": "10",
"site_name": "Default-First-Site-Name",
"platform_id": "0",
"config_id_platform": "3",
"system_manufacturer": "ExampleInc.",
"meta": {
"version": "1111"
},
"first_seen": "2018-04-22T13: 06: 53Z",
"service_pack_minor": "0",
"product_type_desc": "Workstation",
"build_number": "111",
"hostname": "name",
"config_id_build": "8104",
"minor_version": "0",
"os_version": "Windows10",
"provision_status": "Provisioned",
"mac_address": "64-00-6a-2a-43-3f",
"bios_version": "1.2.1",
"agent_load_flags": "1",
"status": "normal",
"bios_manufacturer": "ExampleInc.",
"machine_domain": "Domain name",
"agent_local_time": "2019-01-14T19: 41: 09.738Z",
"slow_changing_modified_timestamp": "2019-01-14T17: 44: 40Z",
"service_pack_major": "0",
"device_id": "example-id",
"system_product_name": "OptiPlex7040",
"product_type": "1",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"cid": "example-cid",
"platform_name": "Windows",
"config_id_base": "65994753",
"last_seen": "2019-01-17T13: 44: 46Z",
"pointer_size": "8",
"agent_version": "4.18.8104.0",
"recent_logins": [
{
"user_name": "test",
"login_time": "2022-08-10T07:36:38Z"
},
{
"user_name": "test",
"login_time": "2022-08-10T07:36:35Z"
}
],
"online_status": "offline"
}
],
"Entity": "198.51.100.255"
}
]
輸出訊息
「取得主機資訊」動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Error executing action "Get Host
Information". Reason: ERROR_REASON
|
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
指令碼結果
下表說明使用「取得主機資訊」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
依 IOC 取得主機 - 已淘汰
在 CrowdStrike Falcon 中列出與 IOC 相關的主機。支援的實體:
主機名稱、網址、IP 位址和雜湊。
注意:主機名稱實體會視為網域 IOC。這項動作會從網址中擷取網域部分,且僅支援 MD5 和 SHA-256 雜湊。
實體
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
- 網址
- 雜湊
動作輸入內容
不適用
動作輸出內容
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
{
"hash":
[{
"modified_timestamp": "2019-01-17T13: 44: 57Z",
"major_version": "10",
"site_name": "Example-Name",
"platform_id": "ExampleID",
"config_id_platform": "3",
"system_manufacturer": "ExampleInc.",
"meta": {"version": "49622"},
"first_seen": "2018-04-22T13: 06: 53Z",
"service_pack_minor": "0",
"product_type_desc": "Workstation",
"build_number": "14393",
"hostname": "name",
"config_id_build": "ExampleID",
"minor_version": "0",
"os_version": "Windows10",
"provision_status": "Provisioned",
"mac_address": "01:23:45:ab:cd:ef",
"bios_version": "1.2.1",
"agent_load_flags": "1",
"status": "normal",
"bios_manufacturer": "ExampleInc.",
"machine_domain": "Example Domain",
"Device_policies":
{
"sensor_update":
{
"applied": true,
"applied_date": "2018-12-11T23: 09: 18.071417837Z",
"settings_hash": "65994753|3|2|automatic",
"policy_type": "sensor-update",
"assigned_date": "2018-12-11T23: 08: 38.16990705Z",
"policy_id": "Example ID"
}
},
"agent_local_time": "2019-01-14T19: 41: 09.738Z",
"slow_changing_modified_timestamp": "2019-01-14T17: 44: 40Z",
"service_pack_major": "0", "device_id": "2653595a063e4566519ef4fc813fcc56",
"system_product_name": "OptiPlex7040",
"product_type": "1",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"platform_name": "Windows",
"config_id_base": "ExampleID",
"policies":
[{
"applied": true,
"applied_date": "2019-01-02T22: 45: 21.315392338Z",
"settings_hash": "18db1203",
"policy_type": "prevention",
"assigned_date": "2019-01-02T22: 45: 11.214774996Z",
"policy_id": "Example ID"
}],
"last_seen": "2019-01-17T13: 44: 46Z",
"pointer_size": "8",
"agent_version": "4.18.8104.0"
}]
}
實體充實
| 補充資料欄位 | 邏輯 |
|---|---|
| modified_timestamp | 如果 JSON 結果中存在該值,則傳回該值 |
| major_version | 如果 JSON 結果中存在該值,則傳回該值 |
| site_name | 如果 JSON 結果中存在該值,則傳回該值 |
| platform_id | 如果 JSON 結果中存在該值,則傳回該值 |
| config_id_platform | 如果 JSON 結果中存在該值,則傳回該值 |
| system_manufacturer | 如果 JSON 結果中存在該值,則傳回該值 |
| Meta | 如果 JSON 結果中存在該值,則傳回該值 |
| first_seen | 如果 JSON 結果中存在該值,則傳回該值 |
| service_pack_minor | 如果 JSON 結果中存在該值,則傳回該值 |
| product_type_desc | 如果 JSON 結果中存在該值,則傳回該值 |
| build_number | 如果 JSON 結果中存在該值,則傳回該值 |
| 主機名稱 | 如果 JSON 結果中存在該值,則傳回該值 |
| config_id_build | 如果 JSON 結果中存在該值,則傳回該值 |
| minor_version | 如果 JSON 結果中存在該值,則傳回該值 |
| os_version | 如果 JSON 結果中存在該值,則傳回該值 |
| provision_status | 如果 JSON 結果中存在該值,則傳回該值 |
| mac_address | 如果 JSON 結果中存在該值,則傳回該值 |
| bios_version | 如果 JSON 結果中存在該值,則傳回該值 |
| agent_load_flags | 如果 JSON 結果中存在該值,則傳回該值 |
| 狀態 | 如果 JSON 結果中存在該值,則傳回該值 |
| bios_manufacturer | 如果 JSON 結果中存在該值,則傳回該值 |
| machine_domain | 如果 JSON 結果中存在該值,則傳回該值 |
| Device_policies | 如果 JSON 結果中存在該值,則傳回該值 |
| agent_local_time | 如果 JSON 結果中存在該值,則傳回該值 |
| slow_changing_modified_timestamp | 如果 JSON 結果中存在該值,則傳回該值 |
| service_pack_major | 如果 JSON 結果中存在該值,則傳回該值 |
| system_product_name | 如果 JSON 結果中存在該值,則傳回該值 |
| product_type | 如果 JSON 結果中存在該值,則傳回該值 |
| local_ip | 如果 JSON 結果中存在該值,則傳回該值 |
| external_ip | 如果 JSON 結果中存在該值,則傳回該值 |
| cid | 如果 JSON 結果中存在該值,則傳回該值 |
| platform_name | 如果 JSON 結果中存在該值,則傳回該值 |
| config_id_base | 如果 JSON 結果中存在該值,則傳回該值 |
| 政策 | 如果 JSON 結果中存在該值,則傳回該值 |
| last_seen | 如果 JSON 結果中存在該值,則傳回該值 |
| pointer_size | 如果 JSON 結果中存在該值,則傳回該值 |
| agent_version | 如果 JSON 結果中存在該值,則傳回該值 |
實體洞察
不適用
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 這項動作不應失敗,也不應停止劇本執行: 如果成功,且找到至少一個與提供的 IOC 相關的主機 (is_success=true):「Successfully retrieved hosts related to the provided IOCs in CrowdStrike Falcon.」(已成功在 CrowdStrike Falcon 中擷取與提供的 IOC 相關的主機。) 如果找不到相關主機 (is_success=false):「CrowdStrike Falcon 中沒有與所提供 IOC 相關的主機。」 動作應會失敗並停止劇本執行: 如果系統回報重大錯誤:「執行動作『{動作名稱}』時發生錯誤。原因:{traceback}。」 |
一般 |
依 IOC 取得程序名稱 - 已淘汰
在 CrowdStrike Falcon 中,擷取與 IOC 和所提供裝置相關的程序。支援的實體:主機名稱、網址、IP 位址和雜湊。
注意:主機名稱實體會視為網域 IOC。這項動作會從網址中擷取網域部分。系統僅支援 MD5、SHA-1 和 SHA-256 雜湊。IP 位址實體會視為 IOC。
參數
| 參數名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 裝置名稱 | 11 | 不適用 | 是 | 指定要擷取與實體相關程序資訊的裝置清單 (以半形逗號分隔)。 |
執行時間
這項動作會對下列實體執行:
- 主機名稱
- 網址
- 雜湊
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
{
"EntityResult":
[{
"Process Name": "example.exe",
"Indicator": "986a4715113359b527b15efe1ee09306", "Host Name": "example-name"
},{
"Process Name": "example.exe",
"Indicator": "986a4715113359b527b15efe1ee09306",
"Host Name": "example-name"
},{
"Process Name": "example.exe",
"Indicator": "986a4715113359b527b15efe1ee09306",
"Host Name": "example-name"
}],
"Entity": "example_entity"
}
實體擴充
| 補充資料欄位名稱 | 邏輯 - 應用時機 |
|---|---|
| 程序名稱 | 如果 JSON 結果中存在該值,則傳回該值 |
| 指標 | 如果 JSON 結果中存在該值,則傳回該值 |
| 主機名稱 | 如果 JSON 結果中存在該值,則傳回該值 |
實體洞察
不適用
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止劇本執行: 如果至少有一個端點找到與實體相關的程序 (is_success=true):「Successfully retrieved processes related to the IOCs on the following endpoints in CrowdStrike Falcon: {device name}」(已成功從 CrowdStrike Falcon 中,擷取下列端點上與 IOC 相關的程序:{裝置名稱})。 如果至少有一個端點找不到任何程序,或找不到裝置 (is_success=true):"No related processes were found on the following endpoints in CrowdStrike Falcon: {device name}." 如果 所有端點都找不到任何程序,或找不到任何裝置 (is_success=false):「No related processes were found on the provided endpoints in CrowdStrike Falcon. 動作應會失敗並停止執行劇本: 如果系統回報重大錯誤: 「執行『{動作名稱}』時發生錯誤。 原因:{trace back}。」 |
取得 Vertex 詳細資料
使用「Get Vertex Details」動作,列出與特定指標相關聯的所有屬性。
Google SecOps 實體會視為 IOC。
這項動作會對下列實體執行:
- 主機名稱
- 網址
- 雜湊
動作輸入內容
無
動作輸出內容
「Get Vertex Details」(取得 Vertex 詳細資料) 動作會提供下列輸出內容:
| 動作輸出類型 | |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 實體擴充資料表 | 可用 |
| JSON 結果 | 可用 |
| 指令碼結果 | 可用 |
實體充實
「取得 Vertex 詳細資料」動作支援下列擴充功能:
| 補充資料欄位 | 邏輯 |
|---|---|
vertex_type |
如果 JSON 結果中存在該值,則傳回該值 |
timestamp |
如果 JSON 結果中存在該值,則傳回該值 |
object_id |
如果 JSON 結果中存在該值,則傳回該值 |
properties |
如果 JSON 結果中存在該值,則傳回該值 |
edges |
如果 JSON 結果中存在該值,則傳回該值 |
scope |
如果 JSON 結果中存在該值,則傳回該值 |
customer_id |
如果 JSON 結果中存在該值,則傳回該值 |
id |
如果 JSON 結果中存在該值,則傳回該值 |
device_id |
如果 JSON 結果中存在該值,則傳回該值 |
JSON 結果
以下範例說明使用「Get Vertex Details」動作時收到的 JSON 結果輸出內容:
[{
"EntityResult":
[{
"vertex_type": "module",
"timestamp": "2019-01-17T10: 52: 40Z",
"object_id":"example_id",
"properties":
{
"SHA256HashData": "7afb56dd48565c3c9804f683c80ef47e5333f847f2d3211ec11ed13ad36061e1",
"MD5HashData": "54cb91395cdaad9d47882533c21fc0e9",
"SHA1HashData": "3b1333f826e5fe36395042fe0f1b895f4a373f1b"
},
"edges":
{
"primary_module":
[{
"direction": "in",
"timestamp": "2019-01-13T10: 58: 51Z",
"object_id": "example-id",
"id": "pid: cb4493e4af2742b068efd16cb48b7260: 3738513791849",
"edge_type": "primary_module",
"path": "example-path",
"scope": "device",
"properties": {},
"device_id": "example-id"
}]
},
"scope": "device",
"customer_id": "example-id",
"id": "mod: cb4493e4af2742b068efd16cb48b7260: 7afb56dd48565c3c9804f683c80ef47e5333f847f2d3211ec11ed13ad36061e1",
"device_id": "example-id"
}],
"Entity": "198.51.100.255"
}]
指令碼結果
下表說明使用「取得 Vertex 詳細資料」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
升起包含的端點
使用「Lift Contained Endpoint」(解除端點隔離) 動作,在 CrowdStrike Falcon 中解除端點隔離。
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
動作輸入內容
「Lift Contained Endpoint」動作需要下列參數:
| 參數 | |
|---|---|
Fail If Timeout |
必要
如果選取這個選項,但所有端點的封鎖狀態都未解除,動作就會失敗。 (此為預設選項)。 |
動作輸出內容
「Lift Contained Endpoint」(升起所含端點) 動作會提供下列輸出內容:
| 動作輸出類型 | |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 實體擴充資料表 | 可用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
實體充實
「Lift Contained Endpoint」(提升所含端點) 動作支援下列實體擴充功能:
| 補充資料欄位 | 邏輯 |
|---|---|
status |
如果 JSON 結果中存在該值,則傳回該值 |
modified_timestamp |
如果 JSON 結果中存在該值,則傳回該值 |
major_version |
如果 JSON 結果中存在該值,則傳回該值 |
config_id_platform |
如果 JSON 結果中存在該值,則傳回該值 |
system_manufacturer |
如果 JSON 結果中存在該值,則傳回該值 |
device_policies |
如果 JSON 結果中存在該值,則傳回該值 |
meta |
如果 JSON 結果中存在該值,則傳回該值 |
pointer_size |
如果 JSON 結果中存在該值,則傳回該值 |
last_seen |
如果 JSON 結果中存在該值,則傳回該值 |
agent_local_time |
如果 JSON 結果中存在該值,則傳回該值 |
first_seen |
如果 JSON 結果中存在該值,則傳回該值 |
service_pack_major |
如果 JSON 結果中存在該值,則傳回該值 |
slow_changing_modified_timestamp |
如果 JSON 結果中存在該值,則傳回該值 |
service_pack_minor |
如果 JSON 結果中存在該值,則傳回該值 |
system_product_name |
如果 JSON 結果中存在該值,則傳回該值 |
product_type_desc |
如果 JSON 結果中存在該值,則傳回該值 |
build_number |
如果 JSON 結果中存在該值,則傳回該值 |
cid |
如果 JSON 結果中存在該值,則傳回該值 |
local_ip |
如果 JSON 結果中存在該值,則傳回該值 |
external_ip |
如果 JSON 結果中存在該值,則傳回該值 |
hostname |
如果 JSON 結果中存在該值,則傳回該值 |
config_id_build |
如果 JSON 結果中存在該值,則傳回該值 |
minor_version |
如果 JSON 結果中存在該值,則傳回該值 |
platform_id |
如果 JSON 結果中存在該值,則傳回該值 |
os_version |
如果 JSON 結果中存在該值,則傳回該值 |
config_id_base |
如果 JSON 結果中存在該值,則傳回該值 |
provision_status |
如果 JSON 結果中存在該值,則傳回該值 |
mac_address |
如果 JSON 結果中存在該值,則傳回該值 |
bios_version |
如果 JSON 結果中存在該值,則傳回該值 |
platform_name |
如果 JSON 結果中存在該值,則傳回該值 |
agent_load_flags |
如果 JSON 結果中存在該值,則傳回該值 |
device_id |
如果 JSON 結果中存在該值,則傳回該值 |
product_type |
如果 JSON 結果中存在該值,則傳回該值 |
agent_version |
如果 JSON 結果中存在該值,則傳回該值 |
JSON 結果
以下範例說明使用「Lift Contained Endpoint」(升起所含端點) 動作時收到的 JSON 結果輸出:
{
"EntityResult":
{
"status": "contained",
"modified_timestamp": "2019-06-24T07:47:37Z",
"major_version": "6", "policies":
[{
"applied": "True",
"applied_date": "2019-04-29T07:40:06.876850888Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-29T07:39:55.218651583Z",
"policy_id": ""
}],
"config_id_platform": "example-id",
"bios_manufacturer": "Example Inc.",
"system_manufacturer": "Example Corporation",
"Device_policies":
{
"global_config":
{
"applied": "True",
"applied_date": "2019-06-03T23:24:04.893780991Z",
"settings_hash": "a75911b0",
"policy_type": "globalconfig",
"assigned_date": "2019-06-03T23:23:17.184432743Z",
"policy_id": ""
},
"Sensor_update":
{
"applied": "True",
"applied_date": "2019-05-30T23:13:55.23597658Z",
"settings_hash": "65994753|3|2|automatic;101",
"uninstall_protection": "ENABLED",
"policy_type": "sensor-update",
"assigned_date": "2019-05-30T23:04:31.485311459Z",
"policy_id": "9d1e405846de4ebdb63f674866d390dc"
},
"Prevention":
{
"applied": "True",
"applied_date": "2019-04-29T07:40:06.876850888Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-29T07:39:55.218651583Z",
"policy_id": ""
},
"device_control":
{
"applied": "True",
"applied_date": "2019-06-03T23:14:29.800434222Z",
"policy_type": "device-control",
"assigned_date": "2019-06-03T23:05:17.425127539Z",
"policy_id": ""
},
"Remote_response":
{
"applied": "True",
"applied_date": "2019-04-29T07:40:04.469808388Z",
"settings_hash": "f472bd8e",
"policy_type": "remote-response",
"assigned_date": "2019-04-29T07:39:55.218642441Z",
"policy_id": ""
}
},
"meta":
{"version": "12765"},
"pointer_size": "8",
"last_seen": "2019-06-24T07:45:34Z",
"agent_local_time": "2019-06-18T12:17:06.259Z",
"first_seen": "2019-04-29T07:39:45Z",
"service_pack_major": "0",
"slow_changing_modified_timestamp": "2019-06-23T11:20:42Z",
"service_pack_minor": "0",
"system_product_name":"Virtual Machine",
"product_type_desc": "Server",
"build_number": "9600",
"cid": "",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"hostname": "example-hostname",
"config_id_build": "9106",
"minor_version": "3",
"platform_id": "0",
"os_version": "Windows Server 2012 R2",
"config_id_base": "example-id",
"provision_status": "Provisioned",
"mac_address": "01-23-45-ab-cd-ef",
"bios_version": "090007 ",
"platform_name": "Windows",
"agent_load_flags": "1",
"device_id": "",
"product_type": "3",
"agent_version": "5.10.9106.0"
},
"Entity": "198.51.100.255"
}
輸出訊息
「Lift Contained Endpoint」(升起所含端點) 動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Waiting for containment lift to finish for the following
endpoints: ENTITY_ID |
非同步訊息。 |
Error executing action "Lift
Contained Endpoint". Reason: the following endpoints initiated containment
lift, but were not able to finish it during action execution:
ENTITY_ID |
動作失敗。 檢查端點狀態和 |
Error executing action "Lift Contained Endpoint". Reason:
ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
指令碼結果
下表說明使用「Lift Contained Endpoint」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
列出主機安全漏洞
使用「列出主機安全漏洞」動作,列出 CrowdStrike Falcon 中主機上發現的安全漏洞。
這項操作需要 Falcon Spotlight 授權和權限。
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
動作輸入內容
「列出主機安全漏洞」動作需要下列參數:
| 參數 | |
|---|---|
Severity Filter |
選填
以半形逗號分隔的安全漏洞嚴重程度清單。 如果未提供任何值,這項動作會擷取所有相關的安全性漏洞。 可能的值如下:
|
Create Insight |
選填
如果選取,這項動作會為每個實體建立洞察,其中包含相關安全漏洞的統計資訊。 (此為預設選項)。 |
Max Vulnerabilities To Return |
選填
要為單一主機傳回的安全性弱點數量。 如果未提供任何值,這項動作會處理所有相關的安全性漏洞。 預設值為 |
動作輸出內容
「列出主機安全漏洞」動作會提供下列輸出內容:
| 動作輸出類型 | |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 可用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
案件訊息牆表格
在案件牆上,「列出主機安全漏洞」動作會提供下表:
類型:實體
欄:
- 名稱
- 分數
- 嚴重性
- 狀態
- 應用程式
- 有修復措施
JSON 結果
以下範例說明使用「列出主機安全漏洞」動作時收到的 JSON 結果輸出內容:
{
"statistics": {
"total": 123,
"severity": {
"critical": 1,
"high": 1,
"medium": 1,
"low": 1,
"unknown": 1
},
"status": {
"open": 1,
"reopened": 1
},
"has_remediation": 1
},
"details": [
{
"id": "74089e36ac3a4271ab14abc076ed18eb_fff6de34c1b7352babdf7c7d240749e7",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"aid": "74089e36ac3a4271ab14abc076ed18eb",
"created_timestamp": "2021-05-12T22:45:47Z",
"updated_timestamp": "2021-05-12T22:45:47Z",
"status": "open",
"cve": {
"id": "CVE-2021-28476",
"base_score": 9.9,
"severity": "CRITICAL",
"exploit_status": 0
},
"app": {
"product_name_version": "Example 01"
},
"apps": [
{
"product_name_version": "Example 01",
"sub_status": "open",
"remediation": {
"ids": [
"acc34cd461023ff8a966420fa8839365"
]
}
}
],
"host_info": {
"hostname": "example-hostname",
"local_ip": "192.0.2.1",
"machine_domain": "",
"os_version": "Windows 10",
"ou": "",
"site_name": "",
"system_manufacturer": "Example Inc.",
"groups": [],
"tags": [],
"platform": "Windows"
},
"remediation": [
{
"id": "acc34cd461023ff8a966420fa8839365",
"reference": "KB5003169",
"title": "Update Microsoft Windows 10 1909",
"action": "Install patch for Microsoft Windows 10 1909 x64 (Workstation): Security Update ABCDEF",
"link": "https://example.com/ABCDEF"
}
]
}
]
}
輸出訊息
「列出主機安全漏洞」動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Error executing action "List Host Vulnerabilities". Reason:
ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
Error executing action "List Host
Vulnerabilities". Reason: Invalid value provided in the Severity Filter
parameter. Possible values: Critical, High, Medium, Low, Unknown.
|
動作失敗。 檢查 |
指令碼結果
下表說明使用「列出主機安全漏洞」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
列出主機
使用「列出主機」動作,列出 CrowdStrike Falcon 中的可用主機。
這項操作會對所有實體執行。
動作輸入內容
「列出主機」動作需要下列參數:
| 參數 | |
|---|---|
Filter Logic |
選填
搜尋主機時要使用的邏輯。 預設值為
|
Filter Value |
選填
用於主機篩選的值。 |
Max Hosts To Return |
選填
要傳回的主機數量。 預設值為 最大值為 |
動作輸出內容
「列出主機」動作會提供下列輸出內容:
| 動作輸出類型 | |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
以下範例說明使用「列出主機」動作時收到的 JSON 結果輸出內容:
[{
"modified_timestamp": "2019-05-15T15:03:12Z",
"platform_id": "0",
"config_id_platform": "3",
"system_manufacturer": "Example Corporation",
"meta": {"version": "4067"},
"first_seen": "2019-04-29T07:39:45Z",
"service_pack_minor": "0",
"product_type_desc": "Server",
"build_number": "9600",
"hostname": "example-hostname",
"config_id_build": "8904",
"minor_version": "3",
"os_version": "Windows Server 2012 R2",
"provision_status": "Provisioned",
"mac_address": "01:23:45:ab:cd:ef",
"bios_version": "090007 ",
"agent_load_flags": "0",
"status": "normal",
"bios_manufacturer": "Example Inc.",
"device_policies":
{
"Sensor_update":
{
"applied": true,
"applied_date": "2019-05-02T22:05:09.577000651Z",
"settings_hash": "65994753|3|2|automatic",
"policy_type": "sensor-update",
"assigned_date": "2019-05-02T22:03:36.804382667Z",
"policy_id": "9d1e405846de4ebdb63f674866d390dc"
},
"remote_response":
{
"applied": true,
"applied_date": "2019-04-29T07:40:04.469808388Z",
"settings_hash": "f472bd8e",
"policy_type": "remote-response",
"assigned_date": "2019-04-29T07:39:55.218642441Z",
"policy_id": "21e4fb4dedd74c6fb0bcd6a348aa046c"
},
"device_control":
{
"applied": true,
"applied_date": "2019-04-29T07:40:06.896362608Z",
"assigned_date": "2019-04-29T07:39:55.218637999Z",
"policy_type": "device-control",
"policy_id": "c360df7193364b23aa4fc47f0238c899"
},
"prevention":
{
"applied": true,
"applied_date": "2019-04-29T07:40:06.876850888Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-29T07:39:55.218651583Z",
"policy_id": "7efdf97d7805402186b61151e8abd745"
},
"global_config":
{
"applied": true,
"applied_date": "2019-04-29T07:45:18.94807838Z",
"settings_hash": "3d78f9ab",
"policy_type": "globalconfig",
"assigned_date": "2019-04-29T07:45:08.165941325Z",
"policy_id": "985b1a25afcb489ea442d2d1430b1679"
}
},
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"agent_local_time": "2019-05-02T22:05:00.015Z",
"slow_changing_modified_timestamp": "2019-05-02T22:05:09Z",
"service_pack_major": "0",
"device_id": "0ab8bc6d968b473b72a5d11a41a24c21",
"system_product_name": "Virtual Machine",
"product_type": "3",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"major_version": "6",
"platform_name": "Windows",
"config_id_base": "65994753",
"policies":
[{
"applied": true,
"applied_date": "2019-04-29T07:40:06.876850888Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-29T07:39:55.218651583Z",
"policy_id": "7efdf97d7805402186b61151e8abd745"
}],
"agent_version": "4.26.8904.0",
"pointer_size": "8",
"last_seen": "2019-05-15T15:01:23Z"
},
{
"modified_timestamp": "2019-05-13T07:24:36Z",
"site_name": "Example-Site-Name",
"config_id_platform": "3",
"system_manufacturer": "Example Inc.",
"meta": {"version": "14706"},
"first_seen": "2018-04-17T11:02:20Z",
"platform_name": "Windows",
"service_pack_minor": "0",
"product_type_desc": "Workstation",
"build_number": "17134",
"hostname": "example-hostname",
"config_id_build": "8904",
"minor_version": "0",
"os_version": "Windows 10",
"provision_status": "Provisioned",
"mac_address": "01:23:45:ab:cd:ef",
"bios_version": "1.6.5",
"agent_load_flags": "0",
"status": "normal",
"bios_manufacturer": "Example Inc.",
"machine_domain": "example.com",
"device_policies":
{
"sensor_update":
{
"applied": true,
"applied_date": "2019-05-05T12:52:23.121596885Z",
"settings_hash": "65994753|3|2|automatic",
"policy_type": "sensor-update",
"assigned_date": "2019-05-05T12:51:37.544605747Z",
"policy_id": "9d1e405846de4ebdb63f674866d390dc"
},
"Remote_response":
{
"applied": true,
"applied_date": "2019-02-10T07:57:59.064362539Z",
"settings_hash": "f472bd8e",
"policy_type": "remote-response",
"assigned_date": "2019-02-10T07:57:50.610924385Z",
"policy_id": "21e4fb4dedd74c6fb0bcd6a348aa046c"
},
"device_control":
{
"applied": true,
"applied_date": "2019-03-25T15:01:28.51681072Z",
"assigned_date": "2019-03-25T15:00:22.442519168Z",
"policy_type": "device-control",
"policy_id": "c360df7193364b23aa4fc47f0238c899"
},
"Prevention":
{
"applied": true,
"applied_date": "2019-04-04T06:54:06.909774295Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-04T06:53:57.135897343Z",
"policy_id": "7efdf97d7805402186b61151e8abd745"
},
"global_config":
{
"applied": true,
"applied_date": "2019-02-10T07:57:53.70275875Z",
"settings_hash": "3d78f9ab",
"policy_type": "globalconfig",
"assigned_date": "2019-02-10T07:57:50.610917888Z",
"policy_id": "985b1a25afcb489ea442d2d1430b1679"
}
},
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"agent_local_time": "2019-05-05T15:52:08.172Z",
"slow_changing_modified_timestamp": "2019-05-12T12:37:35Z",
"service_pack_major": "0",
"device_id": "cb4493e4af2742b068efd16cb48b7260",
"system_product_name": "example-name",
"product_type": "1",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"major_version": "10",
"platform_id": "0",
"config_id_base": "65994753",
"policies":
[{
"applied": true,
"applied_date": "2019-04-04T06:54:06.909774295Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-04T06:53:57.135897343Z",
"policy_id": "7efdf97d7805402186b61151e8abd745"
}],
"agent_version": "4.26.8904.0",
"pointer_size": "8",
"last_seen": "2019-05-13T07:21:30Z"
},
{
"modified_timestamp": "2019-05-09T14:22:50Z",
"site_name": "Example-Site-Name",
"config_id_platform": "3",
"system_manufacturer": "Dell Inc.",
"meta": {"version": "77747"},
"first_seen": "2018-07-01T12:19:23Z",
"platform_name": "Windows",
"service_pack_minor": "0",
"product_type_desc": "Workstation",
"build_number": "17134",
"hostname":"example-hostname",
"config_id_build": "8904",
"minor_version": "0",
"os_version": "Windows 10",
"provision_status": "Provisioned",
"mac_address": "01:23:45:ab:cd:ef",
"bios_version": "1.2.1",
"agent_load_flags": "0",
"status": "normal",
"bios_manufacturer": "Example Inc.",
"machine_domain": "example.com",
"device_policies":
{
"sensor_update":
{
"applied": true,
"applied_date": "2019-05-02T22:10:50.336101107Z",
"settings_hash": "65994753|3|2|automatic",
"policy_type": "sensor-update",
"assigned_date": "2019-05-02T22:10:50.336100731Z",
"policy_id": "9d1e405846de4ebdb63f674866d390dc"
},
"remote_response":
{
"applied": true,
"applied_date": "2019-02-08T02:46:31.919442939Z",
"settings_hash": "f472bd8e",
"policy_type": "remote-response",
"assigned_date": "2019-02-08T02:46:22.219718098Z",
"policy_id": "21e4fb4dedd74c6fb0bcd6a348aa046c"
},
"device_control":
{
"applied": true,
"applied_date": "2019-03-24T16:43:31.777981725Z",
"assigned_date": "2019-03-24T16:42:21.395540493Z",
"policy_type": "device-control",
"policy_id": "c360df7193364b23aa4fc47f0238c899"
},
"prevention":
{
"applied": true,
"applied_date": "2019-04-03T23:58:50.870694195Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-03T23:57:22.534513932Z",
"policy_id": "7efdf97d7805402186b61151e8abd745"
},
"global_config":
{
"applied": true,
"applied_date": "2019-02-08T01:14:14.810607774Z",
"settings_hash": "3d78f9ab",
"policy_type": "globalconfig",
"assigned_date": "2019-02-08T01:14:05.585922067Z",
"policy_id": "985b1a25afcb489ea442d2d1430b1679"
}
},
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"agent_local_time": "2019-05-03T01:10:29.340Z",
"slow_changing_modified_timestamp": "2019-05-02T22:10:46Z",
"service_pack_major": "0",
"device_id": "1c2f1a7f88f8457f532f1c615f07617b",
"system_product_name": "Example Name",
"product_type": "1",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"major_version": "10",
"platform_id": "0",
"config_id_base": "65994753",
"policies":
[{
"applied": true,
"applied_date": "2019-04-03T23:58:50.870694195Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-03T23:57:22.534513932Z",
"policy_id": "7efdf97d7805402186b61151e8abd745"
}],
"agent_version": "4.26.8904.0",
"pointer_size": "8",
"last_seen": "2019-05-09T14:20:53Z"
}]
輸出訊息
「列出主機」動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Error executing action "List Hosts".
Reason: ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
指令碼結果
下表說明使用「列出主機」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
列出已上傳的 IOC
使用「List Uploaded IOCs」(列出上傳的 IOC) 動作,列出 CrowdStrike Falcon 中可用的自訂 IOC。
這項操作會對所有實體執行。
動作輸入內容
「列出已上傳的 IOC」動作需要下列參數:
| 參數 | |
|---|---|
IOC Type Filter |
選填
以半形逗號分隔的 IOC 類型清單,用於傳回結果。 預設值為
|
Value Filter Logic |
選填
篩選器邏輯的值。 預設值為
如果設定為 |
Value Filter String |
選填
要在入侵指標中搜尋的字串。 |
Max IOCs To Return |
選填
要傳回的 IOC 數量。 預設值為 最大值為 500。 |
動作輸出內容
「列出已上傳的 IOC」動作會提供下列輸出內容:
| 動作輸出類型 | |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 可用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
案件訊息牆表格
在案件牆上,「列出已上傳的 IOC」動作會提供下表:
欄:
- 動作
- 嚴重性
- 已簽署
- AV Hits
- 平台
- 標記
- 建立日期
- 建立者
JSON 結果
下列範例說明使用「列出已上傳的 IOC」動作時收到的 JSON 結果輸出內容:
{
"id": "fbe8c2739f3c6df95e62e0ae54569974437b2d9306eaf6740134ccf1a05e23d3",
"type": "sha256",
"value": "8a86c4eecf12446ff273afc03e1b3a09a911d0b7981db1af58cb45c439161295",
"action": "no_action",
"severity": "",
"metadata": {
"signed": false,
"av_hits": -1
},
"platforms": [
"windows"
],
"tags": [
"Hashes 22.Nov.20 15:29 (Windows)"
],
"expired": false,
"deleted": false,
"applied_globally": true,
"from_parent": false,
"created_on": "2021-04-22T03:54:09.235120463Z",
"created_by": "internal@example.com",
"modified_on": "2021-04-22T03:54:09.235120463Z",
"modified_by": "internal@example.com"
}
輸出訊息
「List Uploaded IOCs」(列出已上傳的 IOC) 動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
Successfully found custom IOCs for the provided criteria in
CrowdStrike Falcon. |
動作成功。 |
Error executing action "List Uploaded IOCs". Reason:
ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
Error executing action "List Uploaded IOCs". Reason: "IOC Type
Filter" contains an invalid value. Please check the spelling. Possible
values: ipv4, ipv6, md5, sha1, sha256, domain. |
動作失敗。 檢查拼字和 |
指令碼結果
下表說明使用「列出已上傳的 IOC」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
隨選掃描
使用「On-Demand Scan」動作,在 CrowdStrike 中依需求掃描端點。
這項動作只會在 Windows 主機和下列實體上執行:
- IP 位址
- 主機名稱
「按需求掃描」動作會以非同步方式執行。視需要調整 Google SecOps IDE 中的指令碼逾時值。
動作輸入內容
「On-Demand Scan」動作需要下列參數:
| 參數 | |
|---|---|
File Paths To Scan |
必要 以半形逗號分隔的掃描路徑清單。 預設值為 |
File Paths To Exclude From Scan |
選用 以半形逗號分隔的路徑清單,這些路徑會從掃描中排除。 |
Host Group Name |
選用 以半形逗號分隔的主機群組名稱清單,用於啟動掃描。 這項動作會為每個主機群組建立個別的掃描程序。 |
Scan Description |
選用 掃描程序說明。如未設定任何值,動作會將說明設為「 |
CPU Priority |
選用 掃描期間,基礎主機使用的 CPU 數量。可能的值如下:
預設值為 |
Sensor Anti-malware Detection Level |
選用 感應器惡意軟體偵測層級的值。 偵測等級必須等於或高於防護等級。 可能的值如下:
預設值為 |
Sensor Anti-malware Prevention Level |
選用 感應器惡意軟體防護等級的值。 偵測等級必須等於或高於防護等級。 可能的值如下:
預設值為 |
Cloud Anti-malware Detection Level |
選用 雲端惡意軟體偵測等級的值。 偵測等級必須等於或高於防護等級。 可能的值如下:
預設值為 |
Cloud Anti-malware Prevention Level |
選用 雲端惡意軟體防護等級的值。 偵測等級必須等於或高於防護等級。 可能的值如下:
預設值為 |
Quarantine Hosts |
選用 如果選取此選項,掃描作業會隔離基礎主機。 預設為未選取。 |
Create Endpoint Notification |
選用 如果選取這個選項,掃描程序會建立端點通知。 (此為預設選項)。 |
Max Scan Duration |
選用 掃描作業的執行時數。 如未提供任何值,掃描作業會持續執行。 |
動作輸出內容
「按需求掃描」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
以下範例說明使用「隨選掃描」動作時收到的 JSON 結果輸出內容:
{
"id": "ID",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"profile_id": "c94149b9a52d4c76b027e63a88dcc710",
"description": "test APIS ",
"file_paths": [
"C:\\Windows"
],
"initiated_from": "falcon_adhoc",
"quarantine": true,
"cpu_priority": 1,
"preemption_priority": 1,
"metadata": [
{
"host_id": "HOST_ID",
"host_scan_id": "909262bd2fff664282a46464d8625a62",
"scan_host_metadata_id": "815dae51d8e543108ac01f6f139f42b1",
"filecount": {
"scanned": 16992,
"malicious": 0,
"quarantined": 0,
"skipped": 124998,
"traversed": 198822
},
"status": "completed",
"started_on": "2024-02-05T13:55:45.25066635Z",
"completed_on": "2024-02-05T14:11:18.092427363Z",
"last_updated": "2024-02-05T14:11:18.092431457Z"
}
],
"filecount": {
"scanned": 16992,
"malicious": 0,
"quarantined": 0,
"skipped": 124998,
"traversed": 198822
},
"targeted_host_count": 1,
"completed_host_count": 1,
"status": "completed",
"hosts": [
"86db81f390394cb080417a1ffb7d46fd"
],
"endpoint_notification": true,
"pause_duration": 2,
"max_duration": 1,
"max_file_size": 60,
"sensor_ml_level_detection": 2,
"sensor_ml_level_prevention": 2,
"cloud_ml_level_detection": 2,
"cloud_ml_level_prevention": 2,
"policy_setting": [
26439818674573,
],
"scan_started_on": "2024-02-05T13:55:45.25Z",
"scan_completed_on": "2024-02-05T14:11:18.092Z",
"created_on": "2024-02-05T13:55:43.436807525Z",
"created_by": "88f5d9e8284f4b85b92dab2389cb349d",
"last_updated": "2024-02-05T14:14:18.776620391Z"
}
輸出訊息
「按需求掃描」動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
|
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
指令碼結果
下表說明使用「隨選掃描」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
乒乓
使用「Ping」動作測試與 CrowdStrike Falcon 的連線。
這項操作會對所有實體執行。
動作輸入內容
無
動作輸出內容
「Ping」動作會提供下列輸出內容:
| 動作輸出類型 | |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 無法使用 |
| 指令碼結果 | 可用 |
指令碼結果
下表說明使用 Ping 動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
執行指令碼
使用「執行指令碼」動作,在 CrowdStrike 中的端點上執行 PowerShell 指令碼。
這項動作是非同步作業。如有需要,請在 Google SecOps IDE 中調整指令碼逾時值。
這項操作會對 IP 位址和主機名稱實體執行。
動作輸入內容
「執行指令碼」動作需要下列參數:
| 參數 | |
|---|---|
Customer ID |
選用 要為其執行動作的客戶 ID。 |
Script Name |
選用 要執行的指令碼檔案名稱。 設定 |
Raw Script |
選用 要在端點執行的原始 PowerShell 指令碼有效酬載。 設定 |
動作輸出內容
「執行指令碼」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 無法使用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
輸出訊息
在案件總覽上,「執行指令碼」動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
|
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
指令碼結果
下表說明使用「執行指令碼」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
搜尋活動
使用這項動作在 CrowdStrike 中搜尋事件。 注意:動作是以非同步方式執行,請視需要調整 Google SecOps IDE 中動作的指令碼逾時值。
這項操作不會對實體執行。
動作輸入內容
「搜尋事件」動作需要下列參數:
| 參數 | |
|---|---|
Repository |
必要
要搜尋的存放區。 可能的值如下:
|
Query |
必要
需要在 CrowdStrike 中執行的查詢。 注意:請勿在查詢中提供「head」。Action 會根據「要傳回的最多結果數」參數提供的值,自動提供這項資訊。 |
Time Frame |
選填
結果的時間範圍。如果選取「自訂」, 還需要提供「開始時間」。 「過去一小時」可能的值如下:
|
Start Time |
選填
結果的開始時間。如果為「時間範圍」參數選取「自訂」,則必須提供這個參數。 格式:ISO 8601。 |
End Time |
選填
要為查詢傳回的結果數量。 動作會將「head」附加至提供的查詢。 預設值為 50。上限為 1000。 |
動作輸出內容
「搜尋事件」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
輸出訊息
在案件總覽中,「搜尋事件」動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
|
這項動作不應失敗或停止應對手冊執行。 |
|
|
動作失敗。 |
指令碼結果
下表說明使用「搜尋事件」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
提交檔案
使用「提交檔案」動作,將檔案提交至 CrowdStrike 的沙箱。
如要執行這項操作,必須具備 Falcon Sandbox 授權。
這項操作不會對實體執行。
支援的檔案和封存格式
根據 CrowdStrike 入口網站,沙箱支援下列檔案格式:
| 支援的檔案格式 | |
|---|---|
.exe、.scr、.pif、
.dll、.com、.cpl |
可攜式可執行檔 |
.doc、.docx、.ppt、
.pps、.pptx、.ppsx、
.xls、.xlsx、.rtf、
.pub |
Office 文件 |
.pdf |
|
.apk |
APK |
.jar |
可執行的 JAR |
.sct |
Windows 指令碼元件 |
.lnk |
Windows 捷徑 |
.chm |
Windows 說明 |
.hta |
HTML 應用程式 |
.wsf |
Windows 指令碼檔案 |
.js |
JavaScript |
.vbs、.vbe |
Visual Basic |
.swf |
Shockwave Flash |
.pl |
Perl |
.ps1、.psd1、.psm1 |
Powershell |
.svg |
可縮放向量圖形 |
.py |
Python |
.elf |
Linux ELF 可執行檔 |
.eml |
電子郵件檔案:MIME RFC 822 |
.msg |
電子郵件檔案:Outlook |
根據 CrowdStrike 入口網站,沙箱支援下列封存格式:
.zip.7z
動作輸入內容
「提交檔案」動作需要下列參數:
| 參數 | |
|---|---|
File Paths |
必要
提交檔案的絕對路徑清單。 格式取決於部署方式:
如需支援的檔案格式清單,請參閱「支援的檔案和封存格式」。 |
Sandbox Environment |
選填
用於分析的沙箱環境。 預設值為
|
Network Environment |
選填
要分析的網路環境。 預設值為
|
Archive Password |
選填
處理封存檔時使用的密碼。 |
Document Password |
選填
處理 Adobe 或 Office 檔案時使用的密碼。 密碼長度上限為 32 個字元。 |
Check Duplicate |
選填
如果選取這個動作,系統會檢查檔案是否已提交過,並傳回可用的報告。 驗證期間,動作不會考慮 (此為預設選項)。 |
Comment |
選填
要提交的留言。 |
Confidential Submission |
選填
如果選取這個選項,只有客戶帳戶中的使用者會看到檔案。 預設為未選取。 |
動作輸出內容
「提交檔案」動作會提供下列輸出內容:
| 動作輸出類型 | |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 可用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 無法使用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
案件訊息牆表格
在案件牆上,「提交檔案」動作會提供下表:
欄:
- 結果
- 名稱
- 威脅分數
- 判定結果
- 標記
輸出訊息
「提交檔案」動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
|
動作傳回錯誤。 請查看這項動作支援的檔案格式。 |
Waiting for results for the following
files: PATHS |
非同步訊息。 |
Error executing action "Submit File".
Reason: ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
Error executing action "Submit File".
Reason: action ran into a timeout during execution. Pending files:
FILES_IN_PROGRESS. Please increase
the timeout in IDE.
|
動作失敗。 在 IDE 中增加逾時時間。 |
指令碼結果
下表說明使用「提交檔案」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
提交網址
使用「提交網址」動作,將網址提交至 CrowdStrike 中的沙箱。
您必須具備 Falcon Sandbox 授權,才能執行這項操作。如要查看沙箱支援的檔案格式,請參閱本文的「支援的檔案和封存格式」一節。
這項操作不會對實體執行。
動作輸入內容
「提交網址」動作需要下列參數:
| 參數 | |
|---|---|
URLs |
必要
要提交的網址。 |
Sandbox Environment |
選填
用於分析的沙箱環境。 預設值為
|
Network Environment |
選填
要分析的網路環境。 預設值為
|
Check Duplicate |
選填
如果選取這個選項,系統會檢查網址是否已提交過,並傳回可用的報告。 驗證期間,動作不會考慮 (此為預設選項)。 |
動作輸出內容
「提交網址」動作會提供下列輸出內容:
| 動作輸出類型 | |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 無法使用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
輸出訊息
「提交網址」動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Waiting for results for the following
URLs: PATHS |
非同步訊息。 |
Error executing action "Submit URL".
Reason: ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
Error executing action "Submit URL".
Reason: action ran into a timeout during execution. Pending files:
FILES_IN_PROGRESS. Please increase
the timeout in IDE. |
動作失敗。 在 IDE 中增加逾時時間。 |
指令碼結果
下表說明使用「提交網址」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
更新警告內容
使用「Update Alert」(更新快訊) 動作,更新 CrowdStrike Falcon 中的快訊。
這項操作不會對實體執行。
動作輸入內容
「更新快訊」動作需要下列參數:
| 參數 | |
|---|---|
Alert ID |
必要 要更新的快訊 ID。 |
Status |
選用 快訊的狀態。 可能的值如下:
|
Verdict |
選用 快訊的判決結果。 可能的值如下:
|
Assign To |
選用 要指派快訊的分析師名稱。 如果您提供 即使系統中沒有所提供的使用者,API 仍會接受任何值。 |
動作輸出內容
「更新快訊」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
以下範例說明使用「更新快訊」動作時收到的 JSON 結果輸出內容:
{
"added_privileges": [
"DomainAdminsRole"
],
"aggregate_id": "aggind:ID",
"assigned_to_uid": "example@example.com",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"composite_id": "27fe4e476ca3490b8476b2b6650e5a74:ind:ID",
"confidence": 20,
"context_timestamp": "2022-11-15T12:58:15.629Z",
"crawl_edge_ids": {
"Sensor": [
"N6KIZ`%V`&d#&#sRaHNV[f3[CA4lr/C_N;.JnbglJpdg8TCCTqnr!9D\\['ALM&eNbPq?kt$#@]+01Ac[&th0-0]E'J8:]mFV?'g5HZ/$B.%BC29_`4U_?%a)_&#k>,G>:=E>%[7^<aLSVj=`UCMcRUH[a9/*^hO_7Ft(js#P<M<(eG3(B=I8rr",
"XNXnKK.mi:ckQ^2c7AGRMK^'rd:p[_JkD_5ZM$W:d'J8oN:42nj.Ho1-^E5D16b0VALJ`2cDEEJTVdY\\n.-WQ^_B[7$1pH[Glgm@go]-LB%M1,c#2F)nli-Ge#V<=[!c_jh8e3D8E-S0FheDm*BHh-P/s6q!!*'!",
"N6L*L\">LGfi/.a$IkpaFlWjT.YU#P@Gu8Qe6'0SK=M]ChI,FQXqo=*M(QR+@6c8@m1pIc)Dqs+WLXjbpom5@$T+oqC5RJk!9atPF/<mG'H`V9P0YII;!>C8YL)XS&ATORi>!U.7<Ds\"<dT/Mkp\\V%!U[RS_YC/Wrn[Z`S(^4NU,lV#X3/#pP7K*>g!<<'"
]
},
"crawl_vertex_ids": {
"Sensor": [
"aggind:ID",
"idpind:ID",
"ind:ID",
"uid:ID"
]
},
"crawled_timestamp": "2022-11-15T13:58:17.251061883Z",
"created_timestamp": "2022-11-15T12:59:17.239585706Z",
"description": "A user received new privileges",
"display_name": "Privilege escalation (user)",
"end_time": "2022-11-15T12:58:15.629Z",
"falcon_host_link": "https://falcon.crowdstrike.com/identity-protection/detections/ID",
"id": "ind:ID",
"name": "IdpEntityPrivilegeEscalationUser",
"objective": "Gain Access",
"pattern_id": 51113,
"previous_privileges": "0",
"privileges": "8321",
"product": "idp",
"scenario": "privilege_escalation",
"severity": 2,
"show_in_ui": true,
"source_account_domain": "EXAMPLE.EXAMPLE",
"source_account_name": "ExampleMailbox",
"source_account_object_sid": "S-1-5-21-3479765008-4256118348-3151044947-3595",
"start_time": "2022-11-15T12:58:15.629Z",
"status": "new",
"tactic": "Privilege Escalation",
"tactic_id": "TA0004",
"tags": [
"red_team"
],
"technique": "Valid Accounts",
"technique_id": "T1078",
"timestamp": "2022-11-15T12:58:17.239Z",
"type": "idp-user-endpoint-app-info",
"updated_timestamp": "2022-11-23T15:22:20.271100181Z"
}
輸出訊息
「更新快訊」動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
Successfully updated alert with ID
ALERT_ID in CrowdStrike |
動作成功。 |
|
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
指令碼結果
下表說明使用「更新快訊」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
更新偵測
使用「更新偵測」動作,更新 CrowdStrike Falcon 中的偵測結果。
這項操作會對所有實體執行。
動作輸入內容
「更新偵測」動作需要下列參數:
| 參數 | |
|---|---|
Detection ID |
必要
要更新的偵測 ID。 |
Status |
必要
偵測狀態。 預設值為
|
Assign Detection to |
選填
CrowdStrike Falcon 使用者的電子郵件地址,該使用者是偵測結果的指派對象。 |
動作輸出內容
「更新偵測」動作會提供下列輸出內容:
| 動作輸出類型 | |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 無法使用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
輸出訊息
「更新偵測」動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
Successfully updated detection
DETECTION_ID in CrowdStrike Falcon.
|
動作成功。 |
Error executing action "Update
Detection". Reason: ERROR_REASON
|
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
Error executing action "Update
Detection". Reason: Either "Status" or "Assign Detection To" should have a
proper value. |
動作失敗。 檢查 |
指令碼結果
下表說明使用「更新偵測」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
更新 Identity Protection 偵測
使用「Update Identity Protection Detection」更新 CrowdStrike 中的身分保護偵測結果。
這項動作需要 Identity Protection 授權。
這項操作不會對實體執行。
動作輸入內容
「Update Identity Protection Detection」動作需要下列參數:
| 參數 | |
|---|---|
Detection ID |
必要
要更新的偵測 ID。 |
Status |
選填
偵測狀態。 預設值為 可能的值如下:
|
Assign to |
選填
指派的分析師名稱。 如果提供 如果提供的值無效,這項動作不會變更目前的指派對象。 |
動作輸出內容
「Update Identity Protection Detection」動作會提供下列輸出內容:
| 動作輸出類型 | |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
以下範例說明使用「更新身分識別保護偵測」動作時收到的 JSON 結果輸出內容:
{
"added_privileges": [
"DomainAdminsRole"
],
"aggregate_id": "aggind:ID",
"assigned_to_uid": "example@example.com",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"composite_id": "27fe4e476ca3490b8476b2b6650e5a74:ind:ID",
"confidence": 20,
"context_timestamp": "2022-11-15T12:58:15.629Z",
"crawl_edge_ids": {
"Sensor": [
"N6KIZ`%V`&d#&#sRaHNV[f3[CA4lr/C_N;.JnbglJpdg8TCCTqnr!9D\\['ALM&eNbPq?kt$#@]+01Ac[&th0-0]E'J8:]mFV?'g5HZ/$B.%BC29_`4U_?%a)_&#k>,G>:=E>%[7^<aLSVj=`UCMcRUH[a9/*^hO_7Ft(js#P<M<(eG3(B=I8rr",
"XNXnKK.mi:ckQ^2c7AGRMK^'rd:p[_JkD_5ZM$W:d'J8oN:42nj.Ho1-^E5D16b0VALJ`2cDEEJTVdY\\n.-WQ^_B[7$1pH[Glgm@go]-LB%M1,c#2F)nli-Ge#V<=[!c_jh8e3D8E-S0FheDm*BHh-P/s6q!!*'!",
"N6L*L\">LGfi/.a$IkpaFlWjT.YU#P@Gu8Qe6'0SK=M]ChI,FQXqo=*M(QR+@6c8@m1pIc)Dqs+WLXjbpom5@$T+oqC5RJk!9atPF/<mG'H`V9P0YII;!>C8YL)XS&ATORi>!U.7<Ds\"<dT/Mkp\\V%!U[RS_YC/Wrn[Z`S(^4NU,lV#X3/#pP7K*>g!<<'"
]
},
"crawl_vertex_ids": {
"Sensor": [
"aggind:ID",
"idpind:ID",
"ind:ID",
"uid:ID"
]
},
"crawled_timestamp": "2022-11-15T13:58:17.251061883Z",
"created_timestamp": "2022-11-15T12:59:17.239585706Z",
"description": "A user received new privileges",
"display_name": "Privilege escalation (user)",
"end_time": "2022-11-15T12:58:15.629Z",
"falcon_host_link": "https://example.com/",
"id": "ind:ID",
"name": "IdpEntityPrivilegeEscalationUser",
"objective": "Gain Access",
"pattern_id": 51113,
"previous_privileges": "0",
"privileges": "8321",
"product": "idp",
"scenario": "privilege_escalation",
"severity": 2,
"show_in_ui": true,
"source_account_domain": "EXAMPLE.COM",
"source_account_name": "ExampleName",
"source_account_object_sid": "S-1-5-21-3479765008-4256118348-3151044947-3595",
"start_time": "2022-11-15T12:58:15.629Z",
"status": "new",
"tactic": "Privilege Escalation",
"tactic_id": "TA0004",
"tags": [
"red_team"
],
"technique": "Valid Accounts",
"technique_id": "T1078",
"timestamp": "2022-11-15T12:58:17.239Z",
"type": "idp-user-endpoint-app-info",
"updated_timestamp": "2022-11-23T15:22:20.271100181Z"
}
輸出訊息
在案件牆上,「更新身分保護偵測」動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
Successfully updated identity protection detection with ID
DETECTION_ID in CrowdStrike.
|
動作成功。 |
Error executing action "Update Identity Protection Detection".
Reason: ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
Error executing action "Update Identity Protection Detection".
Reason: identity protection detection with ID
DETECTION_ID wasn't found in
CrowdStrike. Please check the spelling. |
動作失敗。 檢查拼字。 |
Error executing action "Update
Identity Protection Detection". Reason: at least one of the "Status" or
"Assign To" parameters should have a value. |
動作失敗。 檢查 |
指令碼結果
下表說明使用「Update Identity Protection Detection」(更新身分保護偵測) 動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
更新事件
使用「Update Incident」(更新事件) 動作,更新 CrowdStrike 中的事件。
這項操作不會對實體執行。
動作輸入內容
「更新事件」動作需要下列參數:
| 參數 | |
|---|---|
Incident ID |
必要
要更新的事件 ID。 |
Status |
選填
事件的狀態。 可能的值如下:
|
Assign to |
選填
指派分析師的名稱或電子郵件地址。 如果提供 如要指定名稱,請提供分析師的名字和姓氏,格式如下:
|
動作輸出內容
「更新事件」動作會提供下列輸出內容:
| 動作輸出類型 | |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
以下範例說明使用「更新事件」動作時收到的 JSON 結果輸出內容:
{
"data_type": "Incident"
"incident_id": "inc:fee8a6ef0cb3412e9a781dcae0287c85:9dfa480ae6214309bff0c8dc2ad8af7c",
"incident_type": 1,
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"host_ids": [
"fee8a6ef0cb3412e9a781dcae0287c85"
],
"hosts": [
{
"device_id": "fee8a6ef0cb3412e9a781dcae0287c85",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"agent_load_flags": "1",
"agent_local_time": "2023-01-09T11:28:59.170Z",
"agent_version": "6.48.16207.0",
"bios_manufacturer": "Example Inc.",
"bios_version": "1.20.0",
"config_id_base": "65994753",
"config_id_build": "16207",
"config_id_platform": "3",
"external_ip": "198.51.100.1",
"hostname": "DESKTOP-EXAMPLE",
"first_seen": "2022-09-26T09:56:42Z",
"last_seen": "2023-01-09T12:11:35Z",
"local_ip": "192.0.2.1",
"mac_address": "00-15-5d-65-39-86",
"major_version": "10",
"minor_version": "0",
"os_version": "Windows 10",
"platform_id": "0",
"platform_name": "Windows",
"product_type": "1",
"product_type_desc": "Workstation",
"status": "contained",
"system_manufacturer": "Example Inc.",
"system_product_name": "G5 5500",
"modified_timestamp": "2023-01-09T12:11:48Z"
}
],
"created": "2023-01-09T12:12:51Z",
"start": "2023-01-09T11:23:27Z",
"end": "2023-01-09T12:52:01Z",
"state": "closed",
"status": 20,
"tactics": [
"Defense Evasion",
"Privilege Escalation",
"Credential Access"
],
"techniques": [
"Disable or Modify Tools",
"Access Token Manipulation",
"Input Capture",
"Bypass User Account Control"
],
"objectives": [
"Keep Access",
"Gain Access"
],
"users": [
"DESKTOP-EXAMPLE$",
"EXAMPLE"
],
"fine_score": 21
}
輸出訊息
「更新事件」動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
Successfully Successfully updated incident with ID
INCIDENT_ID in
CrowdStrike |
動作成功。 |
Error executing action "Update
Incident". Reason: ERROR_REASON
|
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
Error executing action "Update Incident". Reason: incident with
ID INCIDENT_ID wasn't found in
CrowdStrike. Please check the spelling. |
動作失敗。 檢查拼字。 |
Error executing action "Update
Incident". Reason: user USER_ID
wasn't found in CrowdStrike. Please check the spelling. |
動作失敗。 檢查拼字。 |
Error executing action "Update
Incident". Reason: at least one of the "Status" or "Assign To" parameters
should have a value. |
動作失敗。 檢查輸入參數。 |
指令碼結果
下表說明使用「更新事件」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
更新 IOC 資訊
使用「Update IOC Information」(更新 IOC 資訊) 動作,更新 CrowdStrike Falcon 中自訂 IOC 的相關資訊。
這項動作會將主機名稱實體視為網域 IOC,並從網址中擷取網域部分。這項動作僅支援 MD5 和 SHA-256 雜湊。
「更新 IOC 資訊」動作會在下列實體上執行:
- 主機名稱
- 網址
- IP 位址
- 雜湊
動作輸入內容
「更新 IOC 資訊」動作需要下列參數:
| 參數 | |
|---|---|
Description |
選填
自訂 IOC 的新說明。 |
Source |
選填
自訂 IOC 的來源。 |
Expiration days |
選填
距離到期日剩餘的天數。 這個參數只會影響網址、IP 位址和主機名稱實體。 |
Detect policy |
選填
如果選取這項動作,系統會針對已識別的 IOC 傳送通知。如未選取,動作不會傳送任何通知。 (此為預設選項)。 |
動作輸出內容
「更新 IOC 資訊」動作會提供下列輸出內容:
| 動作輸出類型 | |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
以下範例說明使用「更新 IOC 資訊」動作時收到的 JSON 結果輸出內容:
{
"id": "563df6a812f2e7020a17f77ccd809176ca3209cf7c9447ee36c86b4215860856",
"type": "md5",
"value": "7e4b0f81078f27fde4aeb87b78b6214c",
"source": "testSource",
"action": "detect",
"severity": "high",
"description": "test description update",
"platforms": [
"example"
],
"tags": [
"Hashes 17.Apr.18 12:20 (Example)"
],
"expiration": "2022-05-01T12:00:00Z",
"expired": false,
"deleted": false,
"applied_globally": true,
"from_parent": false,
"created_on": "2021-04-22T03:54:09.235120463Z",
"created_by": "internal@example.com",
"modified_on": "2021-09-16T10:09:07.755804336Z",
"modified_by": "c16fd3a055eb46eda81e064fa6dd43de"
}
輸出訊息
在案件牆上,「Update IOC Information」(更新 IOC 資訊) 動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Error executing action "Update IOC
Information". Reason: ERROR_REASON
|
動作失敗。 檢查伺服器連線、輸入參數或憑證。 |
指令碼結果
下表說明使用「Update IOC Information」(更新 IOC 資訊) 動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
上傳 IOC
使用「Upload IOCs」(上傳 IOC) 動作,在 CrowdStrike Falcon 中新增自訂 IOC。
這項動作會將主機名稱實體視為網域 IOC,並從網址中擷取網域部分。這項動作僅支援 MD5 和 SHA-256 雜湊。
「上傳 IOC」動作會對下列實體執行:
- IP 位址
- 主機名稱
- 網址
- 雜湊
動作輸入內容
「上傳 IOC」動作需要下列參數:
| 參數 | |
|---|---|
Platform |
必要
以半形逗號分隔的 IOC 相關平台清單。 預設值為
|
Severity |
必要
IOC 的嚴重程度。 預設值為
|
Comment |
選填
內含與 IOC 相關背景資訊的註解。 |
Host Group Name |
必要
主機群組的名稱。 |
Action |
選填
上傳 IOC 的動作。 預設值為 可能的值如下:
|
動作輸出內容
「上傳 IOC」動作會提供下列輸出內容:
| 動作輸出類型 | |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 無法使用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
輸出訊息
「上傳 IOC」動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Error executing action "Upload IOCs".
Reason: ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
Error executing action "Upload IOCs". Reason: Host group
"HOST_GROUP_NAME" was not found.
Please check the spelling. |
動作失敗。 檢查 |
Error executing action "Upload IOCs".
Invalid value provided for the parameter "Platform". Possible values:
Windows, Linux, Mac. |
動作失敗。 檢查 |
指令碼結果
下表說明使用「上傳 IOC」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
連接器
請務必為每個 CrowdStrike 連接器設定最低權限。詳情請參閱本文的「連結器權限」一節。
如需在 Google SecOps 中設定連接器的操作說明,請參閱「擷取資料 (連接器)」。
CrowdStrike 事件
事件是 Falcon 感應器在主機上收集的資訊片段。 CrowdStrike 中有四種事件:
| CrowdStrike 事件類型 | |
|---|---|
| 驗證活動稽核事件 | 每次在端點要求、允許或完成授權時,系統都會產生事件。 |
| 偵測摘要事件 | 端點偵測到威脅時產生的事件。 |
| 遠端回應工作階段結束事件 | 端點上遠端工作階段產生的事件。 |
| 使用者活動稽核事件 | 系統會產生事件,監控活躍使用者在端點上執行的活動。 |
連接器會將事件擷取至 Google SecOps,以建立快訊並使用事件資料擴充案件。您可以選取要擷取到 Google SecOps 的事件:所有事件類型或選取的事件類型。
CrowdStrike Detections 連接器
使用 CrowdStrike Detections Connector 從 CrowdStrike 提取偵測結果。
動態清單適用於 CrowdStrike API 支援的篩選器。
如何使用動態清單
使用動態清單時,請遵守下列建議:
- 使用 CrowdStrike FQL 語言修改連接器傳送的篩選器。
- 動態清單中每個篩選條件都必須有獨立的項目。
如要擷取指派給特定分析師的所有偵測結果,請確保分析師提供下列動態清單項目:
assigned_to_name:'ANALYST_USER_NAME'
動態清單支援下列參數:
| 支援的參數 | |
|---|---|
q |
在所有中繼資料欄位中進行全文搜尋。 |
date_updated |
最近一次偵測更新的日期。 |
assigned_to_name |
偵測指派對象的使用者名稱 (使用者可判讀)。 |
max_confidence |
如果偵測結果有多個相關聯的行為,且信賴水準各不相同,這個欄位會擷取所有行為的最高信賴值。 參數值可以是 1 到 100 之間的任何整數。 |
detection_id |
可與其他 API 搭配使用的偵測 ID,例如 Detection Details API 或 Resolve Detection API。 |
max_severity |
如果偵測結果有多個相關聯的行為,且嚴重程度各不相同,這個欄位會擷取所有行為中嚴重程度最高的值。 參數值可以是 1 到 100 之間的任何整數。 |
max_severity_displayname |
UI 中用於判斷偵測嚴重程度的名稱。 可能的值如下:
|
seconds_to_triaged |
偵測結果狀態從 new 變更為 in_progress 所需的時間。 |
seconds_to_resolved |
偵測結果從 new 變更為任何已解決狀態 (true_positive、false_positive、ignored 和 closed) 所需的時間。 |
status |
偵測的目前狀態。 可能的值如下:
|
adversary_ids |
CrowdStrike Falcon Intelligence 追蹤的攻擊者具有與偵測中歸因行為或指標相關聯的 ID。這些 ID 位於可透過 Detection Details API 存取的偵測中繼資料中。 |
cid |
貴機構的客戶 ID (CID)。 |
連接器參數
CrowdStrike Detections Connector 需要下列參數:
| 參數 | |
|---|---|
Product Field Name |
必要
包含 預設值為 |
Event Field Name |
必要
包含 預設值為 |
Environment Field Name |
選填
儲存環境名稱的欄位名稱。 如果找不到環境欄位,系統會使用預設環境。 預設值為 |
Environment Regex Pattern |
選填
要在 使用預設值 如果規則運算式模式為空值或空白,或環境值為空值,最終環境結果就是預設環境。 |
Script Timeout (Seconds) |
必要 執行目前指令碼的 Python 程序逾時限制 (以秒為單位)。 預設值為 |
API Root |
必要
CrowdStrike 執行個體的 API 根目錄。 預設值為 |
Client ID |
必要
CrowdStrike 帳戶的用戶端 ID。 |
Client Secret |
必要
CrowdStrike 帳戶的用戶端密鑰。 |
Lowest Severity Score To Fetch |
選填
要擷取的偵測結果最低嚴重性分數。 如未提供值,連接器不會套用這項篩選條件。 最大值為 預設值為 |
Lowest Confidence Score To Fetch |
選填
要擷取的偵測結果最低可信度分數。 如未提供值,連接器不會套用這項篩選條件。 最大值為 預設值為 |
Max Hours Backwards |
選填
要擷取偵測結果的時數。 預設值為 |
Max Detections To Fetch |
選填
單一連接器疊代中要處理的偵測次數。 預設值為 |
Disable Overflow |
選用 如果選取這個選項,連接器會忽略溢位機制。 預設為未選取。 |
Verify SSL |
必要
如果選取這個選項,整合服務會驗證 CrowdStrike 伺服器連線的 SSL 憑證是否有效。 預設為未選取。 |
Proxy Server Address |
選填
要使用的 Proxy 伺服器位址。 |
Proxy Username |
選填
用於驗證的 Proxy 使用者名稱。 |
Proxy Password |
選填
用於驗證的 Proxy 密碼。 |
Case Name Template |
選填
如果提供,連接器會將名為 您可以提供下列格式的預留位置:[ 注意:連結器會使用第一個 Google SecOps 事件做為預留位置。這個參數只允許使用字串值的鍵。 |
Alert Name Template |
選填
如果提供這個值,連接器會將其做為 Google SecOps 快訊名稱。 您可以提供下列格式的預留位置:[ 注意:如果未提供值或範本無效,連接器會使用預設的快訊名稱。連接器會使用第一個 Google SecOps 事件做為預留位置。這個參數只允許使用字串值的鍵。 |
Padding Period |
選填
連接器用於填充的小時數。 最大值為 |
Include Hidden Alerts |
選填
如果啟用這項設定,連接器也會擷取 CrowdStrike 標示為「隱藏」的快訊。 |
Fallback Severity |
選填
應套用至 CrowdStrike 快訊的 Google SecOps 快訊備援嚴重程度,這些快訊缺少嚴重程度資訊。可能的值:Informational、Low、Medium、High、Critical。如果未提供任何內容,連接器會使用「資訊」嚴重程度。 |
Customer ID |
選用 要執行連接器的租戶客戶 ID。適用於多租戶 (MSSP) 環境。 |
連接器規則
連接器支援 Proxy。
連接器事件
以下是連接器事件的範例:
{
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"created_timestamp": "2021-01-12T16:19:08.651448357Z",
"detection_id": "ldt:74089e36ac3a4271ab14abc076ed18eb:4317290676",
"device": {
"device_id": "74089e36ac3a4271ab14abc076ed18eb",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"agent_load_flags": "0",
"agent_local_time": "2021-01-12T16:07:16.205Z",
"agent_version": "6.13.12708.0",
"bios_manufacturer": "Example LTD",
"bios_version": "6.00",
"config_id_base": "65994753",
"config_id_build": "12708",
"config_id_platform": "3",
"external_ip": "203.0.113.1",
"hostname": "EXAMPLE-01",
"first_seen": "2021-01-12T16:01:43Z",
"last_seen": "2021-01-12T16:17:21Z",
"local_ip": "192.0.2.1",
"mac_address": "00-50-56-a2-5d-a3",
"major_version": "10",
"minor_version": "0",
"os_version": "Windows 10",
"platform_id": "0",
"platform_name": "Windows",
"product_type": "1",
"product_type_desc": "Workstation",
"status": "normal",
"system_manufacturer": "Example, Inc.",
"system_product_name": "Example ",
"modified_timestamp": "2021-01-12T16:17:29Z",
"behaviors":
{
"device_id": "74089e36ac3a4271ab14abc076ed18eb",
"timestamp": "2021-01-12T16:17:19Z",
"template_instance_id": "10",
"behavior_id": "10146",
"filename": "reg.exe",
"filepath": "\\Device\\HarddiskVolume2\\Windows\\System32\\reg.exe",
"alleged_filetype": "exe",
"cmdline": "REG ADD HKCU\\Environment /f /v UserInitMprLogonScript /t REG_MULTI_SZ /d \"C:\\TMP\\mim.exe sekurlsa::LogonPasswords > C:\\TMP\\o.txt\"",
"scenario": "credential_theft",
"objective": "Gain Access",
"tactic": "Credential Access",
"tactic_id": "TA0006",
"technique": "Credential Dumping",
"technique_id": "T1003",
"display_name": "Example-Name",
"severity": 70,
"confidence": 80,
"ioc_type": "hash_sha256",
"ioc_value": "b211c25bf0b10a82b47e9d8da12155aad95cff14cebda7c4acb35a94b433ddfb",
"ioc_source": "library_load",
"ioc_description": "\\Device\\HarddiskVolume2\\Windows\\System32\\reg.exe",
"user_name": "Admin",
"user_id": "example-id",
"control_graph_id": "ctg:74089e36ac3a4271ab14abc076ed18eb:4317290676",
"triggering_process_graph_id": "pid:74089e36ac3a4271ab14abc076ed18eb:4746437404",
"sha256": "b211c25bf0b10a82b47e9d8da12155aad95cff14cebda7c4acb35a94b433ddfb",
"md5": "05cf3ce225b05b669e3118092f4c8eab",
"parent_details": {
"parent_sha256": "d0ceb18272966ab62b8edff100e9b4a6a3cb5dc0f2a32b2b18721fea2d9c09a5",
"parent_md5": "9d59442313565c2e0860b88bf32b2277",
"parent_cmdline": "C:\\Windows\\system32\\cmd.exe /c \"\"C:\\Users\\Admin\\Desktop\\APTSimulator-master\\APTSimulator-master\\APTSimulator.bat\" \"",
"parent_process_graph_id": "pid:74089e36ac3a4271ab14abc076ed18eb:4520199381"
},
"pattern_disposition": 2048,
"pattern_disposition_details": {
"indicator": false,
"detect": false,
"inddet_mask": false,
"sensor_only": false,
"rooting": false,
"kill_process": false,
"kill_subprocess": false,
"quarantine_machine": false,
"quarantine_file": false,
"policy_disabled": false,
"kill_parent": false,
"operation_blocked": false,
"process_blocked": true,
"registry_operation_blocked": false,
"critical_process_disabled": false,
"bootup_safeguard_enabled": false,
"fs_operation_blocked": false,
"handle_operation_downgraded": false
}
}
},
"email_sent": false,
"first_behavior": "2021-01-12T16:17:19Z",
"last_behavior": "2021-01-12T16:17:19Z",
"max_confidence": 80,
"max_severity": 70,
"max_severity_displayname": "High",
"show_in_ui": true,
"status": "new",
"hostinfo": {
"domain": ""
},
"seconds_to_triaged": 0,
"seconds_to_resolved": 0,
}
CrowdStrike Falcon 串流事件連接器
CrowdStrike Falcon Streaming Events Connector 可解決下列用途:
偵測事件資料擷取。
CrowdStrike Falcon 偵測到有人嘗試在端點上執行惡意
SophosCleanM.exe檔案。CrowdStrike 會停止作業,並在事件資料中建立含有檔案雜湊的快訊。對檔案信譽感興趣的分析師在 VirusTotal 中執行已發現的雜湊,並發現雜湊是惡意的。接著,McAfee EDR 動作會隔離惡意檔案。
擷取使用者活動稽核事件資料。
CrowdStrike 使用者 Dani 將偵測狀態從
new更新為false-positive。這項使用者動作會建立名為「detection_update」detection_update的事件。分析師會進行後續追蹤,瞭解 Dani 為何將動作標示為誤判,並檢查包含 Dani 身分資訊的擷取事件。
接下來,分析師會執行 Active Directory 的「Enrich Entities」動作,取得事件的詳細資料,並簡化追蹤 Dani 的程序。
擷取驗證活動稽核事件資料。
這項事件表示 Dani 已建立新的使用者帳戶,並授予使用者角色。
為調查事件並瞭解使用者建立原因,分析師使用 Dani 的使用者 ID 執行 Active Directory「Enrich Entities」動作,找出 Dani 的使用者角色,確認他們是否有權新增使用者。
遠端回應結束事件資料擷取。
遠端事件表示 Dani 遠端連線至特定主機,並以根使用者身分執行指令,存取網頁伺服器目錄。
如要進一步瞭解 Dani 和相關主機,分析師會執行 Active Directory 動作,同時擴充使用者和主機的資訊。根據回傳的資訊,分析師可能會決定暫停 Dani 的帳戶,直到釐清遠端連線的目的為止。
連接器輸入內容
CrowdStrike Falcon 串流事件連接器需要下列參數:
| 參數 | |
|---|---|
Product Field Name |
必要
包含 預設值為 |
Event Field Name |
必要
包含 預設值為 |
Environment Field Name |
選填
儲存環境名稱的欄位名稱。 如果找不到環境欄位,系統會使用預設環境。 預設值為 |
Environment Regex Pattern |
選填
要在 使用預設值 如果規則運算式模式為空值或空白,或環境值為空值,最終環境結果就是預設環境。 |
Alert Name Template |
選填
如果提供這個值,連接器會將其做為 Google SecOps 快訊名稱。 您可以提供下列格式的預留位置:[ 注意:如果未提供值或範本無效,連接器會使用預設的快訊名稱。連接器會使用第一個 Google SecOps 事件做為預留位置。這個參數只允許使用字串值的鍵。 |
API Root |
必要
CrowdStrike 執行個體的 API 根目錄。 預設值為 |
Client ID |
必要
CrowdStrike 帳戶的用戶端 ID。 |
Client Secret |
必要
CrowdStrike 帳戶的用戶端密鑰。 |
Event types |
選填
以半形逗號分隔的事件類型清單。 以下列舉幾種事件類型:
|
Max Days Backwards |
選填
從今天起算,要擷取偵測結果的天數。 預設值為 |
Max Events Per Cycle |
選填
單一連接器疊代中要處理的事件數量。 預設值為 |
Min Severity |
選用 根據事件嚴重程度 (偵測事件) 擷取的事件。值介於 0 到 5 之間。 如果系統擷取偵測以外的事件類型,嚴重程度會設為 |
Disable Overflow |
選用 如果選取這個選項,連接器會忽略溢位機制。 預設為未選取。 |
Verify SSL |
必要
如果選取這個選項,整合服務會驗證 CrowdStrike 伺服器連線的 SSL 憑證是否有效。 預設為未選取。 |
Script Timeout (Seconds) |
必要 執行目前指令碼的 Python 程序逾時限制。 預設值為 60 秒。 |
Proxy Server Address |
選填
要使用的 Proxy 伺服器位址。 |
Proxy Username |
選填
用於驗證的 Proxy 使用者名稱。 |
Proxy Password |
選填
用於驗證的 Proxy 密碼。 |
Rule Generator Template |
選填
如有提供,連接器會將這個值用於 Google SecOps 規則產生器。 您可以提供下列格式的預留位置:[ 如果您未提供值或提供無效範本,連接器會使用預設規則產生器。 連接器會使用第一個 Google SecOps 事件做為預留位置。 這個參數只允許使用字串值的鍵。 |
Customer ID |
選用 要執行連接器的租戶客戶 ID。適用於多租戶 (MSSP) 環境。 |
連接器規則
這個連接器支援 Proxy。
這個連接器不支援動態清單。
CrowdStrike Identity Protection Detections 連接器
使用 CrowdStrike Identity Protection Detections Connector,從 CrowdStrike 提取身分保護偵測結果。動態清單適用於 display_name 參數。
這個連接器需要 Identity Protection 授權。
連接器輸入內容
CrowdStrike Identity Protection Detections Connector 需要下列參數:
| 參數 | |
|---|---|
Product Field Name |
必要
包含 預設值為 |
Event Field Name |
必要
包含 預設值為 |
Environment Field Name |
選填
儲存環境名稱的欄位名稱。 如果找不到環境欄位,系統會使用預設環境。 預設值為 |
Environment Regex Pattern |
選填
要在 使用預設值 如果規則運算式模式為空值或空白,或環境值為空值,最終環境結果就是預設環境。 |
Script Timeout (Seconds) |
必要 執行目前指令碼的 Python 程序逾時限制 (以秒為單位)。 預設值為 |
API Root |
必要
CrowdStrike 執行個體的 API 根目錄。 預設值為 |
Client ID |
必要
CrowdStrike 帳戶的用戶端 ID。 |
Client Secret |
必要
CrowdStrike 帳戶的用戶端密鑰。 |
Lowest Severity Score To Fetch |
選填
要擷取的偵測結果最低嚴重性分數。 如未提供值,連接器不會套用這項篩選條件。 最大值為 預設值為 此外,連接器也支援這個參數的下列值:
|
Lowest Confidence Score To Fetch |
選填
要擷取的偵測結果最低可信度分數。 如未提供值,連接器不會套用這項篩選條件。 最大值為 預設值為 |
Max Hours Backwards |
選填
要從現在起回溯幾小時來擷取偵測結果。 預設值為 |
Max Detections To Fetch |
選填
單一連接器疊代中要處理的偵測次數。 預設值為 |
Case Name Template |
選填
如果提供,連接器會將名為 您可以提供下列格式的預留位置:[ 注意:連結器會使用第一個 Google SecOps 事件做為預留位置。這個參數只允許使用字串值的鍵。 |
Alert Name Template |
選填
如果提供這個值,連接器會將其做為 Google SecOps 快訊名稱。 您可以提供下列格式的預留位置:[ 注意:如果未提供值或範本無效,連接器會使用預設的快訊名稱。連接器會使用第一個 Google SecOps 事件做為預留位置。這個參數只允許使用字串值的鍵。 |
Disable Overflow |
選用 如果選取這個選項,連接器會忽略溢位機制。 預設為未選取。 |
Verify SSL |
必要
如果選取這個選項,整合服務會驗證 CrowdStrike 伺服器連線的 SSL 憑證是否有效。 預設為未選取。 |
Proxy Server Address |
選填
要使用的 Proxy 伺服器位址。 |
Proxy Username |
選填
用於驗證的 Proxy 使用者名稱。 |
Proxy Password |
選填
用於驗證的 Proxy 密碼。 |
Customer ID |
選用 要執行連接器的租戶客戶 ID。適用於多租戶 (MSSP) 環境。 |
連接器規則
這個連接器支援 Proxy。
連接器事件
以下是連接器事件的範例:
{
"added_privileges": [
"DomainAdminsRole"
],
"aggregate_id": "aggind:27fe4e476ca3490b8476b2b6650e5a74:C34185DF-C3BA-4F69-93EB-1B61A213AF86",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"composite_id": "27fe4e476ca3490b8476b2b6650e5a74:ind:27fe4e476ca3490b8476b2b6650e5a74:C34185DF-C3BA-4F69-93EB-1B61A213AF86",
"confidence": 20,
"context_timestamp": "2022-11-15T12:58:13.155Z",
"crawl_edge_ids": {
"Sensor": [
"N6Fq4_]TKjckDDWI$fKO`l>_^KFO4!,Z/&o<H7_)4[Ip*h@KUG8%Xn3Fm3@]<gF_c,c1eeW\\O-J9l;HhVHA\"DH#\\pO1M#>X^dZWWg%V:`[+@g9@3h\"Q\"7r8&lj-o[K@24f;Xl.rlhgWC8%j5\\O7p/G7iQ*ST&12];a_!REjkIUL.R,/U^?]I!!*'!",
"XNXPaK.m]6i\"HhDPGX=XlMl2?8Mr#H;,A,=7aF9N)>5*/Hc!D_>MmDTO\\t1>Oi6ENO`QkWK=@M9q?[I+pm^)mj5=T_EJ\"4cK99U+!/ERSdo(X^?.Z>^]kq!ECXH$T.sfrJpT:TE+(k]<'Hh]..+*N%h_5<Z,63,n!!*'!",
"N6L$J`'>\":d#'I2pLF4-ZP?S-Qu#75O,>ZD+B,m[\"eGe@(]>?Nqsh8T3*q=L%=`KI_C[Wmj3?D!=:`(K)7/2g&8cCuB`r9e\"jTp/QqK7.GocpPSq4\\-#t1Q*%5C0%S1$f>KT&a81dJ!Up@EZY*;ssFlh8$cID*qr1!)S<!m@A@s%JrG9Go-f^B\"<7s8N"
]
},
"crawl_vertex_ids": {
"Sensor": [
"uid:27fe4e476ca3490b8476b2b6650e5a74:S-1-5-21-3479765008-4256118348-3151044947-3195",
"ind:27fe4e476ca3490b8476b2b6650e5a74:C34185DF-C3BA-4F69-93EB-1B61A213AF86",
"aggind:27fe4e476ca3490b8476b2b6650e5a74:C34185DF-C3BA-4F69-93EB-1B61A213AF86",
"idpind:27fe4e476ca3490b8476b2b6650e5a74:715224EE-7AD6-33A1-ADA9-62C4608DA546"
]
},
"crawled_timestamp": "2022-11-15T14:33:50.641703679Z",
"created_timestamp": "2022-11-15T12:59:15.444106807Z",
"description": "A user received new privileges",
"display_name": "Privilege escalation (user)",
"end_time": "2022-11-15T12:58:13.155Z",
"falcon_host_link": "https://example.com/identity-protection/detections/",
"id": "ind:27fe4e476ca3490b8476b2b6650e5a74:C34185DF-C3BA-4F69-93EB-1B61A213AF86",
"name": "IdpEntityPrivilegeEscalationUser",
"objective": "Gain Access",
"pattern_id": 51113,
"previous_privileges": "0",
"privileges": "8321",
"product": "idp",
"scenario": "privilege_escalation",
"severity": 2,
"show_in_ui": true,
"source_account_domain": "EXAMPLE.COM",
"source_account_name": "ExampleName",
"source_account_object_sid": "S-1-5-21-3479765008-4256118348-3151044947-3195",
"start_time": "2022-11-15T12:58:13.155Z",
"status": "new",
"tactic": "Privilege Escalation",
"tactic_id": "TA0004",
"technique": "Valid Accounts",
"technique_id": "T1078",
"timestamp": "2022-11-15T12:58:15.397Z",
"type": "idp-user-endpoint-app-info",
"updated_timestamp": "2022-11-15T14:33:50.635238527Z"
}
CrowdStrike 事件連接器
使用 CrowdStrike 事件連接器,從 CrowdStrike 擷取事件和相關行為。
動態清單適用於 incident_type 參數。
連接器參數
CrowdStrike Incident 連接器需要下列參數:
| 參數 | |
|---|---|
Product Field Name |
必要
包含 預設值為 |
Event Field Name |
必要
包含 預設值為 |
Environment Field Name |
選填
儲存環境名稱的欄位名稱。 如果找不到環境欄位,系統會使用預設環境。 預設值為 |
Environment Regex Pattern |
選填
要在 要在 使用預設值 如果規則運算式模式為空值或空白,或環境值為空值,最終環境結果就是預設環境。 |
Script Timeout (Seconds) |
必要 執行目前指令碼的 Python 程序逾時限制 (以秒為單位)。 預設值為 |
API Root |
必要
CrowdStrike 執行個體的 API 根目錄。 預設值為 |
Client ID |
必要
CrowdStrike 帳戶的用戶端 ID。 |
Client Secret |
必要
CrowdStrike 帳戶的用戶端密鑰。 |
Lowest Severity Score To Fetch |
選填
要擷取的事件最低嚴重程度分數。 如果未提供任何值,連接器會擷取所有嚴重程度的事件。 最大值為
|
Max Hours Backwards |
選填
要從現在起回溯幾小時,以擷取事件。 預設值為 |
Max Incidents To Fetch |
選填
單一連接器疊代中要處理的事件數量。 最大值為 預設值為 |
Use dynamic list as a blocklist |
必要
如果選取,動態清單會做為封鎖清單使用。 預設為未選取。 |
Disable Overflow |
選用 如果選取這個選項,連接器會忽略溢位機制。 預設為未選取。 |
Verify SSL |
必要
如果選取這個選項,整合服務會驗證 CrowdStrike 伺服器連線的 SSL 憑證是否有效。 預設為未選取。 |
Proxy Server Address |
選填
要使用的 Proxy 伺服器位址。 |
Proxy Username |
選填
用於驗證的 Proxy 使用者名稱。 |
Proxy Password |
選填
用於驗證的 Proxy 密碼。 |
Customer ID |
選用 要執行連接器的租戶客戶 ID。適用於多租戶 (MSSP) 環境。 |
連接器規則
這個連接器支援 Proxy。
連接器事件
CrowdStrike Incident Connector 有兩種事件類型:一種是以事件為基礎,另一種則是以行為為基礎。
以下是根據事件建立的事件範例:
{
"data_type": "Incident"
"incident_id": "inc:fee8a6ef0cb3412e9a781dcae0287c85:9dfa480ae6214309bff0c8dc2ad8af7c",
"incident_type": 1,
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"host_ids": [
"fee8a6ef0cb3412e9a781dcae0287c85"
],
"hosts": [
{
"device_id": "fee8a6ef0cb3412e9a781dcae0287c85",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"agent_load_flags": "1",
"agent_local_time": "2023-01-09T11:28:59.170Z",
"agent_version": "6.48.16207.0",
"bios_manufacturer": "Example Inc.",
"bios_version": "1.20.0",
"config_id_base": "65994753",
"config_id_build": "16207",
"config_id_platform": "3",
"external_ip": "203.0.113.1",
"hostname": "DESKTOP-EXAMPLE",
"first_seen": "2022-09-26T09:56:42Z",
"last_seen": "2023-01-09T12:11:35Z",
"local_ip": "192.0.2.1",
"mac_address": "00-15-5d-65-39-86",
"major_version": "01",
"minor_version": "0",
"os_version": "Windows 10",
"platform_id": "0",
"platform_name": "Windows",
"product_type": "1",
"product_type_desc": "Workstation",
"status": "contained",
"system_manufacturer": "Example Inc.",
"system_product_name": "G5 5500",
"modified_timestamp": "2023-01-09T12:11:48Z"
}
],
"created": "2023-01-09T12:12:51Z",
"start": "2023-01-09T11:23:27Z",
"end": "2023-01-09T12:52:01Z",
"state": "closed",
"status": 20,
"tactics": [
"Defense Evasion",
"Privilege Escalation",
"Credential Access"
],
"techniques": [
"Disable or Modify Tools",
"Access Token Manipulation",
"Input Capture",
"Bypass User Account Control"
],
"objectives": [
"Keep Access",
"Gain Access"
],
"users": [
"DESKTOP-EXAMPLE$",
"EXAMPLE"
],
"fine_score": 21
}
以下是根據行為的事件範例:
{
"behavior_id": "ind:fee8a6ef0cb3412e9a781dcae0287c85:1298143147841-372-840208",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"aid": "fee8a6ef0cb3412e9a781dcae0287c85",
"incident_id": "inc:fee8a6ef0cb3412e9a781dcae0287c85:9dfa480ae6214309bff0c8dc2ad8af7c",
"incident_ids": [
"inc:fee8a6ef0cb3412e9a781dcae0287c85:9dfa480ae6214309bff0c8dc2ad8af7c"
],
"pattern_id": 372,
"template_instance_id": 0,
"timestamp": "2023-01-09T11:24:25Z",
"cmdline": "\"C:\\WINDOWS\\system32\\SystemSettingsAdminFlows.exe\" SetNetworkAdapter {4ebe49ef-86f5-4c15-91b9-8da03d796416} enable",
"filepath": "\\Device\\HarddiskVolume3\\Windows\\System32\\SystemSettingsAdminFlows.exe",
"domain": "DESKTOP-EXAMPLE",
"pattern_disposition": -1,
"sha256": "78f926520799565373b1a8a42dc4f2fa328ae8b4de9df5eb885c0f7c971040d6",
"user_name": "EXAMPLE",
"tactic": "Privilege Escalation",
"tactic_id": "TA0004",
"technique": "Bypass User Account Control",
"technique_id": "T1548.002",
"display_name": "ProcessIntegrityElevationTarget",
"objective": "Gain Access",
"compound_tto": "GainAccess__PrivilegeEscalation__BypassUserAccountControl__1__0__0__0"
}
CrowdStrike - 警報連接器
使用 CrowdStrike - Alerts Connector 從 CrowdStrike 提取快訊。
動態清單適用於 display_name 參數。
如要擷取身分保護偵測結果,請使用 Identity Protection Detections 連接器。
連接器輸入內容
「CrowdStrike - Alerts Connector」需要下列參數:
| 參數 | |
|---|---|
Product Field Name |
必要
包含 預設值為 |
Event Field Name |
必要
包含 預設值為 |
Environment Field Name |
選填
儲存環境名稱的欄位名稱。 如果找不到環境欄位,系統會使用預設環境。 預設值為 |
Environment Regex Pattern |
選填
要在 使用預設值 如果規則運算式模式為空值或空白,或環境值為空值,最終環境結果就是預設環境。 |
Script Timeout (Seconds) |
必要 執行目前指令碼的 Python 程序逾時限制 (以秒為單位)。 預設值為 |
API Root |
必要
CrowdStrike 執行個體的 API 根目錄。 預設值為 |
Client ID |
必要
CrowdStrike 帳戶的用戶端 ID。 |
Client Secret |
必要
CrowdStrike 帳戶的用戶端密鑰。 |
Case Name Template |
選填
如果提供,連接器會將名為 您可以提供下列格式的預留位置:[ 注意:連結器會使用第一個 Google SecOps 事件做為預留位置。這個參數只允許使用字串值的鍵。 |
Alert Name Template |
選填
如果提供這個值,連接器會將其做為 Google SecOps 快訊名稱。 您可以提供下列格式的預留位置:[ 注意:如果未提供值或範本無效,連接器會使用預設的快訊名稱。連接器會使用第一個 Google SecOps 事件做為預留位置。這個參數只允許使用字串值的鍵。 |
Lowest Severity Score To Fetch |
選填
要擷取的事件最低嚴重程度分數。 如果未提供任何值,連接器會擷取所有嚴重程度的事件。 最大值為
在 CrowdStrike 使用者介面中,相同的值會除以 10。 |
Max Hours Backwards |
選填
要從現在起回溯幾小時,以擷取事件。 預設值為 |
Max Alerts To Fetch |
選填
單一連接器疊代中要處理的警示數量。 最大值為 預設值為 |
Use dynamic list as a blocklist |
必要
如果選取這個選項,連接器會將動態清單做為封鎖清單。 預設為未選取。 |
Disable Overflow |
選用 如果選取這個選項,連接器會忽略溢位機制。 預設為未選取。 |
Verify SSL |
必要
如果選取這個選項,整合服務會驗證 CrowdStrike 伺服器連線的 SSL 憑證是否有效。 預設為未選取。 |
Proxy Server Address |
選填
要使用的 Proxy 伺服器位址。 |
Proxy Username |
選填
用於驗證的 Proxy 使用者名稱。 |
Proxy Password |
選填
用於驗證的 Proxy 密碼。 |
Customer ID |
選用 要執行連接器的租戶客戶 ID。適用於多租戶 (MSSP) 環境。 |
連接器規則
這個連接器支援 Proxy。
連接器事件
以下是根據快訊的事件範例:
{
"added_privileges": [
"DomainAdminsRole"
],
"aggregate_id": "aggind:27fe4e476ca3490b8476b2b6650e5a74",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"composite_id": "27fe4e476ca3490b8476b2b6650e5a74:ind:27fe4e476ca3490b8476b2b6650e5a74",
"confidence": 20,
"context_timestamp": "2022-11-15T12:58:13.155Z",
"crawl_edge_ids": {
"Sensor": [
"N6Fq4_]TKjckDDWI$fKO`l>_^KFO4!,Z/&o<H7_)4[Ip*h@KUG8%Xn3Fm3@]<gF_c,c1eeW\\O-J9l;HhVHA\"DH#\\pO1M#>X^dZWWg%V:`[+@g9@3h\"Q\"7r8&lj-o[K@24f;Xl.rlhgWC8%j5\\O7p/G7iQ*ST&12];a_!REjkIUL.R,/U^?]I!!*'!",
"XNXPaK.m]6i\"HhDPGX=XlMl2?8Mr#H;,A,=7aF9N)>5*/Hc!D_>MmDTO\\t1>Oi6ENO`QkWK=@M9q?[I+pm^)mj5=T_EJ\"4cK99U+!/ERSdo(X^?.Z>^]kq!ECXH$T.sfrJpT:TE+(k]<'Hh]..+*N%h_5<Z,63,n!!*'!",
"N6L$J`'>\":d#'I2pLF4-ZP?S-Qu#75O,>ZD+B,m[\"eGe@(]>?Nqsh8T3*q=L%=`KI_C[Wmj3?D!=:`(K)7/2g&8cCuB`r9e\"jTp/QqK7.GocpPSq4\\-#t1Q*%5C0%S1$f>KT&a81dJ!Up@EZY*;ssFlh8$cID*qr1!)S<!m@A@s%JrG9Go-f^B\"<7s8N"
]
},
"crawl_vertex_ids": {
"Sensor": [
"uid:27fe4e476ca3490b8476b2b6650e5a74:S-1-5-21-3479765008-4256118348-3151044947-3195",
"ind:27fe4e476ca3490b8476b2b6650e5a74",
"aggind:27fe4e476ca3490b8476b2b6650e5a74",
"idpind:27fe4e476ca3490b8476b2b6650e5a74:715224EE-7AD6-33A1-ADA9-62C4608DA546"
]
},
"crawled_timestamp": "2022-11-15T14:33:50.641703679Z",
"created_timestamp": "2022-11-15T12:59:15.444106807Z",
"description": "A user received new privileges",
"display_name": "Privilege escalation (user)",
"end_time": "2022-11-15T12:58:13.155Z",
"falcon_host_link": "https://falcon.crowdstrike.com/identity-protection/detections/27fe4e476ca3490b8476b2b6650e5a74:ind:27fe4e476ca3490b8476b2b6650e5a74?cid=27fe4e476ca3490b8476b2b6650e5a74",
"id": "ind:27fe4e476ca3490b8476b2b6650e5a74",
"name": "IdpEntityPrivilegeEscalationUser",
"objective": "Gain Access",
"pattern_id": 51113,
"previous_privileges": "0",
"privileges": "8321",
"product": "idp",
"scenario": "privilege_escalation",
"severity": 2,
"show_in_ui": true,
"source_account_domain": "EXAMPLE.EXAMPLE",
"source_account_name": "ExampleMailbox",
"source_account_object_sid": "S-1-5-21-3479765008-4256118348-3151044947-3195",
"start_time": "2022-11-15T12:58:13.155Z",
"status": "new",
"tactic": "Privilege Escalation",
"tactic_id": "TA0004",
"technique": "Valid Accounts",
"technique_id": "T1078",
"timestamp": "2022-11-15T12:58:15.397Z",
"type": "idp-user-endpoint-app-info",
"updated_timestamp": "2022-11-15T14:33:50.635238527Z"
}
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。