Endgame
Integrationsversion: 9.0
Endgame in Google Security Operations einbinden
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Aktionen
Entitäten anreichern
Google SecOps-Host- und ‑IP-Entitäten mit Informationen aus Endgame anreichern.
Parameter
–
Anwendungsfälle
Die Aktion kann in Playbooks verwendet werden, mit denen Aktivitäten auf Geräten untersucht werden. Wenn auf dem Gerät der Endgame-Agent installiert ist, werden durch die Aktion Endgame-Informationen zum Gerät abgerufen, um Google SecOps-Entitäten zu erweitern.
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- Host
- IP-Adresse
Aktionsergebnisse
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| Endgame_Domain | Immer |
| Endgame_endpoint_id | Immer |
| Endgame_hostname | Immer |
| Endgame_sensors_status | Immer |
| Endgame_sensors_id | Immer |
| Endgame_sensors_status | Immer |
| Endgame_sensors_id | Immer |
| Endgame_policy_status | Immer |
| Endgame_policy_name | Immer |
| Endgame_policy_id | Immer |
| Endgame_is_isolated | Immer |
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"data": [
{
"domain": "InstallerInitiated",
"updated_at": "2019-11-01T05:42:08.149079+00:00",
"id": "1682418d-02ff-43cd-a730-bcae8215a514",
"display_operating_system": "CentOS 7.6",
"hostname": "example",
"mac_address": "01:23:45:ab:cd:ef",
"upgrade_status": "",
"base_image": false,
"isolation_updated_at": null,
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [
{
"id": "a0927aeb-915a-466d-a5eb-5d7b6f9217c5",
"name": "BLUE TEAM"
},
{
"id": "bede2f24-593c-45e4-9863-9c2438f0f163",
"name": "SOC"
},
{
"id": "fc2dfcc8-9329-4f33-86a2-877bfb27575e",
"name": "CORE ENV"
}
],
"isolation_request_status": null,
"alert_count": 0,
"investigation_count": 0,
"groups": [
{
"is_dynamic": false,
"count": 4,
"id": "c1af3cd6-2638-4144-842d-adc9cfb67fb9",
"name": "SOC"
}
],
"sensors": [
{
"status": "monitored",
"sensor_version": "3.52.12",
"policy_status": "successful",
"policy_name": "Lab (Detect-Only)",
"sensor_type": "hunt",
"id": "fbb87923-a833-5581-a160-7f4f85a21bd0",
"policy_id": "a1d72bce-1f61-4ba8-bcd4-dfa97148335f"
}
],
"ip_address": "192.0.2.1",
"is_isolated": false,
"operating_system": "Linux 3.10.0-957.27.2.el7.x86_64",
"name": "example",
"status_changed_at": "2020-01-07T08:15:11.865854+00:00",
"core_os": "linux",
"created_at": "2019-03-19T05:07:50.598837+00:00",
"error": null,
"machine_id": "827255f4-53a2-1823-cac0-7c0f7730ca26"
},
{
"domain": "InstallerInitiated",
"updated_at": "2019-11-01T05:42:09.150756+00:00",
"id": "12c3530d-657f-4ccd-835e-6df9affeed3d",
"display_operating_system": "Ubuntu 18.04.3",
"hostname": "example",
"mac_address": "01:23:45:ab:cd:ef",
"upgrade_status": "",
"base_image": false,
"isolation_updated_at": null,
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [],
"isolation_request_status": null,
"alert_count": 0,
"investigation_count": 0,
"groups": [
{
"is_dynamic": false,
"count": 4,
"id": "c1af3cd6-2638-4144-842d-adc9cfb67fb9",
"name": "SOC"
}
],
"sensors": [
{
"status": "monitored",
"sensor_version": "3.52.12",
"policy_status": "successful",
"policy_name": "Lab (Detect-Only)",
"sensor_type": "hunt",
"id": "dc2e35cc-0c87-5a60-8fc8-de23ef747d02",
"policy_id": "a1d72bce-1f61-4ba8-bcd4-dfa97148335f"
}
],
"ip_address": "192.0.2.1",
"is_isolated": false,
"operating_system": "Linux 4.15.0-72-generic",
"name": "example",
"status_changed_at": "2020-01-07T08:15:16.875375+00:00",
"core_os": "linux",
"created_at": "2019-09-20T21:34:51.966863+00:00",
"error": null,
"machine_id": "5ae8ddd9-9339-ae4b-ccf7-5ed68f38b3a9"
}
],
"metadata": {
"count": 38,
"previous_url": null,
"timestamp": "2020-01-07T18:09:43.765744",
"next": null,
"per_page": 50,
"next_url": null,
"transaction_id": "569cdc38-8c7a-4b93-af99-aaf907dc8dd6",
"previous": null
}
}
Untersuchungen auflisten
„Endgame“-Untersuchungen auflisten.
Parameter
| Parameter | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| Betriebssystem | String | Solaris,Windows,MacOS,Linux | Geben Sie an, für welches Betriebssystem Sie Untersuchungen auflisten möchten. Der Parameter kann mehrere Werte als durch Kommas getrennten String annehmen. |
| Prüfungen der letzten X Stunden abrufen | Integer | – | Gibt die für den angegebenen Zeitraum in Stunden erstellten Untersuchungen zurück. |
| Maximale Anzahl zurückzugebender Prüfungen | Integer | – | Geben Sie an, wie viele Untersuchungen Sie abfragen möchten. |
Anwendungsfälle
Untersuchungen werden verwendet, um verschiedene Objekte der Endpunkte zu finden, z. B. Prozesse, IP-Adressen und Dateien. Mit dieser Aktion kann der Nutzer Untersuchungen auflisten. Analysten können mit dieser Aktion dafür sorgen, dass alle erforderlichen Untersuchungen im System durchgeführt werden.
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"data": [
{
"created_by_chat": false,
"name": "Example User + 2020-01-08T13:47:51.334336_utc",
"core_os": "windows",
"created_at": "2020-01-08T13:47:51.340497+00:00",
"task_completion": {
"completed_tasks": 1,
"total_tasks": 1
},
"archived": false,
"created_by": {
"username": "admin",
"last_name": "User",
"is_active": true,
"is_editable": true,
"is_ldap": false,
"is_removable": false,
"timezone": null,
"id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"first_name": "Example",
"last_viewed_alert": "2020-01-07T09:24:22.925000",
"is_sso": false,
"is_superuser": true,
"role": {
"role": "Admin",
"id": "37e9e54e-0bb8-5058-9bd4-50a0d0fbea35",
"permissions": {
"endpoints.scan": true,
"sensor.admin.view": true,
"sensor.admin.update": true,
"endpoints.delete": true,
"endpoints.respond": true,
"search.search": true,
"sensor.admin.create": true,
"alerts.admin.forwardalerts": true,
"endpoints.tag": true,
"user.delete": true,
"endpoints.deploy": true,
"user.update": true,
"search.save": true,
"investigation.create": true,
"endpoints.view": true,
"user.view": true,
"sensor.admin.download": true,
"alerts.view": true,
"alerts.update": true,
"search.delete": true,
"sensor.admin.delete": true,
"endpoints.uninstall": true,
"investigation.view": true,
"admin": true,
"investigation.update": true,
"endpoints.changeconfiguration": true,
"user.create": true
}
},
"type": "Local",
"email": null
},
"updated_at": "2020-01-08T13:47:51.379966+00:00",
"created_by_user_display_name": "Example User",
"canceled_by_user_id": null,
"version": 2,
"endpoint_count": 1,
"assigned_to": {
"username": "admin",
"last_name": "User",
"is_active": true,
"is_editable": true,
"is_ldap": false,
"is_removable": false,
"timezone": null,
"id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"first_name": "Example",
"last_viewed_alert": "2020-01-07T09:24:22.925000",
"is_sso": false,
"is_superuser": true,
"role": {
"role": "Admin",
"id": "37e9e54e-0bb8-5058-9bd4-50a0d0fbea35",
"permissions": {
"endpoints.scan": true,
"sensor.admin.view": true,
"sensor.admin.update": true,
"endpoints.delete": true,
"endpoints.respond": true,
"search.search": true,
"sensor.admin.create": true,
"alerts.admin.forwardalerts": true,
"endpoints.tag": true,
"user.delete": true,
"endpoints.deploy": true,
"user.update": true,
"search.save": true,
"investigation.create": true,
"endpoints.view": true,
"user.view": true,
"sensor.admin.download": true,
"alerts.view": true,
"alerts.update": true,
"search.delete": true,
"sensor.admin.delete": true,
"endpoints.uninstall": true,
"investigation.view": true,
"admin": true,
"investigation.update": true,
"endpoints.changeconfiguration": true,
"user.create": true
}
},
"type": "Local",
"email": null
},
"id": "e0ad7613-daf6-435f-98f6-ce40eae01acc",
"canceled_by_user_display_name": null,
"user_display_name": "Example User",
"hunt_count": 1,
"is_canceled": false
}
],
"metadata": {
"count": 46,
"previous_url": null,
"timestamp": "2020-01-08T16:02:09.251511",
"next": 2,
"per_page": 1,
"next_url": "/api/v1/investigations/?per_page=1&page=2",
"previous": null
}
}
Prüfungsdetails abrufen
Informationen zu einer bestimmten Endgame-Untersuchung abrufen
Parameter
| Parameter | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| Prüfungs-ID | String | – | Geben Sie die ID der Endgame-Untersuchung an, nach der gesucht werden soll. |
Anwendungsfälle
Untersuchungen werden verwendet, um verschiedene Objekte der Endpunkte zu finden, z. B. Prozesse, IP-Adressen und Dateien. So kann der Nutzer mehr Informationen zu bestimmten Untersuchungen erhalten. Analysten können diese Aktion verwenden, um sicherzustellen, dass alle erforderlichen Aufgaben im System ausgeführt wurden.
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"data": {
"tasks": [
"6500673c-d246-41a3-882d-d3a339f28497"
],
"user_display_name": "Example User",
"task_types": [
"Process Survey"
],
"task_completion": {
"completed_tasks": 1,
"total_tasks": 1
},
"updated_at": "2020-01-06T13:30:33.851816+00:00",
"created_by_user_display_name": "Example User",
"id": "54caeedc-d6b0-4ca0-8f64-8798d1c34d54",
"task_completions_by_type": {
"Process Survey": {
"completed_tasks": 1,
"task_type_id": "2fbf0c36-5160-5c31-99ec-0fa5880c6bd1",
"total_tasks": 1
}
},
"archived": false,
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"is_canceled": false,
"created_by": {
"username": "admin",
"last_name": "User",
"is_active": true,
"is_editable": true,
"is_ldap": false,
"is_removable": false,
"timezone": null,
"id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"first_name": "Example",
"last_viewed_alert": "2020-01-06T09:27:04.097000",
"is_sso": false,
"is_superuser": true,
"role": {
"role": "Admin",
"id": "37e9e54e-0bb8-5058-9bd4-50a0d0fbea35",
"permissions": {
"endpoints.scan": true,
"sensor.admin.view": true,
"sensor.admin.update": true,
"endpoints.delete": true,
"endpoints.respond": true,
"search.search": true,
"sensor.admin.create": true,
"alerts.admin.forwardalerts": true,
"endpoints.tag": true,
"user.delete": true,
"endpoints.deploy": true,
"user.update": true,
"search.save": true,
"investigation.create": true,
"endpoints.view": true,
"user.view": true,
"sensor.admin.download": true,
"alerts.view": true,
"alerts.update": true,
"search.delete": true,
"sensor.admin.delete": true,
"endpoints.uninstall": true,
"investigation.view": true,
"admin": true,
"investigation.update": true,
"endpoints.changeconfiguration": true,
"user.create": true
}
},
"type": "Local",
"email": null
},
"hunt_count": 1,
"canceled_by_user_id": null,
"version": 2,
"endpoint_count": 1,
"canceled_by_user_display_name": null,
"created_by_user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"created_by_chat": false,
"sensors": [
"8eef6873-6db7-58ab-a1ca-68dc19b54117"
],
"name": "Example User + 2020-01-06T13:30:33.808543_utc",
"core_os": "windows",
"created_at": "2020-01-06T13:30:33.813747+00:00",
"assigned_to": {
"username": "admin",
"last_name": "User",
"is_active": true,
"is_editable": true,
"is_ldap": false,
"is_removable": false,
"timezone": null,
"id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"first_name": "Example",
"last_viewed_alert": "2020-01-06T09:27:04.097000",
"is_sso": false,
"is_superuser": true,
"role": {
"role": "Admin",
"id": "37e9e54e-0bb8-5058-9bd4-50a0d0fbea35",
"permissions": {
"endpoints.scan": true,
"sensor.admin.view": true,
"sensor.admin.update": true,
"endpoints.delete": true,
"endpoints.respond": true,
"search.search": true,
"sensor.admin.create": true,
"alerts.admin.forwardalerts": true,
"endpoints.tag": true,
"user.delete": true,
"endpoints.deploy": true,
"user.update": true,
"search.save": true,
"investigation.create": true,
"endpoints.view": true,
"user.view": true,
"sensor.admin.download": true,
"alerts.view": true,
"alerts.update": true,
"search.delete": true,
"sensor.admin.delete": true,
"endpoints.uninstall": true,
"investigation.view": true,
"admin": true,
"investigation.update": true,
"endpoints.changeconfiguration": true,
"user.create": true
}
},
"type": "Local",
"email": null
},
"endpoints": [
"b23c8a14-69e0-4966-b78a-c9fba4fdd934"
]
},
"metadata": {
"timestamp": "2020-01-06T14:00:53.716517"
}
}
Hostisolierungskonfiguration abrufen
Ruft die in Endgame definierte Hostisolierungskonfiguration ab.
Parameter
–
Anwendungsfälle
Mit dieser Aktion werden Informationen zur Hostisolierungskonfiguration abgerufen. Diese Konfiguration ermöglicht es isolierten Hosts, eine Verbindung zu den dort aufgeführten IP-Adressen herzustellen. Analysten können mit dieser Aktion prüfen, ob alle erforderlichen IP-Adressen in der Hostisolierungskonfiguration enthalten sind.
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"data": [
{
"id": "47999eeb-f076-5aca-a7cc-56bf7ac2b647",
"comments": [
{
"comment": "Testing API",
"entity_id": "47999eeb-f076-5aca-a7cc-56bf7ac2b647",
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"entity_type": "whitelisted_ip",
"created_at": "2020-01-07T15:59:56Z",
"updated_at": "2020-01-07T15:59:56Z",
"id": 547,
"activity_type": "comment"
}
],
"addr": "192.0.2.1/30"
},
{
"id": "6ab5575c-718e-5e24-bd4d-77e0694ad6fc",
"comments": [
{
"comment": "Testing API",
"entity_id": "6ab5575c-718e-5e24-bd4d-77e0694ad6fc",
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"entity_type": "whitelisted_ip",
"created_at": "2020-01-07T15:58:29Z",
"updated_at": "2020-01-07T15:58:29Z",
"id": 545,
"activity_type": "comment"
}
],
"addr": "192.0.2.11/32"
},
{
"id": "72bdf5d2-4cc6-5ccf-9787-a539fae9c517",
"comments": [
{
"comment": "CIDR Test",
"entity_id": "72bdf5d2-4cc6-5ccf-9787-a539fae9c517",
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"entity_type": "whitelisted_ip",
"created_at": "2020-01-07T15:58:04Z",
"updated_at": "2020-01-07T15:58:04Z",
"id": 543,
"activity_type": "comment"
}
],
"addr": "198.51.100.1/32"
},
{
"id": "5aa89c8f-a535-5876-840c-af33a7ec1419",
"comments": [
{
"comment": "Testing API",
"entity_id": "5aa89c8f-a535-5876-840c-af33a7ec1419",
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"entity_type": "whitelisted_ip",
"created_at": "2020-01-07T15:57:24Z",
"updated_at": "2020-01-07T15:57:24Z",
"id": 541,
"activity_type": "comment"
}
],
"addr": "198.51.100.10"
},
{
"id": "06461575-700b-596d-8662-7ea0aff28e9c",
"comments": [
{
"comment": "Test Isolation",
"entity_id": "06461575-700b-596d-8662-7ea0aff28e9c",
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"entity_type": "whitelisted_ip",
"created_at": "2020-01-07T15:55:21Z",
"updated_at": "2020-01-07T15:55:21Z",
"id": 539,
"activity_type": "comment"
}
],
"addr": "203.0.113.1"
}
],
"metadata": {
"count": 5,
"previous_url": null,
"timestamp": "2020-01-07T16:00:19.754687",
"next": null,
"per_page": 10,
"next_url": null,
"previous": null
}
}
IP-Subnetz zur Hostisolierungskonfiguration hinzufügen
Fügen Sie der in Endgame definierten Hostisolierungskonfiguration ein IP-Subnetz hinzu.
Parameter
| Parameter | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| IP-Subnetz | String | – | Geben Sie das IPv4-Subnetz ein, das Sie der Host Isolation Config hinzufügen möchten. |
| Beschreibung | String | – | Geben Sie die Beschreibung für das IP-Subnetz ein. |
| Insight erstellen | Kästchen | Deaktiviert | Wenn diese Option aktiviert ist, wird nach erfolgreicher Ausführung dieser Aktion eine Information erstellt. |
Anwendungsfälle
Mit dieser Aktion werden Informationen zur Hostisolierungskonfiguration abgerufen. Mit dieser Konfiguration können isolierte Hosts eine Verbindung zu den dort aufgeführten IP-Subnetzen herstellen. Analysten können mit dieser Aktion erforderliche IP-Subnetze der Hostisolierungskonfiguration hinzufügen.
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Statistiken
Wenn ein IP-Subnetz mit Endgame zur Hostisolierungskonfiguration hinzugefügt wurde, erstellen Sie einen Insight, um dies anzugeben.
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
IP-Subnetz aus der Hostisolierungskonfiguration entfernen
Entfernen Sie ein IP-Subnetz aus der in Endgame definierten Host-Isolierungskonfiguration.
Parameter
| Parameter | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| IP-Subnetz | String | – | Geben Sie das IPv4-Subnetz ein, das Sie der Host Isolation Config hinzufügen möchten. |
| Insight erstellen | Kästchen | Deaktiviert | Wenn diese Option aktiviert ist, wird nach erfolgreicher Ausführung dieser Aktion eine Information erstellt. |
Anwendungsfälle
Mit dieser Aktion werden Informationen zur Hostisolierungskonfiguration abgerufen. Mit dieser Konfiguration können isolierte Hosts eine Verbindung zu den dort aufgeführten IP-Subnetzen herstellen. Analysten können mit dieser Aktion IP-Subnetze aus der Hostisolierungskonfiguration entfernen, die nicht mehr benötigt werden.
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Statistiken
Wenn ein IP-Subnetz mit Endgame aus der Hostisolierungskonfiguration entfernt wurde, erstellen Sie einen Insight, um dies anzugeben.
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
Autoruns-Daten erfassen (nur Windows)
Autoruns vom Endgame-Endpunkt erfassen.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| Maximale Anzahl zurückzugebender Elemente | Ganzzahl | 1000 | Geben Sie an, wie viele automatische Läufe zurückgegeben werden sollen. |
| Kategorie „Alle“ | Kästchen | Aktiviert | Wenn diese Option aktiviert ist, wird nach allen Kategorien für die automatische Ausführung gesucht. |
| Kategorie „TV-Anbieter“ | Kästchen | Deaktiviert | Wenn aktiviert, suchen Sie nach der Autostartkategorie „Netzwerkanbieter“. |
| Kategorie „Büro“ | Kästchen | Deaktiviert | Wenn die Funktion aktiviert ist, suchen Sie nach der Autostartkategorie „Office“. |
| Kategorie „Fahrer“ | Kästchen | Deaktiviert | Wenn diese Option aktiviert ist, suchen Sie nach der Autorun-Kategorie „Treiber“. |
| Kategorie „App Init“ | Kästchen | Deaktiviert | Wenn diese Option aktiviert ist, suchen Sie nach der Autostartkategorie „App Init“. |
| Kategorie „Winlogon“ | Kästchen | Deaktiviert | Wenn aktiviert, suchen Sie nach der Autostartkategorie „Winlogon“. |
| Kategorie „Druckmonitor“ | Kästchen | Deaktiviert | Wenn die Funktion aktiviert ist, suchen Sie nach der Autostartkategorie „Print Monitor“. |
| Kategorie „Bedienungshilfen“ | Kästchen | Deaktiviert | Wenn diese Option aktiviert ist, suchen Sie nach der Autostartkategorie „Bedienungshilfen“. |
| Kategorie „WMI“ | Kästchen | Deaktiviert | Wenn diese Option aktiviert ist, suchen Sie nach der Autostartkategorie „WMI“. |
| Kategorie „Anbieter lokaler Dienstleistungen“ | Kästchen | Deaktiviert | Wenn aktiviert, suchen Sie nach der Autostartkategorie „LSA Provider“. |
| Kategorie „Service“ | Kästchen | Deaktiviert | Wenn diese Option aktiviert ist, suchen Sie nach der Autostartkategorie „Service“. |
| Kategorie „Bits“ | Kästchen | Deaktiviert | Wenn die Funktion aktiviert ist, suche nach der Autostartkategorie „Bits“. |
| Kategorie „Bekannte DLL“ | Kästchen | Deaktiviert | Wenn aktiviert, suchen Sie nach der Autostartkategorie „Bekannte DLL“. |
| Kategorie „Druckanbieter“ | Kästchen | Deaktiviert | Wenn die Option aktiviert ist, suchen Sie nach der Autostartkategorie „Druckanbieter“. |
| Kategorie „Bilddiebstahl“ | Kästchen | Deaktiviert | Wenn aktiviert, suchen Sie nach der Autostartkategorie „Image Hijack“. |
| Kategorie „Autostartordner“ | Kästchen | Deaktiviert | Wenn diese Option aktiviert ist, suchen Sie nach der Autostartkategorie „Autostartordner“. |
| Kategorie „Internet Explorer“ | Kästchen | Deaktiviert | Wenn diese Option aktiviert ist, suchen Sie nach der Autostartkategorie „Internet Explorer“. |
| Kategorie „Codec“ | Kästchen | Deaktiviert | Wenn diese Option aktiviert ist, suchen Sie nach der Autostartkategorie „Codec“. |
| Kategorie „Anmeldung“ | Kästchen | Deaktiviert | Wenn aktiviert, suchen Sie nach der Autostartkategorie „Anmeldung“. |
| Kategorie „Search Order Hijack“ | Kästchen | Deaktiviert | Wenn die Funktion aktiviert ist, suchen Sie nach der Autostartkategorie „Search Order Hijack“. |
| Kategorie „Winsock-Anbieter“ | Kästchen | Deaktiviert | Wenn diese Option aktiviert ist, suchen Sie nach der Autostartkategorie „Winsock Provider“. |
| Kategorie „Boot Execute“ | Kästchen | Deaktiviert | Wenn diese Option aktiviert ist, suchen Sie nach der Autostartkategorie „Boot Execute“. |
| Kategorie „Phantom-DLL“ | Kästchen | Deaktiviert | Wenn die Funktion aktiviert ist, suchen Sie nach der Autostartkategorie „Phantom dll“. |
| Kategorie „Com Hijack“ | Kästchen | Deaktiviert | Wenn diese Option aktiviert ist, suchen Sie nach der Autostartkategorie „Com Hijack“. |
| Kategorie „Explorer“ | Kästchen | Deaktiviert | Wenn diese Option aktiviert ist, suchen Sie nach der Autostartkategorie „Explorer“. |
| Kategorie „Geplante Aufgabe“ | Kästchen | Deaktiviert | Wenn diese Option aktiviert ist, suchen Sie nach der Autorun-Kategorie „Geplante Aufgabe“. |
| Alle Metadaten einbeziehen | Kästchen | Aktiviert | Wenn diese Option aktiviert ist, werden alle verfügbaren Daten bereitgestellt. |
| Metadaten zur Malware-Klassifizierung einbeziehen | Kästchen | Deaktiviert | Wenn diese Option aktiviert ist, werden Informationen zu MalwareScore bereitgestellt. |
| Authenticode-Metadaten einschließen | Kästchen | Deaktiviert | Wenn diese Option aktiviert ist, werden Informationen zum Unterzeichner bereitgestellt. |
| MD5-Hash einfügen | Kästchen | Deaktiviert | Wenn aktiviert, wird der MD5-Hash in der Antwort bereitgestellt. |
| SHA-1-Hash einfügen | Kästchen | Deaktiviert | Wenn aktiviert, wird der SHA-1-Hash in der Antwort bereitgestellt. |
| SHA-256-Hash einfügen | Kästchen | Deaktiviert | Wenn diese Option aktiviert ist, wird der SHA-256-Hash in der Antwort bereitgestellt. |
Anwendungsfälle
Mit dieser Aktion können Informationen zu Autostarts auf dem Endpunkt erfasst werden. Diese Daten können Analysten bei der Durchführung von Triage- und Abhilfeprozessen unterstützen.
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- Host
- IP-Adresse
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"data": {
"count": 1,
"per_page": 50,
"previous": null,
"tasks": [
{
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"data": {
"category_option": {
"category_network_provider": true,
"category_office": false,
"category_driver": false,
"category_app_init": false,
"category_winlogon": false,
"category_print_monitor": false,
"category_ease_of_access": false,
"category_wmi": false,
"category_lsa_provider": false,
"category_service": false,
"category_bits": false,
"category_known_dll": false,
"category_print_provider": false,
"category_image_hijack": false,
"category_startup_folder": false,
"category_internet_explorer": false,
"category_codec": false,
"category_logon": false,
"category_all": false,
"category_search_order_hijack": false,
"category_winsock_provider": false,
"category_boot_execute": false,
"category_phantom_dll": false,
"category_com_hijack": false,
"category_explorer": false,
"category_scheduled_task": false
},
"metadata_option": {
"metadata_all": true,
"metadata_malware_classification": false,
"metadata_sha1": false,
"metadata_sha256": false,
"metadata_authenticode": false,
"metadata_md5": false
}
},
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"metadata": {
"sensor_id": "8eef6873-6db7-58ab-a1ca-68dc19b54117",
"investigation_id": "0b043f77-531f-4109-93b1-e01019ad0980",
"task_id": "e667b0c3-39de-4862-9baf-d6697db79721",
"echo": "",
"endpoint_id": "b23c8a14-69e0-4966-b78a-c9fba4fdd934",
"destination_plugin": "autoruns",
"key": "collectAutoRunsRequest",
"semantic_version": "3.52.\\d+",
"collection_id": "2393f424-bf57-40af-81e6-91b95acf5409"
}
}
],
"next": null
},
"metadata": {
"timestamp": "2020-01-08T13:15:37.238341"
}
}
Host isolieren
Endgame-Endpunkt isolieren. Diese Aktion wird nur unter Windows und macOS unterstützt.
Parameter
| Parameter | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| Insight erstellen | Kästchen | Deaktiviert | Wenn diese Option aktiviert ist, wird nach erfolgreicher Ausführung dieser Aktion eine Statistik erstellt. |
Anwendungsfälle
Mit dieser Aktion werden Informationen zur Hostisolierungskonfiguration abgerufen. Mit dieser Konfiguration können isolierte Hosts eine Verbindung zu den dort aufgeführten IP-Subnetzen herstellen. Analysten können mit dieser Aktion erforderliche IP-Subnetze der Hostisolierungskonfiguration hinzufügen.
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- Host
- IP-Adresse
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
Wenn der Endpunkt mit dem Endgame-Agent isoliert wurde, erstellen Sie einen Insight, um dies anzugeben.
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"data": {
"valid": true,
"bulk_task_id": "a6ccc2f7-39a7-42e7-b646-41b281316b1d",
"error_messages": []
},
"metadata": {
"timestamp": "2020-01-08T15:09:22.474963"
}
}
Host isolieren
Endgame-Endpunkt aus der Isolation entfernen Diese Aktion wird nur unter Windows und macOS unterstützt.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| Insight erstellen | Kästchen | Deaktiviert | Wenn diese Option aktiviert ist, wird nach erfolgreicher Ausführung dieser Aktion eine Statistik erstellt. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- Host
- IP-Adresse
Aktionsergebnisse
Statistiken
Wenn der Endpunkt mit dem Endgame-Agent entisolierte wurde, erstellen Sie einen Insight, um dies anzugeben.
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"data": {
"domain": "InstallerInitiated",
"updated_at": "2020-01-08T08:16:26.063394+00:00",
"id": "b23c8a14-69e0-4966-b78a-c9fba4fdd934",
"display_operating_system": "Windows 10 (v1511)",
"hostname": "example",
"mac_address": "01:23:45:ab:cd:ef",
"upgrade_status": "",
"base_image": false,
"isolation_updated_at": "2020-01-08T15:09:24.665367+00:00",
"status": "monitored",
"ad_distinguished_name": "CN=EXAMPLE,CN=Computers,DC=example,DC=com",
"ad_hostname": "example.com",
"tags": [],
"isolation_request_status": null,
"alert_count": 0,
"groups": [
{
"is_dynamic": false,
"count": 2,
"id": "d9de26c9-ee63-4d38-9997-7418bd13c45e",
"name": "Demo: APT28"
}
],
"sensors": [
{
"status": "monitored",
"sensor_version": "3.52.12",
"policy_status": "successful",
"policy_name": "Lab (Detect-Only with Streaming)",
"sensor_type": "hunt",
"id": "8eef6873-6db7-58ab-a1ca-68dc19b54117",
"policy_id": "07b7a44f-25f3-4e5c-977b-2915de8160c5"
}
],
"ip_address": "192.0.2.3",
"is_isolated": false,
"operating_system": "Windows 10.0",
"name": "example",
"status_changed_at": "2020-01-08T12:30:48.704802+00:00",
"core_os": "windows",
"created_at": "2019-11-01T06:31:32.519640+00:00",
"error": null,
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
},
"metadata": {
"timestamp": "2020-01-08T15:16:34.303701"
}
}
Datei herunterladen
Laden Sie eine Datei von einem bestimmten Endgame-Endpunkt herunter.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| Vollständiger Dateipfad | String | – | Wenn diese Option aktiviert ist, wird nach erfolgreicher Ausführung dieser Aktion eine Statistik erstellt. |
| Vollständiger Ordnerpfad für Downloads | String | – | Geben Sie den Pfad zu dem Ordner ein, in dem Sie diese Datei speichern möchten. |
| Erwarteter SHA-256-Hash | String | – | Geben Sie den erwarteten SHA-256-Hash ein. |
Anwendungsfälle
Mit dieser Aktion können Sie über Endpunkte auf die Dateien zugreifen. Dateien müssen manchmal manuell verarbeitet werden. Diese Aktivität hilft Nutzern, auf die erforderlichen Dateien zuzugreifen.
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- Host
- IP-Adresse
Aktionsergebnisse
Statistiken
Wenn der Endpunkt mit dem Endgame-Agent isoliert wurde, erstellen Sie einen Insight, um dies anzugeben.
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
Wenn der Status success ist, sieht das JSON-Ergebnis so aus:
{
"data": {
"status": "success",
"doc_type": "collection",
"endpoint": {
"domain": "InstallerInitiated",
"updated_at": "2019-11-01T05:41:10.150817+00:00",
"id": "a3cdc174-3af0-400a-85c3-bbb1435a6b61",
"display_operating_system": "Ubuntu 18.04.1",
"hostname": "example",
"mac_address": "01:23:45:ab:cd:ef",
"base_image": false,
"isolation_updated_at": null,
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [
{
"id": "fc2dfcc8-9329-4f33-86a2-877bfb27575e",
"name": "CORE ENV"
}
],
"isolation_request_status": null,
"upgrade_status": "",
"groups": [
{
"is_dynamic": false,
"count": 1,
"id": "e453d4f6-95c9-4dc5-bc41-2f4cae423e19",
"name": "Demo: Bad Admin"
}
],
"sensors": [
{
"status": "A",
"sensor_version": "3.52.12",
"sensor_type": "hunt",
"id": "c7347a4b-3e71-5514-980f-90bdbab758cf"
}
],
"ip_address": "192.0.2.1",
"is_isolated": false,
"operating_system": "Linux 4.15.0-29-generic",
"name": "example",
"status_changed_at": "2020-01-07T08:16:46.895105+00:00",
"core_os": "linux",
"created_at": "2019-03-19T04:25:06.953312+00:00",
"error": null,
"machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d"
},
"task_id": "0854ae75-47ca-438a-8731-615defac44ac",
"family": "response",
"data": {
"results": [
{
"size": 1731,
"endpoint": {
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"operating_system": "Linux 4.15.0-29-generic",
"name": "example",
"display_operating_system": "Ubuntu 18.04.1",
"hostname": "example",
"updated_at": "2020-01-07T08:16:44Z",
"mac_address": "01:23:45:ab:cd:ef",
"ip_address": "192.0.2.1",
"id": "a3cdc174-3af0-400a-85c3-bbb1435a6b61"
},
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"investigation_id": null,
"filepath": "/home/a-arobinson/Downloads/bad_admin.sh",
"bulk_task_id": null,
"created_by": "a-arobinson",
"file_uuid": "4c45cc36-b6ca-412a-ae0b-ed214a9c7187",
"correlation_id": "13dfca7b-9e75-4115-be93-e6684dbfc7c8",
"user": {
"username": "admin",
"first_name": "Example",
"last_name": "User",
"id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1"
},
"chunk_size": 26214400,
"existing_path": "/home/a-arobinson/Downloads/bad_admin.sh",
"sha256": "8066b309db13bae560c15c35f42247a0f778786f0056d326ff3e6dffd1eac4f8",
"origination_task_id": "0854ae75-47ca-438a-8731-615defac44ac",
"md5": "6441b8f58feddb5a5f6fcd81c117ecb8"
}
]
},
"created_at": "2020-01-07T11:28:02.826397Z",
"os_type": "linux",
"machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d",
"type": "downloadFileResponse",
"id": "d6fb3bf3-afea-44e0-8472-389f4e7e0002"
},
"metadata": {
"count": 1,
"previous_url": null,
"timestamp": "2020-01-07T11:41:56.750788",
"next": null,
"per_page": 50,
"next_url": null,
"previous": null
}
}
Wenn der Status failure lautet, sieht das JSON-Ergebnis so aus:
{
"data": {
"status": "failure",
"doc_type": "collection",
"endpoint": {
"domain": "InstallerInitiated",
"updated_at": "2019-11-01T05:42:09.150756+00:00",
"id": "12c3530d-657f-4ccd-835e-6df9affeed3d",
"display_operating_system": "Ubuntu 18.04.3",
"hostname": "example",
"mac_address": "01:23:45:ab:cd:ef",
"base_image": false,
"isolation_updated_at": null,
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [],
"isolation_request_status": null,
"upgrade_status": "",
"groups": [
{
"is_dynamic": false,
"count": 4,
"id": "c1af3cd6-2638-4144-842d-adc9cfb67fb9",
"name": "SOC"
}
],
"sensors": [
{
"status": "A",
"sensor_version": "3.52.12",
"sensor_type": "hunt",
"id": "dc2e35cc-0c87-5a60-8fc8-de23ef747d02"
}
],
"ip_address": "192.0.2.1",
"is_isolated": false,
"operating_system": "Linux 4.15.0-72-generic",
"name": "example",
"status_changed_at": "2020-01-19T11:05:16.765186+00:00",
"core_os": "linux",
"created_at": "2019-09-20T21:34:51.966863+00:00",
"error": null,
"machine_id": "5ae8ddd9-9339-ae4b-ccf7-5ed68f38b3a9"
},
"task_id": "85148460-c868-4fe5-a3e6-0d90784fadd1",
"family": "response",
"data": {
"results": [
{
"endpoint": {
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"operating_system": "Linux 4.15.0-72-generic",
"name": "example",
"display_operating_system": "Ubuntu 18.04.3",
"hostname": "example",
"updated_at": "2020-01-16T14:04:22Z",
"mac_address": "01:23:45:ab:cd:ef",
"ip_address": "192.0.2.1",
"id": "12c3530d-657f-4ccd-835e-6df9affeed3d"
},
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"investigation_id": null,
"expected_sha256": "123",
"bulk_task_id": null,
"correlation_id": "a7dc04c8-932c-4056-9477-8095b1fa15d8",
"user": {
"username": "admin",
"first_name": "Example",
"last_name": "User",
"id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1"
},
"chunk_size": 26214400,
"existing_path": "/home/example/Downloads/bad_admin.sh",
"origination_task_id": "85148460-c868-4fe5-a3e6-0d90784fadd1"
}
]
},
"created_at": "2020-01-19T12:19:57Z",
"os_type": "linux",
"machine_id": "5ae8ddd9-9339-ae4b-ccf7-5ed68f38b3a9",
"type": "downloadFileResponse",
"id": "8eb6b538-d480-4210-92fb-df08a3a4dfb9"
},
"metadata": {
"count": 1,
"previous_url": null,
"timestamp": "2020-01-19T12:23:23.623961",
"next": null,
"per_page": 50,
"next_url": null,
"previous": null
}
}
Datei löschen
Löschen Sie eine Datei von einem Endgame-Endpunkt.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| Dateipfad | String | – | Geben Sie den Pfad zur Datei ein. |
Anwendungsfälle
Mit dieser Aktion werden Dateien vom Endpunkt gelöscht. Das kann beispielsweise der Fall sein, wenn Malware gefunden wurde und ein Analyst sie entfernen möchte.
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- Host
- IP-Adresse
Aktionsergebnisse
Statistiken
Wenn der Endpunkt mit dem Endgame-Agent isoliert wurde, erstellen Sie einen Insight, um dies anzugeben.
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
(status = success)
{
"data": [
{
"status": "success",
"doc_type": "collection",
"endpoint": {
"domain": "InstallerInitiated",
"updated_at": "2019-11-01T05:41:10.150817+00:00",
"id": "a3cdc174-3af0-400a-85c3-bbb1435a6b61",
"display_operating_system": "Ubuntu 18.04.1",
"hostname": "08203s-lubu1804",
"mac_address": "01:23:45:ab:cd:ef",
"upgrade_status": "",
"base_image": false,
"isolation_updated_at": null,
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [
{
"id": "fc2dfcc8-9329-4f33-86a2-877bfb27575e",
"name": "CORE ENV"
}
],
"isolation_request_status": null,
"groups": [
{
"is_dynamic": false,
"count": 1,
"id": "e453d4f6-95c9-4dc5-bc41-2f4cae423e19",
"name": "Demo: Bad Admin"
}
],
"sensors": [
{
"status": "monitored",
"sensor_version": "3.52.12",
"policy_status": "successful",
"policy_name": "Lab (Detect-Only with Streaming)",
"sensor_type": "hunt",
"id": "c7347a4b-3e71-5514-980f-90bdbab758cf",
"policy_id": "07b7a44f-25f3-4e5c-977b-2915de8160c5"
}
],
"ip_address": "192.0.2.1",
"is_isolated": false,
"operating_system": "Linux 4.15.0-29-generic",
"name": "08203s-lubu1804",
"status_changed_at": "2020-01-20T07:25:02.633331+00:00",
"core_os": "linux",
"created_at": "2019-03-19T04:25:06.953312+00:00",
"error": null,
"machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d"
},
"task_id": "bfb82b8d-71a0-4e5f-9cfe-bd573ea32b25",
"family": "response",
"created_at": "2020-01-20T07:31:37Z",
"local_msg": "Success",
"system_msg": null,
"system_code": null,
"local_code": 0,
"os_type": "linux",
"machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d",
"type": "deleteFileResponse",
"id": "eb50fe9c-1059-42d4-9f5f-52e5af4ae64d"
}
],
"metadata": {
"count": 1,
"previous_url": null,
"timestamp": "2020-01-20T07:32:04.425044",
"next": null,
"per_page": 50,
"next_url": null,
"previous": null
}
}
(status = failure) local_msg und system_msg werden verwendet.
{
"data": [
{
"status": "failure",
"doc_type": "collection",
"endpoint": {
"domain": "InstallerInitiated",
"updated_at": "2019-11-01T05:41:10.150817+00:00",
"id": "a3cdc174-3af0-400a-85c3-bbb1435a6b61",
"display_operating_system": "Ubuntu 18.04.1",
"hostname": "08203s-lubu1804",
"mac_address": "01:23:45:ab:cd:ef",
"upgrade_status": "",
"base_image": false,
"isolation_updated_at": null,
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [
{
"id": "fc2dfcc8-9329-4f33-86a2-877bfb27575e",
"name": "CORE ENV"
}
],
"isolation_request_status": null,
"groups": [
{
"is_dynamic": false,
"count": 1,
"id": "e453d4f6-95c9-4dc5-bc41-2f4cae423e19",
"name": "Demo: Bad Admin"
}
],
"sensors": [
{
"status": "monitored",
"sensor_version": "3.52.12",
"policy_status": "successful",
"policy_name": "Lab (Detect-Only with Streaming)",
"sensor_type": "hunt",
"id": "c7347a4b-3e71-5514-980f-90bdbab758cf",
"policy_id": "07b7a44f-25f3-4e5c-977b-2915de8160c5"
}
],
"ip_address": "192.0.2.1",
"is_isolated": false,
"operating_system": "Linux 4.15.0-29-generic",
"name": "08203s-lubu1804",
"status_changed_at": "2020-01-07T08:16:46.895105+00:00",
"core_os": "linux",
"created_at": "2019-03-19T04:25:06.953312+00:00",
"error": null,
"machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d"
},
"task_id": "5da277fe-503d-468a-822b-8801d9671cde",
"family": "response",
"created_at": "2020-01-07T13:10:50Z",
"local_msg": "Not found",
"system_msg": null,
"system_code": null,
"local_code": -7,
"os_type": "linux",
"machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d",
"type": "deleteFileResponse",
"id": "6f3e6148-6801-4cb8-8a5d-25f75ea93555"
}
],
"metadata": {
"count": 1,
"previous_url": null,
"timestamp": "2020-01-07T13:16:18.834163",
"next": null,
"per_page": 5,
"next_url": null,
"previous": null
}
}
Umfrage zu Treibern (nur Windows)
Informationen zu Fahrern von einem bestimmten Endgame-Endpunkt abrufen.
Parameter
| Parameter | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| Maximale Anzahl zurückzugebender Elemente | String | 50 | Geben Sie an, wie viele Elemente zurückgegeben werden sollen. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- Hostname
- IP-Adresse
Aktionsergebnisse
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| driver_basename | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| driver_filename | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| date_modified | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| driver_file_version | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| driver_load_address | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| collection_id | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| hashes | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| machine_id | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| driver_product_version | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| driver_description | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[{
"EntityResult":
[{ "driver_basename": "test.exe",
"driver_filename": "C:\\\\Windows\\\\system32\\\\test.exe",
"date_modified": 1446189483.0185645,
"driver_file_version": "10.0.10586.0 (th2_release.151029-1700)",
"driver_load_address": "12345678",
"collection_id": "a9925cf1-6d4c-4bea-b13d-12345678",
"hashes": {
"sha256": "9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08",
"md5": "098f6bcd4621d373cade4e832627b4f6",
"sha1": "a94a8fe5ccb19ba61c4c0873d391e987982fbbd3"
},
"machine_id": "5dc677fd-6b47-7df9-f7f4-12345678",
"driver_product_version": "10.0.10586.0",
"driver_description": "Test"
}],
"Entity": "PC-01"
}]
Firewall-Umfrage (nur Windows)
Informationen zu den Firewallregeln für einen bestimmten Endgame-Endpunkt abrufen.
Parameter
| Parameter | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| Maximale Anzahl zurückzugebender Elemente | String | 50 | Geben Sie an, wie viele Elemente zurückgegeben werden sollen. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- Hostname
- IP-Adresse
Aktionsergebnisse
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| direction | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| machine_id | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Beschreibung | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| remote_addresses | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| protocol_number | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| aktiviert | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| edge_traversal | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Profile | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| interface_types | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| rule_name | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| icmp_and_type_codes | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| local_addresses | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| application_name | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| collection_id | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| remote_ports | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Aktion | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| local_ports | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[{
"EntityResult":
[{
"direction": "in",
"machine_id": "870499c3-d6bf-8edd-972d-12345678",
"description": "Inbound rule for Google Chrome to allow mDNS traffic.",
"remote_addresses": "*",
"protocol_number": 17,
"enabled": true,
"edge_traversal": false,
"profiles":
["domain", "public", "private"],
"interface_types": "All",
"rule_name": "Google Chrome (mDNS-In)",
"icmp_and_type_codes": "",
"local_addresses": "*",
"application_name": "C:\\\\Program Files (x86)\\\\Google\\\\Chrome\\\\Application\\\\chrome.exe",
"collection_id": "0925eea5-c61f-464a-ba61-12345678",
"remote_ports": "*",
"action": "allow",
"local_ports": "1234"
}],
"Entity": "PC-01"
}]
Endpunkte abrufen
Alle Endpunkte auflisten
Parameter
–
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[{
"domain": "",
"updated_at": "2019-05-30T01:40:21.126499+00:00",
"id": "db33d864-7d58-4d85-9d2d-1a98a101995d",
"display_operating_system": "Windows 7 (SP1)",
"hostname": "ip-AC170169",
"mac_address": "01:23:45:ab:cd:ef",
"isolation_updated_at": "",
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [],
"isolation_request_status": "",
"alert_count": 72,
"investigation_count": 0,
"groups": [],
"sensors":
[{
"status": "monitored",
"sensor_version": "3.51.10",
"policy_status": "successful",
"policy_name": "POC-Lab",
"sensor_type": "hunt",
"id": "ec17f7bb-1d63-536a-b694-ca066cc2572e",
"policy_id": "d31f0192-b8e2-49ae-ae54-041376183b7f"
}],
"ip_address": "192.0.2.1",
"is_isolated": "false",
"operating_system": "Windows 6.1 Service Pack 1",
"name": "ip-AC170169",
"status_changed_at": "2019-05-30T01:40:18.200770+00:00",
"core_os": "windows",
"created_at": "2019-05-30T01:36:43.761600+00:00",
"error":
[{
"msg": "Installer failure - Execution failed for (http://192.0.2.1:5985/wsman)\\n",
"deployment_id": "90C2BAA6-B38B-4037-9A9E-7C8628E8D7D6",
"code": 1001, "ts": 1559180421.125456
}],
"machine_id": "4f1adabb-17c4-e39e-caa7-7900562d0b51"
}]
Hunt-Datei
Sucht nach laufenden Dateien.
Parameter
| Parameter | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| Endpoints Core OS | String | Fenster | Wählen Sie ein Betriebssystem aus, z. B. Windows, Linux oder Mac, um die Liste „Endpunkte“ zu filtern. Hinweis: Sie können nur eine Untersuchung für Endpunkte erstellen, auf denen dasselbe Betriebssystem ausgeführt wird. |
| MD5-Hashes | String | – | ERWEITERTE KONFIGURATION für diese Suche. Geben Sie MD5-Hashes durch Kommas getrennt ein. |
| SHA1-Hashes | String | – | ERWEITERTE KONFIGURATION für diese Suche. Geben Sie SHA‑1-Hashes durch Kommas getrennt ein. |
| SHA256-Hashes | String | – | ERWEITERTE KONFIGURATION für diese Suche. Geben Sie SHA256-Hashes durch Kommas getrennt ein. |
| Verzeichnis | String | – | Der Pfad des Startverzeichnisses, z. B. C:\windows\system32 |
| Datei suchen | String | – | Geben Sie die Dateinamen ein, nach denen gesucht werden soll. Geben Sie einen regulären Ausdruck ein, um die Suchergebnisse einzugrenzen. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- Hostname
- IP-Adresse
Aktionsergebnisse
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| meta_data | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| file_path | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[{
"meta_data":
{ "hashes":
{ "sha256": "4705ba6793dc93c1bbe2a9e790e9e22778d217531b1750471206fd5c52bbd2b5",
"md5": "6383522c180badc4e1d5c30a5c4f4913",
"sha1": "62a30e96459b694f7b22d730c460a65cd2ebaaca"
},
"file_name_timestamps":
{ "accessed": 1468675289.0711532,
"entry_modified": 0,
"modified": 1468675289.0711532,
"created": 1468675404.0330572
},
"file_attributes": 38,
"file_size": 174
},
"file_path": "C:\\\\Program Files\\\\desktop.ini"
},
{
"meta_data":
{ "hashes":
{ "sha256": "44fe5eebd80e46f903d68c07bcf06d187a3698bf3953bc58bb578465e2e0fe6c",
"md5": "6bd5fb46283aa48e638bef47510c47da",
"sha1": "c38d46ec6c9bc8baece4a459b617f44d10af973c"
},
"file_name_timestamps":
{
"accessed": 1468675289.0024028,
"entry_modified": 0,
"modified": 1468675289.0024028,
"created": 1468675404.0111823
},
"file_attributes": 38,
"file_size": 645
},
"file_path": "C:\\\\Program Files\\\\Common Files\\\\microsoft shared\\\\Stationery\\\\Desktop.ini"
}]
Hunt-IP
Sucht nach Netzwerkverbindungen.
Parameter
| Parameter | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| Endpoints Core OS | String | Fenster | Wählen Sie ein Betriebssystem aus, z. B. Windows, Linux oder Mac, um die Liste „Endpunkte“ zu filtern. Hinweis: Sie können nur eine Untersuchung für Endpunkte erstellen, auf denen dasselbe Betriebssystem ausgeführt wird. |
| Remote-IP-Adresse | String | – | Remote-IP-Adresse – durch Komma getrennt |
| Lokale IP-Adresse | String | – | durch Komma getrennt |
| Bundesland | String | – | Geben Sie den Bundesstaat ein, in den Sie zurückkehren möchten. Beispiel: ANY |
| Protokoll | String | – | Beispiel: ANY, UDP, TCP |
| Netzwerkport | String | – | – |
| Network Remote | String | – | Netzwerk- oder lokale Fernbedienung. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- Hostname
- IP-Adresse
Aktionsergebnisse
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| parent_name | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Domain | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| exe | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Name | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| has_unbacked_execute_memory | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| pid | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| up_time | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| is_sensor | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| cmdline | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| parent_exe | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| unbacked_execute_byte_count | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| create_time | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Nutzer | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| sid | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Threads | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| ppid | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| unbacked_execute_region_count | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[{
"parent_name": "System Idle Process",
"domain": "NT AUTHORITY",
"exe": "",
"name": "System",
"has_unbacked_execute_memory": false,
"pid": 4,
"up_time": 2384701,
"is_sensor": false,
"cmdline": "",
"parent_exe": "",
"unbacked_execute_byte_count": 0,
"create_time": 1559179903,
"user": "SYSTEM",
"sid": "S-1-5-18",
"threads":
[{
"thread_id": 8
}, {
"thread_id": 12,
"up_time": 13206038203,
"create_time": -11644473599
}, {
"thread_id": 16,
"up_time": 13206038203,
"create_time": -11644473599
}],
"ppid": 0,
"unbacked_execute_region_count": 0
}]
Prozess der Bedrohungssuche
Sucht nach laufenden Prozessen.
Parameter
| Parameter | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| Endpoints Core OS | String | Fenster | Wählen Sie ein Betriebssystem aus (z.B. Windows, Linux oder Mac), um die Liste „Endpunkte“ zu filtern. Hinweis: Sie können nur eine Untersuchung für Endpunkte erstellen, auf denen dasselbe Betriebssystem ausgeführt wird. |
| MD5-Hashes | String | – | ERWEITERTE KONFIGURATION für diese Suche. Geben Sie MD5-Hashes durch Kommas getrennt ein. |
| SHA1-Hashes | String | – | ERWEITERTE KONFIGURATION für diese Suche. Geben Sie SHA‑1-Hashes durch Kommas getrennt ein. |
| SHA256-Hashes | String | – | ERWEITERTE KONFIGURATION für diese Suche. Geben Sie SHA256-Hashes durch Kommas getrennt ein. |
| Prozessname | String | – | ERWEITERTE KONFIGURATION für diese Suche. Geben Sie den Prozessnamen ein, z. B. „iss.exe“.* |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- Hostname
- IP-Adresse
Aktionsergebnisse
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| parent_name | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Domain | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| exe | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Name | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| has_unbacked_execute_memory | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| pid | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| up_time | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| is_sensor | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| cmdline | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| parent_exe | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| unbacked_execute_byte_count | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| create_time | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Nutzer | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| sid | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Threads | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| ppid | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| unbacked_execute_region_count | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[{
"parent_name": "System Idle Process",
"domain": "NT AUTHORITY",
"exe": "",
"name": "System",
"has_unbacked_execute_memory": false,
"pid": 4,
"up_time": 2384701,
"is_sensor": false,
"cmdline": "",
"parent_exe": "",
"unbacked_execute_byte_count": 0,
"create_time": 1559179903,
"user": "SYSTEM",
"sid": "S-1-5-18",
"threads":
[{
"thread_id": 8
},{
"thread_id": 12,
"up_time": 13206038203,
"create_time": -11644473599
},{
"thread_id": 16,
"up_time": 13206038203,
"create_time": -11644473599
}],
"ppid": 0,
"unbacked_execute_region_count": 0
}]
Hunt Registry
Sucht nach einem Registrierungsschlüssel oder ‑wertnamen.
Parameter
| Parameter | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| Hive | String | ALLE | Einer der folgenden Werte: HKEY_CLASSES_ROOT, HKEY_CURRENT_CONFIG, HKEY_USERS, HKEY_LOCAL_MACHINE, ALL. |
| Schlüssel | String | – | Registrierungsschlüssel oder Wertname. |
| Mindestgröße | String | – | Mindestgröße in Byte. |
| Maximale Größe | String | – | Maximale Bytegröße. |
| Endpoints Core OS | String | Fenster | Wählen Sie ein Betriebssystem aus (z.B. Windows, Linux oder Mac), um die Liste „Endpunkte“ zu filtern. Hinweis: Sie können nur eine Untersuchung für Endpunkte erstellen, auf denen dasselbe Betriebssystem ausgeführt wird. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- Hostname
- IP-Adresse
Aktionsergebnisse
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| parent_name | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Domain | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| exe | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Name | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| up_time | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| is_sensor | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| cmdline | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| parent_exe | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| unbacked_execute_byte_count | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| create_time | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Nutzer | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| sid | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Threads | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| ppid | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| unbacked_execute_region_count | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[{
"parent_name": "System Idle Process",
"domain": "NT AUTHORITY",
"exe": "",
"name": "System",
"has_unbacked_execute_memory": false,
"pid": 4,
"up_time": 2384701,
"is_sensor": false,
"cmdline": "",
"parent_exe": "",
"unbacked_execute_byte_count": 0,
"create_time": 1559179903,
"user": "SYSTEM",
"sid": "S-1-5-18",
"threads":
[{
"thread_id": 8
},{
"thread_id": 12,
"up_time": 13206038203,
"create_time": -11644473599
}, {
"thread_id": 16,
"up_time": 13206038203,
"create_time": -11644473599
}],
"ppid": 0,
"unbacked_execute_region_count": 0
}]
Hunt-Nutzer
Sucht im Netzwerk nach angemeldeten Nutzern.
Parameter
| Parameter | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| Endpoints Core OS | String | Fenster | Wählen Sie ein Betriebssystem aus (z.B. Windows, Linux oder Mac), um die Liste „Endpunkte“ zu filtern. Hinweis: Sie können nur eine Untersuchung für Endpunkte erstellen, auf denen dasselbe Betriebssystem ausgeführt wird. |
| Nutzernamen finden | String | – | ERWEITERTE KONFIGURATION für diese Suche. Geben Sie den oder die Nutzernamen ein. Trennen Sie mehrere Einträge durch ein Semikolon. |
| Domainname | String | – | ERWEITERTE KONFIGURATION für diese Suche. Geben Sie den Domainnamen ein. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- Hostname
- IP-Adresse
Aktionsergebnisse
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| parent_name | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Domain | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| exe | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Name | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| has_unbacked_execute_memory | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| pid | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| up_time | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| is_sensor | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| cmdline | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| parent_exe | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| unbacked_execute_byte_count | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| create_time | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Nutzer | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| sid | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Threads | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| ppid | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| unbacked_execute_region_count | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[{
"parent_name": "System Idle Process",
"domain": "NT AUTHORITY",
"exe": "",
"name": "System",
"has_unbacked_execute_memory": false,
"pid": 4,
"up_time": 2384701,
"is_sensor": false,
"Cmdline":"",
"parent_exe": "",
"unbacked_execute_byte_count": 0,
"create_time": 1559179903,
"user": "SYSTEM",
"sid": "S-1-5-18",
"threads":
[{
"thread_id": 8
}, {
"thread_id": 12,
"up_time": 13206038203,
"create_time": -11644473599
}, {
"thread_id": 16,
"up_time": 13206038203,
"create_time": -11644473599
}],
"ppid": 0,
"unbacked_execute_region_count": 0
}]
Prozess beenden
Einen Prozess an einem bestimmten Endgame-Endpunkt beenden.
Parameter
| Parameter | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| Prozessname | String | – | Prozessname eingeben |
| PID | String | – | Geben Sie die ID des Prozesses ein. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- Hostname
- IP-Adresse
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
Netzwerkumfrage
Informationen zu Verbindungen, DNS-Cache, NetBIOS, ARP und Routentabellen von einem bestimmten Endgame-Endpunkt abrufen.
Parameter
| Parameter | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| Maximale Anzahl zurückzugebender Elemente | String | 50 | Geben Sie an, wie viele automatische Läufe zurückgegeben werden sollen. |
| Informationen zu Routeneinträgen einbeziehen | Kästchen | Aktiviert | Geben Sie an, dass Sie Informationen zu den Routeneinträgen erhalten möchten. |
| NetBIOS-Informationen einschließen | Kästchen | Aktiviert | Geben Sie an, dass Sie Informationen zu NetBIOS erhalten möchten. |
| DNS-Cache-Informationen einbeziehen | Kästchen | Aktiviert | Geben Sie an, dass Informationen zum DNS-Cache abgerufen werden sollen. |
| ARP-Tabelleninformationen einbeziehen | Kästchen | Aktiviert | Geben Sie an, dass Informationen zur ARP-Tabelle abgerufen werden sollen. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- Hostname
- IP-Adresse
Aktionsergebnisse
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| Verbindungen | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| netbios_info | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| arp_table | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| route_table | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| dns_cache | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[{
"EntityResult":
{
"connections":
[{
"connection_type": "SOCK_STREAM",
"collection_id": "50e74bd2-1cd4-412c-a7fc-24cf1456e883",
"exe": "C:\\\\Windows\\\\System32\\\\test.exe",
"connection_status": "LISTEN",
"name": "test.exe",
"family": "ipv4",
"local_port": 111,
"remote_port": 0,
"pid": 700,
"remote_address": "0.0.0.0",
"create_time": 1583314664,
"connection_timestamp": 1583314664.0117714,
"local_address": "0.0.0.0",
"protocol": "tcp",
"hashes":
{
"sha256": "5d00bbeb147e0c838a622fc42c543b2913d57eaca4e69d9a37ed61e98c819347", "md5": "8497852ed44aff902d502015792d315d",
"sha1": "800a4c2e524fc392c45748eae1691fa01d24ea4c"
},
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
}],
"netbios_info":
[{
"comment": "",
"name": "PC-01",
"version_major": 10,
"netbios_neighbor_type": 8392747,
"platform": "WINDOWS NT",
"version_minor": 0
}],
"arp_table":
[{
"connection_type": "SOCK_STREAM",
"collection_id": "50e74bd2-1cd4-412c-a7fc-24cf1456e883",
"exe": "C:\\\\Windows\\\\System32\\\\test.exe",
"connection_status": "LISTEN",
"name": "test.exe",
"family": "ipv4",
"local_port": 111,
"remote_port": 0,
"pid": 700,
"remote_address": "0.0.0.0",
"create_time": 1583314664,
"connection_timestamp": 1583314664.0117714,
"local_address": "0.0.0.0",
"protocol": "tcp",
"hashes": {"sha256": "5d00bbeb147e0c838a622fc42c543b2913d57eaca4e69d9a37ed61e98c819347", "md5": "8497852ed44aff902d502015792d315d",
"sha1": "800a4c2e524fc392c45748eae1691fa01d24ea4c"},
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
}],
"route_table":
[{
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"family": "ipv4",
"destination": "0.0.0.0",
"netmask": "0.0.0.0",
"collection_id": "50e74bd2-1cd4-412c-a7fc-24cf1456e883",
"interface_name": "Ethernet0",
"gateway": "1.1.1.1"
}],
"dns_cache":
[{
"name": "test.ms",
"dns_record_type": "A",
"ttl": 0,
"collection_id": "50e74bd2-1cd4-412c-a7fc-24cf1456e883",
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"query_error": 9701
}]
},
"Entity": "PC-01"
}]
Ping
Verbindung zum Endgame-Server testen
Parameter
–
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
Prozessumfrage
Informationen zu laufenden Prozessen auf einem bestimmten Endgame-Endpunkt abrufen.
Parameter
| Parameter | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| Maximale Anzahl zurückzugebender Elemente | String | 50 | Geben Sie an, wie viele Elemente zurückgegeben werden sollen. |
| Dateilose Angriffe erkennen (nur Windows) | Kästchen | Deaktiviert | Geben Sie an, dass dateilose Angriffe erkannt werden sollen. Nur Windows. |
| Malware mit MalwareScore erkennen (nur Windows) | Kästchen | Deaktiviert | Geben Sie an, dass Malware-Prozesse mit MalwareScore erkannt werden sollen. Nur Windows. |
| Prozess-Threads erfassen | Kästchen | Deaktiviert | Geben Sie an, ob Informationen zur Anzahl der Prozess-Threads in die Antwort aufgenommen werden sollen. |
| Nur verdächtige Prozesse zurückgeben | Kästchen | Aktiviert | Geben Sie an, dass nur verdächtige Prozesse vom Endpunkt zurückgegeben werden sollen. Gemäß der Endgame-Definition sind verdächtige Prozesse nicht unterstützte ausführbare Prozesse. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- Hostname
- IP-Adresse
Aktionsergebnisse
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| Domain | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| name_suspicious | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| pid | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| name_uncommon_path | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| repeat_offender | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| cmdline | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| create_time | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| parent_name | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| has_unbacked_execute_memory | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| sid | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| ppid | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| up_time | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| unbacked_execute_region_count | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| is_sensor | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Threads | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Nutzer | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| collection_id | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| parent_exe | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| exe | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Name | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| unbacked_execute_byte_count | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| machine_id | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| unbacked_execute_region_count | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| tty_device_minor_number | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| uid | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| name_suspicious | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| phys_memory_bytes | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| pid | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| env_variables | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| repeat_offender | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| cmdline | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| create_time | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| tty_device_major_number | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| parent_name | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Gruppe | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| cpu_percent | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| has_unbacked_execute_memory | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| gid | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| sha256 | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| cwd | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| exe | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| up_time | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| short_name | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| tty_device_name | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| is_sensor | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| sha1 | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Threads | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| name_uncommon_path | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| collection_id | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| md5 | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| argv_list | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| num_threads | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Nutzer | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| virt_memory_bytes | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Name | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| session_id | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| memory_percent | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| machine_id | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| unbacked_execute_byte_count | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[{
"EntityResult":
[{
"domain": "NT AUTHORITY",
"name_suspicious": false,
"pid": 4,
"name_uncommon_path": false,
"repeat_offender": false,
"cmdline": "",
"create_time": 1583314654,
"parent_name": "System Idle Process",
"has_unbacked_execute_memory": false,
"sid": "S-1-5-18",
"ppid": 0,
"up_time": 342643,
"unbacked_execute_region_count": 0,
"is_sensor": false,
"threads":
[{ "thread_id": 12,
"up_time": 13228130896,
"create_time": -11644473599
},
{
"thread_id": 16,
"up_time": 13228130896,
"create_time": -11644473599
}],
"user": "SYSTEM",
"collection_id": "ac1fb296-db5a-4426-b32e-292e4a50188d",
"parent_exe": "",
"exe": "",
"name": "System",
"unbacked_execute_byte_count": 0,
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
}],
"Entity": "PC-01"
},
{
"EntityResult":
[{
"unbacked_execute_region_count": 0,
"tty_device_minor_number": 0,
"uid": 0,
"name_suspicious": false,
"phys_memory_bytes": 8900608,
"pid": 1,
"env_variables":
[ "HOME=/",
"init=/sbin/init",
"NETWORK_SKIP_ENSLAVED=",
"recovery=",
"TERM=linux",
"drop_caps=",
"BOOT_IMAGE=/vmlinuz-4.15.0-88-generic",
"PATH=/sbin:/usr/sbin:/bin:/usr/bin",
"PWD=/", "rootmnt=/root" ],
"repeat_offender": false,
"cmdline": "/sbin/init maybe-ubiquity",
"create_time": 1583632302,
"tty_device_major_number": 0,
"parent_name": "",
"group": "root",
"cpu_percent": 0,
"has_unbacked_execute_memory": false,
"gid": 0,
"sha256": "3a14ff4b18505543eda4dccb054aa5860478a95ed0cac76da392f3472da3ad67",
"cwd": "/",
"exe": "/lib/systemd/systemd",
"up_time": 24942,
"short_name": "systemd",
"tty_device_name": "",
"is_sensor": false,
"sha1": "e016f80b87101a74b52d15ce2726560a6e128b60",
"threads": [{"thread_id": 1}],
"name_uncommon_path": false,
"collection_id": "bcb6b33a-0ffb-4e72-818a-1731024dfd79",
"md5": "ca563cf817f03ed7d01a6462818a5791",
"argv_list": ["/sbin/init", "maybe-ubiquity"],
"num_threads": 1,
"ppid": 0,
"virt_memory_bytes": 79818752,
"name": "systemd",
"session_id": 1,
"memory_percent": 0.21517109870910645,
"parent_exe": "",
"unbacked_execute_byte_count": 0,
"machine_id": "5ae8ddd9-9339-ae4b-ccf7-5ed68f38b3a9",
"user": "root"
}],
"Entity": "PC-202"
}]
Umfrage zu Wechselmedien (nur Windows)
DGet information about removable media from a specific Endgame endpoint.
Parameter
| Parameter | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| Maximale Anzahl zurückzugebender Elemente | String | 50 | Geben Sie an, wie viele Elemente zurückgegeben werden sollen. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- Hostname
- IP-Adresse
Aktionsergebnisse
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| Name | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| is_storage_device | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| vendor_id | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| collection_id | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| last_connect_time | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| serial_number | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| machine_id | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| is_connected | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| product_id | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[{
"EntityResult":
[{ "name": "USB Composite Device",
"is_storage_device": false,
"vendor_id": "0E0F",
"collection_id": "fbe61b16-e6b2-4595-8409-abf4ce15fa85",
"last_connect_time": 1552596043.0610971,
"serial_number": "6&35D1F50B&0&1",
"machine_id": "a4c05d5a-7ebc-c3ab-1beb-f1fe517768d8",
"is_connected": false,
"product_id": "0003"
}],
"Entity": "PC-01"
}]
Software-Umfrage (nur Windows)
Informationen zu einer installierten Software auf einem bestimmten Endgame-Endpunkt abrufen.
Parameter
| Parameter | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| Maximale Anzahl zurückzugebender Elemente | String | 50 | Geben Sie an, wie viele Elemente zurückgegeben werden sollen. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- Hostname
- IP-Adresse
Aktionsergebnisse
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| Publisher | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| machine_id | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Paket | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| install_date | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Version | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| collection_id | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| installed_for | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[{
"EntityResult":
[{
"publisher": "John Doe",
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"package": "Test",
"install_date": "20191008",
"version": "18.06",
"collection_id": "fc079e17-8a2e-40d9-94c9-b974e5534e58",
"installed_for": "allUsers"
}],
"Entity": "PC-01"
}]
Systemübersicht
Systeminformationen zu einem einzelnen Endgame-Endpunkt abrufen, z. B. Speicherauslastung, DNS und Betriebssystem.
Parameter
| Parameter | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| Maximale Anzahl zurückzugebender Elemente | String | 50 | Geben Sie an, wie viele Elemente zurückgegeben werden sollen. |
| Sicherheitsproduktinformationen einbeziehen (nur Windows) | Kästchen | Aktiviert | Geben Sie an, dass Informationen zu den auf dem Endpunkt installierten Sicherheitsprodukten abgerufen werden sollen (nur Windows). |
| Patchinformationen einbeziehen (nur Windows) | Kästchen | Aktiviert | Geben Sie an, dass Sie Informationen zu Patches erhalten möchten (nur Windows). |
| Laufwerksinformationen einschließen | Kästchen | Aktiviert | Geben Sie an, dass Sie Informationen zu Laufwerken erhalten möchten. |
| Informationen zur Netzwerkschnittstelle einfügen | Kästchen | Aktiviert | Geben Sie an, dass Sie Informationen zu Netzwerkschnittstellen erhalten möchten. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- Hostname
- IP-Adresse
Aktionsergebnisse
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| patches_info | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Disks_info | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| network_interfaces | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Os_info | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| installed_security_products | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[{
"EntityResult":
{
"patches_info":
[{
"collection_id": "f7d a62bb-318d-40c1-a490-85979c0c9ede",
"installed_on": "2/3/2018",
"hotfix_id": "KB4049065",
"machine_id": "870499c3-d6bf-8edd-972d-f2f6621dd971"
}],
"Disks_info":
[{
"disk_id": "\\\\Device\\\\HarddiskVolume2",
"fstype": "NTFS",
"disk_total": 15579738112,
"disk_free": 1219571712,
"collection_id": "a27ebace-32ec-4257-ab4f-7da49f02a9d4",
"device": "\\\\Device\\\\HarddiskVolume2",
"path": "C:\\\\",
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
}],
"network_interfaces":
[{
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"mac_address": "01:23:45:ab:cd:ef",
"ipv4_addresses": ["1.1.1.1"],
"ipv6_addresses": ["1111::1111:1111:1111:1111"],
"collection_id": "a27ebace-32ec-4257-ab4f-7da49f02a9d4",
"smp_interface": true,
"interface_name": "Ethernet0"
}],
"Os_info":
[{
"memory":
{ "ram_free": 1240039424,
"page_percent_used": 36.89334358507761,
"page_total": 2818101248,
"ram_percent_used": 42.24349594504104,
"ram_total": 2147012608,
"ram_used": 906973184,
"page_used": 1039691776,
"page_free": 1778409472
},
"doc_type": "collection",
"domain": "PC-01.test.com",
"endpoint":
{ "status": "unmonitored",
"ad_distinguished_name":
"CN=PC_01,OU=TESTOU,OU=Organization,DC=test,DC=com",
"ad_hostname": "test.com",
"operating_system": "Windows 10.0 ",
"name": "PC-01",
"display_operating_system": "Windows 10 (v1511)",
"hostname": "PC-01",
"updated_at": "2020-03-08T08:27:22.919880+00:00",
"mac_address": "01:23:45:ab:cd:ef",
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"ip_address": "1.1.1.1",
"id": "b23c8a14-69e0-4966-b78a-c9fba4fdd934"
},
"investigation_id": "85cff906-8b39-4a37-aa05-84950c9b2a02",
"hostname": "PC-01",
"bulk_task_id": null,
"original_machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"os_version":
{
"os_minor": 0,
"os_is_server": false,
"os_major": 10,
"os_build_number": 10586,
"os_service_pack": ""
},
"correlation_id": "7e17de5a-abcb-4de0-a510-7ca79bfdc345",
"architecture": "x64",
"sensor_info":
{
"malware_feature_version": "3.0.0",
"sensor_build_time": "1581375786",
"sensor_commit_sha": "80af56b6b295de785e502d82f39deac34973b2dd",
"sensor_build_number": 48,
"sensor_version": "3.53.9"
},
"time":
{
"tz_observes_dst": true,
"tz_currently_in_dst": false,
"tz_name": "Pacific Standard Time",
"tz_offset_minutes": 480
},
"os_type": "windows",
"ad_info":
{
"distinguished_name": "CN=PC-01,OU=TESTOU,OU=Organization,DC=test,DC=com",
"domain_hostname": "test.com"
},
"origination_task_id": "d3d67012-cfb1-47d0-8ec9-bf7ffb68a019"
}],
"installed_security_products":
[{
"security_product_type": "AntiVirus",
"collection_id": "a27ebace-32ec-4257-ab4f-7da49f02a9d4",
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"enabled": false, "name": "Windows Defender"
}]
},
"Entity": "PC-01"
}]
Umfrage zu Nutzersitzungen
Informationen zu aktiven Nutzersitzungen an einem bestimmten Endgame-Endpunkt abrufen.
Parameter
| Parameter | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| Maximale Anzahl zurückzugebender Elemente | String | 50 | Geben Sie an, wie viele Elemente zurückgegeben werden sollen. |
Ausführen am
- Hostname
- IP-Adresse
Aktionsergebnisse
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| Nutzername | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| shell | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| uid | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| begonnen | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Hostname | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| host_ip | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| session_id | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| session_count | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Terminal | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| beendet | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| gid | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| collection_id | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| machine_id | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| begonnen | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| password_last_set | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| logon_type | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| sid | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[{
"EntityResult":
[{
"username": "endgame",
"shell": "/opt/endgame/bin/console",
"uid": 1000,
"started": 1582554802.55514,
"hostname": "",
"host_ip": "",
"session_id": 887,
"session_count": 1,
"terminal": "tty1",
"ended": 0,
"gid": 1000,
"collection_id": "1aebade8-9f7b-4237-8c43-2aed8729511e",
"machine_id": "827255f4-53a2-1823-cac0-7c0f7730ca26"
}],
"Entity": "PC-01"
}, {
"EntityResult":
[{
"username": "example",
"domain": "3B",
"started": 1580205134.001,
"session_count": 1,
"ended": 0,
"password_last_set": 0,
"logon_type": "interactive",
"sid": "",
"collection_id": "88b876b1-5063-40a8-b40e-440df5eb8952",
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
}],
"Entity": "PC-02"
}
Connectors
Eine ausführliche Anleitung zum Konfigurieren eines Connectors in Google SecOps finden Sie unter Connector konfigurieren.
Endgame Connector
Verwenden Sie die folgenden Parameter, um den Connector zu konfigurieren:
| Parameter | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| DeviceProductField | String | device_product | Der Feldname, der zur Bestimmung des Geräteprodukts verwendet wird. |
| EventClassId | String | event_name | Der Feldname, der zum Bestimmen des Ereignisnamens (Untertyp) verwendet wird. |
| PythonProcessTimeout | String | 30 | Das Zeitlimit (in Sekunden) für den Python-Prozess, in dem das aktuelle Skript ausgeführt wird. |
| API-Stamm | String | – | – |
| Nutzername | String | – | – |
| Passwort | Passwort | – | – |
| SSL überprüfen | Kästchen | Deaktiviert | – |
| Max. Tage rückwärts | String | – | – |
| Name des Umgebungsfelds | String | – | Falls definiert, wird die Umgebung vom Connector aus dem angegebenen Ereignisfeld extrahiert. Sie können die Felddaten mit dem Feld „Muster für regulären Ausdruck“ bearbeiten, um einen bestimmten String zu extrahieren. |
| Limit für die Anzahl der Benachrichtigungen | String | – | – |
| Proxyserveradresse | String | – | Die Adresse des zu verwendenden Proxyservers. |
| Proxy-Nutzername | String | – | Der Proxy-Nutzername für die Authentifizierung. |
| Proxy-Passwort | Passwort | – | Das Proxy-Passwort für die Authentifizierung. |
Connector-Regeln
Der Connector unterstützt Proxys.
Der Connector unterstützt die dynamische Liste.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten