Endgame
Versión de integración: 9.0
Integrar Endgame con Google Security Operations
Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.
Acciones
Enriquecer entidades
Enriquece las entidades de host e IP de Google SecOps en función de la información de Endgame.
Parámetros
N/A
Casos prácticos
Esta acción se puede usar en los cuadernos de estrategias que investigan la actividad en los dispositivos. Si el dispositivo tiene instalado el agente de Endgame, la acción extrae información de Endgame sobre el dispositivo para enriquecer las entidades de Google SecOps.
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Host
- Dirección IP
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: cuándo aplicar |
|---|---|
| Endgame_Domain | Siempre |
| Endgame_endpoint_id | Siempre |
| Endgame_hostname | Siempre |
| Endgame_sensors_status | Siempre |
| Endgame_sensors_id | Siempre |
| Endgame_sensors_status | Siempre |
| Endgame_sensors_id | Siempre |
| Endgame_policy_status | Siempre |
| Endgame_policy_name | Siempre |
| Endgame_policy_id | Siempre |
| Endgame_is_isolated | Siempre |
Resultado de la secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"data": [
{
"domain": "InstallerInitiated",
"updated_at": "2019-11-01T05:42:08.149079+00:00",
"id": "1682418d-02ff-43cd-a730-bcae8215a514",
"display_operating_system": "CentOS 7.6",
"hostname": "example",
"mac_address": "01:23:45:ab:cd:ef",
"upgrade_status": "",
"base_image": false,
"isolation_updated_at": null,
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [
{
"id": "a0927aeb-915a-466d-a5eb-5d7b6f9217c5",
"name": "BLUE TEAM"
},
{
"id": "bede2f24-593c-45e4-9863-9c2438f0f163",
"name": "SOC"
},
{
"id": "fc2dfcc8-9329-4f33-86a2-877bfb27575e",
"name": "CORE ENV"
}
],
"isolation_request_status": null,
"alert_count": 0,
"investigation_count": 0,
"groups": [
{
"is_dynamic": false,
"count": 4,
"id": "c1af3cd6-2638-4144-842d-adc9cfb67fb9",
"name": "SOC"
}
],
"sensors": [
{
"status": "monitored",
"sensor_version": "3.52.12",
"policy_status": "successful",
"policy_name": "Lab (Detect-Only)",
"sensor_type": "hunt",
"id": "fbb87923-a833-5581-a160-7f4f85a21bd0",
"policy_id": "a1d72bce-1f61-4ba8-bcd4-dfa97148335f"
}
],
"ip_address": "192.0.2.1",
"is_isolated": false,
"operating_system": "Linux 3.10.0-957.27.2.el7.x86_64",
"name": "example",
"status_changed_at": "2020-01-07T08:15:11.865854+00:00",
"core_os": "linux",
"created_at": "2019-03-19T05:07:50.598837+00:00",
"error": null,
"machine_id": "827255f4-53a2-1823-cac0-7c0f7730ca26"
},
{
"domain": "InstallerInitiated",
"updated_at": "2019-11-01T05:42:09.150756+00:00",
"id": "12c3530d-657f-4ccd-835e-6df9affeed3d",
"display_operating_system": "Ubuntu 18.04.3",
"hostname": "example",
"mac_address": "01:23:45:ab:cd:ef",
"upgrade_status": "",
"base_image": false,
"isolation_updated_at": null,
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [],
"isolation_request_status": null,
"alert_count": 0,
"investigation_count": 0,
"groups": [
{
"is_dynamic": false,
"count": 4,
"id": "c1af3cd6-2638-4144-842d-adc9cfb67fb9",
"name": "SOC"
}
],
"sensors": [
{
"status": "monitored",
"sensor_version": "3.52.12",
"policy_status": "successful",
"policy_name": "Lab (Detect-Only)",
"sensor_type": "hunt",
"id": "dc2e35cc-0c87-5a60-8fc8-de23ef747d02",
"policy_id": "a1d72bce-1f61-4ba8-bcd4-dfa97148335f"
}
],
"ip_address": "192.0.2.1",
"is_isolated": false,
"operating_system": "Linux 4.15.0-72-generic",
"name": "example",
"status_changed_at": "2020-01-07T08:15:16.875375+00:00",
"core_os": "linux",
"created_at": "2019-09-20T21:34:51.966863+00:00",
"error": null,
"machine_id": "5ae8ddd9-9339-ae4b-ccf7-5ed68f38b3a9"
}
],
"metadata": {
"count": 38,
"previous_url": null,
"timestamp": "2020-01-07T18:09:43.765744",
"next": null,
"per_page": 50,
"next_url": null,
"transaction_id": "569cdc38-8c7a-4b93-af99-aaf907dc8dd6",
"previous": null
}
}
Mostrar investigaciones
Lista las investigaciones de Endgame.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| SO | Cadena | Solaris, Windows, macOS y Linux | Especifica para qué SO quieres mostrar las investigaciones. El parámetro puede tomar varios valores como una cadena separada por comas. |
| Recuperar investigaciones de las últimas X horas | Entero | N/A | Devuelve las investigaciones creadas en el periodo especificado en horas. |
| Número máximo de investigaciones que se devolverán | Entero | N/A | Especifica cuántas investigaciones quieres consultar. |
Casos prácticos
Las investigaciones se usan para buscar diferentes objetos de los endpoints, como procesos, direcciones IP y archivos. Esta acción permite al usuario enumerar las investigaciones. Los analistas pueden usar esta acción para asegurarse de que se están llevando a cabo todas las investigaciones necesarias en el sistema.
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"data": [
{
"created_by_chat": false,
"name": "Example User + 2020-01-08T13:47:51.334336_utc",
"core_os": "windows",
"created_at": "2020-01-08T13:47:51.340497+00:00",
"task_completion": {
"completed_tasks": 1,
"total_tasks": 1
},
"archived": false,
"created_by": {
"username": "admin",
"last_name": "User",
"is_active": true,
"is_editable": true,
"is_ldap": false,
"is_removable": false,
"timezone": null,
"id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"first_name": "Example",
"last_viewed_alert": "2020-01-07T09:24:22.925000",
"is_sso": false,
"is_superuser": true,
"role": {
"role": "Admin",
"id": "37e9e54e-0bb8-5058-9bd4-50a0d0fbea35",
"permissions": {
"endpoints.scan": true,
"sensor.admin.view": true,
"sensor.admin.update": true,
"endpoints.delete": true,
"endpoints.respond": true,
"search.search": true,
"sensor.admin.create": true,
"alerts.admin.forwardalerts": true,
"endpoints.tag": true,
"user.delete": true,
"endpoints.deploy": true,
"user.update": true,
"search.save": true,
"investigation.create": true,
"endpoints.view": true,
"user.view": true,
"sensor.admin.download": true,
"alerts.view": true,
"alerts.update": true,
"search.delete": true,
"sensor.admin.delete": true,
"endpoints.uninstall": true,
"investigation.view": true,
"admin": true,
"investigation.update": true,
"endpoints.changeconfiguration": true,
"user.create": true
}
},
"type": "Local",
"email": null
},
"updated_at": "2020-01-08T13:47:51.379966+00:00",
"created_by_user_display_name": "Example User",
"canceled_by_user_id": null,
"version": 2,
"endpoint_count": 1,
"assigned_to": {
"username": "admin",
"last_name": "User",
"is_active": true,
"is_editable": true,
"is_ldap": false,
"is_removable": false,
"timezone": null,
"id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"first_name": "Example",
"last_viewed_alert": "2020-01-07T09:24:22.925000",
"is_sso": false,
"is_superuser": true,
"role": {
"role": "Admin",
"id": "37e9e54e-0bb8-5058-9bd4-50a0d0fbea35",
"permissions": {
"endpoints.scan": true,
"sensor.admin.view": true,
"sensor.admin.update": true,
"endpoints.delete": true,
"endpoints.respond": true,
"search.search": true,
"sensor.admin.create": true,
"alerts.admin.forwardalerts": true,
"endpoints.tag": true,
"user.delete": true,
"endpoints.deploy": true,
"user.update": true,
"search.save": true,
"investigation.create": true,
"endpoints.view": true,
"user.view": true,
"sensor.admin.download": true,
"alerts.view": true,
"alerts.update": true,
"search.delete": true,
"sensor.admin.delete": true,
"endpoints.uninstall": true,
"investigation.view": true,
"admin": true,
"investigation.update": true,
"endpoints.changeconfiguration": true,
"user.create": true
}
},
"type": "Local",
"email": null
},
"id": "e0ad7613-daf6-435f-98f6-ce40eae01acc",
"canceled_by_user_display_name": null,
"user_display_name": "Example User",
"hunt_count": 1,
"is_canceled": false
}
],
"metadata": {
"count": 46,
"previous_url": null,
"timestamp": "2020-01-08T16:02:09.251511",
"next": 2,
"per_page": 1,
"next_url": "/api/v1/investigations/?per_page=1&page=2",
"previous": null
}
}
Obtener detalles de la investigación
Obtiene información sobre una investigación de Endgame específica.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| ID de investigación | Cadena | N/A | Especifica el ID de investigación de Endgame que quieres buscar. |
Casos prácticos
Las investigaciones se usan para buscar diferentes objetos de los endpoints, como procesos, direcciones IP y archivos. Esta acción permite al usuario obtener más información sobre investigaciones concretas. Los analistas pueden usar esta acción para asegurarse de que se han realizado todas las tareas necesarias en el sistema.
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"data": {
"tasks": [
"6500673c-d246-41a3-882d-d3a339f28497"
],
"user_display_name": "Example User",
"task_types": [
"Process Survey"
],
"task_completion": {
"completed_tasks": 1,
"total_tasks": 1
},
"updated_at": "2020-01-06T13:30:33.851816+00:00",
"created_by_user_display_name": "Example User",
"id": "54caeedc-d6b0-4ca0-8f64-8798d1c34d54",
"task_completions_by_type": {
"Process Survey": {
"completed_tasks": 1,
"task_type_id": "2fbf0c36-5160-5c31-99ec-0fa5880c6bd1",
"total_tasks": 1
}
},
"archived": false,
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"is_canceled": false,
"created_by": {
"username": "admin",
"last_name": "User",
"is_active": true,
"is_editable": true,
"is_ldap": false,
"is_removable": false,
"timezone": null,
"id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"first_name": "Example",
"last_viewed_alert": "2020-01-06T09:27:04.097000",
"is_sso": false,
"is_superuser": true,
"role": {
"role": "Admin",
"id": "37e9e54e-0bb8-5058-9bd4-50a0d0fbea35",
"permissions": {
"endpoints.scan": true,
"sensor.admin.view": true,
"sensor.admin.update": true,
"endpoints.delete": true,
"endpoints.respond": true,
"search.search": true,
"sensor.admin.create": true,
"alerts.admin.forwardalerts": true,
"endpoints.tag": true,
"user.delete": true,
"endpoints.deploy": true,
"user.update": true,
"search.save": true,
"investigation.create": true,
"endpoints.view": true,
"user.view": true,
"sensor.admin.download": true,
"alerts.view": true,
"alerts.update": true,
"search.delete": true,
"sensor.admin.delete": true,
"endpoints.uninstall": true,
"investigation.view": true,
"admin": true,
"investigation.update": true,
"endpoints.changeconfiguration": true,
"user.create": true
}
},
"type": "Local",
"email": null
},
"hunt_count": 1,
"canceled_by_user_id": null,
"version": 2,
"endpoint_count": 1,
"canceled_by_user_display_name": null,
"created_by_user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"created_by_chat": false,
"sensors": [
"8eef6873-6db7-58ab-a1ca-68dc19b54117"
],
"name": "Example User + 2020-01-06T13:30:33.808543_utc",
"core_os": "windows",
"created_at": "2020-01-06T13:30:33.813747+00:00",
"assigned_to": {
"username": "admin",
"last_name": "User",
"is_active": true,
"is_editable": true,
"is_ldap": false,
"is_removable": false,
"timezone": null,
"id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"first_name": "Example",
"last_viewed_alert": "2020-01-06T09:27:04.097000",
"is_sso": false,
"is_superuser": true,
"role": {
"role": "Admin",
"id": "37e9e54e-0bb8-5058-9bd4-50a0d0fbea35",
"permissions": {
"endpoints.scan": true,
"sensor.admin.view": true,
"sensor.admin.update": true,
"endpoints.delete": true,
"endpoints.respond": true,
"search.search": true,
"sensor.admin.create": true,
"alerts.admin.forwardalerts": true,
"endpoints.tag": true,
"user.delete": true,
"endpoints.deploy": true,
"user.update": true,
"search.save": true,
"investigation.create": true,
"endpoints.view": true,
"user.view": true,
"sensor.admin.download": true,
"alerts.view": true,
"alerts.update": true,
"search.delete": true,
"sensor.admin.delete": true,
"endpoints.uninstall": true,
"investigation.view": true,
"admin": true,
"investigation.update": true,
"endpoints.changeconfiguration": true,
"user.create": true
}
},
"type": "Local",
"email": null
},
"endpoints": [
"b23c8a14-69e0-4966-b78a-c9fba4fdd934"
]
},
"metadata": {
"timestamp": "2020-01-06T14:00:53.716517"
}
}
Get Host Isolation Config
Obtiene la configuración de aislamiento del host definida en Endgame.
Parámetros
N/A
Casos prácticos
Esta acción se usa para obtener información sobre la configuración de aislamiento del host. Esta configuración permite que los hosts aislados se conecten a las direcciones IP que se indican. Los analistas pueden usar esta acción para verificar que todas las direcciones IP obligatorias están en la configuración de aislamiento de host.
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"data": [
{
"id": "47999eeb-f076-5aca-a7cc-56bf7ac2b647",
"comments": [
{
"comment": "Testing API",
"entity_id": "47999eeb-f076-5aca-a7cc-56bf7ac2b647",
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"entity_type": "whitelisted_ip",
"created_at": "2020-01-07T15:59:56Z",
"updated_at": "2020-01-07T15:59:56Z",
"id": 547,
"activity_type": "comment"
}
],
"addr": "192.0.2.1/30"
},
{
"id": "6ab5575c-718e-5e24-bd4d-77e0694ad6fc",
"comments": [
{
"comment": "Testing API",
"entity_id": "6ab5575c-718e-5e24-bd4d-77e0694ad6fc",
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"entity_type": "whitelisted_ip",
"created_at": "2020-01-07T15:58:29Z",
"updated_at": "2020-01-07T15:58:29Z",
"id": 545,
"activity_type": "comment"
}
],
"addr": "192.0.2.11/32"
},
{
"id": "72bdf5d2-4cc6-5ccf-9787-a539fae9c517",
"comments": [
{
"comment": "CIDR Test",
"entity_id": "72bdf5d2-4cc6-5ccf-9787-a539fae9c517",
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"entity_type": "whitelisted_ip",
"created_at": "2020-01-07T15:58:04Z",
"updated_at": "2020-01-07T15:58:04Z",
"id": 543,
"activity_type": "comment"
}
],
"addr": "198.51.100.1/32"
},
{
"id": "5aa89c8f-a535-5876-840c-af33a7ec1419",
"comments": [
{
"comment": "Testing API",
"entity_id": "5aa89c8f-a535-5876-840c-af33a7ec1419",
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"entity_type": "whitelisted_ip",
"created_at": "2020-01-07T15:57:24Z",
"updated_at": "2020-01-07T15:57:24Z",
"id": 541,
"activity_type": "comment"
}
],
"addr": "198.51.100.10"
},
{
"id": "06461575-700b-596d-8662-7ea0aff28e9c",
"comments": [
{
"comment": "Test Isolation",
"entity_id": "06461575-700b-596d-8662-7ea0aff28e9c",
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"entity_type": "whitelisted_ip",
"created_at": "2020-01-07T15:55:21Z",
"updated_at": "2020-01-07T15:55:21Z",
"id": 539,
"activity_type": "comment"
}
],
"addr": "203.0.113.1"
}
],
"metadata": {
"count": 5,
"previous_url": null,
"timestamp": "2020-01-07T16:00:19.754687",
"next": null,
"per_page": 10,
"next_url": null,
"previous": null
}
}
Añadir subred IP a la configuración de aislamiento de host
Añade una subred de IP a la configuración de aislamiento de hosts definida en Endgame.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Subred de IP | Cadena | N/A | Introduce la subred IPv4 que quieras añadir a la configuración de aislamiento de host. |
| Descripción | Cadena | N/A | Introduce la descripción de la subred IP. |
| Crear estadística | Casilla | desmarcada | Si está habilitada, crea una estadística después de que se ejecute correctamente esta acción. |
Casos prácticos
Esta acción se usa para obtener información sobre la configuración de aislamiento del host. Esta configuración permite que los hosts aislados se conecten a las subredes IP que se indican. Los analistas pueden usar esta acción para añadir las subredes IP necesarias a la configuración de aislamiento del host.
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Estadísticas
Si se ha añadido una subred IP a la configuración de aislamiento de host mediante Endgame, crea una estadística para indicarlo.
Resultado de la secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Remove IP Subnet From Host Isolation Config
Elimina una subred IP de la configuración de aislamiento de hosts definida en Endgame.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Subred de IP | Cadena | N/A | Introduce la subred IPv4 que quieras añadir a la configuración de aislamiento de host. |
| Crear estadística | Casilla | desmarcada | Si está habilitada, crea una estadística después de que se ejecute correctamente esta acción. |
Casos prácticos
Esta acción se usa para obtener información sobre la configuración de aislamiento del host. Esta configuración permite que los hosts aislados se conecten a las subredes IP que se indican. Los analistas pueden usar esta acción para quitar subredes IP que ya no sean necesarias de la configuración de aislamiento de hosts.
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Estadísticas
Si se ha eliminado una subred IP de la configuración de aislamiento de host mediante Endgame, crea una estadística para indicarlo.
Resultado de la secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Recopilar Autoruns (solo en Windows)
Recopila ejecuciones automáticas del endpoint de Endgame.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Número máximo de elementos que se devolverán | Entero | 1000 | Especifica cuántas ejecuciones automáticas quieres que se devuelvan. |
| Categoría "Todo" | Casilla | Marcada | Si está habilitada, busca todas las categorías de ejecución automática. |
| Categoría "Cadena de televisión" | Casilla | Desmarcada | Si está habilitada, busca la categoría de ejecución automática "Proveedor de red". |
| Categoría "Office" | Casilla | Desmarcada | Si está habilitada, busca la categoría de ejecución automática "Office". |
| Categoría "Conductor" | Casilla | Desmarcada | Si está habilitada, busca la categoría de ejecución automática "Controlador". |
| Categoría "App Init" | Casilla | Desmarcada | Si está habilitada, busca la categoría de ejecución automática "App Init". |
| Categoría "Winlogon" | Casilla | Desmarcada | Si está habilitada, busca la categoría de ejecución automática "Winlogon". |
| Categoría "Monitor de impresión" | Casilla | Desmarcada | Si está habilitada, busca la categoría de ejecución automática "Print Monitor". |
| Categoría "Accesibilidad" | Casilla | Desmarcada | Si está habilitada, busca la categoría de ejecución automática "Accesibilidad". |
| Categoría "WMI" | Casilla | Desmarcada | Si está habilitada, busca la categoría de ejecución automática "WMI". |
| Categoría "Proveedor de LSA" | Casilla | Desmarcada | Si está habilitada, busca la categoría de ejecución automática "Proveedor de LSA". |
| Categoría "Servicio" | Casilla | Desmarcada | Si está habilitada, busca la categoría de ejecución automática "Servicio". |
| Categoría "Bits" | Casilla | Desmarcada | Si está habilitada, busca la categoría de ejecución automática "Bits". |
| Categoría "Dll conocida" | Casilla | Desmarcada | Si está habilitada, busca la categoría de ejecución automática "Known dll". |
| Categoría "Proveedor de impresión" | Casilla | Desmarcada | Si está habilitada, busca la categoría de ejecución automática "Print Provider". |
| Categoría "Image Hijack" | Casilla | Desmarcada | Si está habilitada, busca la categoría de ejecución automática "Image Hijack". |
| Categoría "Carpeta de inicio" | Casilla | Desmarcada | Si está habilitada, busca la categoría de inicio automático "Startup Folder". |
| Categoría "Internet Explorer" | Casilla | Desmarcada | Si está habilitada, busca la categoría de ejecución automática de "Internet Explorer". |
| Categoría "Códec" | Casilla | Desmarcada | Si está habilitada, busca la categoría de ejecución automática "Códec". |
| Categoría "Inicio de sesión" | Casilla | Desmarcada | Si está habilitada, busca la categoría de ejecución automática "Inicio de sesión". |
| Categoría "Secuestro del orden de búsqueda" | Casilla | Desmarcada | Si está habilitada, busca la categoría de ejecución automática "Search Order Hijack". |
| Categoría "Proveedor de Winsock" | Casilla | Desmarcada | Si está habilitada, busca la categoría de ejecución automática "Winsock Provider". |
| Categoría "Boot Execute" | Casilla | Desmarcada | Si está habilitada, busca la categoría de ejecución automática "Boot Execute". |
| Categoría "Phantom dll" | Casilla | Desmarcada | Si está habilitada, busca la categoría de ejecución automática "Phantom dll". |
| Categoría "Com Hijack" | Casilla | Desmarcada | Si está habilitada, busca la categoría de ejecución automática "Com Hijack". |
| Categoría "Explorador" | Casilla | Desmarcada | Si está habilitada, busca la categoría de ejecución automática "Explorador". |
| Categoría "Tarea programada" | Casilla | Desmarcada | Si está habilitada, busca la categoría de ejecución automática "Tarea programada". |
| Incluir todos los metadatos | Casilla | Marcada | Si está habilitada, proporciona todos los datos disponibles. |
| Incluir metadatos de clasificación de malware | Casilla | Desmarcada | Si está habilitado, proporciona información sobre MalwareScore. |
| Incluir metadatos de Authenticode | Casilla | Desmarcada | Si se habilita, proporciona información del firmante. |
| Incluir hash MD5 | Casilla | Desmarcada | Si está habilitada, proporciona un hash MD5 en la respuesta. |
| Incluir hash SHA-1 | Casilla | Desmarcada | Si se habilita, proporciona el hash SHA-1 en la respuesta. |
| Incluir hash SHA-256 | Casilla | Desmarcada | Si se habilita, proporciona el hash SHA-256 en la respuesta. |
Casos prácticos
Esta acción se puede usar para recoger información sobre los elementos que se ejecutan automáticamente en el endpoint. Estos datos pueden ayudar a los analistas a llevar a cabo procesos de triaje y corrección.
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Host
- Dirección IP
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"data": {
"count": 1,
"per_page": 50,
"previous": null,
"tasks": [
{
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"data": {
"category_option": {
"category_network_provider": true,
"category_office": false,
"category_driver": false,
"category_app_init": false,
"category_winlogon": false,
"category_print_monitor": false,
"category_ease_of_access": false,
"category_wmi": false,
"category_lsa_provider": false,
"category_service": false,
"category_bits": false,
"category_known_dll": false,
"category_print_provider": false,
"category_image_hijack": false,
"category_startup_folder": false,
"category_internet_explorer": false,
"category_codec": false,
"category_logon": false,
"category_all": false,
"category_search_order_hijack": false,
"category_winsock_provider": false,
"category_boot_execute": false,
"category_phantom_dll": false,
"category_com_hijack": false,
"category_explorer": false,
"category_scheduled_task": false
},
"metadata_option": {
"metadata_all": true,
"metadata_malware_classification": false,
"metadata_sha1": false,
"metadata_sha256": false,
"metadata_authenticode": false,
"metadata_md5": false
}
},
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"metadata": {
"sensor_id": "8eef6873-6db7-58ab-a1ca-68dc19b54117",
"investigation_id": "0b043f77-531f-4109-93b1-e01019ad0980",
"task_id": "e667b0c3-39de-4862-9baf-d6697db79721",
"echo": "",
"endpoint_id": "b23c8a14-69e0-4966-b78a-c9fba4fdd934",
"destination_plugin": "autoruns",
"key": "collectAutoRunsRequest",
"semantic_version": "3.52.\\d+",
"collection_id": "2393f424-bf57-40af-81e6-91b95acf5409"
}
}
],
"next": null
},
"metadata": {
"timestamp": "2020-01-08T13:15:37.238341"
}
}
Aislar host
Aísla el endpoint de Endgame. Esta acción solo es compatible con sistemas Windows y macOS.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Crear estadística | Casilla | Desmarcada | Si está habilitada, crea una estadística después de que se ejecute correctamente esta acción. |
Casos prácticos
Esta acción se usa para obtener información sobre la configuración de aislamiento del host. Esta configuración permite que los hosts aislados se conecten a las subredes IP que se indican. Los analistas pueden usar esta acción para añadir las subredes IP necesarias a la configuración de aislamiento del host.
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Host
- Dirección IP
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
Si el endpoint se ha aislado con el agente de Endgame, crea una estadística para indicarlo.
Resultado de la secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"data": {
"valid": true,
"bulk_task_id": "a6ccc2f7-39a7-42e7-b646-41b281316b1d",
"error_messages": []
},
"metadata": {
"timestamp": "2020-01-08T15:09:22.474963"
}
}
Unisolate Host
Desaislar un endpoint de Endgame. Esta acción solo es compatible con sistemas Windows y macOS.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Crear estadística | Casilla | Desmarcada | Si está habilitada, crea una estadística después de que se ejecute correctamente esta acción. |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Host
- Dirección IP
Resultados de la acción
Estadísticas
Si el endpoint se ha aislado con el agente de Endgame, crea una estadística para indicarlo.
Resultado de la secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"data": {
"domain": "InstallerInitiated",
"updated_at": "2020-01-08T08:16:26.063394+00:00",
"id": "b23c8a14-69e0-4966-b78a-c9fba4fdd934",
"display_operating_system": "Windows 10 (v1511)",
"hostname": "example",
"mac_address": "01:23:45:ab:cd:ef",
"upgrade_status": "",
"base_image": false,
"isolation_updated_at": "2020-01-08T15:09:24.665367+00:00",
"status": "monitored",
"ad_distinguished_name": "CN=EXAMPLE,CN=Computers,DC=example,DC=com",
"ad_hostname": "example.com",
"tags": [],
"isolation_request_status": null,
"alert_count": 0,
"groups": [
{
"is_dynamic": false,
"count": 2,
"id": "d9de26c9-ee63-4d38-9997-7418bd13c45e",
"name": "Demo: APT28"
}
],
"sensors": [
{
"status": "monitored",
"sensor_version": "3.52.12",
"policy_status": "successful",
"policy_name": "Lab (Detect-Only with Streaming)",
"sensor_type": "hunt",
"id": "8eef6873-6db7-58ab-a1ca-68dc19b54117",
"policy_id": "07b7a44f-25f3-4e5c-977b-2915de8160c5"
}
],
"ip_address": "192.0.2.3",
"is_isolated": false,
"operating_system": "Windows 10.0",
"name": "example",
"status_changed_at": "2020-01-08T12:30:48.704802+00:00",
"core_os": "windows",
"created_at": "2019-11-01T06:31:32.519640+00:00",
"error": null,
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
},
"metadata": {
"timestamp": "2020-01-08T15:16:34.303701"
}
}
Descargar archivo
Descarga un archivo de un endpoint específico de Endgame.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Ruta de archivo completa | Cadena | N/A | Si está habilitada, crea una estadística después de que se ejecute correctamente esta acción. |
| Ruta de la carpeta de descarga completa | Cadena | N/A | Introduce la ruta a la carpeta en la que quieras almacenar este archivo. |
| Hash SHA-256 esperado | Cadena | N/A | Introduce el hash SHA-256 esperado. |
Casos prácticos
Puedes usar esta acción para acceder a los archivos desde los endpoints. A veces, los archivos se deben procesar manualmente, y esta actividad ayuda a los usuarios a acceder a los archivos necesarios.
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Host
- Dirección IP
Resultados de la acción
Estadísticas
Si el endpoint se ha aislado mediante el agente de Endgame, crea una estadística para indicarlo.
Resultado de la secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
Si el estado es success, el resultado JSON es el siguiente:
{
"data": {
"status": "success",
"doc_type": "collection",
"endpoint": {
"domain": "InstallerInitiated",
"updated_at": "2019-11-01T05:41:10.150817+00:00",
"id": "a3cdc174-3af0-400a-85c3-bbb1435a6b61",
"display_operating_system": "Ubuntu 18.04.1",
"hostname": "example",
"mac_address": "01:23:45:ab:cd:ef",
"base_image": false,
"isolation_updated_at": null,
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [
{
"id": "fc2dfcc8-9329-4f33-86a2-877bfb27575e",
"name": "CORE ENV"
}
],
"isolation_request_status": null,
"upgrade_status": "",
"groups": [
{
"is_dynamic": false,
"count": 1,
"id": "e453d4f6-95c9-4dc5-bc41-2f4cae423e19",
"name": "Demo: Bad Admin"
}
],
"sensors": [
{
"status": "A",
"sensor_version": "3.52.12",
"sensor_type": "hunt",
"id": "c7347a4b-3e71-5514-980f-90bdbab758cf"
}
],
"ip_address": "192.0.2.1",
"is_isolated": false,
"operating_system": "Linux 4.15.0-29-generic",
"name": "example",
"status_changed_at": "2020-01-07T08:16:46.895105+00:00",
"core_os": "linux",
"created_at": "2019-03-19T04:25:06.953312+00:00",
"error": null,
"machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d"
},
"task_id": "0854ae75-47ca-438a-8731-615defac44ac",
"family": "response",
"data": {
"results": [
{
"size": 1731,
"endpoint": {
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"operating_system": "Linux 4.15.0-29-generic",
"name": "example",
"display_operating_system": "Ubuntu 18.04.1",
"hostname": "example",
"updated_at": "2020-01-07T08:16:44Z",
"mac_address": "01:23:45:ab:cd:ef",
"ip_address": "192.0.2.1",
"id": "a3cdc174-3af0-400a-85c3-bbb1435a6b61"
},
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"investigation_id": null,
"filepath": "/home/a-arobinson/Downloads/bad_admin.sh",
"bulk_task_id": null,
"created_by": "a-arobinson",
"file_uuid": "4c45cc36-b6ca-412a-ae0b-ed214a9c7187",
"correlation_id": "13dfca7b-9e75-4115-be93-e6684dbfc7c8",
"user": {
"username": "admin",
"first_name": "Example",
"last_name": "User",
"id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1"
},
"chunk_size": 26214400,
"existing_path": "/home/a-arobinson/Downloads/bad_admin.sh",
"sha256": "8066b309db13bae560c15c35f42247a0f778786f0056d326ff3e6dffd1eac4f8",
"origination_task_id": "0854ae75-47ca-438a-8731-615defac44ac",
"md5": "6441b8f58feddb5a5f6fcd81c117ecb8"
}
]
},
"created_at": "2020-01-07T11:28:02.826397Z",
"os_type": "linux",
"machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d",
"type": "downloadFileResponse",
"id": "d6fb3bf3-afea-44e0-8472-389f4e7e0002"
},
"metadata": {
"count": 1,
"previous_url": null,
"timestamp": "2020-01-07T11:41:56.750788",
"next": null,
"per_page": 50,
"next_url": null,
"previous": null
}
}
Si el estado es failure, el resultado JSON es el siguiente:
{
"data": {
"status": "failure",
"doc_type": "collection",
"endpoint": {
"domain": "InstallerInitiated",
"updated_at": "2019-11-01T05:42:09.150756+00:00",
"id": "12c3530d-657f-4ccd-835e-6df9affeed3d",
"display_operating_system": "Ubuntu 18.04.3",
"hostname": "example",
"mac_address": "01:23:45:ab:cd:ef",
"base_image": false,
"isolation_updated_at": null,
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [],
"isolation_request_status": null,
"upgrade_status": "",
"groups": [
{
"is_dynamic": false,
"count": 4,
"id": "c1af3cd6-2638-4144-842d-adc9cfb67fb9",
"name": "SOC"
}
],
"sensors": [
{
"status": "A",
"sensor_version": "3.52.12",
"sensor_type": "hunt",
"id": "dc2e35cc-0c87-5a60-8fc8-de23ef747d02"
}
],
"ip_address": "192.0.2.1",
"is_isolated": false,
"operating_system": "Linux 4.15.0-72-generic",
"name": "example",
"status_changed_at": "2020-01-19T11:05:16.765186+00:00",
"core_os": "linux",
"created_at": "2019-09-20T21:34:51.966863+00:00",
"error": null,
"machine_id": "5ae8ddd9-9339-ae4b-ccf7-5ed68f38b3a9"
},
"task_id": "85148460-c868-4fe5-a3e6-0d90784fadd1",
"family": "response",
"data": {
"results": [
{
"endpoint": {
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"operating_system": "Linux 4.15.0-72-generic",
"name": "example",
"display_operating_system": "Ubuntu 18.04.3",
"hostname": "example",
"updated_at": "2020-01-16T14:04:22Z",
"mac_address": "01:23:45:ab:cd:ef",
"ip_address": "192.0.2.1",
"id": "12c3530d-657f-4ccd-835e-6df9affeed3d"
},
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"investigation_id": null,
"expected_sha256": "123",
"bulk_task_id": null,
"correlation_id": "a7dc04c8-932c-4056-9477-8095b1fa15d8",
"user": {
"username": "admin",
"first_name": "Example",
"last_name": "User",
"id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1"
},
"chunk_size": 26214400,
"existing_path": "/home/example/Downloads/bad_admin.sh",
"origination_task_id": "85148460-c868-4fe5-a3e6-0d90784fadd1"
}
]
},
"created_at": "2020-01-19T12:19:57Z",
"os_type": "linux",
"machine_id": "5ae8ddd9-9339-ae4b-ccf7-5ed68f38b3a9",
"type": "downloadFileResponse",
"id": "8eb6b538-d480-4210-92fb-df08a3a4dfb9"
},
"metadata": {
"count": 1,
"previous_url": null,
"timestamp": "2020-01-19T12:23:23.623961",
"next": null,
"per_page": 50,
"next_url": null,
"previous": null
}
}
Eliminar archivo
Elimina un archivo de un endpoint de Endgame.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Ruta del archivo | Cadena | N/A | Introduce la ruta al archivo. |
Casos prácticos
Esta acción se usa para eliminar archivos del endpoint. Por ejemplo, se puede usar cuando se ha encontrado malware y un analista quiere eliminarlo.
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Host
- Dirección IP
Resultados de la acción
Estadísticas
Si el endpoint se ha aislado mediante el agente de Endgame, crea una estadística para indicarlo.
Resultado de la secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
(status = success)
{
"data": [
{
"status": "success",
"doc_type": "collection",
"endpoint": {
"domain": "InstallerInitiated",
"updated_at": "2019-11-01T05:41:10.150817+00:00",
"id": "a3cdc174-3af0-400a-85c3-bbb1435a6b61",
"display_operating_system": "Ubuntu 18.04.1",
"hostname": "08203s-lubu1804",
"mac_address": "01:23:45:ab:cd:ef",
"upgrade_status": "",
"base_image": false,
"isolation_updated_at": null,
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [
{
"id": "fc2dfcc8-9329-4f33-86a2-877bfb27575e",
"name": "CORE ENV"
}
],
"isolation_request_status": null,
"groups": [
{
"is_dynamic": false,
"count": 1,
"id": "e453d4f6-95c9-4dc5-bc41-2f4cae423e19",
"name": "Demo: Bad Admin"
}
],
"sensors": [
{
"status": "monitored",
"sensor_version": "3.52.12",
"policy_status": "successful",
"policy_name": "Lab (Detect-Only with Streaming)",
"sensor_type": "hunt",
"id": "c7347a4b-3e71-5514-980f-90bdbab758cf",
"policy_id": "07b7a44f-25f3-4e5c-977b-2915de8160c5"
}
],
"ip_address": "192.0.2.1",
"is_isolated": false,
"operating_system": "Linux 4.15.0-29-generic",
"name": "08203s-lubu1804",
"status_changed_at": "2020-01-20T07:25:02.633331+00:00",
"core_os": "linux",
"created_at": "2019-03-19T04:25:06.953312+00:00",
"error": null,
"machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d"
},
"task_id": "bfb82b8d-71a0-4e5f-9cfe-bd573ea32b25",
"family": "response",
"created_at": "2020-01-20T07:31:37Z",
"local_msg": "Success",
"system_msg": null,
"system_code": null,
"local_code": 0,
"os_type": "linux",
"machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d",
"type": "deleteFileResponse",
"id": "eb50fe9c-1059-42d4-9f5f-52e5af4ae64d"
}
],
"metadata": {
"count": 1,
"previous_url": null,
"timestamp": "2020-01-20T07:32:04.425044",
"next": null,
"per_page": 50,
"next_url": null,
"previous": null
}
}
(status = failure) se usarán local_msg y system_msg.
{
"data": [
{
"status": "failure",
"doc_type": "collection",
"endpoint": {
"domain": "InstallerInitiated",
"updated_at": "2019-11-01T05:41:10.150817+00:00",
"id": "a3cdc174-3af0-400a-85c3-bbb1435a6b61",
"display_operating_system": "Ubuntu 18.04.1",
"hostname": "08203s-lubu1804",
"mac_address": "01:23:45:ab:cd:ef",
"upgrade_status": "",
"base_image": false,
"isolation_updated_at": null,
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [
{
"id": "fc2dfcc8-9329-4f33-86a2-877bfb27575e",
"name": "CORE ENV"
}
],
"isolation_request_status": null,
"groups": [
{
"is_dynamic": false,
"count": 1,
"id": "e453d4f6-95c9-4dc5-bc41-2f4cae423e19",
"name": "Demo: Bad Admin"
}
],
"sensors": [
{
"status": "monitored",
"sensor_version": "3.52.12",
"policy_status": "successful",
"policy_name": "Lab (Detect-Only with Streaming)",
"sensor_type": "hunt",
"id": "c7347a4b-3e71-5514-980f-90bdbab758cf",
"policy_id": "07b7a44f-25f3-4e5c-977b-2915de8160c5"
}
],
"ip_address": "192.0.2.1",
"is_isolated": false,
"operating_system": "Linux 4.15.0-29-generic",
"name": "08203s-lubu1804",
"status_changed_at": "2020-01-07T08:16:46.895105+00:00",
"core_os": "linux",
"created_at": "2019-03-19T04:25:06.953312+00:00",
"error": null,
"machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d"
},
"task_id": "5da277fe-503d-468a-822b-8801d9671cde",
"family": "response",
"created_at": "2020-01-07T13:10:50Z",
"local_msg": "Not found",
"system_msg": null,
"system_code": null,
"local_code": -7,
"os_type": "linux",
"machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d",
"type": "deleteFileResponse",
"id": "6f3e6148-6801-4cb8-8a5d-25f75ea93555"
}
],
"metadata": {
"count": 1,
"previous_url": null,
"timestamp": "2020-01-07T13:16:18.834163",
"next": null,
"per_page": 5,
"next_url": null,
"previous": null
}
}
Encuesta sobre controladores (solo en Windows)
Obtener información sobre los controladores de un endpoint de Endgame específico.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Número máximo de elementos que se devolverán | Cadena | 50 | Especifica cuántos elementos quieres que se devuelvan. |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Nombre de host
- Dirección IP
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: cuándo aplicar |
|---|---|
| driver_basename | Devuelve si existe en el resultado JSON. |
| driver_filename | Devuelve si existe en el resultado JSON. |
| date_modified | Devuelve si existe en el resultado JSON. |
| driver_file_version | Devuelve si existe en el resultado JSON. |
| driver_load_address | Devuelve si existe en el resultado JSON. |
| collection_id | Devuelve si existe en el resultado JSON. |
| hashes | Devuelve si existe en el resultado JSON. |
| machine_id | Devuelve si existe en el resultado JSON. |
| driver_product_version | Devuelve si existe en el resultado JSON. |
| driver_description | Devuelve si existe en el resultado JSON. |
Resultado de la secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[{
"EntityResult":
[{ "driver_basename": "test.exe",
"driver_filename": "C:\\\\Windows\\\\system32\\\\test.exe",
"date_modified": 1446189483.0185645,
"driver_file_version": "10.0.10586.0 (th2_release.151029-1700)",
"driver_load_address": "12345678",
"collection_id": "a9925cf1-6d4c-4bea-b13d-12345678",
"hashes": {
"sha256": "9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08",
"md5": "098f6bcd4621d373cade4e832627b4f6",
"sha1": "a94a8fe5ccb19ba61c4c0873d391e987982fbbd3"
},
"machine_id": "5dc677fd-6b47-7df9-f7f4-12345678",
"driver_product_version": "10.0.10586.0",
"driver_description": "Test"
}],
"Entity": "PC-01"
}]
Encuesta sobre el cortafuegos (solo en Windows)
Obtiene información sobre las reglas de cortafuegos de un endpoint de Endgame específico.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Número máximo de elementos que se devolverán | Cadena | 50 | Especifica cuántos elementos quieres que se devuelvan. |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Nombre de host
- Dirección IP
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: cuándo aplicar |
|---|---|
| direction | Devuelve si existe en el resultado JSON. |
| machine_id | Devuelve si existe en el resultado JSON. |
| description | Devuelve si existe en el resultado JSON. |
| remote_addresses | Devuelve si existe en el resultado JSON. |
| protocol_number | Devuelve si existe en el resultado JSON. |
| habilitada | Devuelve si existe en el resultado JSON. |
| edge_traversal | Devuelve si existe en el resultado JSON. |
| perfiles | Devuelve si existe en el resultado JSON. |
| interface_types | Devuelve si existe en el resultado JSON. |
| rule_name | Devuelve si existe en el resultado JSON. |
| icmp_and_type_codes | Devuelve si existe en el resultado JSON. |
| local_addresses | Devuelve si existe en el resultado JSON. |
| application_name | Devuelve si existe en el resultado JSON. |
| collection_id | Devuelve si existe en el resultado JSON. |
| remote_ports | Devuelve si existe en el resultado JSON. |
| acción | Devuelve si existe en el resultado JSON. |
| local_ports | Devuelve si existe en el resultado JSON. |
Resultado de la secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[{
"EntityResult":
[{
"direction": "in",
"machine_id": "870499c3-d6bf-8edd-972d-12345678",
"description": "Inbound rule for Google Chrome to allow mDNS traffic.",
"remote_addresses": "*",
"protocol_number": 17,
"enabled": true,
"edge_traversal": false,
"profiles":
["domain", "public", "private"],
"interface_types": "All",
"rule_name": "Google Chrome (mDNS-In)",
"icmp_and_type_codes": "",
"local_addresses": "*",
"application_name": "C:\\\\Program Files (x86)\\\\Google\\\\Chrome\\\\Application\\\\chrome.exe",
"collection_id": "0925eea5-c61f-464a-ba61-12345678",
"remote_ports": "*",
"action": "allow",
"local_ports": "1234"
}],
"Entity": "PC-01"
}]
Obtener endpoints
Lista de todos los endpoints.
Parámetros
N/A
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[{
"domain": "",
"updated_at": "2019-05-30T01:40:21.126499+00:00",
"id": "db33d864-7d58-4d85-9d2d-1a98a101995d",
"display_operating_system": "Windows 7 (SP1)",
"hostname": "ip-AC170169",
"mac_address": "01:23:45:ab:cd:ef",
"isolation_updated_at": "",
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [],
"isolation_request_status": "",
"alert_count": 72,
"investigation_count": 0,
"groups": [],
"sensors":
[{
"status": "monitored",
"sensor_version": "3.51.10",
"policy_status": "successful",
"policy_name": "POC-Lab",
"sensor_type": "hunt",
"id": "ec17f7bb-1d63-536a-b694-ca066cc2572e",
"policy_id": "d31f0192-b8e2-49ae-ae54-041376183b7f"
}],
"ip_address": "192.0.2.1",
"is_isolated": "false",
"operating_system": "Windows 6.1 Service Pack 1",
"name": "ip-AC170169",
"status_changed_at": "2019-05-30T01:40:18.200770+00:00",
"core_os": "windows",
"created_at": "2019-05-30T01:36:43.761600+00:00",
"error":
[{
"msg": "Installer failure - Execution failed for (http://192.0.2.1:5985/wsman)\\n",
"deployment_id": "90C2BAA6-B38B-4037-9A9E-7C8628E8D7D6",
"code": 1001, "ts": 1559180421.125456
}],
"machine_id": "4f1adabb-17c4-e39e-caa7-7900562d0b51"
}]
Archivo de Hunt
Busca archivos en ejecución.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Endpoints Core OS | Cadena | ventanas | Selecciona un sistema operativo (por ejemplo, Windows, Linux o Mac) para filtrar la lista de endpoints. Nota: Solo puede crear una investigación para los endpoints que ejecuten el mismo sistema operativo. |
| Hashes MD5 | Cadena | N/A | CONFIGURACIÓN AVANZADA de esta búsqueda. Introduce los hashes MD5 separados por comas. |
| Hashes SHA1 | Cadena | N/A | CONFIGURACIÓN AVANZADA de esta búsqueda. Introduzca los hashes SHA-1 separados por comas. |
| Hashes SHA256 | Cadena | N/A | CONFIGURACIÓN AVANZADA de esta búsqueda. Introduce los hashes SHA256 separados por comas. |
| Directorio | Cadena | N/A | Ruta del directorio inicial. Por ejemplo, C:\windows\system32. |
| Buscar archivo | Cadena | N/A | Introduce los nombres de los archivos que quieras buscar. Introduce una expresión regular para acotar los resultados de búsqueda. |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Nombre de host
- Dirección IP
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: cuándo aplicar |
|---|---|
| meta_data | Devuelve si existe en el resultado JSON. |
| file_path | Devuelve si existe en el resultado JSON. |
Resultado de la secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[{
"meta_data":
{ "hashes":
{ "sha256": "4705ba6793dc93c1bbe2a9e790e9e22778d217531b1750471206fd5c52bbd2b5",
"md5": "6383522c180badc4e1d5c30a5c4f4913",
"sha1": "62a30e96459b694f7b22d730c460a65cd2ebaaca"
},
"file_name_timestamps":
{ "accessed": 1468675289.0711532,
"entry_modified": 0,
"modified": 1468675289.0711532,
"created": 1468675404.0330572
},
"file_attributes": 38,
"file_size": 174
},
"file_path": "C:\\\\Program Files\\\\desktop.ini"
},
{
"meta_data":
{ "hashes":
{ "sha256": "44fe5eebd80e46f903d68c07bcf06d187a3698bf3953bc58bb578465e2e0fe6c",
"md5": "6bd5fb46283aa48e638bef47510c47da",
"sha1": "c38d46ec6c9bc8baece4a459b617f44d10af973c"
},
"file_name_timestamps":
{
"accessed": 1468675289.0024028,
"entry_modified": 0,
"modified": 1468675289.0024028,
"created": 1468675404.0111823
},
"file_attributes": 38,
"file_size": 645
},
"file_path": "C:\\\\Program Files\\\\Common Files\\\\microsoft shared\\\\Stationery\\\\Desktop.ini"
}]
Hunt IP
Busca conexiones de red.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Endpoints Core OS | Cadena | ventanas | Selecciona un sistema operativo (por ejemplo, Windows, Linux o Mac) para filtrar la lista de endpoints. Nota: Solo puede crear una investigación para los endpoints que ejecuten el mismo sistema operativo. |
| Dirección IP remota | Cadena | N/A | Dirección IP remota separada por comas |
| Dirección IP local | Cadena | N/A | separados por comas |
| Estado | Cadena | N/A | Introduce el estado para volver. Ejemplo: ANY |
| Protocolo | Cadena | N/A | Ejemplo: ANY, UDP o TCP |
| Puerto de red | Cadena | N/A | N/A |
| Mando a distancia de la cadena | Cadena | N/A | Red remota o local. |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Nombre de host
- Dirección IP
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: cuándo aplicar |
|---|---|
| parent_name | Devuelve si existe en el resultado JSON. |
| dominio | Devuelve si existe en el resultado JSON. |
| exe | Devuelve si existe en el resultado JSON. |
| name | Devuelve si existe en el resultado JSON. |
| has_unbacked_execute_memory | Devuelve si existe en el resultado JSON. |
| pid | Devuelve si existe en el resultado JSON. |
| up_time | Devuelve si existe en el resultado JSON. |
| is_sensor | Devuelve si existe en el resultado JSON. |
| cmdline | Devuelve si existe en el resultado JSON. |
| parent_exe | Devuelve si existe en el resultado JSON. |
| unbacked_execute_byte_count | Devuelve si existe en el resultado JSON. |
| create_time | Devuelve si existe en el resultado JSON. |
| usuario | Devuelve si existe en el resultado JSON. |
| sid | Devuelve si existe en el resultado JSON. |
| Hilos | Devuelve si existe en el resultado JSON. |
| ppid | Devuelve si existe en el resultado JSON. |
| unbacked_execute_region_count | Devuelve si existe en el resultado JSON. |
Resultado de la secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[{
"parent_name": "System Idle Process",
"domain": "NT AUTHORITY",
"exe": "",
"name": "System",
"has_unbacked_execute_memory": false,
"pid": 4,
"up_time": 2384701,
"is_sensor": false,
"cmdline": "",
"parent_exe": "",
"unbacked_execute_byte_count": 0,
"create_time": 1559179903,
"user": "SYSTEM",
"sid": "S-1-5-18",
"threads":
[{
"thread_id": 8
}, {
"thread_id": 12,
"up_time": 13206038203,
"create_time": -11644473599
}, {
"thread_id": 16,
"up_time": 13206038203,
"create_time": -11644473599
}],
"ppid": 0,
"unbacked_execute_region_count": 0
}]
Proceso de búsqueda
Busca procesos en ejecución.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Endpoints Core OS | Cadena | ventanas | Selecciona un sistema operativo (por ejemplo, Windows, Linux o Mac) para filtrar la lista Endpoints. Nota: Solo puedes crear una investigación para los endpoints que se ejecuten en el mismo sistema operativo. |
| Hashes MD5 | Cadena | N/A | CONFIGURACIÓN AVANZADA de esta búsqueda. Introduce los hashes MD5 separados por comas. |
| Hashes SHA1 | Cadena | N/A | CONFIGURACIÓN AVANZADA de esta búsqueda. Introduzca los hashes SHA-1 separados por comas. |
| Hashes SHA256 | Cadena | N/A | CONFIGURACIÓN AVANZADA de esta búsqueda. Introduce los hashes SHA256 separados por comas. |
| Nombre de proceso | Cadena | N/A | CONFIGURACIÓN AVANZADA de esta búsqueda. Introduce el nombre del proceso (por ejemplo, iss.exe)* |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Nombre de host
- Dirección IP
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: cuándo aplicar |
|---|---|
| parent_name | Devuelve si existe en el resultado JSON. |
| dominio | Devuelve si existe en el resultado JSON. |
| exe | Devuelve si existe en el resultado JSON. |
| name | Devuelve si existe en el resultado JSON. |
| has_unbacked_execute_memory | Devuelve si existe en el resultado JSON. |
| pid | Devuelve si existe en el resultado JSON. |
| up_time | Devuelve si existe en el resultado JSON. |
| is_sensor | Devuelve si existe en el resultado JSON. |
| cmdline | Devuelve si existe en el resultado JSON. |
| parent_exe | Devuelve si existe en el resultado JSON. |
| unbacked_execute_byte_count | Devuelve si existe en el resultado JSON. |
| create_time | Devuelve si existe en el resultado JSON. |
| usuario | Devuelve si existe en el resultado JSON. |
| sid | Devuelve si existe en el resultado JSON. |
| Hilos | Devuelve si existe en el resultado JSON. |
| ppid | Devuelve si existe en el resultado JSON. |
| unbacked_execute_region_count | Devuelve si existe en el resultado JSON. |
Resultado de la secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[{
"parent_name": "System Idle Process",
"domain": "NT AUTHORITY",
"exe": "",
"name": "System",
"has_unbacked_execute_memory": false,
"pid": 4,
"up_time": 2384701,
"is_sensor": false,
"cmdline": "",
"parent_exe": "",
"unbacked_execute_byte_count": 0,
"create_time": 1559179903,
"user": "SYSTEM",
"sid": "S-1-5-18",
"threads":
[{
"thread_id": 8
},{
"thread_id": 12,
"up_time": 13206038203,
"create_time": -11644473599
},{
"thread_id": 16,
"up_time": 13206038203,
"create_time": -11644473599
}],
"ppid": 0,
"unbacked_execute_region_count": 0
}]
Registro de búsquedas
Busca una clave o un nombre de valor del Registro.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Hive | Cadena | TODO | Una de las siguientes: HKEY_CLASSES_ROOT, HKEY_CURRENT_CONFIG, HKEY_USERS, HKEY_LOCAL_MACHINE o ALL. |
| Claves | Cadena | N/A | Nombre de la clave o del valor del Registro. |
| Tamaño mínimo | Cadena | N/A | Tamaño mínimo en bytes. |
| Tamaño máximo | Cadena | N/A | Tamaño máximo en bytes. |
| Endpoints Core OS | Cadena | ventanas | Selecciona un sistema operativo (por ejemplo, Windows, Linux o Mac) para filtrar la lista Endpoints. Nota: Solo puedes crear una investigación para los endpoints que se ejecuten en el mismo sistema operativo. |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Nombre de host
- Dirección IP
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: cuándo aplicar |
|---|---|
| parent_name | Devuelve si existe en el resultado JSON. |
| dominio | Devuelve si existe en el resultado JSON. |
| exe | Devuelve si existe en el resultado JSON. |
| name | Devuelve si existe en el resultado JSON. |
| up_time | Devuelve si existe en el resultado JSON. |
| is_sensor | Devuelve si existe en el resultado JSON. |
| cmdline | Devuelve si existe en el resultado JSON. |
| parent_exe | Devuelve si existe en el resultado JSON. |
| unbacked_execute_byte_count | Devuelve si existe en el resultado JSON. |
| create_time | Devuelve si existe en el resultado JSON. |
| usuario | Devuelve si existe en el resultado JSON. |
| sid | Devuelve si existe en el resultado JSON. |
| Hilos | Devuelve si existe en el resultado JSON. |
| ppid | Devuelve si existe en el resultado JSON. |
| unbacked_execute_region_count | Devuelve si existe en el resultado JSON. |
Resultado de la secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[{
"parent_name": "System Idle Process",
"domain": "NT AUTHORITY",
"exe": "",
"name": "System",
"has_unbacked_execute_memory": false,
"pid": 4,
"up_time": 2384701,
"is_sensor": false,
"cmdline": "",
"parent_exe": "",
"unbacked_execute_byte_count": 0,
"create_time": 1559179903,
"user": "SYSTEM",
"sid": "S-1-5-18",
"threads":
[{
"thread_id": 8
},{
"thread_id": 12,
"up_time": 13206038203,
"create_time": -11644473599
}, {
"thread_id": 16,
"up_time": 13206038203,
"create_time": -11644473599
}],
"ppid": 0,
"unbacked_execute_region_count": 0
}]
Usuario de Hunt
Busca en la red usuarios que hayan iniciado sesión.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Endpoints Core OS | Cadena | ventanas | Selecciona un sistema operativo (por ejemplo, Windows, Linux o Mac) para filtrar la lista Endpoints. Nota: Solo puedes crear una investigación para los endpoints que se ejecuten en el mismo sistema operativo. |
| Buscar nombre de usuario | Cadena | N/A | CONFIGURACIÓN AVANZADA de esta búsqueda. Introduce los nombres de usuario. Si hay varios, sepáralos con un punto y coma. |
| Nombre de dominio | Cadena | N/A | CONFIGURACIÓN AVANZADA de esta búsqueda. Introduce el nombre de dominio. |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Nombre de host
- Dirección IP
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: cuándo aplicar |
|---|---|
| parent_name | Devuelve si existe en el resultado JSON. |
| dominio | Devuelve si existe en el resultado JSON. |
| exe | Devuelve si existe en el resultado JSON. |
| name | Devuelve si existe en el resultado JSON. |
| has_unbacked_execute_memory | Devuelve si existe en el resultado JSON. |
| pid | Devuelve si existe en el resultado JSON. |
| up_time | Devuelve si existe en el resultado JSON. |
| is_sensor | Devuelve si existe en el resultado JSON. |
| cmdline | Devuelve si existe en el resultado JSON. |
| parent_exe | Devuelve si existe en el resultado JSON. |
| unbacked_execute_byte_count | Devuelve si existe en el resultado JSON. |
| create_time | Devuelve si existe en el resultado JSON. |
| usuario | Devuelve si existe en el resultado JSON. |
| sid | Devuelve si existe en el resultado JSON. |
| Hilos | Devuelve si existe en el resultado JSON. |
| ppid | Devuelve si existe en el resultado JSON. |
| unbacked_execute_region_count | Devuelve si existe en el resultado JSON. |
Resultado de la secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[{
"parent_name": "System Idle Process",
"domain": "NT AUTHORITY",
"exe": "",
"name": "System",
"has_unbacked_execute_memory": false,
"pid": 4,
"up_time": 2384701,
"is_sensor": false,
"Cmdline":"",
"parent_exe": "",
"unbacked_execute_byte_count": 0,
"create_time": 1559179903,
"user": "SYSTEM",
"sid": "S-1-5-18",
"threads":
[{
"thread_id": 8
}, {
"thread_id": 12,
"up_time": 13206038203,
"create_time": -11644473599
}, {
"thread_id": 16,
"up_time": 13206038203,
"create_time": -11644473599
}],
"ppid": 0,
"unbacked_execute_region_count": 0
}]
Finalizar proceso
Finaliza un proceso en un endpoint de Endgame específico.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Nombre de proceso | Cadena | N/A | Introduce el nombre del proceso |
| PID | Cadena | N/A | Introduce el ID del proceso. |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Nombre de host
- Dirección IP
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Encuesta de redes
Obtener información sobre las conexiones, la caché de DNS, NetBIOS, ARP y las tablas de rutas de un endpoint de Endgame específico.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Número máximo de elementos que se devolverán | Cadena | 50 | Especifica cuántas ejecuciones automáticas quieres que se devuelvan. |
| Incluir información de entradas de ruta | Casilla | Marcada | Especifica que quieres obtener información sobre las entradas de ruta. |
| Incluir información de NetBIOS | Casilla | Marcada | Especifica que quieres obtener información sobre NetBIOS. |
| Incluir información de la caché de DNS | Casilla | Marcada | Especifica que quieres obtener información sobre la caché de DNS. |
| Incluir información de la tabla ARP | Casilla | Marcada | Especifica que quieres obtener información sobre la tabla ARP. |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Nombre de host
- Dirección IP
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: cuándo aplicar |
|---|---|
| conexiones | Devuelve si existe en el resultado JSON. |
| netbios_info | Devuelve si existe en el resultado JSON. |
| arp_table | Devuelve si existe en el resultado JSON. |
| route_table | Devuelve si existe en el resultado JSON. |
| dns_cache | Devuelve si existe en el resultado JSON. |
Resultado de la secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[{
"EntityResult":
{
"connections":
[{
"connection_type": "SOCK_STREAM",
"collection_id": "50e74bd2-1cd4-412c-a7fc-24cf1456e883",
"exe": "C:\\\\Windows\\\\System32\\\\test.exe",
"connection_status": "LISTEN",
"name": "test.exe",
"family": "ipv4",
"local_port": 111,
"remote_port": 0,
"pid": 700,
"remote_address": "0.0.0.0",
"create_time": 1583314664,
"connection_timestamp": 1583314664.0117714,
"local_address": "0.0.0.0",
"protocol": "tcp",
"hashes":
{
"sha256": "5d00bbeb147e0c838a622fc42c543b2913d57eaca4e69d9a37ed61e98c819347", "md5": "8497852ed44aff902d502015792d315d",
"sha1": "800a4c2e524fc392c45748eae1691fa01d24ea4c"
},
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
}],
"netbios_info":
[{
"comment": "",
"name": "PC-01",
"version_major": 10,
"netbios_neighbor_type": 8392747,
"platform": "WINDOWS NT",
"version_minor": 0
}],
"arp_table":
[{
"connection_type": "SOCK_STREAM",
"collection_id": "50e74bd2-1cd4-412c-a7fc-24cf1456e883",
"exe": "C:\\\\Windows\\\\System32\\\\test.exe",
"connection_status": "LISTEN",
"name": "test.exe",
"family": "ipv4",
"local_port": 111,
"remote_port": 0,
"pid": 700,
"remote_address": "0.0.0.0",
"create_time": 1583314664,
"connection_timestamp": 1583314664.0117714,
"local_address": "0.0.0.0",
"protocol": "tcp",
"hashes": {"sha256": "5d00bbeb147e0c838a622fc42c543b2913d57eaca4e69d9a37ed61e98c819347", "md5": "8497852ed44aff902d502015792d315d",
"sha1": "800a4c2e524fc392c45748eae1691fa01d24ea4c"},
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
}],
"route_table":
[{
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"family": "ipv4",
"destination": "0.0.0.0",
"netmask": "0.0.0.0",
"collection_id": "50e74bd2-1cd4-412c-a7fc-24cf1456e883",
"interface_name": "Ethernet0",
"gateway": "1.1.1.1"
}],
"dns_cache":
[{
"name": "test.ms",
"dns_record_type": "A",
"ttl": 0,
"collection_id": "50e74bd2-1cd4-412c-a7fc-24cf1456e883",
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"query_error": 9701
}]
},
"Entity": "PC-01"
}]
Ping
Prueba la conectividad con el servidor de Endgame.
Parámetros
N/A
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Encuesta de proceso
Obtener información sobre los procesos en ejecución en un endpoint de Endgame específico.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Número máximo de elementos que se devolverán | Cadena | 50 | Especifica cuántos elementos quieres que se devuelvan. |
| Detectar ataques sin archivos (solo en Windows) | Casilla | Desmarcada | Especifica que se detecten ataques sin archivos. Solo en Windows. |
| Detectar malware con MalwareScore (solo en Windows) | Casilla | Desmarcada | Especifica que se detecten procesos de malware con MalwareScore. Solo en Windows. |
| Recopilar hilos de proceso | Casilla | Desmarcada | Especifica si se debe incluir información sobre la cantidad de subprocesos de proceso en la respuesta. |
| Devolver solo procesos sospechosos | Casilla | Marcada | Especifica que solo se devuelvan los procesos sospechosos del endpoint. Según la definición de Endgame, los procesos sospechosos son procesos ejecutables sin respaldo. |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Nombre de host
- Dirección IP
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: cuándo aplicar |
|---|---|
| dominio | Devuelve si existe en el resultado JSON. |
| name_suspicious | Devuelve si existe en el resultado JSON. |
| pid | Devuelve si existe en el resultado JSON. |
| name_uncommon_path | Devuelve si existe en el resultado JSON. |
| repeat_offender | Devuelve si existe en el resultado JSON. |
| cmdline | Devuelve si existe en el resultado JSON. |
| create_time | Devuelve si existe en el resultado JSON. |
| parent_name | Devuelve si existe en el resultado JSON. |
| has_unbacked_execute_memory | Devuelve si existe en el resultado JSON. |
| sid | Devuelve si existe en el resultado JSON. |
| ppid | Devuelve si existe en el resultado JSON. |
| up_time | Devuelve si existe en el resultado JSON. |
| unbacked_execute_region_count | Devuelve si existe en el resultado JSON. |
| is_sensor | Devuelve si existe en el resultado JSON. |
| Hilos | Devuelve si existe en el resultado JSON. |
| usuario | Devuelve si existe en el resultado JSON. |
| collection_id | Devuelve si existe en el resultado JSON. |
| parent_exe | Devuelve si existe en el resultado JSON. |
| exe | Devuelve si existe en el resultado JSON. |
| name | Devuelve si existe en el resultado JSON. |
| unbacked_execute_byte_count | Devuelve si existe en el resultado JSON. |
| machine_id | Devuelve si existe en el resultado JSON. |
| unbacked_execute_region_count | Devuelve si existe en el resultado JSON. |
| tty_device_minor_number | Devuelve si existe en el resultado JSON. |
| uid | Devuelve si existe en el resultado JSON. |
| name_suspicious | Devuelve si existe en el resultado JSON. |
| phys_memory_bytes | Devuelve si existe en el resultado JSON. |
| pid | Devuelve si existe en el resultado JSON. |
| env_variables | Devuelve si existe en el resultado JSON. |
| repeat_offender | Devuelve si existe en el resultado JSON. |
| cmdline | Devuelve si existe en el resultado JSON. |
| create_time | Devuelve si existe en el resultado JSON. |
| tty_device_major_number | Devuelve si existe en el resultado JSON. |
| parent_name | Devuelve si existe en el resultado JSON. |
| grupo | Devuelve si existe en el resultado JSON. |
| cpu_percent | Devuelve si existe en el resultado JSON. |
| has_unbacked_execute_memory | Devuelve si existe en el resultado JSON. |
| gid | Devuelve si existe en el resultado JSON. |
| sha256 | Devuelve si existe en el resultado JSON. |
| cwd | Devuelve si existe en el resultado JSON. |
| exe | Devuelve si existe en el resultado JSON. |
| up_time | Devuelve si existe en el resultado JSON. |
| short_name | Devuelve si existe en el resultado JSON. |
| tty_device_name | Devuelve si existe en el resultado JSON. |
| is_sensor | Devuelve si existe en el resultado JSON. |
| sha1 | Devuelve si existe en el resultado JSON. |
| Hilos | Devuelve si existe en el resultado JSON. |
| name_uncommon_path | Devuelve si existe en el resultado JSON. |
| collection_id | Devuelve si existe en el resultado JSON. |
| md5 | Devuelve si existe en el resultado JSON. |
| argv_list | Devuelve si existe en el resultado JSON. |
| num_threads | Devuelve si existe en el resultado JSON. |
| usuario | Devuelve si existe en el resultado JSON. |
| virt_memory_bytes | Devuelve si existe en el resultado JSON. |
| name | Devuelve si existe en el resultado JSON. |
| session_id | Devuelve si existe en el resultado JSON. |
| memory_percent | Devuelve si existe en el resultado JSON. |
| machine_id | Devuelve si existe en el resultado JSON. |
| unbacked_execute_byte_count | Devuelve si existe en el resultado JSON. |
Resultado de la secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[{
"EntityResult":
[{
"domain": "NT AUTHORITY",
"name_suspicious": false,
"pid": 4,
"name_uncommon_path": false,
"repeat_offender": false,
"cmdline": "",
"create_time": 1583314654,
"parent_name": "System Idle Process",
"has_unbacked_execute_memory": false,
"sid": "S-1-5-18",
"ppid": 0,
"up_time": 342643,
"unbacked_execute_region_count": 0,
"is_sensor": false,
"threads":
[{ "thread_id": 12,
"up_time": 13228130896,
"create_time": -11644473599
},
{
"thread_id": 16,
"up_time": 13228130896,
"create_time": -11644473599
}],
"user": "SYSTEM",
"collection_id": "ac1fb296-db5a-4426-b32e-292e4a50188d",
"parent_exe": "",
"exe": "",
"name": "System",
"unbacked_execute_byte_count": 0,
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
}],
"Entity": "PC-01"
},
{
"EntityResult":
[{
"unbacked_execute_region_count": 0,
"tty_device_minor_number": 0,
"uid": 0,
"name_suspicious": false,
"phys_memory_bytes": 8900608,
"pid": 1,
"env_variables":
[ "HOME=/",
"init=/sbin/init",
"NETWORK_SKIP_ENSLAVED=",
"recovery=",
"TERM=linux",
"drop_caps=",
"BOOT_IMAGE=/vmlinuz-4.15.0-88-generic",
"PATH=/sbin:/usr/sbin:/bin:/usr/bin",
"PWD=/", "rootmnt=/root" ],
"repeat_offender": false,
"cmdline": "/sbin/init maybe-ubiquity",
"create_time": 1583632302,
"tty_device_major_number": 0,
"parent_name": "",
"group": "root",
"cpu_percent": 0,
"has_unbacked_execute_memory": false,
"gid": 0,
"sha256": "3a14ff4b18505543eda4dccb054aa5860478a95ed0cac76da392f3472da3ad67",
"cwd": "/",
"exe": "/lib/systemd/systemd",
"up_time": 24942,
"short_name": "systemd",
"tty_device_name": "",
"is_sensor": false,
"sha1": "e016f80b87101a74b52d15ce2726560a6e128b60",
"threads": [{"thread_id": 1}],
"name_uncommon_path": false,
"collection_id": "bcb6b33a-0ffb-4e72-818a-1731024dfd79",
"md5": "ca563cf817f03ed7d01a6462818a5791",
"argv_list": ["/sbin/init", "maybe-ubiquity"],
"num_threads": 1,
"ppid": 0,
"virt_memory_bytes": 79818752,
"name": "systemd",
"session_id": 1,
"memory_percent": 0.21517109870910645,
"parent_exe": "",
"unbacked_execute_byte_count": 0,
"machine_id": "5ae8ddd9-9339-ae4b-ccf7-5ed68f38b3a9",
"user": "root"
}],
"Entity": "PC-202"
}]
Encuesta sobre medios extraíbles (solo en Windows)
DObtiene información sobre los medios extraíbles de un endpoint de Endgame específico.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Número máximo de elementos que se devolverán | Cadena | 50 | Especifica cuántos elementos quieres que se devuelvan. |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Nombre de host
- Dirección IP
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: cuándo aplicar |
|---|---|
| name | Devuelve si existe en el resultado JSON. |
| is_storage_device | Devuelve si existe en el resultado JSON. |
| vendor_id | Devuelve si existe en el resultado JSON. |
| collection_id | Devuelve si existe en el resultado JSON. |
| last_connect_time | Devuelve si existe en el resultado JSON. |
| serial_number | Devuelve si existe en el resultado JSON. |
| machine_id | Devuelve si existe en el resultado JSON. |
| is_connected | Devuelve si existe en el resultado JSON. |
| product_id | Devuelve si existe en el resultado JSON. |
Resultado de la secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[{
"EntityResult":
[{ "name": "USB Composite Device",
"is_storage_device": false,
"vendor_id": "0E0F",
"collection_id": "fbe61b16-e6b2-4595-8409-abf4ce15fa85",
"last_connect_time": 1552596043.0610971,
"serial_number": "6&35D1F50B&0&1",
"machine_id": "a4c05d5a-7ebc-c3ab-1beb-f1fe517768d8",
"is_connected": false,
"product_id": "0003"
}],
"Entity": "PC-01"
}]
Encuesta sobre software (solo Windows)
Obtiene información sobre un software instalado en un endpoint de Endgame específico.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Número máximo de elementos que se devolverán | Cadena | 50 | Especifica cuántos elementos quieres que se devuelvan. |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Nombre de host
- Dirección IP
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: cuándo aplicar |
|---|---|
| editor | Devuelve si existe en el resultado JSON. |
| machine_id | Devuelve si existe en el resultado JSON. |
| paquete | Devuelve si existe en el resultado JSON. |
| install_date | Devuelve si existe en el resultado JSON. |
| version | Devuelve si existe en el resultado JSON. |
| collection_id | Devuelve si existe en el resultado JSON. |
| installed_for | Devuelve si existe en el resultado JSON. |
Resultado de la secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[{
"EntityResult":
[{
"publisher": "John Doe",
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"package": "Test",
"install_date": "20191008",
"version": "18.06",
"collection_id": "fc079e17-8a2e-40d9-94c9-b974e5534e58",
"installed_for": "allUsers"
}],
"Entity": "PC-01"
}]
Encuesta del sistema
Obtener información del sistema en un único endpoint de partida final, como el uso de la memoria, el DNS y el SO.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Número máximo de elementos que se devolverán | Cadena | 50 | Especifica cuántos elementos quieres que se devuelvan. |
| Incluir información del producto de seguridad (solo en Windows) | Casilla | Marcada | Especifica que quieres obtener información sobre los productos de seguridad instalados en el endpoint (solo en Windows). |
| Incluir información de parches (solo en Windows) | Casilla | Marcada | Especifica si quieres obtener información sobre los parches (solo en Windows). |
| Incluir información del disco | Casilla | Marcada | Especifica que quieres obtener información sobre los discos. |
| Incluir información de la interfaz de red | Casilla | Marcada | Especifica que quieres obtener información sobre las interfaces de red. |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Nombre de host
- Dirección IP
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: cuándo aplicar |
|---|---|
| patches_info | Devuelve si existe en el resultado JSON. |
| Disks_info | Devuelve si existe en el resultado JSON. |
| network_interfaces | Devuelve si existe en el resultado JSON. |
| Os_info | Devuelve si existe en el resultado JSON. |
| installed_security_products | Devuelve si existe en el resultado JSON. |
Resultado de la secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[{
"EntityResult":
{
"patches_info":
[{
"collection_id": "f7d a62bb-318d-40c1-a490-85979c0c9ede",
"installed_on": "2/3/2018",
"hotfix_id": "KB4049065",
"machine_id": "870499c3-d6bf-8edd-972d-f2f6621dd971"
}],
"Disks_info":
[{
"disk_id": "\\\\Device\\\\HarddiskVolume2",
"fstype": "NTFS",
"disk_total": 15579738112,
"disk_free": 1219571712,
"collection_id": "a27ebace-32ec-4257-ab4f-7da49f02a9d4",
"device": "\\\\Device\\\\HarddiskVolume2",
"path": "C:\\\\",
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
}],
"network_interfaces":
[{
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"mac_address": "01:23:45:ab:cd:ef",
"ipv4_addresses": ["1.1.1.1"],
"ipv6_addresses": ["1111::1111:1111:1111:1111"],
"collection_id": "a27ebace-32ec-4257-ab4f-7da49f02a9d4",
"smp_interface": true,
"interface_name": "Ethernet0"
}],
"Os_info":
[{
"memory":
{ "ram_free": 1240039424,
"page_percent_used": 36.89334358507761,
"page_total": 2818101248,
"ram_percent_used": 42.24349594504104,
"ram_total": 2147012608,
"ram_used": 906973184,
"page_used": 1039691776,
"page_free": 1778409472
},
"doc_type": "collection",
"domain": "PC-01.test.com",
"endpoint":
{ "status": "unmonitored",
"ad_distinguished_name":
"CN=PC_01,OU=TESTOU,OU=Organization,DC=test,DC=com",
"ad_hostname": "test.com",
"operating_system": "Windows 10.0 ",
"name": "PC-01",
"display_operating_system": "Windows 10 (v1511)",
"hostname": "PC-01",
"updated_at": "2020-03-08T08:27:22.919880+00:00",
"mac_address": "01:23:45:ab:cd:ef",
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"ip_address": "1.1.1.1",
"id": "b23c8a14-69e0-4966-b78a-c9fba4fdd934"
},
"investigation_id": "85cff906-8b39-4a37-aa05-84950c9b2a02",
"hostname": "PC-01",
"bulk_task_id": null,
"original_machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"os_version":
{
"os_minor": 0,
"os_is_server": false,
"os_major": 10,
"os_build_number": 10586,
"os_service_pack": ""
},
"correlation_id": "7e17de5a-abcb-4de0-a510-7ca79bfdc345",
"architecture": "x64",
"sensor_info":
{
"malware_feature_version": "3.0.0",
"sensor_build_time": "1581375786",
"sensor_commit_sha": "80af56b6b295de785e502d82f39deac34973b2dd",
"sensor_build_number": 48,
"sensor_version": "3.53.9"
},
"time":
{
"tz_observes_dst": true,
"tz_currently_in_dst": false,
"tz_name": "Pacific Standard Time",
"tz_offset_minutes": 480
},
"os_type": "windows",
"ad_info":
{
"distinguished_name": "CN=PC-01,OU=TESTOU,OU=Organization,DC=test,DC=com",
"domain_hostname": "test.com"
},
"origination_task_id": "d3d67012-cfb1-47d0-8ec9-bf7ffb68a019"
}],
"installed_security_products":
[{
"security_product_type": "AntiVirus",
"collection_id": "a27ebace-32ec-4257-ab4f-7da49f02a9d4",
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"enabled": false, "name": "Windows Defender"
}]
},
"Entity": "PC-01"
}]
Encuesta sobre sesiones de usuario
Obtener información sobre las sesiones de un usuario activo en un endpoint de Endgame específico.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Número máximo de elementos que se devolverán | Cadena | 50 | Especifica cuántos elementos quieres que se devuelvan. |
Fecha de ejecución
- Nombre de host
- Dirección IP
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: cuándo aplicar |
|---|---|
| nombre de usuario | Devuelve si existe en el resultado JSON. |
| shell | Devuelve si existe en el resultado JSON. |
| uid | Devuelve si existe en el resultado JSON. |
| iniciada | Devuelve si existe en el resultado JSON. |
| nombre de host | Devuelve si existe en el resultado JSON. |
| host_ip | Devuelve si existe en el resultado JSON. |
| session_id | Devuelve si existe en el resultado JSON. |
| session_count | Devuelve si existe en el resultado JSON. |
| terminal | Devuelve si existe en el resultado JSON. |
| finalizada | Devuelve si existe en el resultado JSON. |
| gid | Devuelve si existe en el resultado JSON. |
| collection_id | Devuelve si existe en el resultado JSON. |
| machine_id | Devuelve si existe en el resultado JSON. |
| iniciada | Devuelve si existe en el resultado JSON. |
| password_last_set | Devuelve si existe en el resultado JSON. |
| logon_type | Devuelve si existe en el resultado JSON. |
| sid | Devuelve si existe en el resultado JSON. |
Resultado de la secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[{
"EntityResult":
[{
"username": "endgame",
"shell": "/opt/endgame/bin/console",
"uid": 1000,
"started": 1582554802.55514,
"hostname": "",
"host_ip": "",
"session_id": 887,
"session_count": 1,
"terminal": "tty1",
"ended": 0,
"gid": 1000,
"collection_id": "1aebade8-9f7b-4237-8c43-2aed8729511e",
"machine_id": "827255f4-53a2-1823-cac0-7c0f7730ca26"
}],
"Entity": "PC-01"
}, {
"EntityResult":
[{
"username": "example",
"domain": "3B",
"started": 1580205134.001,
"session_count": 1,
"ended": 0,
"password_last_set": 0,
"logon_type": "interactive",
"sid": "",
"collection_id": "88b876b1-5063-40a8-b40e-440df5eb8952",
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
}],
"Entity": "PC-02"
}
Conectores
Para obtener instrucciones detalladas sobre cómo configurar un conector en Google SecOps, consulta el artículo Configurar el conector.
Conector de Endgame
Utiliza los siguientes parámetros para configurar el conector:
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| DeviceProductField | Cadena | device_product | Nombre del campo que se usa para determinar el producto del dispositivo. |
| EventClassId | Cadena | event_name | Nombre del campo que se usa para determinar el nombre del evento (subtipo). |
| PythonProcessTimeout | Cadena | 30 | El límite de tiempo de espera (en segundos) del proceso de Python que ejecuta la secuencia de comandos actual. |
| Raíz de la API | Cadena | N/A | N/A |
| Nombre de usuario | Cadena | N/A | N/A |
| Contraseña | Contraseña | N/A | N/A |
| Verificar SSL | Casilla | Desmarcada | N/A |
| Máximo de días hacia atrás | Cadena | N/A | N/A |
| Nombre del campo de entorno | Cadena | N/A | Si se define, el conector extrae el entorno del campo de evento especificado. Puede manipular los datos de los campos mediante el campo de patrón de expresión regular para extraer una cadena específica. |
| Límite de recuento de alertas | Cadena | N/A | N/A |
| Dirección del servidor proxy | Cadena | N/A | Dirección del servidor proxy que se va a usar. |
| Nombre de usuario del proxy | Cadena | N/A | Nombre de usuario del proxy para autenticarse. |
| Contraseña del proxy | Contraseña | N/A | La contraseña del proxy para autenticarte. |
Reglas de conectores
El conector admite proxies.
El conector admite la lista dinámica.
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.