Endgame
Versión de integración: 9.0
Integra Endgame con Google Security Operations
Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.
Acciones
Enriquece entidades
Enriquecer las entidades de host y de IP de Google SecOps en función de la información de Endgame
Parámetros
N/A
Casos de uso
La acción se puede usar en las tácticas que investigan la actividad en los dispositivos. Si el dispositivo tiene instalado el agente de Endgame, la acción extrae información de Endgame sobre el dispositivo para enriquecer las entidades de Google SecOps.
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Host
- Dirección IP
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| Endgame_Domain | Siempre |
| Endgame_endpoint_id | Siempre |
| Endgame_hostname | Siempre |
| Endgame_sensors_status | Siempre |
| Endgame_sensors_id | Siempre |
| Endgame_sensors_status | Siempre |
| Endgame_sensors_id | Siempre |
| Endgame_policy_status | Siempre |
| Endgame_policy_name | Siempre |
| Endgame_policy_id | Siempre |
| Endgame_is_isolated | Siempre |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"data": [
{
"domain": "InstallerInitiated",
"updated_at": "2019-11-01T05:42:08.149079+00:00",
"id": "1682418d-02ff-43cd-a730-bcae8215a514",
"display_operating_system": "CentOS 7.6",
"hostname": "example",
"mac_address": "01:23:45:ab:cd:ef",
"upgrade_status": "",
"base_image": false,
"isolation_updated_at": null,
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [
{
"id": "a0927aeb-915a-466d-a5eb-5d7b6f9217c5",
"name": "BLUE TEAM"
},
{
"id": "bede2f24-593c-45e4-9863-9c2438f0f163",
"name": "SOC"
},
{
"id": "fc2dfcc8-9329-4f33-86a2-877bfb27575e",
"name": "CORE ENV"
}
],
"isolation_request_status": null,
"alert_count": 0,
"investigation_count": 0,
"groups": [
{
"is_dynamic": false,
"count": 4,
"id": "c1af3cd6-2638-4144-842d-adc9cfb67fb9",
"name": "SOC"
}
],
"sensors": [
{
"status": "monitored",
"sensor_version": "3.52.12",
"policy_status": "successful",
"policy_name": "Lab (Detect-Only)",
"sensor_type": "hunt",
"id": "fbb87923-a833-5581-a160-7f4f85a21bd0",
"policy_id": "a1d72bce-1f61-4ba8-bcd4-dfa97148335f"
}
],
"ip_address": "192.0.2.1",
"is_isolated": false,
"operating_system": "Linux 3.10.0-957.27.2.el7.x86_64",
"name": "example",
"status_changed_at": "2020-01-07T08:15:11.865854+00:00",
"core_os": "linux",
"created_at": "2019-03-19T05:07:50.598837+00:00",
"error": null,
"machine_id": "827255f4-53a2-1823-cac0-7c0f7730ca26"
},
{
"domain": "InstallerInitiated",
"updated_at": "2019-11-01T05:42:09.150756+00:00",
"id": "12c3530d-657f-4ccd-835e-6df9affeed3d",
"display_operating_system": "Ubuntu 18.04.3",
"hostname": "example",
"mac_address": "01:23:45:ab:cd:ef",
"upgrade_status": "",
"base_image": false,
"isolation_updated_at": null,
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [],
"isolation_request_status": null,
"alert_count": 0,
"investigation_count": 0,
"groups": [
{
"is_dynamic": false,
"count": 4,
"id": "c1af3cd6-2638-4144-842d-adc9cfb67fb9",
"name": "SOC"
}
],
"sensors": [
{
"status": "monitored",
"sensor_version": "3.52.12",
"policy_status": "successful",
"policy_name": "Lab (Detect-Only)",
"sensor_type": "hunt",
"id": "dc2e35cc-0c87-5a60-8fc8-de23ef747d02",
"policy_id": "a1d72bce-1f61-4ba8-bcd4-dfa97148335f"
}
],
"ip_address": "192.0.2.1",
"is_isolated": false,
"operating_system": "Linux 4.15.0-72-generic",
"name": "example",
"status_changed_at": "2020-01-07T08:15:16.875375+00:00",
"core_os": "linux",
"created_at": "2019-09-20T21:34:51.966863+00:00",
"error": null,
"machine_id": "5ae8ddd9-9339-ae4b-ccf7-5ed68f38b3a9"
}
],
"metadata": {
"count": 38,
"previous_url": null,
"timestamp": "2020-01-07T18:09:43.765744",
"next": null,
"per_page": 50,
"next_url": null,
"transaction_id": "569cdc38-8c7a-4b93-af99-aaf907dc8dd6",
"previous": null
}
}
Enumera investigaciones
Enumera las investigaciones de Endgame.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| SO | String | Solaris, Windows, macOS y Linux | Especifica para qué SO deseas enumerar las investigaciones. El parámetro puede tomar varios valores como una cadena separada por comas. |
| Recupera las investigaciones de las últimas X horas | Int | N/A | Devuelve las investigaciones creadas para el período especificado en horas. |
| Cantidad máxima de investigaciones para devolver | Int | N/A | Especifica cuántas investigaciones deseas consultar. |
Casos de uso
Las investigaciones se usan para buscar diferentes objetos de los endpoints, por ejemplo, procesos, direcciones IP y archivos. Esta acción permite que el usuario enumere las investigaciones. Los analistas pueden usar esta acción para asegurarse de que se realicen todas las investigaciones necesarias en el sistema.
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"data": [
{
"created_by_chat": false,
"name": "Example User + 2020-01-08T13:47:51.334336_utc",
"core_os": "windows",
"created_at": "2020-01-08T13:47:51.340497+00:00",
"task_completion": {
"completed_tasks": 1,
"total_tasks": 1
},
"archived": false,
"created_by": {
"username": "admin",
"last_name": "User",
"is_active": true,
"is_editable": true,
"is_ldap": false,
"is_removable": false,
"timezone": null,
"id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"first_name": "Example",
"last_viewed_alert": "2020-01-07T09:24:22.925000",
"is_sso": false,
"is_superuser": true,
"role": {
"role": "Admin",
"id": "37e9e54e-0bb8-5058-9bd4-50a0d0fbea35",
"permissions": {
"endpoints.scan": true,
"sensor.admin.view": true,
"sensor.admin.update": true,
"endpoints.delete": true,
"endpoints.respond": true,
"search.search": true,
"sensor.admin.create": true,
"alerts.admin.forwardalerts": true,
"endpoints.tag": true,
"user.delete": true,
"endpoints.deploy": true,
"user.update": true,
"search.save": true,
"investigation.create": true,
"endpoints.view": true,
"user.view": true,
"sensor.admin.download": true,
"alerts.view": true,
"alerts.update": true,
"search.delete": true,
"sensor.admin.delete": true,
"endpoints.uninstall": true,
"investigation.view": true,
"admin": true,
"investigation.update": true,
"endpoints.changeconfiguration": true,
"user.create": true
}
},
"type": "Local",
"email": null
},
"updated_at": "2020-01-08T13:47:51.379966+00:00",
"created_by_user_display_name": "Example User",
"canceled_by_user_id": null,
"version": 2,
"endpoint_count": 1,
"assigned_to": {
"username": "admin",
"last_name": "User",
"is_active": true,
"is_editable": true,
"is_ldap": false,
"is_removable": false,
"timezone": null,
"id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"first_name": "Example",
"last_viewed_alert": "2020-01-07T09:24:22.925000",
"is_sso": false,
"is_superuser": true,
"role": {
"role": "Admin",
"id": "37e9e54e-0bb8-5058-9bd4-50a0d0fbea35",
"permissions": {
"endpoints.scan": true,
"sensor.admin.view": true,
"sensor.admin.update": true,
"endpoints.delete": true,
"endpoints.respond": true,
"search.search": true,
"sensor.admin.create": true,
"alerts.admin.forwardalerts": true,
"endpoints.tag": true,
"user.delete": true,
"endpoints.deploy": true,
"user.update": true,
"search.save": true,
"investigation.create": true,
"endpoints.view": true,
"user.view": true,
"sensor.admin.download": true,
"alerts.view": true,
"alerts.update": true,
"search.delete": true,
"sensor.admin.delete": true,
"endpoints.uninstall": true,
"investigation.view": true,
"admin": true,
"investigation.update": true,
"endpoints.changeconfiguration": true,
"user.create": true
}
},
"type": "Local",
"email": null
},
"id": "e0ad7613-daf6-435f-98f6-ce40eae01acc",
"canceled_by_user_display_name": null,
"user_display_name": "Example User",
"hunt_count": 1,
"is_canceled": false
}
],
"metadata": {
"count": 46,
"previous_url": null,
"timestamp": "2020-01-08T16:02:09.251511",
"next": 2,
"per_page": 1,
"next_url": "/api/v1/investigations/?per_page=1&page=2",
"previous": null
}
}
Obtén detalles de la investigación
Obtén información sobre una investigación específica de Endgame.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| ID de investigación | String | N/A | Especifica el ID de la investigación de Endgame que se buscará. |
Casos de uso
Las investigaciones se usan para buscar diferentes objetos de los endpoints, por ejemplo, procesos, direcciones IP y archivos. Esta acción permite que el usuario obtenga más información sobre investigaciones específicas. Los analistas pueden usar esta acción para asegurarse de que se realizaron todas las tareas requeridas en el sistema.
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"data": {
"tasks": [
"6500673c-d246-41a3-882d-d3a339f28497"
],
"user_display_name": "Example User",
"task_types": [
"Process Survey"
],
"task_completion": {
"completed_tasks": 1,
"total_tasks": 1
},
"updated_at": "2020-01-06T13:30:33.851816+00:00",
"created_by_user_display_name": "Example User",
"id": "54caeedc-d6b0-4ca0-8f64-8798d1c34d54",
"task_completions_by_type": {
"Process Survey": {
"completed_tasks": 1,
"task_type_id": "2fbf0c36-5160-5c31-99ec-0fa5880c6bd1",
"total_tasks": 1
}
},
"archived": false,
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"is_canceled": false,
"created_by": {
"username": "admin",
"last_name": "User",
"is_active": true,
"is_editable": true,
"is_ldap": false,
"is_removable": false,
"timezone": null,
"id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"first_name": "Example",
"last_viewed_alert": "2020-01-06T09:27:04.097000",
"is_sso": false,
"is_superuser": true,
"role": {
"role": "Admin",
"id": "37e9e54e-0bb8-5058-9bd4-50a0d0fbea35",
"permissions": {
"endpoints.scan": true,
"sensor.admin.view": true,
"sensor.admin.update": true,
"endpoints.delete": true,
"endpoints.respond": true,
"search.search": true,
"sensor.admin.create": true,
"alerts.admin.forwardalerts": true,
"endpoints.tag": true,
"user.delete": true,
"endpoints.deploy": true,
"user.update": true,
"search.save": true,
"investigation.create": true,
"endpoints.view": true,
"user.view": true,
"sensor.admin.download": true,
"alerts.view": true,
"alerts.update": true,
"search.delete": true,
"sensor.admin.delete": true,
"endpoints.uninstall": true,
"investigation.view": true,
"admin": true,
"investigation.update": true,
"endpoints.changeconfiguration": true,
"user.create": true
}
},
"type": "Local",
"email": null
},
"hunt_count": 1,
"canceled_by_user_id": null,
"version": 2,
"endpoint_count": 1,
"canceled_by_user_display_name": null,
"created_by_user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"created_by_chat": false,
"sensors": [
"8eef6873-6db7-58ab-a1ca-68dc19b54117"
],
"name": "Example User + 2020-01-06T13:30:33.808543_utc",
"core_os": "windows",
"created_at": "2020-01-06T13:30:33.813747+00:00",
"assigned_to": {
"username": "admin",
"last_name": "User",
"is_active": true,
"is_editable": true,
"is_ldap": false,
"is_removable": false,
"timezone": null,
"id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"first_name": "Example",
"last_viewed_alert": "2020-01-06T09:27:04.097000",
"is_sso": false,
"is_superuser": true,
"role": {
"role": "Admin",
"id": "37e9e54e-0bb8-5058-9bd4-50a0d0fbea35",
"permissions": {
"endpoints.scan": true,
"sensor.admin.view": true,
"sensor.admin.update": true,
"endpoints.delete": true,
"endpoints.respond": true,
"search.search": true,
"sensor.admin.create": true,
"alerts.admin.forwardalerts": true,
"endpoints.tag": true,
"user.delete": true,
"endpoints.deploy": true,
"user.update": true,
"search.save": true,
"investigation.create": true,
"endpoints.view": true,
"user.view": true,
"sensor.admin.download": true,
"alerts.view": true,
"alerts.update": true,
"search.delete": true,
"sensor.admin.delete": true,
"endpoints.uninstall": true,
"investigation.view": true,
"admin": true,
"investigation.update": true,
"endpoints.changeconfiguration": true,
"user.create": true
}
},
"type": "Local",
"email": null
},
"endpoints": [
"b23c8a14-69e0-4966-b78a-c9fba4fdd934"
]
},
"metadata": {
"timestamp": "2020-01-06T14:00:53.716517"
}
}
Obtén la configuración de aislamiento del host
Obtiene la configuración de aislamiento del host definida en Endgame.
Parámetros
N/A
Casos de uso
Esta acción se usa para obtener información sobre la configuración de aislamiento del host. Esta configuración permite que los hosts aislados se conecten a las direcciones IP que se indican allí. Los analistas pueden usar esta acción para verificar que todas las direcciones IP requeridas estén en la configuración de aislamiento del host.
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"data": [
{
"id": "47999eeb-f076-5aca-a7cc-56bf7ac2b647",
"comments": [
{
"comment": "Testing API",
"entity_id": "47999eeb-f076-5aca-a7cc-56bf7ac2b647",
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"entity_type": "whitelisted_ip",
"created_at": "2020-01-07T15:59:56Z",
"updated_at": "2020-01-07T15:59:56Z",
"id": 547,
"activity_type": "comment"
}
],
"addr": "192.0.2.1/30"
},
{
"id": "6ab5575c-718e-5e24-bd4d-77e0694ad6fc",
"comments": [
{
"comment": "Testing API",
"entity_id": "6ab5575c-718e-5e24-bd4d-77e0694ad6fc",
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"entity_type": "whitelisted_ip",
"created_at": "2020-01-07T15:58:29Z",
"updated_at": "2020-01-07T15:58:29Z",
"id": 545,
"activity_type": "comment"
}
],
"addr": "192.0.2.11/32"
},
{
"id": "72bdf5d2-4cc6-5ccf-9787-a539fae9c517",
"comments": [
{
"comment": "CIDR Test",
"entity_id": "72bdf5d2-4cc6-5ccf-9787-a539fae9c517",
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"entity_type": "whitelisted_ip",
"created_at": "2020-01-07T15:58:04Z",
"updated_at": "2020-01-07T15:58:04Z",
"id": 543,
"activity_type": "comment"
}
],
"addr": "198.51.100.1/32"
},
{
"id": "5aa89c8f-a535-5876-840c-af33a7ec1419",
"comments": [
{
"comment": "Testing API",
"entity_id": "5aa89c8f-a535-5876-840c-af33a7ec1419",
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"entity_type": "whitelisted_ip",
"created_at": "2020-01-07T15:57:24Z",
"updated_at": "2020-01-07T15:57:24Z",
"id": 541,
"activity_type": "comment"
}
],
"addr": "198.51.100.10"
},
{
"id": "06461575-700b-596d-8662-7ea0aff28e9c",
"comments": [
{
"comment": "Test Isolation",
"entity_id": "06461575-700b-596d-8662-7ea0aff28e9c",
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"entity_type": "whitelisted_ip",
"created_at": "2020-01-07T15:55:21Z",
"updated_at": "2020-01-07T15:55:21Z",
"id": 539,
"activity_type": "comment"
}
],
"addr": "203.0.113.1"
}
],
"metadata": {
"count": 5,
"previous_url": null,
"timestamp": "2020-01-07T16:00:19.754687",
"next": null,
"per_page": 10,
"next_url": null,
"previous": null
}
}
Agrega una subred de IP a la configuración de aislamiento del host
Agrega una subred de IP a la configuración de aislamiento del host definida en Endgame.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Subred de IP | String | N/A | Ingresa la subred IPv4 que deseas agregar a la configuración de aislamiento del host. |
| Descripción | String | N/A | Ingresa la descripción de la subred de IP. |
| Crear estadística | Casilla de verificación | desmarcada | Si está habilitado, crea una estadística después de la ejecución correcta de esta acción. |
Casos de uso
Esta acción se usa para obtener información sobre la configuración de aislamiento del host. Esta configuración permite que los hosts aislados se conecten a las subredes de IP que se indican allí. Los analistas pueden usar esta acción para agregar las subredes de IP requeridas a la configuración de aislamiento del host.
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Estadísticas
Si se agregó una subred de IP a la configuración de aislamiento del host con Endgame, crea una estadística para indicarlo.
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Quita la subred de IP de la configuración de aislamiento del host
Quita una subred de IP de la configuración de aislamiento del host definida en Endgame.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Subred de IP | String | N/A | Ingresa la subred IPv4 que deseas agregar a la configuración de aislamiento del host. |
| Crear estadística | Casilla de verificación | desmarcada | Si está habilitado, crea una estadística después de la ejecución correcta de esta acción. |
Casos de uso
Esta acción se usa para obtener información sobre la configuración de aislamiento del host. Esta configuración permite que los hosts aislados se conecten a las subredes de IP que se indican allí. Los analistas pueden usar esta acción para quitar de la configuración de aislamiento del host las subredes IP que ya no se requieren.
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Estadísticas
Si se quitó una subred de IP de la configuración de aislamiento del host con Endgame, crea una estadística para indicarlo.
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Recopila datos de Autoruns (solo para Windows)
Recopila los elementos de ejecución automática del endpoint de Endgame.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Cantidad máxima de elementos que se devolverán | Número entero | 1000 | Especifica cuántos autoruns se devolverán. |
| Categoría "Todo" | Casilla de verificación | Marcado | Si está habilitado, busca todas las categorías de ejecución automática. |
| Categoría "Cadena de televisión" | Casilla de verificación | Desmarcado | Si está habilitada, busca la categoría de ejecución automática "Proveedor de red". |
| Categoría "Office" | Casilla de verificación | Desmarcado | Si está habilitada, busca la categoría de ejecución automática "Office". |
| Categoría "Conductor" | Casilla de verificación | Desmarcado | Si está habilitada, busca la categoría de ejecución automática "Driver". |
| Categoría "App Init" | Casilla de verificación | Desmarcado | Si está habilitada, busca la categoría de ejecución automática "App Init". |
| Categoría "Winlogon" | Casilla de verificación | Desmarcado | Si está habilitada, busca la categoría de ejecución automática "Winlogon". |
| Categoría "Print Monitor" | Casilla de verificación | Desmarcado | Si está habilitada, busca la categoría de ejecución automática "Print Monitor". |
| Categoría "Accesibilidad" | Casilla de verificación | Desmarcado | Si está habilitada, busca la categoría de ejecución automática "Accesibilidad". |
| Categoría "WMI" | Casilla de verificación | Desmarcado | Si está habilitado, busca la categoría de ejecución automática "WMI". |
| Categoría "Proveedor de LSA" | Casilla de verificación | Desmarcado | Si está habilitada, busca la categoría de ejecución automática "LSA Provider". |
| Categoría "Servicio" | Casilla de verificación | Desmarcado | Si está habilitada, busca la categoría de ejecución automática "Servicio". |
| Categoría "Bits" | Casilla de verificación | Desmarcado | Si está habilitada, busca la categoría de ejecución automática "Bits". |
| Categoría "Known dll" | Casilla de verificación | Desmarcado | Si está habilitada, busca la categoría de ejecución automática "Known dll". |
| Categoría "Proveedor de impresión" | Casilla de verificación | Desmarcado | Si está habilitada, busca la categoría de ejecución automática "Print Provider". |
| Categoría "Image Hijack" | Casilla de verificación | Desmarcado | Si está habilitada, busca la categoría de ejecución automática "Image Hijack". |
| Categoría "Startup Folder" | Casilla de verificación | Desmarcado | Si está habilitada, busca la categoría de ejecución automática "Startup Folder". |
| Categoría "Internet Explorer" | Casilla de verificación | Desmarcado | Si está habilitada, busca la categoría de ejecución automática "Internet Explorer". |
| Categoría "Códec" | Casilla de verificación | Desmarcado | Si está habilitada, busca la categoría de ejecución automática "Códec". |
| Categoría "Logon" | Casilla de verificación | Desmarcado | Si está habilitada, busca la categoría de ejecución automática "Logon". |
| Categoría "Secuestro del orden de búsqueda" | Casilla de verificación | Desmarcado | Si está habilitada, busca la categoría de ejecución automática "Secuestro del orden de búsqueda". |
| Categoría "Proveedor de Winsock" | Casilla de verificación | Desmarcado | Si está habilitada, busca la categoría de ejecución automática "Winsock Provider". |
| Categoría "Boot Execute" | Casilla de verificación | Desmarcado | Si está habilitada, busca la categoría de ejecución automática "Boot Execute". |
| Categoría "Phantom dll" | Casilla de verificación | Desmarcado | Si está habilitada, busca la categoría de ejecución automática "Phantom dll". |
| Categoría "Com Hijack" | Casilla de verificación | Desmarcado | Si está habilitada, busca la categoría de ejecución automática "Com Hijack". |
| Categoría "Explorador" | Casilla de verificación | Desmarcado | Si está habilitada, busca la categoría de ejecución automática "Explorador". |
| Categoría "Tarea programada" | Casilla de verificación | Desmarcado | Si está habilitado, busca la categoría de ejecución automática "Scheduled Task". |
| Incluir todos los metadatos | Casilla de verificación | Marcado | Si está habilitado, proporciona todos los datos disponibles. |
| Incluir metadatos de clasificación de software malicioso | Casilla de verificación | Desmarcado | Si está habilitado, proporciona información sobre MalwareScore. |
| Incluir metadatos de Authenticode | Casilla de verificación | Desmarcado | Si está habilitado, proporciona información del firmante. |
| Incluir hash MD5 | Casilla de verificación | Desmarcado | Si está habilitado, proporciona el hash MD5 en la respuesta. |
| Incluye el hash de SHA-1 | Casilla de verificación | Desmarcado | Si está habilitado, proporciona el hash SHA-1 en la respuesta. |
| Incluir hash SHA-256 | Casilla de verificación | Desmarcado | Si está habilitado, proporciona el hash SHA-256 en la respuesta. |
Casos de uso
Esta acción se puede usar para recopilar información sobre las ejecuciones automáticas en el endpoint. Estos datos pueden ayudar a los analistas a realizar procesos de clasificación y corrección.
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Host
- Dirección IP
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"data": {
"count": 1,
"per_page": 50,
"previous": null,
"tasks": [
{
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"data": {
"category_option": {
"category_network_provider": true,
"category_office": false,
"category_driver": false,
"category_app_init": false,
"category_winlogon": false,
"category_print_monitor": false,
"category_ease_of_access": false,
"category_wmi": false,
"category_lsa_provider": false,
"category_service": false,
"category_bits": false,
"category_known_dll": false,
"category_print_provider": false,
"category_image_hijack": false,
"category_startup_folder": false,
"category_internet_explorer": false,
"category_codec": false,
"category_logon": false,
"category_all": false,
"category_search_order_hijack": false,
"category_winsock_provider": false,
"category_boot_execute": false,
"category_phantom_dll": false,
"category_com_hijack": false,
"category_explorer": false,
"category_scheduled_task": false
},
"metadata_option": {
"metadata_all": true,
"metadata_malware_classification": false,
"metadata_sha1": false,
"metadata_sha256": false,
"metadata_authenticode": false,
"metadata_md5": false
}
},
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"metadata": {
"sensor_id": "8eef6873-6db7-58ab-a1ca-68dc19b54117",
"investigation_id": "0b043f77-531f-4109-93b1-e01019ad0980",
"task_id": "e667b0c3-39de-4862-9baf-d6697db79721",
"echo": "",
"endpoint_id": "b23c8a14-69e0-4966-b78a-c9fba4fdd934",
"destination_plugin": "autoruns",
"key": "collectAutoRunsRequest",
"semantic_version": "3.52.\\d+",
"collection_id": "2393f424-bf57-40af-81e6-91b95acf5409"
}
}
],
"next": null
},
"metadata": {
"timestamp": "2020-01-08T13:15:37.238341"
}
}
Aísla el host
Aísla el extremo de Endgame. Esta acción solo es compatible con sistemas Windows y macOS.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Crear estadística | Casilla de verificación | Desmarcado | Si está habilitado, crea una estadística después de la ejecución exitosa de esta acción. |
Casos de uso
Esta acción se usa para obtener información sobre la configuración de aislamiento del host. Esta configuración permite que los hosts aislados se conecten a las subredes de IP que se indican allí. Los analistas pueden usar esta acción para agregar las subredes de IP requeridas a la configuración de aislamiento del host.
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Host
- Dirección IP
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
Si el extremo se aisló con el agente de Endgame, crea una estadística para indicarlo.
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"data": {
"valid": true,
"bulk_task_id": "a6ccc2f7-39a7-42e7-b646-41b281316b1d",
"error_messages": []
},
"metadata": {
"timestamp": "2020-01-08T15:09:22.474963"
}
}
Aislamiento de host
Aísla un extremo de Endgame. Esta acción solo es compatible con sistemas Windows y macOS.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Crear estadística | Casilla de verificación | Desmarcado | Si está habilitado, crea una estadística después de la ejecución exitosa de esta acción. |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Host
- Dirección IP
Resultados de la acción
Estadísticas
Si el aislamiento del extremo se deshizo con el agente de Endgame, crea una estadística para indicarlo.
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"data": {
"domain": "InstallerInitiated",
"updated_at": "2020-01-08T08:16:26.063394+00:00",
"id": "b23c8a14-69e0-4966-b78a-c9fba4fdd934",
"display_operating_system": "Windows 10 (v1511)",
"hostname": "example",
"mac_address": "01:23:45:ab:cd:ef",
"upgrade_status": "",
"base_image": false,
"isolation_updated_at": "2020-01-08T15:09:24.665367+00:00",
"status": "monitored",
"ad_distinguished_name": "CN=EXAMPLE,CN=Computers,DC=example,DC=com",
"ad_hostname": "example.com",
"tags": [],
"isolation_request_status": null,
"alert_count": 0,
"groups": [
{
"is_dynamic": false,
"count": 2,
"id": "d9de26c9-ee63-4d38-9997-7418bd13c45e",
"name": "Demo: APT28"
}
],
"sensors": [
{
"status": "monitored",
"sensor_version": "3.52.12",
"policy_status": "successful",
"policy_name": "Lab (Detect-Only with Streaming)",
"sensor_type": "hunt",
"id": "8eef6873-6db7-58ab-a1ca-68dc19b54117",
"policy_id": "07b7a44f-25f3-4e5c-977b-2915de8160c5"
}
],
"ip_address": "192.0.2.3",
"is_isolated": false,
"operating_system": "Windows 10.0",
"name": "example",
"status_changed_at": "2020-01-08T12:30:48.704802+00:00",
"core_os": "windows",
"created_at": "2019-11-01T06:31:32.519640+00:00",
"error": null,
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
},
"metadata": {
"timestamp": "2020-01-08T15:16:34.303701"
}
}
Descargar archivo
Descarga un archivo de un endpoint específico de Endgame.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Ruta de acceso completa al archivo | String | N/A | Si está habilitado, crea una estadística después de la ejecución exitosa de esta acción. |
| Ruta de acceso completa a la carpeta de descarga | String | N/A | Ingresa la ruta de acceso a la carpeta en la que quieres almacenar este archivo. |
| Hash SHA-256 esperado | String | N/A | Ingresa el hash SHA-256 esperado. |
Casos de uso
Puedes usar esta acción para acceder a los archivos desde los extremos. A veces, los archivos deben procesarse manualmente, y esta actividad ayuda a los usuarios a acceder a los archivos necesarios.
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Host
- Dirección IP
Resultados de la acción
Estadísticas
Si el aislamiento del extremo se deshizo con el agente de Endgame, crea una estadística para indicarlo.
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
Si el estado es success, el resultado en formato JSON es el siguiente:
{
"data": {
"status": "success",
"doc_type": "collection",
"endpoint": {
"domain": "InstallerInitiated",
"updated_at": "2019-11-01T05:41:10.150817+00:00",
"id": "a3cdc174-3af0-400a-85c3-bbb1435a6b61",
"display_operating_system": "Ubuntu 18.04.1",
"hostname": "example",
"mac_address": "01:23:45:ab:cd:ef",
"base_image": false,
"isolation_updated_at": null,
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [
{
"id": "fc2dfcc8-9329-4f33-86a2-877bfb27575e",
"name": "CORE ENV"
}
],
"isolation_request_status": null,
"upgrade_status": "",
"groups": [
{
"is_dynamic": false,
"count": 1,
"id": "e453d4f6-95c9-4dc5-bc41-2f4cae423e19",
"name": "Demo: Bad Admin"
}
],
"sensors": [
{
"status": "A",
"sensor_version": "3.52.12",
"sensor_type": "hunt",
"id": "c7347a4b-3e71-5514-980f-90bdbab758cf"
}
],
"ip_address": "192.0.2.1",
"is_isolated": false,
"operating_system": "Linux 4.15.0-29-generic",
"name": "example",
"status_changed_at": "2020-01-07T08:16:46.895105+00:00",
"core_os": "linux",
"created_at": "2019-03-19T04:25:06.953312+00:00",
"error": null,
"machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d"
},
"task_id": "0854ae75-47ca-438a-8731-615defac44ac",
"family": "response",
"data": {
"results": [
{
"size": 1731,
"endpoint": {
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"operating_system": "Linux 4.15.0-29-generic",
"name": "example",
"display_operating_system": "Ubuntu 18.04.1",
"hostname": "example",
"updated_at": "2020-01-07T08:16:44Z",
"mac_address": "01:23:45:ab:cd:ef",
"ip_address": "192.0.2.1",
"id": "a3cdc174-3af0-400a-85c3-bbb1435a6b61"
},
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"investigation_id": null,
"filepath": "/home/a-arobinson/Downloads/bad_admin.sh",
"bulk_task_id": null,
"created_by": "a-arobinson",
"file_uuid": "4c45cc36-b6ca-412a-ae0b-ed214a9c7187",
"correlation_id": "13dfca7b-9e75-4115-be93-e6684dbfc7c8",
"user": {
"username": "admin",
"first_name": "Example",
"last_name": "User",
"id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1"
},
"chunk_size": 26214400,
"existing_path": "/home/a-arobinson/Downloads/bad_admin.sh",
"sha256": "8066b309db13bae560c15c35f42247a0f778786f0056d326ff3e6dffd1eac4f8",
"origination_task_id": "0854ae75-47ca-438a-8731-615defac44ac",
"md5": "6441b8f58feddb5a5f6fcd81c117ecb8"
}
]
},
"created_at": "2020-01-07T11:28:02.826397Z",
"os_type": "linux",
"machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d",
"type": "downloadFileResponse",
"id": "d6fb3bf3-afea-44e0-8472-389f4e7e0002"
},
"metadata": {
"count": 1,
"previous_url": null,
"timestamp": "2020-01-07T11:41:56.750788",
"next": null,
"per_page": 50,
"next_url": null,
"previous": null
}
}
Si el estado es failure, el resultado en formato JSON es el siguiente:
{
"data": {
"status": "failure",
"doc_type": "collection",
"endpoint": {
"domain": "InstallerInitiated",
"updated_at": "2019-11-01T05:42:09.150756+00:00",
"id": "12c3530d-657f-4ccd-835e-6df9affeed3d",
"display_operating_system": "Ubuntu 18.04.3",
"hostname": "example",
"mac_address": "01:23:45:ab:cd:ef",
"base_image": false,
"isolation_updated_at": null,
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [],
"isolation_request_status": null,
"upgrade_status": "",
"groups": [
{
"is_dynamic": false,
"count": 4,
"id": "c1af3cd6-2638-4144-842d-adc9cfb67fb9",
"name": "SOC"
}
],
"sensors": [
{
"status": "A",
"sensor_version": "3.52.12",
"sensor_type": "hunt",
"id": "dc2e35cc-0c87-5a60-8fc8-de23ef747d02"
}
],
"ip_address": "192.0.2.1",
"is_isolated": false,
"operating_system": "Linux 4.15.0-72-generic",
"name": "example",
"status_changed_at": "2020-01-19T11:05:16.765186+00:00",
"core_os": "linux",
"created_at": "2019-09-20T21:34:51.966863+00:00",
"error": null,
"machine_id": "5ae8ddd9-9339-ae4b-ccf7-5ed68f38b3a9"
},
"task_id": "85148460-c868-4fe5-a3e6-0d90784fadd1",
"family": "response",
"data": {
"results": [
{
"endpoint": {
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"operating_system": "Linux 4.15.0-72-generic",
"name": "example",
"display_operating_system": "Ubuntu 18.04.3",
"hostname": "example",
"updated_at": "2020-01-16T14:04:22Z",
"mac_address": "01:23:45:ab:cd:ef",
"ip_address": "192.0.2.1",
"id": "12c3530d-657f-4ccd-835e-6df9affeed3d"
},
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"investigation_id": null,
"expected_sha256": "123",
"bulk_task_id": null,
"correlation_id": "a7dc04c8-932c-4056-9477-8095b1fa15d8",
"user": {
"username": "admin",
"first_name": "Example",
"last_name": "User",
"id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1"
},
"chunk_size": 26214400,
"existing_path": "/home/example/Downloads/bad_admin.sh",
"origination_task_id": "85148460-c868-4fe5-a3e6-0d90784fadd1"
}
]
},
"created_at": "2020-01-19T12:19:57Z",
"os_type": "linux",
"machine_id": "5ae8ddd9-9339-ae4b-ccf7-5ed68f38b3a9",
"type": "downloadFileResponse",
"id": "8eb6b538-d480-4210-92fb-df08a3a4dfb9"
},
"metadata": {
"count": 1,
"previous_url": null,
"timestamp": "2020-01-19T12:23:23.623961",
"next": null,
"per_page": 50,
"next_url": null,
"previous": null
}
}
Borrar archivo
Borra un archivo de un endpoint de Endgame.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Ruta de acceso al archivo | String | N/A | Ingresa la ruta de acceso al archivo. |
Casos de uso
Esta acción se usa para borrar archivos del extremo. Por ejemplo, se puede usar cuando se encuentra software malicioso y un analista quiere quitarlo.
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Host
- Dirección IP
Resultados de la acción
Estadísticas
Si el aislamiento del extremo se deshizo con el agente de Endgame, crea una estadística para indicarlo.
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
(status = success)
{
"data": [
{
"status": "success",
"doc_type": "collection",
"endpoint": {
"domain": "InstallerInitiated",
"updated_at": "2019-11-01T05:41:10.150817+00:00",
"id": "a3cdc174-3af0-400a-85c3-bbb1435a6b61",
"display_operating_system": "Ubuntu 18.04.1",
"hostname": "08203s-lubu1804",
"mac_address": "01:23:45:ab:cd:ef",
"upgrade_status": "",
"base_image": false,
"isolation_updated_at": null,
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [
{
"id": "fc2dfcc8-9329-4f33-86a2-877bfb27575e",
"name": "CORE ENV"
}
],
"isolation_request_status": null,
"groups": [
{
"is_dynamic": false,
"count": 1,
"id": "e453d4f6-95c9-4dc5-bc41-2f4cae423e19",
"name": "Demo: Bad Admin"
}
],
"sensors": [
{
"status": "monitored",
"sensor_version": "3.52.12",
"policy_status": "successful",
"policy_name": "Lab (Detect-Only with Streaming)",
"sensor_type": "hunt",
"id": "c7347a4b-3e71-5514-980f-90bdbab758cf",
"policy_id": "07b7a44f-25f3-4e5c-977b-2915de8160c5"
}
],
"ip_address": "192.0.2.1",
"is_isolated": false,
"operating_system": "Linux 4.15.0-29-generic",
"name": "08203s-lubu1804",
"status_changed_at": "2020-01-20T07:25:02.633331+00:00",
"core_os": "linux",
"created_at": "2019-03-19T04:25:06.953312+00:00",
"error": null,
"machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d"
},
"task_id": "bfb82b8d-71a0-4e5f-9cfe-bd573ea32b25",
"family": "response",
"created_at": "2020-01-20T07:31:37Z",
"local_msg": "Success",
"system_msg": null,
"system_code": null,
"local_code": 0,
"os_type": "linux",
"machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d",
"type": "deleteFileResponse",
"id": "eb50fe9c-1059-42d4-9f5f-52e5af4ae64d"
}
],
"metadata": {
"count": 1,
"previous_url": null,
"timestamp": "2020-01-20T07:32:04.425044",
"next": null,
"per_page": 50,
"next_url": null,
"previous": null
}
}
(status = failure) Se usarán local_msg y system_msg.
{
"data": [
{
"status": "failure",
"doc_type": "collection",
"endpoint": {
"domain": "InstallerInitiated",
"updated_at": "2019-11-01T05:41:10.150817+00:00",
"id": "a3cdc174-3af0-400a-85c3-bbb1435a6b61",
"display_operating_system": "Ubuntu 18.04.1",
"hostname": "08203s-lubu1804",
"mac_address": "01:23:45:ab:cd:ef",
"upgrade_status": "",
"base_image": false,
"isolation_updated_at": null,
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [
{
"id": "fc2dfcc8-9329-4f33-86a2-877bfb27575e",
"name": "CORE ENV"
}
],
"isolation_request_status": null,
"groups": [
{
"is_dynamic": false,
"count": 1,
"id": "e453d4f6-95c9-4dc5-bc41-2f4cae423e19",
"name": "Demo: Bad Admin"
}
],
"sensors": [
{
"status": "monitored",
"sensor_version": "3.52.12",
"policy_status": "successful",
"policy_name": "Lab (Detect-Only with Streaming)",
"sensor_type": "hunt",
"id": "c7347a4b-3e71-5514-980f-90bdbab758cf",
"policy_id": "07b7a44f-25f3-4e5c-977b-2915de8160c5"
}
],
"ip_address": "192.0.2.1",
"is_isolated": false,
"operating_system": "Linux 4.15.0-29-generic",
"name": "08203s-lubu1804",
"status_changed_at": "2020-01-07T08:16:46.895105+00:00",
"core_os": "linux",
"created_at": "2019-03-19T04:25:06.953312+00:00",
"error": null,
"machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d"
},
"task_id": "5da277fe-503d-468a-822b-8801d9671cde",
"family": "response",
"created_at": "2020-01-07T13:10:50Z",
"local_msg": "Not found",
"system_msg": null,
"system_code": null,
"local_code": -7,
"os_type": "linux",
"machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d",
"type": "deleteFileResponse",
"id": "6f3e6148-6801-4cb8-8a5d-25f75ea93555"
}
],
"metadata": {
"count": 1,
"previous_url": null,
"timestamp": "2020-01-07T13:16:18.834163",
"next": null,
"per_page": 5,
"next_url": null,
"previous": null
}
}
Encuesta sobre los controladores (solo para Windows)
Obtén información sobre los conductores de un extremo específico de Endgame.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Cantidad máxima de elementos que se devolverán | String | 50 | Especifica la cantidad de elementos que se devolverán. |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Nombre de host
- Dirección IP
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| driver_basename | Devuelve si existe en el resultado JSON. |
| driver_filename | Devuelve si existe en el resultado JSON. |
| date_modified | Devuelve si existe en el resultado JSON. |
| driver_file_version | Devuelve si existe en el resultado JSON. |
| driver_load_address | Devuelve si existe en el resultado JSON. |
| collection_id | Devuelve si existe en el resultado JSON. |
| hashes | Devuelve si existe en el resultado JSON. |
| machine_id | Devuelve si existe en el resultado JSON. |
| driver_product_version | Devuelve si existe en el resultado JSON. |
| driver_description | Devuelve si existe en el resultado JSON. |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[{
"EntityResult":
[{ "driver_basename": "test.exe",
"driver_filename": "C:\\\\Windows\\\\system32\\\\test.exe",
"date_modified": 1446189483.0185645,
"driver_file_version": "10.0.10586.0 (th2_release.151029-1700)",
"driver_load_address": "12345678",
"collection_id": "a9925cf1-6d4c-4bea-b13d-12345678",
"hashes": {
"sha256": "9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08",
"md5": "098f6bcd4621d373cade4e832627b4f6",
"sha1": "a94a8fe5ccb19ba61c4c0873d391e987982fbbd3"
},
"machine_id": "5dc677fd-6b47-7df9-f7f4-12345678",
"driver_product_version": "10.0.10586.0",
"driver_description": "Test"
}],
"Entity": "PC-01"
}]
Encuesta sobre el firewall (solo para Windows)
Obtén información sobre las reglas de firewall en un endpoint específico de Endgame.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Cantidad máxima de elementos que se devolverán | String | 50 | Especifica la cantidad de elementos que se devolverán. |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Nombre de host
- Dirección IP
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| direction | Devuelve si existe en el resultado JSON. |
| machine_id | Devuelve si existe en el resultado JSON. |
| descripción | Devuelve si existe en el resultado JSON. |
| remote_addresses | Devuelve si existe en el resultado JSON. |
| protocol_number | Devuelve si existe en el resultado JSON. |
| habilitado | Devuelve si existe en el resultado JSON. |
| edge_traversal | Devuelve si existe en el resultado JSON. |
| perfiles | Devuelve si existe en el resultado JSON. |
| interface_types | Devuelve si existe en el resultado JSON. |
| rule_name | Devuelve si existe en el resultado JSON. |
| icmp_and_type_codes | Devuelve si existe en el resultado JSON. |
| local_addresses | Devuelve si existe en el resultado JSON. |
| application_name | Devuelve si existe en el resultado JSON. |
| collection_id | Devuelve si existe en el resultado JSON. |
| remote_ports | Devuelve si existe en el resultado JSON. |
| acción | Devuelve si existe en el resultado JSON. |
| local_ports | Devuelve si existe en el resultado JSON. |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[{
"EntityResult":
[{
"direction": "in",
"machine_id": "870499c3-d6bf-8edd-972d-12345678",
"description": "Inbound rule for Google Chrome to allow mDNS traffic.",
"remote_addresses": "*",
"protocol_number": 17,
"enabled": true,
"edge_traversal": false,
"profiles":
["domain", "public", "private"],
"interface_types": "All",
"rule_name": "Google Chrome (mDNS-In)",
"icmp_and_type_codes": "",
"local_addresses": "*",
"application_name": "C:\\\\Program Files (x86)\\\\Google\\\\Chrome\\\\Application\\\\chrome.exe",
"collection_id": "0925eea5-c61f-464a-ba61-12345678",
"remote_ports": "*",
"action": "allow",
"local_ports": "1234"
}],
"Entity": "PC-01"
}]
Obtener extremos
Enumera todos los extremos.
Parámetros
N/A
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[{
"domain": "",
"updated_at": "2019-05-30T01:40:21.126499+00:00",
"id": "db33d864-7d58-4d85-9d2d-1a98a101995d",
"display_operating_system": "Windows 7 (SP1)",
"hostname": "ip-AC170169",
"mac_address": "01:23:45:ab:cd:ef",
"isolation_updated_at": "",
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [],
"isolation_request_status": "",
"alert_count": 72,
"investigation_count": 0,
"groups": [],
"sensors":
[{
"status": "monitored",
"sensor_version": "3.51.10",
"policy_status": "successful",
"policy_name": "POC-Lab",
"sensor_type": "hunt",
"id": "ec17f7bb-1d63-536a-b694-ca066cc2572e",
"policy_id": "d31f0192-b8e2-49ae-ae54-041376183b7f"
}],
"ip_address": "192.0.2.1",
"is_isolated": "false",
"operating_system": "Windows 6.1 Service Pack 1",
"name": "ip-AC170169",
"status_changed_at": "2019-05-30T01:40:18.200770+00:00",
"core_os": "windows",
"created_at": "2019-05-30T01:36:43.761600+00:00",
"error":
[{
"msg": "Installer failure - Execution failed for (http://192.0.2.1:5985/wsman)\\n",
"deployment_id": "90C2BAA6-B38B-4037-9A9E-7C8628E8D7D6",
"code": 1001, "ts": 1559180421.125456
}],
"machine_id": "4f1adabb-17c4-e39e-caa7-7900562d0b51"
}]
Archivo de Hunt
Busca archivos en ejecución.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Extremos del SO principal | String | ventanas | Selecciona un sistema operativo (por ejemplo, Windows, Linux o Mac) para filtrar la lista de extremos. Nota: Solo puedes crear una sola investigación para los endpoints que se ejecutan en el mismo sistema operativo. |
| Hashes MD5 | String | N/A | CONFIGURACIÓN AVANZADA para esta búsqueda. Ingresa los hashes MD5 separados por comas. |
| Hashes de SHA1 | String | N/A | CONFIGURACIÓN AVANZADA para esta búsqueda. Ingresa los hashes SHA-1 separados por comas. |
| Hashes de SHA256 | String | N/A | CONFIGURACIÓN AVANZADA para esta búsqueda. Ingresa los hashes SHA256 separados por comas. |
| Directorio | String | N/A | Ruta de acceso al directorio de inicio. Ejemplo: C:\windows\system32 |
| Buscar archivo | String | N/A | Ingresa los nombres de los archivos que deseas buscar. Ingresa una expresión regular para reducir los resultados de la búsqueda. |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Nombre de host
- Dirección IP
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| meta_data | Devuelve si existe en el resultado JSON. |
| file_path | Devuelve si existe en el resultado JSON. |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[{
"meta_data":
{ "hashes":
{ "sha256": "4705ba6793dc93c1bbe2a9e790e9e22778d217531b1750471206fd5c52bbd2b5",
"md5": "6383522c180badc4e1d5c30a5c4f4913",
"sha1": "62a30e96459b694f7b22d730c460a65cd2ebaaca"
},
"file_name_timestamps":
{ "accessed": 1468675289.0711532,
"entry_modified": 0,
"modified": 1468675289.0711532,
"created": 1468675404.0330572
},
"file_attributes": 38,
"file_size": 174
},
"file_path": "C:\\\\Program Files\\\\desktop.ini"
},
{
"meta_data":
{ "hashes":
{ "sha256": "44fe5eebd80e46f903d68c07bcf06d187a3698bf3953bc58bb578465e2e0fe6c",
"md5": "6bd5fb46283aa48e638bef47510c47da",
"sha1": "c38d46ec6c9bc8baece4a459b617f44d10af973c"
},
"file_name_timestamps":
{
"accessed": 1468675289.0024028,
"entry_modified": 0,
"modified": 1468675289.0024028,
"created": 1468675404.0111823
},
"file_attributes": 38,
"file_size": 645
},
"file_path": "C:\\\\Program Files\\\\Common Files\\\\microsoft shared\\\\Stationery\\\\Desktop.ini"
}]
IP de búsqueda
Busca conexiones de red.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Extremos del SO principal | String | ventanas | Selecciona un sistema operativo (por ejemplo, Windows, Linux o Mac) para filtrar la lista de extremos. Nota: Solo puedes crear una sola investigación para los endpoints que se ejecutan en el mismo sistema operativo. |
| Dirección IP remota | String | N/A | Dirección IP remota, separada por comas |
| Dirección IP local | String | N/A | separados por comas |
| Estado | String | N/A | Ingresa el estado que se devolverá. Ejemplo: ANY |
| Protocolo | String | N/A | Ejemplo: ANY, UDP, TCP |
| Puerto de red | String | N/A | N/A |
| Control remoto de red | String | N/A | Red remota o local. |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Nombre de host
- Dirección IP
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| parent_name | Devuelve si existe en el resultado JSON. |
| dominio | Devuelve si existe en el resultado JSON. |
| exe | Devuelve si existe en el resultado JSON. |
| nombre | Devuelve si existe en el resultado JSON. |
| has_unbacked_execute_memory | Devuelve si existe en el resultado JSON. |
| pid | Devuelve si existe en el resultado JSON. |
| up_time | Devuelve si existe en el resultado JSON. |
| is_sensor | Devuelve si existe en el resultado JSON. |
| cmdline | Devuelve si existe en el resultado JSON. |
| parent_exe | Devuelve si existe en el resultado JSON. |
| unbacked_execute_byte_count | Devuelve si existe en el resultado JSON. |
| create_time | Devuelve si existe en el resultado JSON. |
| usuario | Devuelve si existe en el resultado JSON. |
| sid | Devuelve si existe en el resultado JSON. |
| threads | Devuelve si existe en el resultado JSON. |
| ppid | Devuelve si existe en el resultado JSON. |
| unbacked_execute_region_count | Devuelve si existe en el resultado JSON. |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[{
"parent_name": "System Idle Process",
"domain": "NT AUTHORITY",
"exe": "",
"name": "System",
"has_unbacked_execute_memory": false,
"pid": 4,
"up_time": 2384701,
"is_sensor": false,
"cmdline": "",
"parent_exe": "",
"unbacked_execute_byte_count": 0,
"create_time": 1559179903,
"user": "SYSTEM",
"sid": "S-1-5-18",
"threads":
[{
"thread_id": 8
}, {
"thread_id": 12,
"up_time": 13206038203,
"create_time": -11644473599
}, {
"thread_id": 16,
"up_time": 13206038203,
"create_time": -11644473599
}],
"ppid": 0,
"unbacked_execute_region_count": 0
}]
Proceso de caza
Busca procesos en ejecución.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Extremos del SO principal | String | ventanas | Selecciona un sistema operativo (es decir, Windows, Linux o Mac) para filtrar la lista de extremos. Nota: Solo puedes crear una sola investigación para los endpoints que se ejecutan en el mismo sistema operativo. |
| Hashes MD5 | String | N/A | CONFIGURACIÓN AVANZADA para esta búsqueda. Ingresa los hashes MD5 separados por comas. |
| Hashes de SHA1 | String | N/A | CONFIGURACIÓN AVANZADA para esta búsqueda. Ingresa los hashes SHA-1 separados por comas. |
| Hashes de SHA256 | String | N/A | CONFIGURACIÓN AVANZADA para esta búsqueda. Ingresa los hashes SHA256 separados por comas. |
| Nombre del proceso | String | N/A | CONFIGURACIÓN AVANZADA para esta búsqueda. Ingresa el nombre del proceso, p. ej., iss.exe* |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Nombre de host
- Dirección IP
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| parent_name | Devuelve si existe en el resultado JSON. |
| dominio | Devuelve si existe en el resultado JSON. |
| exe | Devuelve si existe en el resultado JSON. |
| nombre | Devuelve si existe en el resultado JSON. |
| has_unbacked_execute_memory | Devuelve si existe en el resultado JSON. |
| pid | Devuelve si existe en el resultado JSON. |
| up_time | Devuelve si existe en el resultado JSON. |
| is_sensor | Devuelve si existe en el resultado JSON. |
| cmdline | Devuelve si existe en el resultado JSON. |
| parent_exe | Devuelve si existe en el resultado JSON. |
| unbacked_execute_byte_count | Devuelve si existe en el resultado JSON. |
| create_time | Devuelve si existe en el resultado JSON. |
| usuario | Devuelve si existe en el resultado JSON. |
| sid | Devuelve si existe en el resultado JSON. |
| threads | Devuelve si existe en el resultado JSON. |
| ppid | Devuelve si existe en el resultado JSON. |
| unbacked_execute_region_count | Devuelve si existe en el resultado JSON. |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[{
"parent_name": "System Idle Process",
"domain": "NT AUTHORITY",
"exe": "",
"name": "System",
"has_unbacked_execute_memory": false,
"pid": 4,
"up_time": 2384701,
"is_sensor": false,
"cmdline": "",
"parent_exe": "",
"unbacked_execute_byte_count": 0,
"create_time": 1559179903,
"user": "SYSTEM",
"sid": "S-1-5-18",
"threads":
[{
"thread_id": 8
},{
"thread_id": 12,
"up_time": 13206038203,
"create_time": -11644473599
},{
"thread_id": 16,
"up_time": 13206038203,
"create_time": -11644473599
}],
"ppid": 0,
"unbacked_execute_region_count": 0
}]
Registro de caza
Busca un nombre de clave o valor del registro.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Hive | String | TODOS | Uno de los siguientes: HKEY_CLASSES_ROOT, HKEY_CURRENT_CONFIG, HKEY_USERS, HKEY_LOCAL_MACHINE, ALL. |
| Claves | String | N/A | Nombre de la clave o el valor del registro. |
| Tamaño mín. | String | N/A | Tamaño mínimo en bytes. |
| Tamaño máximo | String | N/A | Tamaño máximo en bytes. |
| Extremos del SO principal | String | ventanas | Selecciona un sistema operativo (es decir, Windows, Linux o Mac) para filtrar la lista de extremos. Nota: Solo puedes crear una sola investigación para los endpoints que se ejecutan en el mismo sistema operativo. |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Nombre de host
- Dirección IP
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| parent_name | Devuelve si existe en el resultado JSON. |
| dominio | Devuelve si existe en el resultado JSON. |
| exe | Devuelve si existe en el resultado JSON. |
| nombre | Devuelve si existe en el resultado JSON. |
| up_time | Devuelve si existe en el resultado JSON. |
| is_sensor | Devuelve si existe en el resultado JSON. |
| cmdline | Devuelve si existe en el resultado JSON. |
| parent_exe | Devuelve si existe en el resultado JSON. |
| unbacked_execute_byte_count | Devuelve si existe en el resultado JSON. |
| create_time | Devuelve si existe en el resultado JSON. |
| usuario | Devuelve si existe en el resultado JSON. |
| sid | Devuelve si existe en el resultado JSON. |
| threads | Devuelve si existe en el resultado JSON. |
| ppid | Devuelve si existe en el resultado JSON. |
| unbacked_execute_region_count | Devuelve si existe en el resultado JSON. |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[{
"parent_name": "System Idle Process",
"domain": "NT AUTHORITY",
"exe": "",
"name": "System",
"has_unbacked_execute_memory": false,
"pid": 4,
"up_time": 2384701,
"is_sensor": false,
"cmdline": "",
"parent_exe": "",
"unbacked_execute_byte_count": 0,
"create_time": 1559179903,
"user": "SYSTEM",
"sid": "S-1-5-18",
"threads":
[{
"thread_id": 8
},{
"thread_id": 12,
"up_time": 13206038203,
"create_time": -11644473599
}, {
"thread_id": 16,
"up_time": 13206038203,
"create_time": -11644473599
}],
"ppid": 0,
"unbacked_execute_region_count": 0
}]
Usuario de Hunt
Busca en la red a los usuarios que accedieron a su cuenta.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Extremos del SO principal | String | ventanas | Selecciona un sistema operativo (es decir, Windows, Linux o Mac) para filtrar la lista de extremos. Nota: Solo puedes crear una sola investigación para los endpoints que se ejecutan en el mismo sistema operativo. |
| Encontrar el nombre de usuario | String | N/A | CONFIGURACIÓN AVANZADA para esta búsqueda. Ingresa los nombres de usuario y separa las entradas con un punto y coma. |
| Nombre de dominio | String | N/A | CONFIGURACIÓN AVANZADA para esta búsqueda. Ingresa el nombre de dominio. |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Nombre de host
- Dirección IP
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| parent_name | Devuelve si existe en el resultado JSON. |
| dominio | Devuelve si existe en el resultado JSON. |
| exe | Devuelve si existe en el resultado JSON. |
| nombre | Devuelve si existe en el resultado JSON. |
| has_unbacked_execute_memory | Devuelve si existe en el resultado JSON. |
| pid | Devuelve si existe en el resultado JSON. |
| up_time | Devuelve si existe en el resultado JSON. |
| is_sensor | Devuelve si existe en el resultado JSON. |
| cmdline | Devuelve si existe en el resultado JSON. |
| parent_exe | Devuelve si existe en el resultado JSON. |
| unbacked_execute_byte_count | Devuelve si existe en el resultado JSON. |
| create_time | Devuelve si existe en el resultado JSON. |
| usuario | Devuelve si existe en el resultado JSON. |
| sid | Devuelve si existe en el resultado JSON. |
| threads | Devuelve si existe en el resultado JSON. |
| ppid | Devuelve si existe en el resultado JSON. |
| unbacked_execute_region_count | Devuelve si existe en el resultado JSON. |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[{
"parent_name": "System Idle Process",
"domain": "NT AUTHORITY",
"exe": "",
"name": "System",
"has_unbacked_execute_memory": false,
"pid": 4,
"up_time": 2384701,
"is_sensor": false,
"Cmdline":"",
"parent_exe": "",
"unbacked_execute_byte_count": 0,
"create_time": 1559179903,
"user": "SYSTEM",
"sid": "S-1-5-18",
"threads":
[{
"thread_id": 8
}, {
"thread_id": 12,
"up_time": 13206038203,
"create_time": -11644473599
}, {
"thread_id": 16,
"up_time": 13206038203,
"create_time": -11644473599
}],
"ppid": 0,
"unbacked_execute_region_count": 0
}]
Kill Process
Finaliza un proceso en un endpoint específico de Endgame.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Nombre del proceso | String | N/A | Ingresa el nombre del proceso |
| PID | String | N/A | Ingresa el ID del proceso. |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Nombre de host
- Dirección IP
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Inspección de red
Obtén información sobre las conexiones, la caché de DNS, NetBIOS, ARP y las tablas de rutas de un extremo específico de Endgame.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Cantidad máxima de elementos que se devolverán | String | 50 | Especifica cuántas ejecuciones automáticas se devolverán. |
| Incluye información de las entradas de ruta | Casilla de verificación | Marcado | Especifica que se obtenga información sobre las entradas de ruta. |
| Incluir información de NetBIOS | Casilla de verificación | Marcado | Especifica que se obtenga información sobre NetBIOS. |
| Incluir información de la caché de DNS | Casilla de verificación | Marcado | Especifica que se obtenga información sobre la caché de DNS. |
| Incluye información de la tabla de ARP | Casilla de verificación | Marcado | Especifica que se obtenga información sobre la tabla ARP. |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Nombre de host
- Dirección IP
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| conexiones | Devuelve si existe en el resultado JSON. |
| netbios_info | Devuelve si existe en el resultado JSON. |
| arp_table | Devuelve si existe en el resultado JSON. |
| route_table | Devuelve si existe en el resultado JSON. |
| dns_cache | Devuelve si existe en el resultado JSON. |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[{
"EntityResult":
{
"connections":
[{
"connection_type": "SOCK_STREAM",
"collection_id": "50e74bd2-1cd4-412c-a7fc-24cf1456e883",
"exe": "C:\\\\Windows\\\\System32\\\\test.exe",
"connection_status": "LISTEN",
"name": "test.exe",
"family": "ipv4",
"local_port": 111,
"remote_port": 0,
"pid": 700,
"remote_address": "0.0.0.0",
"create_time": 1583314664,
"connection_timestamp": 1583314664.0117714,
"local_address": "0.0.0.0",
"protocol": "tcp",
"hashes":
{
"sha256": "5d00bbeb147e0c838a622fc42c543b2913d57eaca4e69d9a37ed61e98c819347", "md5": "8497852ed44aff902d502015792d315d",
"sha1": "800a4c2e524fc392c45748eae1691fa01d24ea4c"
},
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
}],
"netbios_info":
[{
"comment": "",
"name": "PC-01",
"version_major": 10,
"netbios_neighbor_type": 8392747,
"platform": "WINDOWS NT",
"version_minor": 0
}],
"arp_table":
[{
"connection_type": "SOCK_STREAM",
"collection_id": "50e74bd2-1cd4-412c-a7fc-24cf1456e883",
"exe": "C:\\\\Windows\\\\System32\\\\test.exe",
"connection_status": "LISTEN",
"name": "test.exe",
"family": "ipv4",
"local_port": 111,
"remote_port": 0,
"pid": 700,
"remote_address": "0.0.0.0",
"create_time": 1583314664,
"connection_timestamp": 1583314664.0117714,
"local_address": "0.0.0.0",
"protocol": "tcp",
"hashes": {"sha256": "5d00bbeb147e0c838a622fc42c543b2913d57eaca4e69d9a37ed61e98c819347", "md5": "8497852ed44aff902d502015792d315d",
"sha1": "800a4c2e524fc392c45748eae1691fa01d24ea4c"},
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
}],
"route_table":
[{
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"family": "ipv4",
"destination": "0.0.0.0",
"netmask": "0.0.0.0",
"collection_id": "50e74bd2-1cd4-412c-a7fc-24cf1456e883",
"interface_name": "Ethernet0",
"gateway": "1.1.1.1"
}],
"dns_cache":
[{
"name": "test.ms",
"dns_record_type": "A",
"ttl": 0,
"collection_id": "50e74bd2-1cd4-412c-a7fc-24cf1456e883",
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"query_error": 9701
}]
},
"Entity": "PC-01"
}]
Ping
Prueba la conectividad con el servidor de Endgame.
Parámetros
N/A
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Encuesta sobre el proceso
Obtén información sobre los procesos en ejecución en un extremo específico de Endgame.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Cantidad máxima de elementos que se devolverán | String | 50 | Especifica la cantidad de elementos que se devolverán. |
| Detecta ataques sin archivos (solo para Windows) | Casilla de verificación | Desmarcado | Especifica que se detecten ataques sin archivos. Solo para Windows. |
| Cómo detectar software malicioso con MalwareScore (solo para Windows) | Casilla de verificación | Desmarcado | Especifica que se detecten procesos de software malicioso con MalwareScore. Solo para Windows. |
| Recopila subprocesos | Casilla de verificación | Desmarcado | Especifica que se incluya información sobre la cantidad de subprocesos en la respuesta. |
| Devuelve solo los procesos sospechosos | Casilla de verificación | Marcado | Especifica que solo se devuelvan los procesos sospechosos del endpoint. Según la definición de Endgame, los procesos sospechosos son procesos ejecutables sin respaldo. |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Nombre de host
- Dirección IP
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| dominio | Devuelve si existe en el resultado JSON. |
| name_suspicious | Devuelve si existe en el resultado JSON. |
| pid | Devuelve si existe en el resultado JSON. |
| name_uncommon_path | Devuelve si existe en el resultado JSON. |
| repeat_offender | Devuelve si existe en el resultado JSON. |
| cmdline | Devuelve si existe en el resultado JSON. |
| create_time | Devuelve si existe en el resultado JSON. |
| parent_name | Devuelve si existe en el resultado JSON. |
| has_unbacked_execute_memory | Devuelve si existe en el resultado JSON. |
| sid | Devuelve si existe en el resultado JSON. |
| ppid | Devuelve si existe en el resultado JSON. |
| up_time | Devuelve si existe en el resultado JSON. |
| unbacked_execute_region_count | Devuelve si existe en el resultado JSON. |
| is_sensor | Devuelve si existe en el resultado JSON. |
| threads | Devuelve si existe en el resultado JSON. |
| usuario | Devuelve si existe en el resultado JSON. |
| collection_id | Devuelve si existe en el resultado JSON. |
| parent_exe | Devuelve si existe en el resultado JSON. |
| exe | Devuelve si existe en el resultado JSON. |
| nombre | Devuelve si existe en el resultado JSON. |
| unbacked_execute_byte_count | Devuelve si existe en el resultado JSON. |
| machine_id | Devuelve si existe en el resultado JSON. |
| unbacked_execute_region_count | Devuelve si existe en el resultado JSON. |
| tty_device_minor_number | Devuelve si existe en el resultado JSON. |
| uid | Devuelve si existe en el resultado JSON. |
| name_suspicious | Devuelve si existe en el resultado JSON. |
| phys_memory_bytes | Devuelve si existe en el resultado JSON. |
| pid | Devuelve si existe en el resultado JSON. |
| env_variables | Devuelve si existe en el resultado JSON. |
| repeat_offender | Devuelve si existe en el resultado JSON. |
| cmdline | Devuelve si existe en el resultado JSON. |
| create_time | Devuelve si existe en el resultado JSON. |
| tty_device_major_number | Devuelve si existe en el resultado JSON. |
| parent_name | Devuelve si existe en el resultado JSON. |
| grupo | Devuelve si existe en el resultado JSON. |
| cpu_percent | Devuelve si existe en el resultado JSON. |
| has_unbacked_execute_memory | Devuelve si existe en el resultado JSON. |
| gid | Devuelve si existe en el resultado JSON. |
| sha256 | Devuelve si existe en el resultado JSON. |
| cwd | Devuelve si existe en el resultado JSON. |
| exe | Devuelve si existe en el resultado JSON. |
| up_time | Devuelve si existe en el resultado JSON. |
| short_name | Devuelve si existe en el resultado JSON. |
| tty_device_name | Devuelve si existe en el resultado JSON. |
| is_sensor | Devuelve si existe en el resultado JSON. |
| sha1 | Devuelve si existe en el resultado JSON. |
| threads | Devuelve si existe en el resultado JSON. |
| name_uncommon_path | Devuelve si existe en el resultado JSON. |
| collection_id | Devuelve si existe en el resultado JSON. |
| md5 | Devuelve si existe en el resultado JSON. |
| argv_list | Devuelve si existe en el resultado JSON. |
| num_threads | Devuelve si existe en el resultado JSON. |
| usuario | Devuelve si existe en el resultado JSON. |
| virt_memory_bytes | Devuelve si existe en el resultado JSON. |
| nombre | Devuelve si existe en el resultado JSON. |
| session_id | Devuelve si existe en el resultado JSON. |
| memory_percent | Devuelve si existe en el resultado JSON. |
| machine_id | Devuelve si existe en el resultado JSON. |
| unbacked_execute_byte_count | Devuelve si existe en el resultado JSON. |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[{
"EntityResult":
[{
"domain": "NT AUTHORITY",
"name_suspicious": false,
"pid": 4,
"name_uncommon_path": false,
"repeat_offender": false,
"cmdline": "",
"create_time": 1583314654,
"parent_name": "System Idle Process",
"has_unbacked_execute_memory": false,
"sid": "S-1-5-18",
"ppid": 0,
"up_time": 342643,
"unbacked_execute_region_count": 0,
"is_sensor": false,
"threads":
[{ "thread_id": 12,
"up_time": 13228130896,
"create_time": -11644473599
},
{
"thread_id": 16,
"up_time": 13228130896,
"create_time": -11644473599
}],
"user": "SYSTEM",
"collection_id": "ac1fb296-db5a-4426-b32e-292e4a50188d",
"parent_exe": "",
"exe": "",
"name": "System",
"unbacked_execute_byte_count": 0,
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
}],
"Entity": "PC-01"
},
{
"EntityResult":
[{
"unbacked_execute_region_count": 0,
"tty_device_minor_number": 0,
"uid": 0,
"name_suspicious": false,
"phys_memory_bytes": 8900608,
"pid": 1,
"env_variables":
[ "HOME=/",
"init=/sbin/init",
"NETWORK_SKIP_ENSLAVED=",
"recovery=",
"TERM=linux",
"drop_caps=",
"BOOT_IMAGE=/vmlinuz-4.15.0-88-generic",
"PATH=/sbin:/usr/sbin:/bin:/usr/bin",
"PWD=/", "rootmnt=/root" ],
"repeat_offender": false,
"cmdline": "/sbin/init maybe-ubiquity",
"create_time": 1583632302,
"tty_device_major_number": 0,
"parent_name": "",
"group": "root",
"cpu_percent": 0,
"has_unbacked_execute_memory": false,
"gid": 0,
"sha256": "3a14ff4b18505543eda4dccb054aa5860478a95ed0cac76da392f3472da3ad67",
"cwd": "/",
"exe": "/lib/systemd/systemd",
"up_time": 24942,
"short_name": "systemd",
"tty_device_name": "",
"is_sensor": false,
"sha1": "e016f80b87101a74b52d15ce2726560a6e128b60",
"threads": [{"thread_id": 1}],
"name_uncommon_path": false,
"collection_id": "bcb6b33a-0ffb-4e72-818a-1731024dfd79",
"md5": "ca563cf817f03ed7d01a6462818a5791",
"argv_list": ["/sbin/init", "maybe-ubiquity"],
"num_threads": 1,
"ppid": 0,
"virt_memory_bytes": 79818752,
"name": "systemd",
"session_id": 1,
"memory_percent": 0.21517109870910645,
"parent_exe": "",
"unbacked_execute_byte_count": 0,
"machine_id": "5ae8ddd9-9339-ae4b-ccf7-5ed68f38b3a9",
"user": "root"
}],
"Entity": "PC-202"
}]
Encuesta sobre medios extraíbles (solo para Windows)
DObtiene información sobre los medios extraíbles de un endpoint específico de Endgame.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Cantidad máxima de elementos que se devolverán | String | 50 | Especifica la cantidad de elementos que se devolverán. |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Nombre de host
- Dirección IP
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| nombre | Devuelve si existe en el resultado JSON. |
| is_storage_device | Devuelve si existe en el resultado JSON. |
| vendor_id | Devuelve si existe en el resultado JSON. |
| collection_id | Devuelve si existe en el resultado JSON. |
| last_connect_time | Devuelve si existe en el resultado JSON. |
| serial_number | Devuelve si existe en el resultado JSON. |
| machine_id | Devuelve si existe en el resultado JSON. |
| is_connected | Devuelve si existe en el resultado JSON. |
| product_id | Devuelve si existe en el resultado JSON. |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[{
"EntityResult":
[{ "name": "USB Composite Device",
"is_storage_device": false,
"vendor_id": "0E0F",
"collection_id": "fbe61b16-e6b2-4595-8409-abf4ce15fa85",
"last_connect_time": 1552596043.0610971,
"serial_number": "6&35D1F50B&0&1",
"machine_id": "a4c05d5a-7ebc-c3ab-1beb-f1fe517768d8",
"is_connected": false,
"product_id": "0003"
}],
"Entity": "PC-01"
}]
Encuesta de software (solo para Windows)
Obtén información sobre un software instalado en un endpoint específico de Endgame.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Cantidad máxima de elementos que se devolverán | String | 50 | Especifica la cantidad de elementos que se devolverán. |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Nombre de host
- Dirección IP
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| publicador | Devuelve si existe en el resultado JSON. |
| machine_id | Devuelve si existe en el resultado JSON. |
| paquete | Devuelve si existe en el resultado JSON. |
| install_date | Devuelve si existe en el resultado JSON. |
| version | Devuelve si existe en el resultado JSON. |
| collection_id | Devuelve si existe en el resultado JSON. |
| installed_for | Devuelve si existe en el resultado JSON. |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[{
"EntityResult":
[{
"publisher": "John Doe",
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"package": "Test",
"install_date": "20191008",
"version": "18.06",
"collection_id": "fc079e17-8a2e-40d9-94c9-b974e5534e58",
"installed_for": "allUsers"
}],
"Entity": "PC-01"
}]
Encuesta del sistema
Obtiene información del sistema en un solo extremo de Endgame, como el uso de memoria, el DNS y el SO.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Cantidad máxima de elementos que se devolverán | String | 50 | Especifica la cantidad de elementos que se devolverán. |
| Incluye información del producto de seguridad (solo para Windows) | Casilla de verificación | Marcado | Especifica que se obtenga información sobre los productos de seguridad instalados en el endpoint (solo para Windows). |
| Incluir información del parche (solo para Windows) | Casilla de verificación | Marcado | Especifica que se obtenga información sobre los parches (solo para Windows). |
| Incluye la información del disco | Casilla de verificación | Marcado | Especifica que se obtenga información sobre los discos. |
| Incluye información de la interfaz de red | Casilla de verificación | Marcado | Especifica que se obtenga información sobre las interfaces de red. |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Nombre de host
- Dirección IP
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| patches_info | Devuelve si existe en el resultado JSON. |
| Disks_info | Devuelve si existe en el resultado JSON. |
| network_interfaces | Devuelve si existe en el resultado JSON. |
| Os_info | Devuelve si existe en el resultado JSON. |
| installed_security_products | Devuelve si existe en el resultado JSON. |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[{
"EntityResult":
{
"patches_info":
[{
"collection_id": "f7d a62bb-318d-40c1-a490-85979c0c9ede",
"installed_on": "2/3/2018",
"hotfix_id": "KB4049065",
"machine_id": "870499c3-d6bf-8edd-972d-f2f6621dd971"
}],
"Disks_info":
[{
"disk_id": "\\\\Device\\\\HarddiskVolume2",
"fstype": "NTFS",
"disk_total": 15579738112,
"disk_free": 1219571712,
"collection_id": "a27ebace-32ec-4257-ab4f-7da49f02a9d4",
"device": "\\\\Device\\\\HarddiskVolume2",
"path": "C:\\\\",
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
}],
"network_interfaces":
[{
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"mac_address": "01:23:45:ab:cd:ef",
"ipv4_addresses": ["1.1.1.1"],
"ipv6_addresses": ["1111::1111:1111:1111:1111"],
"collection_id": "a27ebace-32ec-4257-ab4f-7da49f02a9d4",
"smp_interface": true,
"interface_name": "Ethernet0"
}],
"Os_info":
[{
"memory":
{ "ram_free": 1240039424,
"page_percent_used": 36.89334358507761,
"page_total": 2818101248,
"ram_percent_used": 42.24349594504104,
"ram_total": 2147012608,
"ram_used": 906973184,
"page_used": 1039691776,
"page_free": 1778409472
},
"doc_type": "collection",
"domain": "PC-01.test.com",
"endpoint":
{ "status": "unmonitored",
"ad_distinguished_name":
"CN=PC_01,OU=TESTOU,OU=Organization,DC=test,DC=com",
"ad_hostname": "test.com",
"operating_system": "Windows 10.0 ",
"name": "PC-01",
"display_operating_system": "Windows 10 (v1511)",
"hostname": "PC-01",
"updated_at": "2020-03-08T08:27:22.919880+00:00",
"mac_address": "01:23:45:ab:cd:ef",
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"ip_address": "1.1.1.1",
"id": "b23c8a14-69e0-4966-b78a-c9fba4fdd934"
},
"investigation_id": "85cff906-8b39-4a37-aa05-84950c9b2a02",
"hostname": "PC-01",
"bulk_task_id": null,
"original_machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"os_version":
{
"os_minor": 0,
"os_is_server": false,
"os_major": 10,
"os_build_number": 10586,
"os_service_pack": ""
},
"correlation_id": "7e17de5a-abcb-4de0-a510-7ca79bfdc345",
"architecture": "x64",
"sensor_info":
{
"malware_feature_version": "3.0.0",
"sensor_build_time": "1581375786",
"sensor_commit_sha": "80af56b6b295de785e502d82f39deac34973b2dd",
"sensor_build_number": 48,
"sensor_version": "3.53.9"
},
"time":
{
"tz_observes_dst": true,
"tz_currently_in_dst": false,
"tz_name": "Pacific Standard Time",
"tz_offset_minutes": 480
},
"os_type": "windows",
"ad_info":
{
"distinguished_name": "CN=PC-01,OU=TESTOU,OU=Organization,DC=test,DC=com",
"domain_hostname": "test.com"
},
"origination_task_id": "d3d67012-cfb1-47d0-8ec9-bf7ffb68a019"
}],
"installed_security_products":
[{
"security_product_type": "AntiVirus",
"collection_id": "a27ebace-32ec-4257-ab4f-7da49f02a9d4",
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"enabled": false, "name": "Windows Defender"
}]
},
"Entity": "PC-01"
}]
Encuesta sobre las sesiones de usuario
Obtén información sobre las sesiones de usuarios activos en un extremo específico de Endgame.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Cantidad máxima de elementos que se devolverán | String | 50 | Especifica la cantidad de elementos que se devolverán. |
Fecha de ejecución
- Nombre de host
- Dirección IP
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| nombre de usuario | Devuelve si existe en el resultado JSON. |
| shell | Devuelve si existe en el resultado JSON. |
| uid | Devuelve si existe en el resultado JSON. |
| comenzó | Devuelve si existe en el resultado JSON. |
| Nombre de host | Devuelve si existe en el resultado JSON. |
| host_ip | Devuelve si existe en el resultado JSON. |
| session_id | Devuelve si existe en el resultado JSON. |
| session_count | Devuelve si existe en el resultado JSON. |
| terminal | Devuelve si existe en el resultado JSON. |
| finalizó | Devuelve si existe en el resultado JSON. |
| gid | Devuelve si existe en el resultado JSON. |
| collection_id | Devuelve si existe en el resultado JSON. |
| machine_id | Devuelve si existe en el resultado JSON. |
| comenzó | Devuelve si existe en el resultado JSON. |
| password_last_set | Devuelve si existe en el resultado JSON. |
| logon_type | Devuelve si existe en el resultado JSON. |
| sid | Devuelve si existe en el resultado JSON. |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[{
"EntityResult":
[{
"username": "endgame",
"shell": "/opt/endgame/bin/console",
"uid": 1000,
"started": 1582554802.55514,
"hostname": "",
"host_ip": "",
"session_id": 887,
"session_count": 1,
"terminal": "tty1",
"ended": 0,
"gid": 1000,
"collection_id": "1aebade8-9f7b-4237-8c43-2aed8729511e",
"machine_id": "827255f4-53a2-1823-cac0-7c0f7730ca26"
}],
"Entity": "PC-01"
}, {
"EntityResult":
[{
"username": "example",
"domain": "3B",
"started": 1580205134.001,
"session_count": 1,
"ended": 0,
"password_last_set": 0,
"logon_type": "interactive",
"sid": "",
"collection_id": "88b876b1-5063-40a8-b40e-440df5eb8952",
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
}],
"Entity": "PC-02"
}
Conectores
Si quieres obtener instrucciones detalladas para configurar un conector en Google SecOps, consulta Cómo configurar el conector.
Conector de Endgame
Usa los siguientes parámetros para configurar el conector:
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| DeviceProductField | String | device_product | Es el nombre del campo que se usa para determinar el producto del dispositivo. |
| EventClassId | String | event_name | Nombre del campo que se usa para determinar el nombre del evento (subtipo) |
| PythonProcessTimeout | String | 30 | Es el límite de tiempo de espera (en segundos) para el proceso de Python que ejecuta la secuencia de comandos actual. |
| Raíz de la API | String | N/A | N/A |
| Nombre de usuario | String | N/A | N/A |
| Contraseña | Contraseña | N/A | N/A |
| Verificar SSL | Casilla de verificación | Desmarcado | N/A |
| Máx. de días hacia atrás | String | N/A | N/A |
| Nombre del campo del entorno | String | N/A | Si se define, el conector extrae el entorno del campo de evento especificado. Puedes manipular los datos del campo con el campo de patrón de expresión regular para extraer una cadena específica. |
| Límite de recuento de alertas | String | N/A | N/A |
| Dirección del servidor proxy | String | N/A | Es la dirección del servidor proxy que se usará. |
| Nombre de usuario del proxy | String | N/A | Nombre de usuario del proxy con el que se realizará la autenticación. |
| Contraseña de proxy | Contraseña | N/A | Contraseña del proxy para la autenticación. |
Reglas del conector
El conector admite proxy.
El conector admite la lista dinámica.
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.