Endgame
Version de l'intégration : 9.0
Intégrer Endgame à Google Security Operations
Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Actions
Enrichir les entités
Enrichissez les entités hôtes et adresses IP Google SecOps en fonction des informations d'Endgame.
Paramètres
N/A
Cas d'utilisation
Cette action peut être utilisée dans les playbooks qui examinent l'activité sur les appareils. Si l'agent Endgame est installé sur l'appareil, l'action extrait les informations Endgame sur l'appareil pour enrichir les entités Google SecOps.
Date d'exécution
Cette action s'applique aux entités suivantes :
- Hôte
- Adresse IP
Résultats de l'action
Enrichissement d'entités
| Nom du champ d'enrichissement | Logique : quand l'appliquer ? |
|---|---|
| Endgame_Domain | Toujours |
| Endgame_endpoint_id | Toujours |
| Endgame_hostname | Toujours |
| Endgame_sensors_status | Toujours |
| Endgame_sensors_id | Toujours |
| Endgame_sensors_status | Toujours |
| Endgame_sensors_id | Toujours |
| Endgame_policy_status | Toujours |
| Endgame_policy_name | Toujours |
| Endgame_policy_id | Toujours |
| Endgame_is_isolated | Toujours |
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"data": [
{
"domain": "InstallerInitiated",
"updated_at": "2019-11-01T05:42:08.149079+00:00",
"id": "1682418d-02ff-43cd-a730-bcae8215a514",
"display_operating_system": "CentOS 7.6",
"hostname": "example",
"mac_address": "01:23:45:ab:cd:ef",
"upgrade_status": "",
"base_image": false,
"isolation_updated_at": null,
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [
{
"id": "a0927aeb-915a-466d-a5eb-5d7b6f9217c5",
"name": "BLUE TEAM"
},
{
"id": "bede2f24-593c-45e4-9863-9c2438f0f163",
"name": "SOC"
},
{
"id": "fc2dfcc8-9329-4f33-86a2-877bfb27575e",
"name": "CORE ENV"
}
],
"isolation_request_status": null,
"alert_count": 0,
"investigation_count": 0,
"groups": [
{
"is_dynamic": false,
"count": 4,
"id": "c1af3cd6-2638-4144-842d-adc9cfb67fb9",
"name": "SOC"
}
],
"sensors": [
{
"status": "monitored",
"sensor_version": "3.52.12",
"policy_status": "successful",
"policy_name": "Lab (Detect-Only)",
"sensor_type": "hunt",
"id": "fbb87923-a833-5581-a160-7f4f85a21bd0",
"policy_id": "a1d72bce-1f61-4ba8-bcd4-dfa97148335f"
}
],
"ip_address": "192.0.2.1",
"is_isolated": false,
"operating_system": "Linux 3.10.0-957.27.2.el7.x86_64",
"name": "example",
"status_changed_at": "2020-01-07T08:15:11.865854+00:00",
"core_os": "linux",
"created_at": "2019-03-19T05:07:50.598837+00:00",
"error": null,
"machine_id": "827255f4-53a2-1823-cac0-7c0f7730ca26"
},
{
"domain": "InstallerInitiated",
"updated_at": "2019-11-01T05:42:09.150756+00:00",
"id": "12c3530d-657f-4ccd-835e-6df9affeed3d",
"display_operating_system": "Ubuntu 18.04.3",
"hostname": "example",
"mac_address": "01:23:45:ab:cd:ef",
"upgrade_status": "",
"base_image": false,
"isolation_updated_at": null,
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [],
"isolation_request_status": null,
"alert_count": 0,
"investigation_count": 0,
"groups": [
{
"is_dynamic": false,
"count": 4,
"id": "c1af3cd6-2638-4144-842d-adc9cfb67fb9",
"name": "SOC"
}
],
"sensors": [
{
"status": "monitored",
"sensor_version": "3.52.12",
"policy_status": "successful",
"policy_name": "Lab (Detect-Only)",
"sensor_type": "hunt",
"id": "dc2e35cc-0c87-5a60-8fc8-de23ef747d02",
"policy_id": "a1d72bce-1f61-4ba8-bcd4-dfa97148335f"
}
],
"ip_address": "192.0.2.1",
"is_isolated": false,
"operating_system": "Linux 4.15.0-72-generic",
"name": "example",
"status_changed_at": "2020-01-07T08:15:16.875375+00:00",
"core_os": "linux",
"created_at": "2019-09-20T21:34:51.966863+00:00",
"error": null,
"machine_id": "5ae8ddd9-9339-ae4b-ccf7-5ed68f38b3a9"
}
],
"metadata": {
"count": 38,
"previous_url": null,
"timestamp": "2020-01-07T18:09:43.765744",
"next": null,
"per_page": 50,
"next_url": null,
"transaction_id": "569cdc38-8c7a-4b93-af99-aaf907dc8dd6",
"previous": null
}
}
Lister les investigations
Lister les investigations Endgame.
Paramètres
| Paramètre | Type | Valeur par défaut | Description |
|---|---|---|---|
| OS | Chaîne | Solaris,Windows,macOS,Linux | Spécifiez l'OS pour lequel vous souhaitez lister les investigations. Le paramètre peut accepter plusieurs valeurs sous la forme d'une chaîne de valeurs séparées par une virgule. |
| Récupérer les investigations des X dernières heures | Int | N/A | Renvoie les investigations de retours créées pour la période spécifiée en heures. |
| Nombre maximal d'investigations à renvoyer | Int | N/A | Indiquez le nombre d'investigations pour lesquelles vous souhaitez interroger les données. |
Cas d'utilisation
Les investigations permettent de rechercher différents objets des points de terminaison, par exemple des processus, des adresses IP et des fichiers. Cette action permet à l'utilisateur de lister les investigations. Les analystes peuvent utiliser cette action pour s'assurer que toutes les investigations requises sont effectuées sur le système.
Date d'exécution
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"data": [
{
"created_by_chat": false,
"name": "Example User + 2020-01-08T13:47:51.334336_utc",
"core_os": "windows",
"created_at": "2020-01-08T13:47:51.340497+00:00",
"task_completion": {
"completed_tasks": 1,
"total_tasks": 1
},
"archived": false,
"created_by": {
"username": "admin",
"last_name": "User",
"is_active": true,
"is_editable": true,
"is_ldap": false,
"is_removable": false,
"timezone": null,
"id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"first_name": "Example",
"last_viewed_alert": "2020-01-07T09:24:22.925000",
"is_sso": false,
"is_superuser": true,
"role": {
"role": "Admin",
"id": "37e9e54e-0bb8-5058-9bd4-50a0d0fbea35",
"permissions": {
"endpoints.scan": true,
"sensor.admin.view": true,
"sensor.admin.update": true,
"endpoints.delete": true,
"endpoints.respond": true,
"search.search": true,
"sensor.admin.create": true,
"alerts.admin.forwardalerts": true,
"endpoints.tag": true,
"user.delete": true,
"endpoints.deploy": true,
"user.update": true,
"search.save": true,
"investigation.create": true,
"endpoints.view": true,
"user.view": true,
"sensor.admin.download": true,
"alerts.view": true,
"alerts.update": true,
"search.delete": true,
"sensor.admin.delete": true,
"endpoints.uninstall": true,
"investigation.view": true,
"admin": true,
"investigation.update": true,
"endpoints.changeconfiguration": true,
"user.create": true
}
},
"type": "Local",
"email": null
},
"updated_at": "2020-01-08T13:47:51.379966+00:00",
"created_by_user_display_name": "Example User",
"canceled_by_user_id": null,
"version": 2,
"endpoint_count": 1,
"assigned_to": {
"username": "admin",
"last_name": "User",
"is_active": true,
"is_editable": true,
"is_ldap": false,
"is_removable": false,
"timezone": null,
"id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"first_name": "Example",
"last_viewed_alert": "2020-01-07T09:24:22.925000",
"is_sso": false,
"is_superuser": true,
"role": {
"role": "Admin",
"id": "37e9e54e-0bb8-5058-9bd4-50a0d0fbea35",
"permissions": {
"endpoints.scan": true,
"sensor.admin.view": true,
"sensor.admin.update": true,
"endpoints.delete": true,
"endpoints.respond": true,
"search.search": true,
"sensor.admin.create": true,
"alerts.admin.forwardalerts": true,
"endpoints.tag": true,
"user.delete": true,
"endpoints.deploy": true,
"user.update": true,
"search.save": true,
"investigation.create": true,
"endpoints.view": true,
"user.view": true,
"sensor.admin.download": true,
"alerts.view": true,
"alerts.update": true,
"search.delete": true,
"sensor.admin.delete": true,
"endpoints.uninstall": true,
"investigation.view": true,
"admin": true,
"investigation.update": true,
"endpoints.changeconfiguration": true,
"user.create": true
}
},
"type": "Local",
"email": null
},
"id": "e0ad7613-daf6-435f-98f6-ce40eae01acc",
"canceled_by_user_display_name": null,
"user_display_name": "Example User",
"hunt_count": 1,
"is_canceled": false
}
],
"metadata": {
"count": 46,
"previous_url": null,
"timestamp": "2020-01-08T16:02:09.251511",
"next": 2,
"per_page": 1,
"next_url": "/api/v1/investigations/?per_page=1&page=2",
"previous": null
}
}
Obtenir les détails de l'investigation
Obtenez des informations sur une investigation Endgame spécifique.
Paramètres
| Paramètre | Type | Valeur par défaut | Description |
|---|---|---|---|
| ID de l'investigation | Chaîne | N/A | Spécifiez l'ID de l'enquête Endgame à rechercher. |
Cas d'utilisation
Les investigations permettent de rechercher différents objets des points de terminaison, par exemple des processus, des adresses IP et des fichiers. Cette action permet à l'utilisateur d'obtenir plus d'informations sur des investigations spécifiques. Les analystes peuvent utiliser cette action pour s'assurer que toutes les tâches requises ont été effectuées sur le système.
Date d'exécution
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"data": {
"tasks": [
"6500673c-d246-41a3-882d-d3a339f28497"
],
"user_display_name": "Example User",
"task_types": [
"Process Survey"
],
"task_completion": {
"completed_tasks": 1,
"total_tasks": 1
},
"updated_at": "2020-01-06T13:30:33.851816+00:00",
"created_by_user_display_name": "Example User",
"id": "54caeedc-d6b0-4ca0-8f64-8798d1c34d54",
"task_completions_by_type": {
"Process Survey": {
"completed_tasks": 1,
"task_type_id": "2fbf0c36-5160-5c31-99ec-0fa5880c6bd1",
"total_tasks": 1
}
},
"archived": false,
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"is_canceled": false,
"created_by": {
"username": "admin",
"last_name": "User",
"is_active": true,
"is_editable": true,
"is_ldap": false,
"is_removable": false,
"timezone": null,
"id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"first_name": "Example",
"last_viewed_alert": "2020-01-06T09:27:04.097000",
"is_sso": false,
"is_superuser": true,
"role": {
"role": "Admin",
"id": "37e9e54e-0bb8-5058-9bd4-50a0d0fbea35",
"permissions": {
"endpoints.scan": true,
"sensor.admin.view": true,
"sensor.admin.update": true,
"endpoints.delete": true,
"endpoints.respond": true,
"search.search": true,
"sensor.admin.create": true,
"alerts.admin.forwardalerts": true,
"endpoints.tag": true,
"user.delete": true,
"endpoints.deploy": true,
"user.update": true,
"search.save": true,
"investigation.create": true,
"endpoints.view": true,
"user.view": true,
"sensor.admin.download": true,
"alerts.view": true,
"alerts.update": true,
"search.delete": true,
"sensor.admin.delete": true,
"endpoints.uninstall": true,
"investigation.view": true,
"admin": true,
"investigation.update": true,
"endpoints.changeconfiguration": true,
"user.create": true
}
},
"type": "Local",
"email": null
},
"hunt_count": 1,
"canceled_by_user_id": null,
"version": 2,
"endpoint_count": 1,
"canceled_by_user_display_name": null,
"created_by_user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"created_by_chat": false,
"sensors": [
"8eef6873-6db7-58ab-a1ca-68dc19b54117"
],
"name": "Example User + 2020-01-06T13:30:33.808543_utc",
"core_os": "windows",
"created_at": "2020-01-06T13:30:33.813747+00:00",
"assigned_to": {
"username": "admin",
"last_name": "User",
"is_active": true,
"is_editable": true,
"is_ldap": false,
"is_removable": false,
"timezone": null,
"id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"first_name": "Example",
"last_viewed_alert": "2020-01-06T09:27:04.097000",
"is_sso": false,
"is_superuser": true,
"role": {
"role": "Admin",
"id": "37e9e54e-0bb8-5058-9bd4-50a0d0fbea35",
"permissions": {
"endpoints.scan": true,
"sensor.admin.view": true,
"sensor.admin.update": true,
"endpoints.delete": true,
"endpoints.respond": true,
"search.search": true,
"sensor.admin.create": true,
"alerts.admin.forwardalerts": true,
"endpoints.tag": true,
"user.delete": true,
"endpoints.deploy": true,
"user.update": true,
"search.save": true,
"investigation.create": true,
"endpoints.view": true,
"user.view": true,
"sensor.admin.download": true,
"alerts.view": true,
"alerts.update": true,
"search.delete": true,
"sensor.admin.delete": true,
"endpoints.uninstall": true,
"investigation.view": true,
"admin": true,
"investigation.update": true,
"endpoints.changeconfiguration": true,
"user.create": true
}
},
"type": "Local",
"email": null
},
"endpoints": [
"b23c8a14-69e0-4966-b78a-c9fba4fdd934"
]
},
"metadata": {
"timestamp": "2020-01-06T14:00:53.716517"
}
}
Obtenir la configuration d'isolation de l'hôte
Obtenez la configuration d'isolation de l'hôte définie dans Endgame.
Paramètres
N/A
Cas d'utilisation
Cette action permet d'obtenir des informations sur la configuration de l'isolation de l'hôte. Cette configuration permet aux hôtes isolés de se connecter aux adresses IP listées. Les analystes peuvent utiliser cette action pour vérifier que toutes les adresses IP requises figurent dans la configuration d'isolation de l'hôte.
Date d'exécution
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"data": [
{
"id": "47999eeb-f076-5aca-a7cc-56bf7ac2b647",
"comments": [
{
"comment": "Testing API",
"entity_id": "47999eeb-f076-5aca-a7cc-56bf7ac2b647",
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"entity_type": "whitelisted_ip",
"created_at": "2020-01-07T15:59:56Z",
"updated_at": "2020-01-07T15:59:56Z",
"id": 547,
"activity_type": "comment"
}
],
"addr": "192.0.2.1/30"
},
{
"id": "6ab5575c-718e-5e24-bd4d-77e0694ad6fc",
"comments": [
{
"comment": "Testing API",
"entity_id": "6ab5575c-718e-5e24-bd4d-77e0694ad6fc",
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"entity_type": "whitelisted_ip",
"created_at": "2020-01-07T15:58:29Z",
"updated_at": "2020-01-07T15:58:29Z",
"id": 545,
"activity_type": "comment"
}
],
"addr": "192.0.2.11/32"
},
{
"id": "72bdf5d2-4cc6-5ccf-9787-a539fae9c517",
"comments": [
{
"comment": "CIDR Test",
"entity_id": "72bdf5d2-4cc6-5ccf-9787-a539fae9c517",
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"entity_type": "whitelisted_ip",
"created_at": "2020-01-07T15:58:04Z",
"updated_at": "2020-01-07T15:58:04Z",
"id": 543,
"activity_type": "comment"
}
],
"addr": "198.51.100.1/32"
},
{
"id": "5aa89c8f-a535-5876-840c-af33a7ec1419",
"comments": [
{
"comment": "Testing API",
"entity_id": "5aa89c8f-a535-5876-840c-af33a7ec1419",
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"entity_type": "whitelisted_ip",
"created_at": "2020-01-07T15:57:24Z",
"updated_at": "2020-01-07T15:57:24Z",
"id": 541,
"activity_type": "comment"
}
],
"addr": "198.51.100.10"
},
{
"id": "06461575-700b-596d-8662-7ea0aff28e9c",
"comments": [
{
"comment": "Test Isolation",
"entity_id": "06461575-700b-596d-8662-7ea0aff28e9c",
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"entity_type": "whitelisted_ip",
"created_at": "2020-01-07T15:55:21Z",
"updated_at": "2020-01-07T15:55:21Z",
"id": 539,
"activity_type": "comment"
}
],
"addr": "203.0.113.1"
}
],
"metadata": {
"count": 5,
"previous_url": null,
"timestamp": "2020-01-07T16:00:19.754687",
"next": null,
"per_page": 10,
"next_url": null,
"previous": null
}
}
Ajouter un sous-réseau IP à la configuration d'isolation de l'hôte
Ajoutez un sous-réseau IP à la configuration d'isolation de l'hôte définie dans Endgame.
Paramètres
| Paramètre | Type | Valeur par défaut | Description |
|---|---|---|---|
| Sous-réseau IP | Chaîne | N/A | Saisissez le sous-réseau IPv4 que vous souhaitez ajouter à la configuration d'isolation de l'hôte. |
| Description | Chaîne | N/A | Saisissez la description du sous-réseau IP. |
| Créer un insight | Case à cocher | décoché | Si cette option est activée, un insight est créé une fois cette action exécutée. |
Cas d'utilisation
Cette action permet d'obtenir des informations sur la configuration de l'isolation de l'hôte. Cette configuration permet aux hôtes isolés de se connecter aux sous-réseaux IP qui y sont listés. Les analystes peuvent utiliser cette action pour ajouter les sous-réseaux IP requis à la configuration d'isolation de l'hôte.
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Insights
Si un sous-réseau IP a été ajouté à la configuration d'isolation de l'hôte à l'aide d'Endgame, créez un insight pour l'indiquer.
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Supprimer un sous-réseau IP de la configuration d'isolation de l'hôte
Supprimez un sous-réseau IP de la configuration d'isolation de l'hôte définie dans Endgame.
Paramètres
| Paramètre | Type | Valeur par défaut | Description |
|---|---|---|---|
| Sous-réseau IP | Chaîne | N/A | Saisissez le sous-réseau IPv4 que vous souhaitez ajouter à la configuration d'isolation de l'hôte. |
| Créer un insight | Case à cocher | décoché | Si cette option est activée, un insight est créé une fois cette action exécutée. |
Cas d'utilisation
Cette action permet d'obtenir des informations sur la configuration de l'isolation de l'hôte. Cette configuration permet aux hôtes isolés de se connecter aux sous-réseaux IP qui y sont listés. Les analystes peuvent utiliser cette action pour supprimer les sous-réseaux IP qui ne sont plus nécessaires de la configuration d'isolation de l'hôte.
Date d'exécution
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Insights
Si un sous-réseau IP a été supprimé de la configuration d'isolation de l'hôte à l'aide d'Endgame, créez un insight pour l'indiquer.
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Collecter Autoruns (Windows uniquement)
Collectez les autoruns à partir du point de terminaison Endgame.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Description |
|---|---|---|---|
| Nombre maximal d'éléments à renvoyer | Integer | 1000 | Indiquez le nombre d'exécutions automatiques à renvoyer. |
| Catégorie "Tous" | Case à cocher | Cochée | Si cette option est activée, recherchez toutes les catégories d'exécution automatique. |
| Catégorie "Groupe audiovisuel" | Case à cocher | Décochée | Si elle est activée, recherchez la catégorie d'exécution automatique "Fournisseur de réseau". |
| Catégorie "Office" | Case à cocher | Décochée | Si elle est activée, recherchez la catégorie d'exécution automatique "Office". |
| Catégorie "Pilote" | Case à cocher | Décochée | Si elle est activée, recherchez la catégorie d'exécution automatique "Driver". |
| Catégorie "Initialisation de l'application" | Case à cocher | Décochée | Si elle est activée, recherchez la catégorie d'exécution automatique "App Init" (Initialisation de l'application). |
| Catégorie "Winlogon" | Case à cocher | Décochée | Si cette option est activée, recherchez la catégorie d'exécution automatique "Winlogon". |
| Catégorie "Print Monitor" (Surveillance des impressions) | Case à cocher | Décochée | Si elle est activée, recherchez la catégorie d'exécution automatique "Print Monitor" (Moniteur d'impression). |
| Catégorie "Facilité d'accès" | Case à cocher | Décochée | Si elle est activée, recherchez la catégorie d'exécution automatique "Ease of Access" (Facilité d'accès). |
| Catégorie "WMI" | Case à cocher | Décochée | Si elle est activée, recherchez la catégorie d'exécution automatique "WMI". |
| Catégorie "Fournisseur de SLA" | Case à cocher | Décochée | Si elle est activée, recherchez la catégorie d'exécution automatique "Fournisseur LSA". |
| Catégorie "Service" | Case à cocher | Décochée | Si elle est activée, recherchez la catégorie d'exécution automatique "Service". |
| Catégorie "Bits" | Case à cocher | Décochée | Si elle est activée, recherchez la catégorie d'exécution automatique "Bits". |
| Catégorie "Known dll" (DLL connues) | Case à cocher | Décochée | Si elle est activée, recherchez la catégorie d'exécution automatique "Known dll". |
| Catégorie "Fournisseur d'impression" | Case à cocher | Décochée | Si elle est activée, recherchez la catégorie d'exécution automatique "Fournisseur d'impression". |
| Catégorie "Image Hijack" | Case à cocher | Décochée | Si elle est activée, recherchez la catégorie d'exécution automatique "Image Hijack". |
| Catégorie "Dossier de démarrage" | Case à cocher | Décochée | Si elle est activée, recherchez la catégorie d'exécution automatique "Startup Folder" (Dossier de démarrage). |
| Catégorie "Internet Explorer" | Case à cocher | Décochée | Si elle est activée, recherchez la catégorie d'exécution automatique "Internet Explorer". |
| Catégorie "Codec" | Case à cocher | Décochée | Si elle est activée, recherchez la catégorie d'exécution automatique "Codec". |
| Catégorie "Connexion" | Case à cocher | Décochée | Si elle est activée, recherchez la catégorie d'exécution automatique "Logon" (Connexion). |
| Catégorie "Détournement de l'ordre de recherche" | Case à cocher | Décochée | Si elle est activée, recherchez la catégorie d'exécution automatique "Search Order Hijack" (Détournement de l'ordre de recherche). |
| Catégorie "Fournisseur Winsock" | Case à cocher | Décochée | Si elle est activée, recherchez la catégorie d'exécution automatique "Winsock Provider". |
| Catégorie "Boot Execute" | Case à cocher | Décochée | Si elle est activée, recherchez la catégorie d'exécution automatique "Boot Execute". |
| Catégorie "Phantom dll" | Case à cocher | Décochée | Si elle est activée, recherchez la catégorie d'exécution automatique "Phantom dll". |
| Catégorie "Piratage de communication" | Case à cocher | Décochée | Si elle est activée, recherchez la catégorie d'exécution automatique "Com Hijack". |
| Catégorie "Explorer" | Case à cocher | Décochée | Si elle est activée, recherchez la catégorie d'exécution automatique "Explorer". |
| Catégorie "Tâche planifiée" | Case à cocher | Décochée | Si cette option est activée, recherchez la catégorie d'exécution automatique "Tâche planifiée". |
| Inclure toutes les métadonnées | Case à cocher | Cochée | Si cette option est activée, toutes les données disponibles sont fournies. |
| Inclure les métadonnées de classification des logiciels malveillants | Case à cocher | Décochée | Si cette option est activée, elle fournit des informations sur MalwareScore. |
| Inclure les métadonnées Authenticode | Case à cocher | Décochée | Si cette option est activée, elle fournit des informations sur le signataire. |
| Inclure le hachage MD5 | Case à cocher | Décochée | Si cette option est activée, elle fournit le hachage MD5 dans la réponse. |
| Inclure le hachage SHA-1 | Case à cocher | Décochée | Si cette option est activée, le hachage SHA-1 est fourni dans la réponse. |
| Inclure le hachage SHA-256 | Case à cocher | Décochée | Si cette option est activée, le hachage SHA-256 est fourni dans la réponse. |
Cas d'utilisation
Cette action peut être utilisée pour collecter des informations sur les exécutions automatiques sur le point de terminaison. Ces données peuvent aider les analystes à effectuer des processus de triage et de correction.
Date d'exécution
Cette action s'applique aux entités suivantes :
- Hôte
- Adresse IP
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"data": {
"count": 1,
"per_page": 50,
"previous": null,
"tasks": [
{
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"data": {
"category_option": {
"category_network_provider": true,
"category_office": false,
"category_driver": false,
"category_app_init": false,
"category_winlogon": false,
"category_print_monitor": false,
"category_ease_of_access": false,
"category_wmi": false,
"category_lsa_provider": false,
"category_service": false,
"category_bits": false,
"category_known_dll": false,
"category_print_provider": false,
"category_image_hijack": false,
"category_startup_folder": false,
"category_internet_explorer": false,
"category_codec": false,
"category_logon": false,
"category_all": false,
"category_search_order_hijack": false,
"category_winsock_provider": false,
"category_boot_execute": false,
"category_phantom_dll": false,
"category_com_hijack": false,
"category_explorer": false,
"category_scheduled_task": false
},
"metadata_option": {
"metadata_all": true,
"metadata_malware_classification": false,
"metadata_sha1": false,
"metadata_sha256": false,
"metadata_authenticode": false,
"metadata_md5": false
}
},
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"metadata": {
"sensor_id": "8eef6873-6db7-58ab-a1ca-68dc19b54117",
"investigation_id": "0b043f77-531f-4109-93b1-e01019ad0980",
"task_id": "e667b0c3-39de-4862-9baf-d6697db79721",
"echo": "",
"endpoint_id": "b23c8a14-69e0-4966-b78a-c9fba4fdd934",
"destination_plugin": "autoruns",
"key": "collectAutoRunsRequest",
"semantic_version": "3.52.\\d+",
"collection_id": "2393f424-bf57-40af-81e6-91b95acf5409"
}
}
],
"next": null
},
"metadata": {
"timestamp": "2020-01-08T13:15:37.238341"
}
}
Isoler l'hôte
Isoler le point de terminaison Endgame. Cette action n'est compatible qu'avec les systèmes Windows et macOS.
Paramètres
| Paramètre | Type | Valeur par défaut | Description |
|---|---|---|---|
| Créer un insight | Case à cocher | Décochée | Si cette option est activée, un insight est créé une fois cette action exécutée. |
Cas d'utilisation
Cette action permet d'obtenir des informations sur la configuration de l'isolation de l'hôte. Cette configuration permet aux hôtes isolés de se connecter aux sous-réseaux IP qui y sont listés. Les analystes peuvent utiliser cette action pour ajouter les sous-réseaux IP requis à la configuration d'isolation de l'hôte.
Date d'exécution
Cette action s'applique aux entités suivantes :
- Hôte
- Adresse IP
Résultats de l'action
Enrichissement d'entités
N/A
Insights
Si le point de terminaison a été isolé à l'aide de l'agent Endgame, créez un insight pour l'indiquer.
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"data": {
"valid": true,
"bulk_task_id": "a6ccc2f7-39a7-42e7-b646-41b281316b1d",
"error_messages": []
},
"metadata": {
"timestamp": "2020-01-08T15:09:22.474963"
}
}
Hôte Unisolate
Annulez l'isolation d'un point de terminaison Endgame. Cette action n'est compatible qu'avec les systèmes Windows et macOS.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Description |
|---|---|---|---|
| Créer un insight | Case à cocher | Décochée | Si cette option est activée, un insight est créé une fois cette action exécutée. |
Date d'exécution
Cette action s'applique aux entités suivantes :
- Hôte
- Adresse IP
Résultats de l'action
Insights
Si le point de terminaison a été désisolé à l'aide de l'agent Endgame, créez un insight pour l'indiquer.
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"data": {
"domain": "InstallerInitiated",
"updated_at": "2020-01-08T08:16:26.063394+00:00",
"id": "b23c8a14-69e0-4966-b78a-c9fba4fdd934",
"display_operating_system": "Windows 10 (v1511)",
"hostname": "example",
"mac_address": "01:23:45:ab:cd:ef",
"upgrade_status": "",
"base_image": false,
"isolation_updated_at": "2020-01-08T15:09:24.665367+00:00",
"status": "monitored",
"ad_distinguished_name": "CN=EXAMPLE,CN=Computers,DC=example,DC=com",
"ad_hostname": "example.com",
"tags": [],
"isolation_request_status": null,
"alert_count": 0,
"groups": [
{
"is_dynamic": false,
"count": 2,
"id": "d9de26c9-ee63-4d38-9997-7418bd13c45e",
"name": "Demo: APT28"
}
],
"sensors": [
{
"status": "monitored",
"sensor_version": "3.52.12",
"policy_status": "successful",
"policy_name": "Lab (Detect-Only with Streaming)",
"sensor_type": "hunt",
"id": "8eef6873-6db7-58ab-a1ca-68dc19b54117",
"policy_id": "07b7a44f-25f3-4e5c-977b-2915de8160c5"
}
],
"ip_address": "192.0.2.3",
"is_isolated": false,
"operating_system": "Windows 10.0",
"name": "example",
"status_changed_at": "2020-01-08T12:30:48.704802+00:00",
"core_os": "windows",
"created_at": "2019-11-01T06:31:32.519640+00:00",
"error": null,
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
},
"metadata": {
"timestamp": "2020-01-08T15:16:34.303701"
}
}
Télécharger le fichier
Téléchargez un fichier à partir d'un point de terminaison Endgame spécifique.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Description |
|---|---|---|---|
| Chemin d'accès complet au fichier | Chaîne | N/A | Si cette option est activée, un insight est créé une fois cette action exécutée. |
| Chemin d'accès complet au dossier de téléchargement | Chaîne | N/A | Saisissez le chemin d'accès au dossier dans lequel vous souhaitez stocker ce fichier. |
| Hachage SHA-256 attendu | Chaîne | N/A | Saisissez le hachage SHA-256 attendu. |
Cas d'utilisation
Cette action vous permet d'accéder aux fichiers depuis les points de terminaison. Les fichiers doivent parfois être traités manuellement. Cette activité aide les utilisateurs à accéder aux fichiers requis.
Date d'exécution
Cette action s'applique aux entités suivantes :
- Hôte
- Adresse IP
Résultats de l'action
Insights
Si le point de terminaison a été désisolé à l'aide de l'agent Endgame, créez un insight pour l'indiquer.
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
Si l'état est success, le résultat JSON est le suivant :
{
"data": {
"status": "success",
"doc_type": "collection",
"endpoint": {
"domain": "InstallerInitiated",
"updated_at": "2019-11-01T05:41:10.150817+00:00",
"id": "a3cdc174-3af0-400a-85c3-bbb1435a6b61",
"display_operating_system": "Ubuntu 18.04.1",
"hostname": "example",
"mac_address": "01:23:45:ab:cd:ef",
"base_image": false,
"isolation_updated_at": null,
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [
{
"id": "fc2dfcc8-9329-4f33-86a2-877bfb27575e",
"name": "CORE ENV"
}
],
"isolation_request_status": null,
"upgrade_status": "",
"groups": [
{
"is_dynamic": false,
"count": 1,
"id": "e453d4f6-95c9-4dc5-bc41-2f4cae423e19",
"name": "Demo: Bad Admin"
}
],
"sensors": [
{
"status": "A",
"sensor_version": "3.52.12",
"sensor_type": "hunt",
"id": "c7347a4b-3e71-5514-980f-90bdbab758cf"
}
],
"ip_address": "192.0.2.1",
"is_isolated": false,
"operating_system": "Linux 4.15.0-29-generic",
"name": "example",
"status_changed_at": "2020-01-07T08:16:46.895105+00:00",
"core_os": "linux",
"created_at": "2019-03-19T04:25:06.953312+00:00",
"error": null,
"machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d"
},
"task_id": "0854ae75-47ca-438a-8731-615defac44ac",
"family": "response",
"data": {
"results": [
{
"size": 1731,
"endpoint": {
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"operating_system": "Linux 4.15.0-29-generic",
"name": "example",
"display_operating_system": "Ubuntu 18.04.1",
"hostname": "example",
"updated_at": "2020-01-07T08:16:44Z",
"mac_address": "01:23:45:ab:cd:ef",
"ip_address": "192.0.2.1",
"id": "a3cdc174-3af0-400a-85c3-bbb1435a6b61"
},
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"investigation_id": null,
"filepath": "/home/a-arobinson/Downloads/bad_admin.sh",
"bulk_task_id": null,
"created_by": "a-arobinson",
"file_uuid": "4c45cc36-b6ca-412a-ae0b-ed214a9c7187",
"correlation_id": "13dfca7b-9e75-4115-be93-e6684dbfc7c8",
"user": {
"username": "admin",
"first_name": "Example",
"last_name": "User",
"id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1"
},
"chunk_size": 26214400,
"existing_path": "/home/a-arobinson/Downloads/bad_admin.sh",
"sha256": "8066b309db13bae560c15c35f42247a0f778786f0056d326ff3e6dffd1eac4f8",
"origination_task_id": "0854ae75-47ca-438a-8731-615defac44ac",
"md5": "6441b8f58feddb5a5f6fcd81c117ecb8"
}
]
},
"created_at": "2020-01-07T11:28:02.826397Z",
"os_type": "linux",
"machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d",
"type": "downloadFileResponse",
"id": "d6fb3bf3-afea-44e0-8472-389f4e7e0002"
},
"metadata": {
"count": 1,
"previous_url": null,
"timestamp": "2020-01-07T11:41:56.750788",
"next": null,
"per_page": 50,
"next_url": null,
"previous": null
}
}
Si l'état est failure, le résultat JSON est le suivant :
{
"data": {
"status": "failure",
"doc_type": "collection",
"endpoint": {
"domain": "InstallerInitiated",
"updated_at": "2019-11-01T05:42:09.150756+00:00",
"id": "12c3530d-657f-4ccd-835e-6df9affeed3d",
"display_operating_system": "Ubuntu 18.04.3",
"hostname": "example",
"mac_address": "01:23:45:ab:cd:ef",
"base_image": false,
"isolation_updated_at": null,
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [],
"isolation_request_status": null,
"upgrade_status": "",
"groups": [
{
"is_dynamic": false,
"count": 4,
"id": "c1af3cd6-2638-4144-842d-adc9cfb67fb9",
"name": "SOC"
}
],
"sensors": [
{
"status": "A",
"sensor_version": "3.52.12",
"sensor_type": "hunt",
"id": "dc2e35cc-0c87-5a60-8fc8-de23ef747d02"
}
],
"ip_address": "192.0.2.1",
"is_isolated": false,
"operating_system": "Linux 4.15.0-72-generic",
"name": "example",
"status_changed_at": "2020-01-19T11:05:16.765186+00:00",
"core_os": "linux",
"created_at": "2019-09-20T21:34:51.966863+00:00",
"error": null,
"machine_id": "5ae8ddd9-9339-ae4b-ccf7-5ed68f38b3a9"
},
"task_id": "85148460-c868-4fe5-a3e6-0d90784fadd1",
"family": "response",
"data": {
"results": [
{
"endpoint": {
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"operating_system": "Linux 4.15.0-72-generic",
"name": "example",
"display_operating_system": "Ubuntu 18.04.3",
"hostname": "example",
"updated_at": "2020-01-16T14:04:22Z",
"mac_address": "01:23:45:ab:cd:ef",
"ip_address": "192.0.2.1",
"id": "12c3530d-657f-4ccd-835e-6df9affeed3d"
},
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"investigation_id": null,
"expected_sha256": "123",
"bulk_task_id": null,
"correlation_id": "a7dc04c8-932c-4056-9477-8095b1fa15d8",
"user": {
"username": "admin",
"first_name": "Example",
"last_name": "User",
"id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1"
},
"chunk_size": 26214400,
"existing_path": "/home/example/Downloads/bad_admin.sh",
"origination_task_id": "85148460-c868-4fe5-a3e6-0d90784fadd1"
}
]
},
"created_at": "2020-01-19T12:19:57Z",
"os_type": "linux",
"machine_id": "5ae8ddd9-9339-ae4b-ccf7-5ed68f38b3a9",
"type": "downloadFileResponse",
"id": "8eb6b538-d480-4210-92fb-df08a3a4dfb9"
},
"metadata": {
"count": 1,
"previous_url": null,
"timestamp": "2020-01-19T12:23:23.623961",
"next": null,
"per_page": 50,
"next_url": null,
"previous": null
}
}
Supprimer le fichier
Supprimez un fichier d'un point de terminaison Endgame.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Description |
|---|---|---|---|
| Chemin d'accès au fichier | Chaîne | N/A | Entrez le chemin du fichier. |
Cas d'utilisation
Cette action permet de supprimer des fichiers du point de terminaison. Par exemple, il peut être utilisé lorsqu'un logiciel malveillant a été détecté et qu'un analyste souhaite le supprimer.
Date d'exécution
Cette action s'applique aux entités suivantes :
- Hôte
- Adresse IP
Résultats de l'action
Insights
Si le point de terminaison a été désisolé à l'aide de l'agent Endgame, créez un insight pour l'indiquer.
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
(état = réussite)
{
"data": [
{
"status": "success",
"doc_type": "collection",
"endpoint": {
"domain": "InstallerInitiated",
"updated_at": "2019-11-01T05:41:10.150817+00:00",
"id": "a3cdc174-3af0-400a-85c3-bbb1435a6b61",
"display_operating_system": "Ubuntu 18.04.1",
"hostname": "08203s-lubu1804",
"mac_address": "01:23:45:ab:cd:ef",
"upgrade_status": "",
"base_image": false,
"isolation_updated_at": null,
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [
{
"id": "fc2dfcc8-9329-4f33-86a2-877bfb27575e",
"name": "CORE ENV"
}
],
"isolation_request_status": null,
"groups": [
{
"is_dynamic": false,
"count": 1,
"id": "e453d4f6-95c9-4dc5-bc41-2f4cae423e19",
"name": "Demo: Bad Admin"
}
],
"sensors": [
{
"status": "monitored",
"sensor_version": "3.52.12",
"policy_status": "successful",
"policy_name": "Lab (Detect-Only with Streaming)",
"sensor_type": "hunt",
"id": "c7347a4b-3e71-5514-980f-90bdbab758cf",
"policy_id": "07b7a44f-25f3-4e5c-977b-2915de8160c5"
}
],
"ip_address": "192.0.2.1",
"is_isolated": false,
"operating_system": "Linux 4.15.0-29-generic",
"name": "08203s-lubu1804",
"status_changed_at": "2020-01-20T07:25:02.633331+00:00",
"core_os": "linux",
"created_at": "2019-03-19T04:25:06.953312+00:00",
"error": null,
"machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d"
},
"task_id": "bfb82b8d-71a0-4e5f-9cfe-bd573ea32b25",
"family": "response",
"created_at": "2020-01-20T07:31:37Z",
"local_msg": "Success",
"system_msg": null,
"system_code": null,
"local_code": 0,
"os_type": "linux",
"machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d",
"type": "deleteFileResponse",
"id": "eb50fe9c-1059-42d4-9f5f-52e5af4ae64d"
}
],
"metadata": {
"count": 1,
"previous_url": null,
"timestamp": "2020-01-20T07:32:04.425044",
"next": null,
"per_page": 50,
"next_url": null,
"previous": null
}
}
(status = failure) local_msg and system_msg will be used.
{
"data": [
{
"status": "failure",
"doc_type": "collection",
"endpoint": {
"domain": "InstallerInitiated",
"updated_at": "2019-11-01T05:41:10.150817+00:00",
"id": "a3cdc174-3af0-400a-85c3-bbb1435a6b61",
"display_operating_system": "Ubuntu 18.04.1",
"hostname": "08203s-lubu1804",
"mac_address": "01:23:45:ab:cd:ef",
"upgrade_status": "",
"base_image": false,
"isolation_updated_at": null,
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [
{
"id": "fc2dfcc8-9329-4f33-86a2-877bfb27575e",
"name": "CORE ENV"
}
],
"isolation_request_status": null,
"groups": [
{
"is_dynamic": false,
"count": 1,
"id": "e453d4f6-95c9-4dc5-bc41-2f4cae423e19",
"name": "Demo: Bad Admin"
}
],
"sensors": [
{
"status": "monitored",
"sensor_version": "3.52.12",
"policy_status": "successful",
"policy_name": "Lab (Detect-Only with Streaming)",
"sensor_type": "hunt",
"id": "c7347a4b-3e71-5514-980f-90bdbab758cf",
"policy_id": "07b7a44f-25f3-4e5c-977b-2915de8160c5"
}
],
"ip_address": "192.0.2.1",
"is_isolated": false,
"operating_system": "Linux 4.15.0-29-generic",
"name": "08203s-lubu1804",
"status_changed_at": "2020-01-07T08:16:46.895105+00:00",
"core_os": "linux",
"created_at": "2019-03-19T04:25:06.953312+00:00",
"error": null,
"machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d"
},
"task_id": "5da277fe-503d-468a-822b-8801d9671cde",
"family": "response",
"created_at": "2020-01-07T13:10:50Z",
"local_msg": "Not found",
"system_msg": null,
"system_code": null,
"local_code": -7,
"os_type": "linux",
"machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d",
"type": "deleteFileResponse",
"id": "6f3e6148-6801-4cb8-8a5d-25f75ea93555"
}
],
"metadata": {
"count": 1,
"previous_url": null,
"timestamp": "2020-01-07T13:16:18.834163",
"next": null,
"per_page": 5,
"next_url": null,
"previous": null
}
}
Enquête sur les pilotes (Windows uniquement)
Obtenez des informations sur les pilotes à partir d'un point de terminaison Endgame spécifique.
Paramètres
| Paramètre | Type | Valeur par défaut | Description |
|---|---|---|---|
| Nombre maximal d'éléments à renvoyer | Chaîne | 50 | Indiquez le nombre d'éléments à renvoyer. |
Date d'exécution
Cette action s'applique aux entités suivantes :
- Nom d'hôte
- Adresse IP
Résultats de l'action
Enrichissement d'entités
| Nom du champ d'enrichissement | Logique : quand l'appliquer ? |
|---|---|
| driver_basename | Renvoie la valeur si elle existe dans le résultat JSON. |
| driver_filename | Renvoie la valeur si elle existe dans le résultat JSON. |
| date_modified | Renvoie la valeur si elle existe dans le résultat JSON. |
| driver_file_version | Renvoie la valeur si elle existe dans le résultat JSON. |
| driver_load_address | Renvoie la valeur si elle existe dans le résultat JSON. |
| collection_id | Renvoie la valeur si elle existe dans le résultat JSON. |
| hashes | Renvoie la valeur si elle existe dans le résultat JSON. |
| machine_id | Renvoie la valeur si elle existe dans le résultat JSON. |
| driver_product_version | Renvoie la valeur si elle existe dans le résultat JSON. |
| driver_description | Renvoie la valeur si elle existe dans le résultat JSON. |
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
[{
"EntityResult":
[{ "driver_basename": "test.exe",
"driver_filename": "C:\\\\Windows\\\\system32\\\\test.exe",
"date_modified": 1446189483.0185645,
"driver_file_version": "10.0.10586.0 (th2_release.151029-1700)",
"driver_load_address": "12345678",
"collection_id": "a9925cf1-6d4c-4bea-b13d-12345678",
"hashes": {
"sha256": "9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08",
"md5": "098f6bcd4621d373cade4e832627b4f6",
"sha1": "a94a8fe5ccb19ba61c4c0873d391e987982fbbd3"
},
"machine_id": "5dc677fd-6b47-7df9-f7f4-12345678",
"driver_product_version": "10.0.10586.0",
"driver_description": "Test"
}],
"Entity": "PC-01"
}]
Enquête sur le pare-feu (Windows uniquement)
Obtenez des informations sur les règles de pare-feu d'un point de terminaison Endgame spécifique.
Paramètres
| Paramètre | Type | Valeur par défaut | Description |
|---|---|---|---|
| Nombre maximal d'éléments à renvoyer | Chaîne | 50 | Indiquez le nombre d'éléments à renvoyer. |
Date d'exécution
Cette action s'applique aux entités suivantes :
- Nom d'hôte
- Adresse IP
Résultats de l'action
Enrichissement d'entités
| Nom du champ d'enrichissement | Logique : quand l'appliquer ? |
|---|---|
| direction | Renvoie la valeur si elle existe dans le résultat JSON. |
| machine_id | Renvoie la valeur si elle existe dans le résultat JSON. |
| description | Renvoie la valeur si elle existe dans le résultat JSON. |
| remote_addresses | Renvoie la valeur si elle existe dans le résultat JSON. |
| protocol_number | Renvoie la valeur si elle existe dans le résultat JSON. |
| activé | Renvoie la valeur si elle existe dans le résultat JSON. |
| edge_traversal | Renvoie la valeur si elle existe dans le résultat JSON. |
| profils | Renvoie la valeur si elle existe dans le résultat JSON. |
| interface_types | Renvoie la valeur si elle existe dans le résultat JSON. |
| rule_name | Renvoie la valeur si elle existe dans le résultat JSON. |
| icmp_and_type_codes | Renvoie la valeur si elle existe dans le résultat JSON. |
| local_addresses | Renvoie la valeur si elle existe dans le résultat JSON. |
| application_name | Renvoie la valeur si elle existe dans le résultat JSON. |
| collection_id | Renvoie la valeur si elle existe dans le résultat JSON. |
| remote_ports | Renvoie la valeur si elle existe dans le résultat JSON. |
| action | Renvoie la valeur si elle existe dans le résultat JSON. |
| local_ports | Renvoie la valeur si elle existe dans le résultat JSON. |
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
[{
"EntityResult":
[{
"direction": "in",
"machine_id": "870499c3-d6bf-8edd-972d-12345678",
"description": "Inbound rule for Google Chrome to allow mDNS traffic.",
"remote_addresses": "*",
"protocol_number": 17,
"enabled": true,
"edge_traversal": false,
"profiles":
["domain", "public", "private"],
"interface_types": "All",
"rule_name": "Google Chrome (mDNS-In)",
"icmp_and_type_codes": "",
"local_addresses": "*",
"application_name": "C:\\\\Program Files (x86)\\\\Google\\\\Chrome\\\\Application\\\\chrome.exe",
"collection_id": "0925eea5-c61f-464a-ba61-12345678",
"remote_ports": "*",
"action": "allow",
"local_ports": "1234"
}],
"Entity": "PC-01"
}]
Obtenir des points de terminaison
Répertoriez tous les points de terminaison.
Paramètres
N/A
Date d'exécution
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
[{
"domain": "",
"updated_at": "2019-05-30T01:40:21.126499+00:00",
"id": "db33d864-7d58-4d85-9d2d-1a98a101995d",
"display_operating_system": "Windows 7 (SP1)",
"hostname": "ip-AC170169",
"mac_address": "01:23:45:ab:cd:ef",
"isolation_updated_at": "",
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [],
"isolation_request_status": "",
"alert_count": 72,
"investigation_count": 0,
"groups": [],
"sensors":
[{
"status": "monitored",
"sensor_version": "3.51.10",
"policy_status": "successful",
"policy_name": "POC-Lab",
"sensor_type": "hunt",
"id": "ec17f7bb-1d63-536a-b694-ca066cc2572e",
"policy_id": "d31f0192-b8e2-49ae-ae54-041376183b7f"
}],
"ip_address": "192.0.2.1",
"is_isolated": "false",
"operating_system": "Windows 6.1 Service Pack 1",
"name": "ip-AC170169",
"status_changed_at": "2019-05-30T01:40:18.200770+00:00",
"core_os": "windows",
"created_at": "2019-05-30T01:36:43.761600+00:00",
"error":
[{
"msg": "Installer failure - Execution failed for (http://192.0.2.1:5985/wsman)\\n",
"deployment_id": "90C2BAA6-B38B-4037-9A9E-7C8628E8D7D6",
"code": 1001, "ts": 1559180421.125456
}],
"machine_id": "4f1adabb-17c4-e39e-caa7-7900562d0b51"
}]
Fichier Hunt
Recherche les fichiers en cours d'exécution.
Paramètres
| Paramètre | Type | Valeur par défaut | Description |
|---|---|---|---|
| Points de terminaison Core OS | Chaîne | fenêtres | Sélectionnez un système d'exploitation (Windows, Linux ou Mac, par exemple) pour filtrer la liste des points de terminaison. Remarque : Vous ne pouvez créer qu'une seule investigation pour les points de terminaison qui s'exécutent sur le même système d'exploitation. |
| Hachages MD5 | Chaîne | N/A | CONFIGURATION AVANCÉE pour cette chasse. Saisissez les hachages MD5 en les séparant par une virgule. |
| Hachages SHA1 | Chaîne | N/A | CONFIGURATION AVANCÉE pour cette chasse. Saisissez les hachages SHA-1 en les séparant par une virgule. |
| Hachages SHA256 | Chaîne | N/A | CONFIGURATION AVANCÉE pour cette chasse. Saisissez les hachages SHA256 en les séparant par une virgule. |
| Annuaire | Chaîne | N/A | Chemin d'accès au répertoire de départ (par exemple, C:\windows\system32) |
| Trouver un fichier | Chaîne | N/A | Saisissez le ou les noms de fichiers à rechercher. Saisissez une expression régulière pour affiner les résultats de recherche. |
Date d'exécution
Cette action s'applique aux entités suivantes :
- Nom d'hôte
- Adresse IP
Résultats de l'action
Enrichissement d'entités
| Nom du champ d'enrichissement | Logique : quand l'appliquer ? |
|---|---|
| meta_data | Renvoie la valeur si elle existe dans le résultat JSON. |
| file_path | Renvoie la valeur si elle existe dans le résultat JSON. |
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
[{
"meta_data":
{ "hashes":
{ "sha256": "4705ba6793dc93c1bbe2a9e790e9e22778d217531b1750471206fd5c52bbd2b5",
"md5": "6383522c180badc4e1d5c30a5c4f4913",
"sha1": "62a30e96459b694f7b22d730c460a65cd2ebaaca"
},
"file_name_timestamps":
{ "accessed": 1468675289.0711532,
"entry_modified": 0,
"modified": 1468675289.0711532,
"created": 1468675404.0330572
},
"file_attributes": 38,
"file_size": 174
},
"file_path": "C:\\\\Program Files\\\\desktop.ini"
},
{
"meta_data":
{ "hashes":
{ "sha256": "44fe5eebd80e46f903d68c07bcf06d187a3698bf3953bc58bb578465e2e0fe6c",
"md5": "6bd5fb46283aa48e638bef47510c47da",
"sha1": "c38d46ec6c9bc8baece4a459b617f44d10af973c"
},
"file_name_timestamps":
{
"accessed": 1468675289.0024028,
"entry_modified": 0,
"modified": 1468675289.0024028,
"created": 1468675404.0111823
},
"file_attributes": 38,
"file_size": 645
},
"file_path": "C:\\\\Program Files\\\\Common Files\\\\microsoft shared\\\\Stationery\\\\Desktop.ini"
}]
Rechercher une adresse IP
Recherche les connexions réseau.
Paramètres
| Paramètre | Type | Valeur par défaut | Description |
|---|---|---|---|
| Points de terminaison Core OS | Chaîne | fenêtres | Sélectionnez un système d'exploitation (Windows, Linux ou Mac, par exemple) pour filtrer la liste des points de terminaison. Remarque : Vous ne pouvez créer qu'une seule investigation pour les points de terminaison qui s'exécutent sur le même système d'exploitation. |
| Adresse IP distante | Chaîne | N/A | Adresse IP distante (séparée par une virgule) |
| Adresse IP locale | Chaîne | N/A | séparés par une virgule |
| État | Chaîne | N/A | Saisissez la région pour revenir en arrière. Exemple : ANY |
| Protocole | Chaîne | N/A | Exemple : ANY, UDP, TCP |
| Port réseau | Chaîne | N/A | N/A |
| Réseau distant | Chaîne | N/A | Réseau à distance ou local. |
Date d'exécution
Cette action s'applique aux entités suivantes :
- Nom d'hôte
- Adresse IP
Résultats de l'action
Enrichissement d'entités
| Nom du champ d'enrichissement | Logique : quand l'appliquer ? |
|---|---|
| parent_name | Renvoie la valeur si elle existe dans le résultat JSON. |
| domaine | Renvoie la valeur si elle existe dans le résultat JSON. |
| exe | Renvoie la valeur si elle existe dans le résultat JSON. |
| nom | Renvoie la valeur si elle existe dans le résultat JSON. |
| has_unbacked_execute_memory | Renvoie la valeur si elle existe dans le résultat JSON. |
| pid | Renvoie la valeur si elle existe dans le résultat JSON. |
| up_time | Renvoie la valeur si elle existe dans le résultat JSON. |
| is_sensor | Renvoie la valeur si elle existe dans le résultat JSON. |
| cmdline | Renvoie la valeur si elle existe dans le résultat JSON. |
| parent_exe | Renvoie la valeur si elle existe dans le résultat JSON. |
| unbacked_execute_byte_count | Renvoie la valeur si elle existe dans le résultat JSON. |
| create_time | Renvoie la valeur si elle existe dans le résultat JSON. |
| utilisateur | Renvoie la valeur si elle existe dans le résultat JSON. |
| sid | Renvoie la valeur si elle existe dans le résultat JSON. |
| fils | Renvoie la valeur si elle existe dans le résultat JSON. |
| ppid | Renvoie la valeur si elle existe dans le résultat JSON. |
| unbacked_execute_region_count | Renvoie la valeur si elle existe dans le résultat JSON. |
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
[{
"parent_name": "System Idle Process",
"domain": "NT AUTHORITY",
"exe": "",
"name": "System",
"has_unbacked_execute_memory": false,
"pid": 4,
"up_time": 2384701,
"is_sensor": false,
"cmdline": "",
"parent_exe": "",
"unbacked_execute_byte_count": 0,
"create_time": 1559179903,
"user": "SYSTEM",
"sid": "S-1-5-18",
"threads":
[{
"thread_id": 8
}, {
"thread_id": 12,
"up_time": 13206038203,
"create_time": -11644473599
}, {
"thread_id": 16,
"up_time": 13206038203,
"create_time": -11644473599
}],
"ppid": 0,
"unbacked_execute_region_count": 0
}]
Processus de chasse
Recherche les processus en cours d'exécution.
Paramètres
| Paramètre | Type | Valeur par défaut | Description |
|---|---|---|---|
| Points de terminaison Core OS | Chaîne | fenêtres | Sélectionnez un système d'exploitation (par exemple, Windows, Linux ou Mac) pour filtrer la liste des points de terminaison. Remarque : Vous ne pouvez créer qu'une seule investigation pour les points de terminaison qui s'exécutent sur le même système d'exploitation. |
| Hachages MD5 | Chaîne | N/A | CONFIGURATION AVANCÉE pour cette chasse. Saisissez les hachages MD5 en les séparant par une virgule. |
| Hachages SHA1 | Chaîne | N/A | CONFIGURATION AVANCÉE pour cette chasse. Saisissez les hachages SHA-1 en les séparant par une virgule. |
| Hachages SHA256 | Chaîne | N/A | CONFIGURATION AVANCÉE pour cette chasse. Saisissez les hachages SHA256 en les séparant par une virgule. |
| Nom du processus | Chaîne | N/A | CONFIGURATION AVANCÉE pour cette chasse. Saisissez le nom du processus (par exemple, iss.exe)* |
Date d'exécution
Cette action s'applique aux entités suivantes :
- Nom d'hôte
- Adresse IP
Résultats de l'action
Enrichissement d'entités
| Nom du champ d'enrichissement | Logique : quand l'appliquer ? |
|---|---|
| parent_name | Renvoie la valeur si elle existe dans le résultat JSON. |
| domaine | Renvoie la valeur si elle existe dans le résultat JSON. |
| exe | Renvoie la valeur si elle existe dans le résultat JSON. |
| nom | Renvoie la valeur si elle existe dans le résultat JSON. |
| has_unbacked_execute_memory | Renvoie la valeur si elle existe dans le résultat JSON. |
| pid | Renvoie la valeur si elle existe dans le résultat JSON. |
| up_time | Renvoie la valeur si elle existe dans le résultat JSON. |
| is_sensor | Renvoie la valeur si elle existe dans le résultat JSON. |
| cmdline | Renvoie la valeur si elle existe dans le résultat JSON. |
| parent_exe | Renvoie la valeur si elle existe dans le résultat JSON. |
| unbacked_execute_byte_count | Renvoie la valeur si elle existe dans le résultat JSON. |
| create_time | Renvoie la valeur si elle existe dans le résultat JSON. |
| utilisateur | Renvoie la valeur si elle existe dans le résultat JSON. |
| sid | Renvoie la valeur si elle existe dans le résultat JSON. |
| fils | Renvoie la valeur si elle existe dans le résultat JSON. |
| ppid | Renvoie la valeur si elle existe dans le résultat JSON. |
| unbacked_execute_region_count | Renvoie la valeur si elle existe dans le résultat JSON. |
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
[{
"parent_name": "System Idle Process",
"domain": "NT AUTHORITY",
"exe": "",
"name": "System",
"has_unbacked_execute_memory": false,
"pid": 4,
"up_time": 2384701,
"is_sensor": false,
"cmdline": "",
"parent_exe": "",
"unbacked_execute_byte_count": 0,
"create_time": 1559179903,
"user": "SYSTEM",
"sid": "S-1-5-18",
"threads":
[{
"thread_id": 8
},{
"thread_id": 12,
"up_time": 13206038203,
"create_time": -11644473599
},{
"thread_id": 16,
"up_time": 13206038203,
"create_time": -11644473599
}],
"ppid": 0,
"unbacked_execute_region_count": 0
}]
Registre Hunt
Recherche un nom de clé ou de valeur de registre.
Paramètres
| Paramètre | Type | Valeur par défaut | Description |
|---|---|---|---|
| Hive | Chaîne | TOUT | L'une des valeurs suivantes : HKEY_CLASSES_ROOT, HKEY_CURRENT_CONFIG, HKEY_USERS, HKEY_LOCAL_MACHINE ou ALL. |
| Clés | Chaîne | N/A | Nom de la clé ou de la valeur de registre. |
| Taille min. | Chaîne | N/A | Taille minimale en octets. |
| Taille maximale | Chaîne | N/A | Taille maximale en octets. |
| Points de terminaison Core OS | Chaîne | fenêtres | Sélectionnez un système d'exploitation (par exemple, Windows, Linux ou Mac) pour filtrer la liste des points de terminaison. Remarque : Vous ne pouvez créer qu'une seule investigation pour les points de terminaison qui s'exécutent sur le même système d'exploitation. |
Date d'exécution
Cette action s'applique aux entités suivantes :
- Nom d'hôte
- Adresse IP
Résultats de l'action
Enrichissement d'entités
| Nom du champ d'enrichissement | Logique : quand l'appliquer ? |
|---|---|
| parent_name | Renvoie la valeur si elle existe dans le résultat JSON. |
| domaine | Renvoie la valeur si elle existe dans le résultat JSON. |
| exe | Renvoie la valeur si elle existe dans le résultat JSON. |
| nom | Renvoie la valeur si elle existe dans le résultat JSON. |
| up_time | Renvoie la valeur si elle existe dans le résultat JSON. |
| is_sensor | Renvoie la valeur si elle existe dans le résultat JSON. |
| cmdline | Renvoie la valeur si elle existe dans le résultat JSON. |
| parent_exe | Renvoie la valeur si elle existe dans le résultat JSON. |
| unbacked_execute_byte_count | Renvoie la valeur si elle existe dans le résultat JSON. |
| create_time | Renvoie la valeur si elle existe dans le résultat JSON. |
| utilisateur | Renvoie la valeur si elle existe dans le résultat JSON. |
| sid | Renvoie la valeur si elle existe dans le résultat JSON. |
| fils | Renvoie la valeur si elle existe dans le résultat JSON. |
| ppid | Renvoie la valeur si elle existe dans le résultat JSON. |
| unbacked_execute_region_count | Renvoie la valeur si elle existe dans le résultat JSON. |
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
[{
"parent_name": "System Idle Process",
"domain": "NT AUTHORITY",
"exe": "",
"name": "System",
"has_unbacked_execute_memory": false,
"pid": 4,
"up_time": 2384701,
"is_sensor": false,
"cmdline": "",
"parent_exe": "",
"unbacked_execute_byte_count": 0,
"create_time": 1559179903,
"user": "SYSTEM",
"sid": "S-1-5-18",
"threads":
[{
"thread_id": 8
},{
"thread_id": 12,
"up_time": 13206038203,
"create_time": -11644473599
}, {
"thread_id": 16,
"up_time": 13206038203,
"create_time": -11644473599
}],
"ppid": 0,
"unbacked_execute_region_count": 0
}]
Utilisateur Hunt
Recherche les utilisateurs connectés sur le réseau.
Paramètres
| Paramètre | Type | Valeur par défaut | Description |
|---|---|---|---|
| Points de terminaison Core OS | Chaîne | fenêtres | Sélectionnez un système d'exploitation (par exemple, Windows, Linux ou Mac) pour filtrer la liste des points de terminaison. Remarque : Vous ne pouvez créer qu'une seule investigation pour les points de terminaison qui s'exécutent sur le même système d'exploitation. |
| Trouver votre nom d'utilisateur | Chaîne | N/A | CONFIGURATION AVANCÉE pour cette chasse. Saisissez le ou les noms d'utilisateur. Séparez les entrées multiples par un point-virgule. |
| Nom de domaine | Chaîne | N/A | CONFIGURATION AVANCÉE pour cette chasse. Saisissez le nom de domaine. |
Date d'exécution
Cette action s'applique aux entités suivantes :
- Nom d'hôte
- Adresse IP
Résultats de l'action
Enrichissement d'entités
| Nom du champ d'enrichissement | Logique : quand l'appliquer ? |
|---|---|
| parent_name | Renvoie la valeur si elle existe dans le résultat JSON. |
| domaine | Renvoie la valeur si elle existe dans le résultat JSON. |
| exe | Renvoie la valeur si elle existe dans le résultat JSON. |
| nom | Renvoie la valeur si elle existe dans le résultat JSON. |
| has_unbacked_execute_memory | Renvoie la valeur si elle existe dans le résultat JSON. |
| pid | Renvoie la valeur si elle existe dans le résultat JSON. |
| up_time | Renvoie la valeur si elle existe dans le résultat JSON. |
| is_sensor | Renvoie la valeur si elle existe dans le résultat JSON. |
| cmdline | Renvoie la valeur si elle existe dans le résultat JSON. |
| parent_exe | Renvoie la valeur si elle existe dans le résultat JSON. |
| unbacked_execute_byte_count | Renvoie la valeur si elle existe dans le résultat JSON. |
| create_time | Renvoie la valeur si elle existe dans le résultat JSON. |
| utilisateur | Renvoie la valeur si elle existe dans le résultat JSON. |
| sid | Renvoie la valeur si elle existe dans le résultat JSON. |
| fils | Renvoie la valeur si elle existe dans le résultat JSON. |
| ppid | Renvoie la valeur si elle existe dans le résultat JSON. |
| unbacked_execute_region_count | Renvoie la valeur si elle existe dans le résultat JSON. |
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
[{
"parent_name": "System Idle Process",
"domain": "NT AUTHORITY",
"exe": "",
"name": "System",
"has_unbacked_execute_memory": false,
"pid": 4,
"up_time": 2384701,
"is_sensor": false,
"Cmdline":"",
"parent_exe": "",
"unbacked_execute_byte_count": 0,
"create_time": 1559179903,
"user": "SYSTEM",
"sid": "S-1-5-18",
"threads":
[{
"thread_id": 8
}, {
"thread_id": 12,
"up_time": 13206038203,
"create_time": -11644473599
}, {
"thread_id": 16,
"up_time": 13206038203,
"create_time": -11644473599
}],
"ppid": 0,
"unbacked_execute_region_count": 0
}]
Arrêter le processus
Arrêtez un processus sur un point de terminaison Endgame spécifique.
Paramètres
| Paramètre | Type | Valeur par défaut | Description |
|---|---|---|---|
| Nom du processus | Chaîne | N/A | Saisissez le nom du processus. |
| ID d'achat | Chaîne | N/A | Saisissez l'ID du processus. |
Date d'exécution
Cette action s'applique aux entités suivantes :
- Nom d'hôte
- Adresse IP
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Enquête sur le réseau
Obtenez des informations sur les connexions, le cache DNS, NetBIOS, ARP et les tables de routage à partir d'un point de terminaison Endgame spécifique.
Paramètres
| Paramètre | Type | Valeur par défaut | Description |
|---|---|---|---|
| Nombre maximal d'éléments à renvoyer | Chaîne | 50 | Indiquez le nombre d'exécutions automatiques à renvoyer. |
| Inclure les informations sur les entrées d'itinéraire | Case à cocher | Cochée | Spécifiez que vous souhaitez obtenir des informations sur les entrées de route. |
| Inclure les informations NetBIOS | Case à cocher | Cochée | Spécifiez pour obtenir des informations sur NetBIOS. |
| Inclure les informations du cache DNS | Case à cocher | Cochée | Spécifiez pour obtenir des informations sur le cache DNS. |
| Inclure les informations de la table ARP | Case à cocher | Cochée | Spécifiez que vous souhaitez obtenir des informations sur la table ARP. |
Date d'exécution
Cette action s'applique aux entités suivantes :
- Nom d'hôte
- Adresse IP
Résultats de l'action
Enrichissement d'entités
| Nom du champ d'enrichissement | Logique : quand l'appliquer ? |
|---|---|
| connections | Renvoie la valeur si elle existe dans le résultat JSON. |
| netbios_info | Renvoie la valeur si elle existe dans le résultat JSON. |
| arp_table | Renvoie la valeur si elle existe dans le résultat JSON. |
| route_table | Renvoie la valeur si elle existe dans le résultat JSON. |
| dns_cache | Renvoie la valeur si elle existe dans le résultat JSON. |
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
[{
"EntityResult":
{
"connections":
[{
"connection_type": "SOCK_STREAM",
"collection_id": "50e74bd2-1cd4-412c-a7fc-24cf1456e883",
"exe": "C:\\\\Windows\\\\System32\\\\test.exe",
"connection_status": "LISTEN",
"name": "test.exe",
"family": "ipv4",
"local_port": 111,
"remote_port": 0,
"pid": 700,
"remote_address": "0.0.0.0",
"create_time": 1583314664,
"connection_timestamp": 1583314664.0117714,
"local_address": "0.0.0.0",
"protocol": "tcp",
"hashes":
{
"sha256": "5d00bbeb147e0c838a622fc42c543b2913d57eaca4e69d9a37ed61e98c819347", "md5": "8497852ed44aff902d502015792d315d",
"sha1": "800a4c2e524fc392c45748eae1691fa01d24ea4c"
},
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
}],
"netbios_info":
[{
"comment": "",
"name": "PC-01",
"version_major": 10,
"netbios_neighbor_type": 8392747,
"platform": "WINDOWS NT",
"version_minor": 0
}],
"arp_table":
[{
"connection_type": "SOCK_STREAM",
"collection_id": "50e74bd2-1cd4-412c-a7fc-24cf1456e883",
"exe": "C:\\\\Windows\\\\System32\\\\test.exe",
"connection_status": "LISTEN",
"name": "test.exe",
"family": "ipv4",
"local_port": 111,
"remote_port": 0,
"pid": 700,
"remote_address": "0.0.0.0",
"create_time": 1583314664,
"connection_timestamp": 1583314664.0117714,
"local_address": "0.0.0.0",
"protocol": "tcp",
"hashes": {"sha256": "5d00bbeb147e0c838a622fc42c543b2913d57eaca4e69d9a37ed61e98c819347", "md5": "8497852ed44aff902d502015792d315d",
"sha1": "800a4c2e524fc392c45748eae1691fa01d24ea4c"},
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
}],
"route_table":
[{
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"family": "ipv4",
"destination": "0.0.0.0",
"netmask": "0.0.0.0",
"collection_id": "50e74bd2-1cd4-412c-a7fc-24cf1456e883",
"interface_name": "Ethernet0",
"gateway": "1.1.1.1"
}],
"dns_cache":
[{
"name": "test.ms",
"dns_record_type": "A",
"ttl": 0,
"collection_id": "50e74bd2-1cd4-412c-a7fc-24cf1456e883",
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"query_error": 9701
}]
},
"Entity": "PC-01"
}]
Ping
Testez la connectivité au serveur Endgame.
Paramètres
N/A
Date d'exécution
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Enquête sur le processus
Obtenez des informations sur les processus en cours d'exécution sur un point de terminaison Endgame spécifique.
Paramètres
| Paramètre | Type | Valeur par défaut | Description |
|---|---|---|---|
| Nombre maximal d'éléments à renvoyer | Chaîne | 50 | Indiquez le nombre d'éléments à renvoyer. |
| Détecter les attaques sans fichier (Windows uniquement) | Case à cocher | Décochée | Spécifiez cette option pour détecter les attaques sans fichier. Windows uniquement. |
| Détecter les logiciels malveillants avec MalwareScore (Windows uniquement) | Case à cocher | Décochée | Indiquez de détecter les processus de logiciels malveillants avec MalwareScore. Windows uniquement. |
| Collecter les threads de processus | Case à cocher | Décochée | Indiquez si vous souhaitez inclure des informations sur le nombre de threads de processus dans la réponse. |
| Retourner uniquement les processus suspects | Case à cocher | Cochée | Indiquez que seuls les processus suspects du point de terminaison doivent être renvoyés. Selon la définition d'Endgame, les processus suspects sont des processus exécutables non soutenus. |
Date d'exécution
Cette action s'applique aux entités suivantes :
- Nom d'hôte
- Adresse IP
Résultats de l'action
Enrichissement d'entités
| Nom du champ d'enrichissement | Logique : quand l'appliquer ? |
|---|---|
| domaine | Renvoie la valeur si elle existe dans le résultat JSON. |
| name_suspicious | Renvoie la valeur si elle existe dans le résultat JSON. |
| pid | Renvoie la valeur si elle existe dans le résultat JSON. |
| name_uncommon_path | Renvoie la valeur si elle existe dans le résultat JSON. |
| repeat_offender | Renvoie la valeur si elle existe dans le résultat JSON. |
| cmdline | Renvoie la valeur si elle existe dans le résultat JSON. |
| create_time | Renvoie la valeur si elle existe dans le résultat JSON. |
| parent_name | Renvoie la valeur si elle existe dans le résultat JSON. |
| has_unbacked_execute_memory | Renvoie la valeur si elle existe dans le résultat JSON. |
| sid | Renvoie la valeur si elle existe dans le résultat JSON. |
| ppid | Renvoie la valeur si elle existe dans le résultat JSON. |
| up_time | Renvoie la valeur si elle existe dans le résultat JSON. |
| unbacked_execute_region_count | Renvoie la valeur si elle existe dans le résultat JSON. |
| is_sensor | Renvoie la valeur si elle existe dans le résultat JSON. |
| fils | Renvoie la valeur si elle existe dans le résultat JSON. |
| utilisateur | Renvoie la valeur si elle existe dans le résultat JSON. |
| collection_id | Renvoie la valeur si elle existe dans le résultat JSON. |
| parent_exe | Renvoie la valeur si elle existe dans le résultat JSON. |
| exe | Renvoie la valeur si elle existe dans le résultat JSON. |
| nom | Renvoie la valeur si elle existe dans le résultat JSON. |
| unbacked_execute_byte_count | Renvoie la valeur si elle existe dans le résultat JSON. |
| machine_id | Renvoie la valeur si elle existe dans le résultat JSON. |
| unbacked_execute_region_count | Renvoie la valeur si elle existe dans le résultat JSON. |
| tty_device_minor_number | Renvoie la valeur si elle existe dans le résultat JSON. |
| uid | Renvoie la valeur si elle existe dans le résultat JSON. |
| name_suspicious | Renvoie la valeur si elle existe dans le résultat JSON. |
| phys_memory_bytes | Renvoie la valeur si elle existe dans le résultat JSON. |
| pid | Renvoie la valeur si elle existe dans le résultat JSON. |
| env_variables | Renvoie la valeur si elle existe dans le résultat JSON. |
| repeat_offender | Renvoie la valeur si elle existe dans le résultat JSON. |
| cmdline | Renvoie la valeur si elle existe dans le résultat JSON. |
| create_time | Renvoie la valeur si elle existe dans le résultat JSON. |
| tty_device_major_number | Renvoie la valeur si elle existe dans le résultat JSON. |
| parent_name | Renvoie la valeur si elle existe dans le résultat JSON. |
| groupe | Renvoie la valeur si elle existe dans le résultat JSON. |
| cpu_percent | Renvoie la valeur si elle existe dans le résultat JSON. |
| has_unbacked_execute_memory | Renvoie la valeur si elle existe dans le résultat JSON. |
| gid | Renvoie la valeur si elle existe dans le résultat JSON. |
| sha256 | Renvoie la valeur si elle existe dans le résultat JSON. |
| cwd | Renvoie la valeur si elle existe dans le résultat JSON. |
| exe | Renvoie la valeur si elle existe dans le résultat JSON. |
| up_time | Renvoie la valeur si elle existe dans le résultat JSON. |
| short_name | Renvoie la valeur si elle existe dans le résultat JSON. |
| tty_device_name | Renvoie la valeur si elle existe dans le résultat JSON. |
| is_sensor | Renvoie la valeur si elle existe dans le résultat JSON. |
| sha1 | Renvoie la valeur si elle existe dans le résultat JSON. |
| fils | Renvoie la valeur si elle existe dans le résultat JSON. |
| name_uncommon_path | Renvoie la valeur si elle existe dans le résultat JSON. |
| collection_id | Renvoie la valeur si elle existe dans le résultat JSON. |
| md5 | Renvoie la valeur si elle existe dans le résultat JSON. |
| argv_list | Renvoie la valeur si elle existe dans le résultat JSON. |
| num_threads | Renvoie la valeur si elle existe dans le résultat JSON. |
| utilisateur | Renvoie la valeur si elle existe dans le résultat JSON. |
| virt_memory_bytes | Renvoie la valeur si elle existe dans le résultat JSON. |
| nom | Renvoie la valeur si elle existe dans le résultat JSON. |
| session_id | Renvoie la valeur si elle existe dans le résultat JSON. |
| memory_percent | Renvoie la valeur si elle existe dans le résultat JSON. |
| machine_id | Renvoie la valeur si elle existe dans le résultat JSON. |
| unbacked_execute_byte_count | Renvoie la valeur si elle existe dans le résultat JSON. |
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
[{
"EntityResult":
[{
"domain": "NT AUTHORITY",
"name_suspicious": false,
"pid": 4,
"name_uncommon_path": false,
"repeat_offender": false,
"cmdline": "",
"create_time": 1583314654,
"parent_name": "System Idle Process",
"has_unbacked_execute_memory": false,
"sid": "S-1-5-18",
"ppid": 0,
"up_time": 342643,
"unbacked_execute_region_count": 0,
"is_sensor": false,
"threads":
[{ "thread_id": 12,
"up_time": 13228130896,
"create_time": -11644473599
},
{
"thread_id": 16,
"up_time": 13228130896,
"create_time": -11644473599
}],
"user": "SYSTEM",
"collection_id": "ac1fb296-db5a-4426-b32e-292e4a50188d",
"parent_exe": "",
"exe": "",
"name": "System",
"unbacked_execute_byte_count": 0,
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
}],
"Entity": "PC-01"
},
{
"EntityResult":
[{
"unbacked_execute_region_count": 0,
"tty_device_minor_number": 0,
"uid": 0,
"name_suspicious": false,
"phys_memory_bytes": 8900608,
"pid": 1,
"env_variables":
[ "HOME=/",
"init=/sbin/init",
"NETWORK_SKIP_ENSLAVED=",
"recovery=",
"TERM=linux",
"drop_caps=",
"BOOT_IMAGE=/vmlinuz-4.15.0-88-generic",
"PATH=/sbin:/usr/sbin:/bin:/usr/bin",
"PWD=/", "rootmnt=/root" ],
"repeat_offender": false,
"cmdline": "/sbin/init maybe-ubiquity",
"create_time": 1583632302,
"tty_device_major_number": 0,
"parent_name": "",
"group": "root",
"cpu_percent": 0,
"has_unbacked_execute_memory": false,
"gid": 0,
"sha256": "3a14ff4b18505543eda4dccb054aa5860478a95ed0cac76da392f3472da3ad67",
"cwd": "/",
"exe": "/lib/systemd/systemd",
"up_time": 24942,
"short_name": "systemd",
"tty_device_name": "",
"is_sensor": false,
"sha1": "e016f80b87101a74b52d15ce2726560a6e128b60",
"threads": [{"thread_id": 1}],
"name_uncommon_path": false,
"collection_id": "bcb6b33a-0ffb-4e72-818a-1731024dfd79",
"md5": "ca563cf817f03ed7d01a6462818a5791",
"argv_list": ["/sbin/init", "maybe-ubiquity"],
"num_threads": 1,
"ppid": 0,
"virt_memory_bytes": 79818752,
"name": "systemd",
"session_id": 1,
"memory_percent": 0.21517109870910645,
"parent_exe": "",
"unbacked_execute_byte_count": 0,
"machine_id": "5ae8ddd9-9339-ae4b-ccf7-5ed68f38b3a9",
"user": "root"
}],
"Entity": "PC-202"
}]
Enquête sur les supports amovibles (Windows uniquement)
DObtenez des informations sur les supports amovibles à partir d'un point de terminaison Endgame spécifique.
Paramètres
| Paramètre | Type | Valeur par défaut | Description |
|---|---|---|---|
| Nombre maximal d'éléments à renvoyer | Chaîne | 50 | Indiquez le nombre d'éléments à renvoyer. |
Date d'exécution
Cette action s'applique aux entités suivantes :
- Nom d'hôte
- Adresse IP
Résultats de l'action
Enrichissement d'entités
| Nom du champ d'enrichissement | Logique : quand l'appliquer ? |
|---|---|
| nom | Renvoie la valeur si elle existe dans le résultat JSON. |
| is_storage_device | Renvoie la valeur si elle existe dans le résultat JSON. |
| vendor_id | Renvoie la valeur si elle existe dans le résultat JSON. |
| collection_id | Renvoie la valeur si elle existe dans le résultat JSON. |
| last_connect_time | Renvoie la valeur si elle existe dans le résultat JSON. |
| serial_number | Renvoie la valeur si elle existe dans le résultat JSON. |
| machine_id | Renvoie la valeur si elle existe dans le résultat JSON. |
| is_connected | Renvoie la valeur si elle existe dans le résultat JSON. |
| product_id | Renvoie la valeur si elle existe dans le résultat JSON. |
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
[{
"EntityResult":
[{ "name": "USB Composite Device",
"is_storage_device": false,
"vendor_id": "0E0F",
"collection_id": "fbe61b16-e6b2-4595-8409-abf4ce15fa85",
"last_connect_time": 1552596043.0610971,
"serial_number": "6&35D1F50B&0&1",
"machine_id": "a4c05d5a-7ebc-c3ab-1beb-f1fe517768d8",
"is_connected": false,
"product_id": "0003"
}],
"Entity": "PC-01"
}]
Enquête sur les logiciels (Windows uniquement)
Obtenez des informations sur un logiciel installé sur un point de terminaison Endgame spécifique.
Paramètres
| Paramètre | Type | Valeur par défaut | Description |
|---|---|---|---|
| Nombre maximal d'éléments à renvoyer | Chaîne | 50 | Indiquez le nombre d'éléments à renvoyer. |
Date d'exécution
Cette action s'applique aux entités suivantes :
- Nom d'hôte
- Adresse IP
Résultats de l'action
Enrichissement d'entités
| Nom du champ d'enrichissement | Logique : quand l'appliquer ? |
|---|---|
| diffuseur | Renvoie la valeur si elle existe dans le résultat JSON. |
| machine_id | Renvoie la valeur si elle existe dans le résultat JSON. |
| package | Renvoie la valeur si elle existe dans le résultat JSON. |
| install_date | Renvoie la valeur si elle existe dans le résultat JSON. |
| version | Renvoie la valeur si elle existe dans le résultat JSON. |
| collection_id | Renvoie la valeur si elle existe dans le résultat JSON. |
| installed_for | Renvoie la valeur si elle existe dans le résultat JSON. |
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
[{
"EntityResult":
[{
"publisher": "John Doe",
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"package": "Test",
"install_date": "20191008",
"version": "18.06",
"collection_id": "fc079e17-8a2e-40d9-94c9-b974e5534e58",
"installed_for": "allUsers"
}],
"Entity": "PC-01"
}]
Enquête sur le système
Obtenez des informations système sur un seul point de terminaison Endgame, comme l'utilisation de la mémoire, le DNS et l'OS.
Paramètres
| Paramètre | Type | Valeur par défaut | Description |
|---|---|---|---|
| Nombre maximal d'éléments à renvoyer | Chaîne | 50 | Indiquez le nombre d'éléments à renvoyer. |
| Inclure les informations sur le produit de sécurité (Windows uniquement) | Case à cocher | Cochée | Spécifiez cette option pour obtenir des informations sur les produits de sécurité installés sur le point de terminaison (Windows uniquement). |
| Inclure les informations sur les correctifs (Windows uniquement) | Case à cocher | Cochée | Spécifiez cette option pour obtenir des informations sur les correctifs (Windows uniquement). |
| Inclure les informations sur le disque | Case à cocher | Cochée | Spécifiez que vous souhaitez obtenir des informations sur les disques. |
| Inclure les informations sur l'interface réseau | Case à cocher | Cochée | Spécifiez pour obtenir des informations sur les interfaces réseau. |
Date d'exécution
Cette action s'applique aux entités suivantes :
- Nom d'hôte
- Adresse IP
Résultats de l'action
Enrichissement d'entités
| Nom du champ d'enrichissement | Logique : quand l'appliquer ? |
|---|---|
| patches_info | Renvoie la valeur si elle existe dans le résultat JSON. |
| Disks_info | Renvoie la valeur si elle existe dans le résultat JSON. |
| network_interfaces | Renvoie la valeur si elle existe dans le résultat JSON. |
| Os_info | Renvoie la valeur si elle existe dans le résultat JSON. |
| installed_security_products | Renvoie la valeur si elle existe dans le résultat JSON. |
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
[{
"EntityResult":
{
"patches_info":
[{
"collection_id": "f7d a62bb-318d-40c1-a490-85979c0c9ede",
"installed_on": "2/3/2018",
"hotfix_id": "KB4049065",
"machine_id": "870499c3-d6bf-8edd-972d-f2f6621dd971"
}],
"Disks_info":
[{
"disk_id": "\\\\Device\\\\HarddiskVolume2",
"fstype": "NTFS",
"disk_total": 15579738112,
"disk_free": 1219571712,
"collection_id": "a27ebace-32ec-4257-ab4f-7da49f02a9d4",
"device": "\\\\Device\\\\HarddiskVolume2",
"path": "C:\\\\",
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
}],
"network_interfaces":
[{
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"mac_address": "01:23:45:ab:cd:ef",
"ipv4_addresses": ["1.1.1.1"],
"ipv6_addresses": ["1111::1111:1111:1111:1111"],
"collection_id": "a27ebace-32ec-4257-ab4f-7da49f02a9d4",
"smp_interface": true,
"interface_name": "Ethernet0"
}],
"Os_info":
[{
"memory":
{ "ram_free": 1240039424,
"page_percent_used": 36.89334358507761,
"page_total": 2818101248,
"ram_percent_used": 42.24349594504104,
"ram_total": 2147012608,
"ram_used": 906973184,
"page_used": 1039691776,
"page_free": 1778409472
},
"doc_type": "collection",
"domain": "PC-01.test.com",
"endpoint":
{ "status": "unmonitored",
"ad_distinguished_name":
"CN=PC_01,OU=TESTOU,OU=Organization,DC=test,DC=com",
"ad_hostname": "test.com",
"operating_system": "Windows 10.0 ",
"name": "PC-01",
"display_operating_system": "Windows 10 (v1511)",
"hostname": "PC-01",
"updated_at": "2020-03-08T08:27:22.919880+00:00",
"mac_address": "01:23:45:ab:cd:ef",
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"ip_address": "1.1.1.1",
"id": "b23c8a14-69e0-4966-b78a-c9fba4fdd934"
},
"investigation_id": "85cff906-8b39-4a37-aa05-84950c9b2a02",
"hostname": "PC-01",
"bulk_task_id": null,
"original_machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"os_version":
{
"os_minor": 0,
"os_is_server": false,
"os_major": 10,
"os_build_number": 10586,
"os_service_pack": ""
},
"correlation_id": "7e17de5a-abcb-4de0-a510-7ca79bfdc345",
"architecture": "x64",
"sensor_info":
{
"malware_feature_version": "3.0.0",
"sensor_build_time": "1581375786",
"sensor_commit_sha": "80af56b6b295de785e502d82f39deac34973b2dd",
"sensor_build_number": 48,
"sensor_version": "3.53.9"
},
"time":
{
"tz_observes_dst": true,
"tz_currently_in_dst": false,
"tz_name": "Pacific Standard Time",
"tz_offset_minutes": 480
},
"os_type": "windows",
"ad_info":
{
"distinguished_name": "CN=PC-01,OU=TESTOU,OU=Organization,DC=test,DC=com",
"domain_hostname": "test.com"
},
"origination_task_id": "d3d67012-cfb1-47d0-8ec9-bf7ffb68a019"
}],
"installed_security_products":
[{
"security_product_type": "AntiVirus",
"collection_id": "a27ebace-32ec-4257-ab4f-7da49f02a9d4",
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"enabled": false, "name": "Windows Defender"
}]
},
"Entity": "PC-01"
}]
Enquête sur les sessions utilisateur
Obtenez des informations sur les sessions utilisateur actives sur un point de terminaison Endgame spécifique.
Paramètres
| Paramètre | Type | Valeur par défaut | Description |
|---|---|---|---|
| Nombre maximal d'éléments à renvoyer | Chaîne | 50 | Indiquez le nombre d'éléments à renvoyer. |
Date d'exécution
- Nom d'hôte
- Adresse IP
Résultats de l'action
Enrichissement d'entités
| Nom du champ d'enrichissement | Logique : quand l'appliquer ? |
|---|---|
| nom d'utilisateur | Renvoie la valeur si elle existe dans le résultat JSON. |
| shell | Renvoie la valeur si elle existe dans le résultat JSON. |
| uid | Renvoie la valeur si elle existe dans le résultat JSON. |
| (lancé) | Renvoie la valeur si elle existe dans le résultat JSON. |
| nom d'hôte | Renvoie la valeur si elle existe dans le résultat JSON. |
| host_ip | Renvoie la valeur si elle existe dans le résultat JSON. |
| session_id | Renvoie la valeur si elle existe dans le résultat JSON. |
| session_count | Renvoie la valeur si elle existe dans le résultat JSON. |
| terminal | Renvoie la valeur si elle existe dans le résultat JSON. |
| s'est terminé | Renvoie la valeur si elle existe dans le résultat JSON. |
| gid | Renvoie la valeur si elle existe dans le résultat JSON. |
| collection_id | Renvoie la valeur si elle existe dans le résultat JSON. |
| machine_id | Renvoie la valeur si elle existe dans le résultat JSON. |
| (lancé) | Renvoie la valeur si elle existe dans le résultat JSON. |
| password_last_set | Renvoie la valeur si elle existe dans le résultat JSON. |
| logon_type | Renvoie la valeur si elle existe dans le résultat JSON. |
| sid | Renvoie la valeur si elle existe dans le résultat JSON. |
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
[{
"EntityResult":
[{
"username": "endgame",
"shell": "/opt/endgame/bin/console",
"uid": 1000,
"started": 1582554802.55514,
"hostname": "",
"host_ip": "",
"session_id": 887,
"session_count": 1,
"terminal": "tty1",
"ended": 0,
"gid": 1000,
"collection_id": "1aebade8-9f7b-4237-8c43-2aed8729511e",
"machine_id": "827255f4-53a2-1823-cac0-7c0f7730ca26"
}],
"Entity": "PC-01"
}, {
"EntityResult":
[{
"username": "example",
"domain": "3B",
"started": 1580205134.001,
"session_count": 1,
"ended": 0,
"password_last_set": 0,
"logon_type": "interactive",
"sid": "",
"collection_id": "88b876b1-5063-40a8-b40e-440df5eb8952",
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
}],
"Entity": "PC-02"
}
Connecteurs
Pour obtenir des instructions détaillées sur la configuration d'un connecteur dans Google SecOps, consultez Configurer le connecteur.
Endgame Connector
Utilisez les paramètres suivants pour configurer le connecteur :
| Paramètre | Type | Valeur par défaut | Description |
|---|---|---|---|
| DeviceProductField | Chaîne | device_product | Nom du champ utilisé pour déterminer le produit de l'appareil. |
| EventClassId | Chaîne | event_name | Nom du champ utilisé pour déterminer le nom (sous-type) de l'événement |
| PythonProcessTimeout | Chaîne | 30 | Délai limite (en secondes) pour le processus Python exécutant le script actuel |
| Racine de l'API | Chaîne | N/A | N/A |
| Nom d'utilisateur | Chaîne | N/A | N/A |
| Mot de passe | Mot de passe | N/A | N/A |
| Vérifier le protocole SSL | Case à cocher | Décochée | N/A |
| Nombre maximal de jours en arrière | Chaîne | N/A | N/A |
| Nom du champ "Environnement" | Chaîne | N/A | Si elle est définie, le connecteur extrait l'environnement du champ d'événement spécifié. Vous pouvez manipuler les données du champ à l'aide du champ de modèle d'expression régulière pour extraire une chaîne spécifique. |
| Limite du nombre d'alertes | Chaîne | N/A | N/A |
| Adresse du serveur proxy | Chaîne | N/A | Adresse du serveur proxy à utiliser. |
| Nom d'utilisateur du proxy | Chaîne | N/A | Nom d'utilisateur du proxy pour l'authentification. |
| Mot de passe du proxy | Mot de passe | N/A | Mot de passe du proxy pour l'authentification. |
Règles du connecteur
Le connecteur est compatible avec le proxy.
Le connecteur est compatible avec la liste dynamique.
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.