Endgame
Versi integrasi: 9.0
Mengintegrasikan Endgame dengan Google Security Operations
Untuk mendapatkan petunjuk mendetail terkait cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.
Tindakan
Memperkaya Entitas
Memperkaya entitas Host dan IP Google SecOps berdasarkan informasi dari Endgame.
Parameter
T/A
Kasus penggunaan
Tindakan ini dapat digunakan dalam playbook yang menyelidiki aktivitas di perangkat. Jika agen Endgame diinstal di perangkat, tindakan ini akan menarik informasi Endgame di perangkat untuk memperkaya entitas Google SecOps.
Dijalankan pada
Tindakan ini berjalan di entity berikut:
- Host
- Alamat IP
Hasil tindakan
Pengayaan entitas
| Nama Kolom Pengayaan | Logika-Kapan harus diterapkan |
|---|---|
| Endgame_Domain | Selalu |
| Endgame_endpoint_id | Selalu |
| Endgame_hostname | Selalu |
| Endgame_sensors_status | Selalu |
| Endgame_sensors_id | Selalu |
| Endgame_sensors_status | Selalu |
| Endgame_sensors_id | Selalu |
| Endgame_policy_status | Selalu |
| Endgame_policy_name | Selalu |
| Endgame_policy_id | Selalu |
| Endgame_is_isolated | Selalu |
Hasil skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
{
"data": [
{
"domain": "InstallerInitiated",
"updated_at": "2019-11-01T05:42:08.149079+00:00",
"id": "1682418d-02ff-43cd-a730-bcae8215a514",
"display_operating_system": "CentOS 7.6",
"hostname": "example",
"mac_address": "01:23:45:ab:cd:ef",
"upgrade_status": "",
"base_image": false,
"isolation_updated_at": null,
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [
{
"id": "a0927aeb-915a-466d-a5eb-5d7b6f9217c5",
"name": "BLUE TEAM"
},
{
"id": "bede2f24-593c-45e4-9863-9c2438f0f163",
"name": "SOC"
},
{
"id": "fc2dfcc8-9329-4f33-86a2-877bfb27575e",
"name": "CORE ENV"
}
],
"isolation_request_status": null,
"alert_count": 0,
"investigation_count": 0,
"groups": [
{
"is_dynamic": false,
"count": 4,
"id": "c1af3cd6-2638-4144-842d-adc9cfb67fb9",
"name": "SOC"
}
],
"sensors": [
{
"status": "monitored",
"sensor_version": "3.52.12",
"policy_status": "successful",
"policy_name": "Lab (Detect-Only)",
"sensor_type": "hunt",
"id": "fbb87923-a833-5581-a160-7f4f85a21bd0",
"policy_id": "a1d72bce-1f61-4ba8-bcd4-dfa97148335f"
}
],
"ip_address": "192.0.2.1",
"is_isolated": false,
"operating_system": "Linux 3.10.0-957.27.2.el7.x86_64",
"name": "example",
"status_changed_at": "2020-01-07T08:15:11.865854+00:00",
"core_os": "linux",
"created_at": "2019-03-19T05:07:50.598837+00:00",
"error": null,
"machine_id": "827255f4-53a2-1823-cac0-7c0f7730ca26"
},
{
"domain": "InstallerInitiated",
"updated_at": "2019-11-01T05:42:09.150756+00:00",
"id": "12c3530d-657f-4ccd-835e-6df9affeed3d",
"display_operating_system": "Ubuntu 18.04.3",
"hostname": "example",
"mac_address": "01:23:45:ab:cd:ef",
"upgrade_status": "",
"base_image": false,
"isolation_updated_at": null,
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [],
"isolation_request_status": null,
"alert_count": 0,
"investigation_count": 0,
"groups": [
{
"is_dynamic": false,
"count": 4,
"id": "c1af3cd6-2638-4144-842d-adc9cfb67fb9",
"name": "SOC"
}
],
"sensors": [
{
"status": "monitored",
"sensor_version": "3.52.12",
"policy_status": "successful",
"policy_name": "Lab (Detect-Only)",
"sensor_type": "hunt",
"id": "dc2e35cc-0c87-5a60-8fc8-de23ef747d02",
"policy_id": "a1d72bce-1f61-4ba8-bcd4-dfa97148335f"
}
],
"ip_address": "192.0.2.1",
"is_isolated": false,
"operating_system": "Linux 4.15.0-72-generic",
"name": "example",
"status_changed_at": "2020-01-07T08:15:16.875375+00:00",
"core_os": "linux",
"created_at": "2019-09-20T21:34:51.966863+00:00",
"error": null,
"machine_id": "5ae8ddd9-9339-ae4b-ccf7-5ed68f38b3a9"
}
],
"metadata": {
"count": 38,
"previous_url": null,
"timestamp": "2020-01-07T18:09:43.765744",
"next": null,
"per_page": 50,
"next_url": null,
"transaction_id": "569cdc38-8c7a-4b93-af99-aaf907dc8dd6",
"previous": null
}
}
Mencantumkan Penyelidikan
Mencantumkan investigasi Endgame.
Parameter
| Parameter | Jenis | Nilai Default | Deskripsi |
|---|---|---|---|
| OS | String | Solaris,Windows,MacOS,Linux | Tentukan OS yang ingin Anda cantumkan penyelidikannya. Parameter dapat mengambil beberapa nilai sebagai string yang dipisahkan koma. |
| Mengambil penyelidikan selama X jam terakhir | Int | T/A | Menampilkan penyelidikan yang dibuat untuk jangka waktu yang ditentukan dalam jam. |
| Jumlah Maksimum Investigasi yang Akan Ditampilkan | Int | T/A | Tentukan jumlah penyelidikan yang ingin Anda kueri. |
Kasus penggunaan
Investigasi digunakan untuk mencari berbagai objek endpoint, misalnya, proses, alamat IP, dan file. Tindakan ini memungkinkan pengguna mencantumkan penyelidikan. Analis dapat menggunakan tindakan ini untuk memastikan bahwa semua investigasi yang diperlukan sedang dilakukan di sistem.
Dijalankan pada
Tindakan ini dijalankan di semua entity.
Hasil tindakan
Hasil skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
{
"data": [
{
"created_by_chat": false,
"name": "Example User + 2020-01-08T13:47:51.334336_utc",
"core_os": "windows",
"created_at": "2020-01-08T13:47:51.340497+00:00",
"task_completion": {
"completed_tasks": 1,
"total_tasks": 1
},
"archived": false,
"created_by": {
"username": "admin",
"last_name": "User",
"is_active": true,
"is_editable": true,
"is_ldap": false,
"is_removable": false,
"timezone": null,
"id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"first_name": "Example",
"last_viewed_alert": "2020-01-07T09:24:22.925000",
"is_sso": false,
"is_superuser": true,
"role": {
"role": "Admin",
"id": "37e9e54e-0bb8-5058-9bd4-50a0d0fbea35",
"permissions": {
"endpoints.scan": true,
"sensor.admin.view": true,
"sensor.admin.update": true,
"endpoints.delete": true,
"endpoints.respond": true,
"search.search": true,
"sensor.admin.create": true,
"alerts.admin.forwardalerts": true,
"endpoints.tag": true,
"user.delete": true,
"endpoints.deploy": true,
"user.update": true,
"search.save": true,
"investigation.create": true,
"endpoints.view": true,
"user.view": true,
"sensor.admin.download": true,
"alerts.view": true,
"alerts.update": true,
"search.delete": true,
"sensor.admin.delete": true,
"endpoints.uninstall": true,
"investigation.view": true,
"admin": true,
"investigation.update": true,
"endpoints.changeconfiguration": true,
"user.create": true
}
},
"type": "Local",
"email": null
},
"updated_at": "2020-01-08T13:47:51.379966+00:00",
"created_by_user_display_name": "Example User",
"canceled_by_user_id": null,
"version": 2,
"endpoint_count": 1,
"assigned_to": {
"username": "admin",
"last_name": "User",
"is_active": true,
"is_editable": true,
"is_ldap": false,
"is_removable": false,
"timezone": null,
"id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"first_name": "Example",
"last_viewed_alert": "2020-01-07T09:24:22.925000",
"is_sso": false,
"is_superuser": true,
"role": {
"role": "Admin",
"id": "37e9e54e-0bb8-5058-9bd4-50a0d0fbea35",
"permissions": {
"endpoints.scan": true,
"sensor.admin.view": true,
"sensor.admin.update": true,
"endpoints.delete": true,
"endpoints.respond": true,
"search.search": true,
"sensor.admin.create": true,
"alerts.admin.forwardalerts": true,
"endpoints.tag": true,
"user.delete": true,
"endpoints.deploy": true,
"user.update": true,
"search.save": true,
"investigation.create": true,
"endpoints.view": true,
"user.view": true,
"sensor.admin.download": true,
"alerts.view": true,
"alerts.update": true,
"search.delete": true,
"sensor.admin.delete": true,
"endpoints.uninstall": true,
"investigation.view": true,
"admin": true,
"investigation.update": true,
"endpoints.changeconfiguration": true,
"user.create": true
}
},
"type": "Local",
"email": null
},
"id": "e0ad7613-daf6-435f-98f6-ce40eae01acc",
"canceled_by_user_display_name": null,
"user_display_name": "Example User",
"hunt_count": 1,
"is_canceled": false
}
],
"metadata": {
"count": 46,
"previous_url": null,
"timestamp": "2020-01-08T16:02:09.251511",
"next": 2,
"per_page": 1,
"next_url": "/api/v1/investigations/?per_page=1&page=2",
"previous": null
}
}
Mendapatkan Detail Investigasi
Mendapatkan informasi tentang investigasi Endgame tertentu.
Parameter
| Parameter | Jenis | Nilai Default | Deskripsi |
|---|---|---|---|
| ID Investigasi | String | T/A | Tentukan ID investigasi Endgame yang akan ditelusuri. |
Kasus penggunaan
Investigasi digunakan untuk mencari berbagai objek endpoint, misalnya, proses, alamat IP, dan file. Tindakan ini memungkinkan pengguna mendapatkan informasi lebih lanjut tentang penyelidikan tertentu. Analis dapat menggunakan tindakan ini untuk memastikan semua tugas yang diperlukan telah dilakukan di sistem.
Dijalankan pada
Tindakan ini dijalankan di semua entity.
Hasil Tindakan
Hasil skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
{
"data": {
"tasks": [
"6500673c-d246-41a3-882d-d3a339f28497"
],
"user_display_name": "Example User",
"task_types": [
"Process Survey"
],
"task_completion": {
"completed_tasks": 1,
"total_tasks": 1
},
"updated_at": "2020-01-06T13:30:33.851816+00:00",
"created_by_user_display_name": "Example User",
"id": "54caeedc-d6b0-4ca0-8f64-8798d1c34d54",
"task_completions_by_type": {
"Process Survey": {
"completed_tasks": 1,
"task_type_id": "2fbf0c36-5160-5c31-99ec-0fa5880c6bd1",
"total_tasks": 1
}
},
"archived": false,
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"is_canceled": false,
"created_by": {
"username": "admin",
"last_name": "User",
"is_active": true,
"is_editable": true,
"is_ldap": false,
"is_removable": false,
"timezone": null,
"id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"first_name": "Example",
"last_viewed_alert": "2020-01-06T09:27:04.097000",
"is_sso": false,
"is_superuser": true,
"role": {
"role": "Admin",
"id": "37e9e54e-0bb8-5058-9bd4-50a0d0fbea35",
"permissions": {
"endpoints.scan": true,
"sensor.admin.view": true,
"sensor.admin.update": true,
"endpoints.delete": true,
"endpoints.respond": true,
"search.search": true,
"sensor.admin.create": true,
"alerts.admin.forwardalerts": true,
"endpoints.tag": true,
"user.delete": true,
"endpoints.deploy": true,
"user.update": true,
"search.save": true,
"investigation.create": true,
"endpoints.view": true,
"user.view": true,
"sensor.admin.download": true,
"alerts.view": true,
"alerts.update": true,
"search.delete": true,
"sensor.admin.delete": true,
"endpoints.uninstall": true,
"investigation.view": true,
"admin": true,
"investigation.update": true,
"endpoints.changeconfiguration": true,
"user.create": true
}
},
"type": "Local",
"email": null
},
"hunt_count": 1,
"canceled_by_user_id": null,
"version": 2,
"endpoint_count": 1,
"canceled_by_user_display_name": null,
"created_by_user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"created_by_chat": false,
"sensors": [
"8eef6873-6db7-58ab-a1ca-68dc19b54117"
],
"name": "Example User + 2020-01-06T13:30:33.808543_utc",
"core_os": "windows",
"created_at": "2020-01-06T13:30:33.813747+00:00",
"assigned_to": {
"username": "admin",
"last_name": "User",
"is_active": true,
"is_editable": true,
"is_ldap": false,
"is_removable": false,
"timezone": null,
"id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"first_name": "Example",
"last_viewed_alert": "2020-01-06T09:27:04.097000",
"is_sso": false,
"is_superuser": true,
"role": {
"role": "Admin",
"id": "37e9e54e-0bb8-5058-9bd4-50a0d0fbea35",
"permissions": {
"endpoints.scan": true,
"sensor.admin.view": true,
"sensor.admin.update": true,
"endpoints.delete": true,
"endpoints.respond": true,
"search.search": true,
"sensor.admin.create": true,
"alerts.admin.forwardalerts": true,
"endpoints.tag": true,
"user.delete": true,
"endpoints.deploy": true,
"user.update": true,
"search.save": true,
"investigation.create": true,
"endpoints.view": true,
"user.view": true,
"sensor.admin.download": true,
"alerts.view": true,
"alerts.update": true,
"search.delete": true,
"sensor.admin.delete": true,
"endpoints.uninstall": true,
"investigation.view": true,
"admin": true,
"investigation.update": true,
"endpoints.changeconfiguration": true,
"user.create": true
}
},
"type": "Local",
"email": null
},
"endpoints": [
"b23c8a14-69e0-4966-b78a-c9fba4fdd934"
]
},
"metadata": {
"timestamp": "2020-01-06T14:00:53.716517"
}
}
Mendapatkan Konfigurasi Isolasi Host
Mendapatkan konfigurasi isolasi host yang ditentukan di Endgame.
Parameter
T/A
Kasus penggunaan
Tindakan ini digunakan untuk mendapatkan informasi tentang konfigurasi isolasi host. Konfigurasi ini memungkinkan host yang terisolasi terhubung ke alamat IP yang tercantum di sana. Analis dapat menggunakan tindakan ini untuk memverifikasi bahwa semua alamat IP yang diperlukan ada dalam konfigurasi isolasi host.
Dijalankan pada
Tindakan ini dijalankan di semua entity.
Hasil tindakan
Hasil skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
{
"data": [
{
"id": "47999eeb-f076-5aca-a7cc-56bf7ac2b647",
"comments": [
{
"comment": "Testing API",
"entity_id": "47999eeb-f076-5aca-a7cc-56bf7ac2b647",
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"entity_type": "whitelisted_ip",
"created_at": "2020-01-07T15:59:56Z",
"updated_at": "2020-01-07T15:59:56Z",
"id": 547,
"activity_type": "comment"
}
],
"addr": "192.0.2.1/30"
},
{
"id": "6ab5575c-718e-5e24-bd4d-77e0694ad6fc",
"comments": [
{
"comment": "Testing API",
"entity_id": "6ab5575c-718e-5e24-bd4d-77e0694ad6fc",
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"entity_type": "whitelisted_ip",
"created_at": "2020-01-07T15:58:29Z",
"updated_at": "2020-01-07T15:58:29Z",
"id": 545,
"activity_type": "comment"
}
],
"addr": "192.0.2.11/32"
},
{
"id": "72bdf5d2-4cc6-5ccf-9787-a539fae9c517",
"comments": [
{
"comment": "CIDR Test",
"entity_id": "72bdf5d2-4cc6-5ccf-9787-a539fae9c517",
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"entity_type": "whitelisted_ip",
"created_at": "2020-01-07T15:58:04Z",
"updated_at": "2020-01-07T15:58:04Z",
"id": 543,
"activity_type": "comment"
}
],
"addr": "198.51.100.1/32"
},
{
"id": "5aa89c8f-a535-5876-840c-af33a7ec1419",
"comments": [
{
"comment": "Testing API",
"entity_id": "5aa89c8f-a535-5876-840c-af33a7ec1419",
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"entity_type": "whitelisted_ip",
"created_at": "2020-01-07T15:57:24Z",
"updated_at": "2020-01-07T15:57:24Z",
"id": 541,
"activity_type": "comment"
}
],
"addr": "198.51.100.10"
},
{
"id": "06461575-700b-596d-8662-7ea0aff28e9c",
"comments": [
{
"comment": "Test Isolation",
"entity_id": "06461575-700b-596d-8662-7ea0aff28e9c",
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"entity_type": "whitelisted_ip",
"created_at": "2020-01-07T15:55:21Z",
"updated_at": "2020-01-07T15:55:21Z",
"id": 539,
"activity_type": "comment"
}
],
"addr": "203.0.113.1"
}
],
"metadata": {
"count": 5,
"previous_url": null,
"timestamp": "2020-01-07T16:00:19.754687",
"next": null,
"per_page": 10,
"next_url": null,
"previous": null
}
}
Menambahkan Subnet IP ke Konfigurasi Isolasi Host
Tambahkan subnet IP ke konfigurasi isolasi host yang ditentukan di Endgame.
Parameter
| Parameter | Jenis | Nilai Default | Deskripsi |
|---|---|---|---|
| Subnet IP | String | T/A | Masukkan Subnet IPv4 yang ingin Anda tambahkan ke Konfigurasi Isolasi Host. |
| Deskripsi | String | T/A | Masukkan deskripsi ke Subnet IP. |
| Buat Insight | Kotak centang | tidak dicentang | Jika diaktifkan, Insight akan dibuat setelah tindakan ini berhasil dieksekusi. |
Kasus penggunaan
Tindakan ini digunakan untuk mendapatkan informasi tentang konfigurasi isolasi host. Konfigurasi ini memungkinkan host yang terisolasi terhubung ke subnet IP yang tercantum di sana. Analis dapat menggunakan tindakan ini untuk menambahkan subnet IP yang diperlukan ke konfigurasi isolasi host.
Run On
Tindakan ini dijalankan di semua entity.
Hasil Tindakan
Insight
Jika subnet IP ditambahkan ke konfigurasi isolasi host menggunakan Endgame, buat insight untuk menunjukkannya.
Hasil skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Menghapus Subnet IP dari Konfigurasi Isolasi Host
Menghapus subnet IP dari konfigurasi isolasi host yang ditentukan di Endgame.
Parameter
| Parameter | Jenis | Nilai Default | Deskripsi |
|---|---|---|---|
| Subnet IP | String | T/A | Masukkan Subnet IPv4 yang ingin Anda tambahkan ke Konfigurasi Isolasi Host. |
| Buat Insight | Kotak centang | tidak dicentang | Jika diaktifkan, Insight akan dibuat setelah tindakan ini berhasil dieksekusi. |
Kasus penggunaan
Tindakan ini digunakan untuk mendapatkan informasi tentang konfigurasi isolasi host. Konfigurasi ini memungkinkan host yang terisolasi terhubung ke subnet IP yang tercantum di sana. Analis dapat menggunakan tindakan ini untuk menghapus subnet IP yang tidak lagi diperlukan dari konfigurasi isolasi host.
Dijalankan pada
Tindakan ini dijalankan di semua entity.
Hasil tindakan
Insight
Jika subnet IP dihapus dari konfigurasi isolasi host menggunakan Endgame, buat insight untuk menunjukkannya.
Hasil skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Mengumpulkan Autoruns (Khusus Windows)
Kumpulkan autorun dari endpoint Endgame.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Deskripsi |
|---|---|---|---|
| Jumlah Maksimum Item yang Akan Ditampilkan | Bilangan bulat | 1000 | Tentukan jumlah autorun yang akan ditampilkan. |
| Kategori "Semua" | Kotak centang | Dicentang | Jika diaktifkan, cari semua kategori autorun. |
| Kategori "Penyedia Jaringan" | Kotak centang | Tidak dicentang | Jika diaktifkan, telusuri kategori autorun "Penyedia Jaringan". |
| Kategori "Office" | Kotak centang | Tidak dicentang | Jika diaktifkan, telusuri kategori autorun "Office". |
| Kategori "Driver" | Kotak centang | Tidak dicentang | Jika diaktifkan, telusuri kategori autorun "Driver". |
| Kategori "Inisialisasi Aplikasi" | Kotak centang | Tidak dicentang | Jika diaktifkan, telusuri kategori autorun "App Init". |
| Kategori "Winlogon" | Kotak centang | Tidak dicentang | Jika diaktifkan, cari kategori autorun "Winlogon". |
| Kategori "Print Monitor" | Kotak centang | Tidak dicentang | Jika diaktifkan, cari kategori autorun "Print Monitor". |
| Kategori "Kemudahan Akses" | Kotak centang | Tidak dicentang | Jika diaktifkan, telusuri kategori autorun "Kemudahan Akses". |
| Kategori "WMI" | Kotak centang | Tidak dicentang | Jika diaktifkan, telusuri kategori autorun "WMI". |
| Kategori "Penyedia LSA" | Kotak centang | Tidak dicentang | Jika diaktifkan, telusuri kategori yang dijalankan otomatis "Penyedia LSA". |
| Kategori "Layanan" | Kotak centang | Tidak dicentang | Jika diaktifkan, telusuri kategori autorun "Layanan". |
| Kategori "Bits" | Kotak centang | Tidak dicentang | Jika diaktifkan, telusuri kategori autorun "Bits". |
| Kategori "DLL yang diketahui" | Kotak centang | Tidak dicentang | Jika diaktifkan, telusuri kategori autorun "Known dll". |
| Kategori "Penyedia Cetak" | Kotak centang | Tidak dicentang | Jika diaktifkan, telusuri kategori autorun "Penyedia Cetak". |
| Kategori "Pembajakan Gambar" | Kotak centang | Tidak dicentang | Jika diaktifkan, telusuri kategori autorun "Pembajakan Gambar". |
| Kategori "Folder Startup" | Kotak centang | Tidak dicentang | Jika diaktifkan, telusuri kategori autorun "Startup Folder". |
| Kategori "Internet Explorer" | Kotak centang | Tidak dicentang | Jika diaktifkan, telusuri kategori autorun "Internet Explorer". |
| Kategori "Codec" | Kotak centang | Tidak dicentang | Jika diaktifkan, telusuri kategori autorun "Codec". |
| Kategori "Logon" | Kotak centang | Tidak dicentang | Jika diaktifkan, telusuri kategori autorun "Logon". |
| Kategori "Pembajakan Urutan Penelusuran" | Kotak centang | Tidak dicentang | Jika diaktifkan, telusuri kategori autorun "Pembajakan Urutan Penelusuran". |
| Kategori "Winsock Provider" | Kotak centang | Tidak dicentang | Jika diaktifkan, telusuri kategori autorun "Winsock Provider". |
| Kategori "Boot Execute" | Kotak centang | Tidak dicentang | Jika diaktifkan, telusuri kategori autorun "Boot Execute". |
| Kategori "Phantom dll" | Kotak centang | Tidak dicentang | Jika diaktifkan, telusuri kategori yang dijalankan otomatis "Phantom dll". |
| Kategori "Pembajakan Com" | Kotak centang | Tidak dicentang | Jika diaktifkan, telusuri kategori autorun "Com Hijack". |
| Kategori "Penjelajah" | Kotak centang | Tidak dicentang | Jika diaktifkan, telusuri kategori autorun "Explorer". |
| Kategori "Tugas Terjadwal" | Kotak centang | Tidak dicentang | Jika diaktifkan, telusuri kategori autorun "Scheduled Task". |
| Sertakan Semua Metadata | Kotak centang | Dicentang | Jika diaktifkan, akan memberikan semua data yang tersedia. |
| Menyertakan Metadata Klasifikasi Malware | Kotak centang | Tidak dicentang | Jika diaktifkan, memberikan informasi tentang MalwareScore. |
| Menyertakan Metadata Authenticode | Kotak centang | Tidak dicentang | Jika diaktifkan, akan memberikan Informasi Penanda Tangan. |
| Sertakan Hash MD5 | Kotak centang | Tidak dicentang | Jika diaktifkan, memberikan hash MD5 dalam respons. |
| Sertakan Hash SHA-1 | Kotak centang | Tidak dicentang | Jika diaktifkan, memberikan hash SHA-1 dalam respons. |
| Sertakan Hash SHA-256 | Kotak centang | Tidak dicentang | Jika diaktifkan, memberikan hash SHA-256 dalam respons. |
Kasus penggunaan
Tindakan ini dapat digunakan untuk mengumpulkan informasi tentang autorun di endpoint. Data ini dapat membantu analis melakukan proses triase dan perbaikan.
Dijalankan pada
Tindakan ini berjalan di entity berikut:
- Host
- Alamat IP
Hasil tindakan
Hasil skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
{
"data": {
"count": 1,
"per_page": 50,
"previous": null,
"tasks": [
{
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"data": {
"category_option": {
"category_network_provider": true,
"category_office": false,
"category_driver": false,
"category_app_init": false,
"category_winlogon": false,
"category_print_monitor": false,
"category_ease_of_access": false,
"category_wmi": false,
"category_lsa_provider": false,
"category_service": false,
"category_bits": false,
"category_known_dll": false,
"category_print_provider": false,
"category_image_hijack": false,
"category_startup_folder": false,
"category_internet_explorer": false,
"category_codec": false,
"category_logon": false,
"category_all": false,
"category_search_order_hijack": false,
"category_winsock_provider": false,
"category_boot_execute": false,
"category_phantom_dll": false,
"category_com_hijack": false,
"category_explorer": false,
"category_scheduled_task": false
},
"metadata_option": {
"metadata_all": true,
"metadata_malware_classification": false,
"metadata_sha1": false,
"metadata_sha256": false,
"metadata_authenticode": false,
"metadata_md5": false
}
},
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"metadata": {
"sensor_id": "8eef6873-6db7-58ab-a1ca-68dc19b54117",
"investigation_id": "0b043f77-531f-4109-93b1-e01019ad0980",
"task_id": "e667b0c3-39de-4862-9baf-d6697db79721",
"echo": "",
"endpoint_id": "b23c8a14-69e0-4966-b78a-c9fba4fdd934",
"destination_plugin": "autoruns",
"key": "collectAutoRunsRequest",
"semantic_version": "3.52.\\d+",
"collection_id": "2393f424-bf57-40af-81e6-91b95acf5409"
}
}
],
"next": null
},
"metadata": {
"timestamp": "2020-01-08T13:15:37.238341"
}
}
Mengisolasi Host
Mengisolasi endpoint Endgame. Tindakan ini hanya mendukung sistem Windows dan macOS.
Parameter
| Parameter | Jenis | Nilai Default | Deskripsi |
|---|---|---|---|
| Buat Insight | Kotak centang | Tidak dicentang | Jika diaktifkan, Insight akan dibuat setelah tindakan ini berhasil dieksekusi. |
Kasus penggunaan
Tindakan ini digunakan untuk mendapatkan informasi tentang konfigurasi isolasi host. Konfigurasi ini memungkinkan host yang terisolasi terhubung ke subnet IP yang tercantum di sana. Analis dapat menggunakan tindakan ini untuk menambahkan subnet IP yang diperlukan ke konfigurasi isolasi host.
Dijalankan pada
Tindakan ini berjalan di entity berikut:
- Host
- Alamat IP
Hasil tindakan
Pengayaan entitas
T/A
Insight
Jika endpoint diisolasi menggunakan agen Endgame, buat insight untuk menunjukkan hal ini.
Hasil skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
{
"data": {
"valid": true,
"bulk_task_id": "a6ccc2f7-39a7-42e7-b646-41b281316b1d",
"error_messages": []
},
"metadata": {
"timestamp": "2020-01-08T15:09:22.474963"
}
}
Unisolate Host
Membatalkan isolasi endpoint Endgame. Tindakan ini hanya mendukung sistem Windows dan macOS.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Deskripsi |
|---|---|---|---|
| Buat Insight | Kotak centang | Tidak dicentang | Jika diaktifkan, Insight akan dibuat setelah tindakan ini berhasil dieksekusi. |
Dijalankan pada
Tindakan ini berjalan di entity berikut:
- Host
- Alamat IP
Hasil Tindakan
Insight
Jika endpoint tidak diisolasi menggunakan agen Endgame, buat insight untuk menunjukkan hal ini.
Hasil skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
{
"data": {
"domain": "InstallerInitiated",
"updated_at": "2020-01-08T08:16:26.063394+00:00",
"id": "b23c8a14-69e0-4966-b78a-c9fba4fdd934",
"display_operating_system": "Windows 10 (v1511)",
"hostname": "example",
"mac_address": "01:23:45:ab:cd:ef",
"upgrade_status": "",
"base_image": false,
"isolation_updated_at": "2020-01-08T15:09:24.665367+00:00",
"status": "monitored",
"ad_distinguished_name": "CN=EXAMPLE,CN=Computers,DC=example,DC=com",
"ad_hostname": "example.com",
"tags": [],
"isolation_request_status": null,
"alert_count": 0,
"groups": [
{
"is_dynamic": false,
"count": 2,
"id": "d9de26c9-ee63-4d38-9997-7418bd13c45e",
"name": "Demo: APT28"
}
],
"sensors": [
{
"status": "monitored",
"sensor_version": "3.52.12",
"policy_status": "successful",
"policy_name": "Lab (Detect-Only with Streaming)",
"sensor_type": "hunt",
"id": "8eef6873-6db7-58ab-a1ca-68dc19b54117",
"policy_id": "07b7a44f-25f3-4e5c-977b-2915de8160c5"
}
],
"ip_address": "192.0.2.3",
"is_isolated": false,
"operating_system": "Windows 10.0",
"name": "example",
"status_changed_at": "2020-01-08T12:30:48.704802+00:00",
"core_os": "windows",
"created_at": "2019-11-01T06:31:32.519640+00:00",
"error": null,
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
},
"metadata": {
"timestamp": "2020-01-08T15:16:34.303701"
}
}
Download file
Mendownload file dari endpoint Endgame tertentu.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Deskripsi |
|---|---|---|---|
| Jalur File Lengkap | String | T/A | Jika diaktifkan, Insight akan dibuat setelah tindakan ini berhasil dieksekusi. |
| Jalur Folder Download Penuh | String | T/A | Masukkan jalur ke folder tempat Anda ingin menyimpan file ini. |
| Hash SHA-256 yang Diharapkan | String | T/A | Masukkan hash SHA-256 yang diharapkan. |
Kasus penggunaan
Anda dapat menggunakan tindakan ini untuk mengakses file dari endpoint. File terkadang harus diproses secara manual, dan aktivitas ini membantu pengguna mengakses file yang diperlukan.
Dijalankan pada
Tindakan ini berjalan di entity berikut:
- Host
- Alamat IP
Hasil tindakan
Insight
Jika endpoint tidak diisolasi menggunakan agen Endgame, buat insight untuk menunjukkan hal ini.
Hasil skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
Jika statusnya success, hasil JSON-nya adalah sebagai berikut:
{
"data": {
"status": "success",
"doc_type": "collection",
"endpoint": {
"domain": "InstallerInitiated",
"updated_at": "2019-11-01T05:41:10.150817+00:00",
"id": "a3cdc174-3af0-400a-85c3-bbb1435a6b61",
"display_operating_system": "Ubuntu 18.04.1",
"hostname": "example",
"mac_address": "01:23:45:ab:cd:ef",
"base_image": false,
"isolation_updated_at": null,
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [
{
"id": "fc2dfcc8-9329-4f33-86a2-877bfb27575e",
"name": "CORE ENV"
}
],
"isolation_request_status": null,
"upgrade_status": "",
"groups": [
{
"is_dynamic": false,
"count": 1,
"id": "e453d4f6-95c9-4dc5-bc41-2f4cae423e19",
"name": "Demo: Bad Admin"
}
],
"sensors": [
{
"status": "A",
"sensor_version": "3.52.12",
"sensor_type": "hunt",
"id": "c7347a4b-3e71-5514-980f-90bdbab758cf"
}
],
"ip_address": "192.0.2.1",
"is_isolated": false,
"operating_system": "Linux 4.15.0-29-generic",
"name": "example",
"status_changed_at": "2020-01-07T08:16:46.895105+00:00",
"core_os": "linux",
"created_at": "2019-03-19T04:25:06.953312+00:00",
"error": null,
"machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d"
},
"task_id": "0854ae75-47ca-438a-8731-615defac44ac",
"family": "response",
"data": {
"results": [
{
"size": 1731,
"endpoint": {
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"operating_system": "Linux 4.15.0-29-generic",
"name": "example",
"display_operating_system": "Ubuntu 18.04.1",
"hostname": "example",
"updated_at": "2020-01-07T08:16:44Z",
"mac_address": "01:23:45:ab:cd:ef",
"ip_address": "192.0.2.1",
"id": "a3cdc174-3af0-400a-85c3-bbb1435a6b61"
},
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"investigation_id": null,
"filepath": "/home/a-arobinson/Downloads/bad_admin.sh",
"bulk_task_id": null,
"created_by": "a-arobinson",
"file_uuid": "4c45cc36-b6ca-412a-ae0b-ed214a9c7187",
"correlation_id": "13dfca7b-9e75-4115-be93-e6684dbfc7c8",
"user": {
"username": "admin",
"first_name": "Example",
"last_name": "User",
"id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1"
},
"chunk_size": 26214400,
"existing_path": "/home/a-arobinson/Downloads/bad_admin.sh",
"sha256": "8066b309db13bae560c15c35f42247a0f778786f0056d326ff3e6dffd1eac4f8",
"origination_task_id": "0854ae75-47ca-438a-8731-615defac44ac",
"md5": "6441b8f58feddb5a5f6fcd81c117ecb8"
}
]
},
"created_at": "2020-01-07T11:28:02.826397Z",
"os_type": "linux",
"machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d",
"type": "downloadFileResponse",
"id": "d6fb3bf3-afea-44e0-8472-389f4e7e0002"
},
"metadata": {
"count": 1,
"previous_url": null,
"timestamp": "2020-01-07T11:41:56.750788",
"next": null,
"per_page": 50,
"next_url": null,
"previous": null
}
}
Jika statusnya failure, hasil JSON-nya adalah sebagai berikut:
{
"data": {
"status": "failure",
"doc_type": "collection",
"endpoint": {
"domain": "InstallerInitiated",
"updated_at": "2019-11-01T05:42:09.150756+00:00",
"id": "12c3530d-657f-4ccd-835e-6df9affeed3d",
"display_operating_system": "Ubuntu 18.04.3",
"hostname": "example",
"mac_address": "01:23:45:ab:cd:ef",
"base_image": false,
"isolation_updated_at": null,
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [],
"isolation_request_status": null,
"upgrade_status": "",
"groups": [
{
"is_dynamic": false,
"count": 4,
"id": "c1af3cd6-2638-4144-842d-adc9cfb67fb9",
"name": "SOC"
}
],
"sensors": [
{
"status": "A",
"sensor_version": "3.52.12",
"sensor_type": "hunt",
"id": "dc2e35cc-0c87-5a60-8fc8-de23ef747d02"
}
],
"ip_address": "192.0.2.1",
"is_isolated": false,
"operating_system": "Linux 4.15.0-72-generic",
"name": "example",
"status_changed_at": "2020-01-19T11:05:16.765186+00:00",
"core_os": "linux",
"created_at": "2019-09-20T21:34:51.966863+00:00",
"error": null,
"machine_id": "5ae8ddd9-9339-ae4b-ccf7-5ed68f38b3a9"
},
"task_id": "85148460-c868-4fe5-a3e6-0d90784fadd1",
"family": "response",
"data": {
"results": [
{
"endpoint": {
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"operating_system": "Linux 4.15.0-72-generic",
"name": "example",
"display_operating_system": "Ubuntu 18.04.3",
"hostname": "example",
"updated_at": "2020-01-16T14:04:22Z",
"mac_address": "01:23:45:ab:cd:ef",
"ip_address": "192.0.2.1",
"id": "12c3530d-657f-4ccd-835e-6df9affeed3d"
},
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"investigation_id": null,
"expected_sha256": "123",
"bulk_task_id": null,
"correlation_id": "a7dc04c8-932c-4056-9477-8095b1fa15d8",
"user": {
"username": "admin",
"first_name": "Example",
"last_name": "User",
"id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1"
},
"chunk_size": 26214400,
"existing_path": "/home/example/Downloads/bad_admin.sh",
"origination_task_id": "85148460-c868-4fe5-a3e6-0d90784fadd1"
}
]
},
"created_at": "2020-01-19T12:19:57Z",
"os_type": "linux",
"machine_id": "5ae8ddd9-9339-ae4b-ccf7-5ed68f38b3a9",
"type": "downloadFileResponse",
"id": "8eb6b538-d480-4210-92fb-df08a3a4dfb9"
},
"metadata": {
"count": 1,
"previous_url": null,
"timestamp": "2020-01-19T12:23:23.623961",
"next": null,
"per_page": 50,
"next_url": null,
"previous": null
}
}
Hapus file
Menghapus file dari endpoint Endgame.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Deskripsi |
|---|---|---|---|
| Jalur File | String | T/A | Masukkan jalur ke file. |
Kasus penggunaan
Tindakan ini digunakan untuk menghapus file dari endpoint. Misalnya, alat ini dapat digunakan saat malware ditemukan dan seorang analis ingin menghapusnya.
Dijalankan pada
Tindakan ini berjalan di entity berikut:
- Host
- Alamat IP
Hasil tindakan
Insight
Jika endpoint tidak diisolasi menggunakan agen Endgame, buat insight untuk menunjukkan hal ini.
Hasil skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
(status = berhasil)
{
"data": [
{
"status": "success",
"doc_type": "collection",
"endpoint": {
"domain": "InstallerInitiated",
"updated_at": "2019-11-01T05:41:10.150817+00:00",
"id": "a3cdc174-3af0-400a-85c3-bbb1435a6b61",
"display_operating_system": "Ubuntu 18.04.1",
"hostname": "08203s-lubu1804",
"mac_address": "01:23:45:ab:cd:ef",
"upgrade_status": "",
"base_image": false,
"isolation_updated_at": null,
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [
{
"id": "fc2dfcc8-9329-4f33-86a2-877bfb27575e",
"name": "CORE ENV"
}
],
"isolation_request_status": null,
"groups": [
{
"is_dynamic": false,
"count": 1,
"id": "e453d4f6-95c9-4dc5-bc41-2f4cae423e19",
"name": "Demo: Bad Admin"
}
],
"sensors": [
{
"status": "monitored",
"sensor_version": "3.52.12",
"policy_status": "successful",
"policy_name": "Lab (Detect-Only with Streaming)",
"sensor_type": "hunt",
"id": "c7347a4b-3e71-5514-980f-90bdbab758cf",
"policy_id": "07b7a44f-25f3-4e5c-977b-2915de8160c5"
}
],
"ip_address": "192.0.2.1",
"is_isolated": false,
"operating_system": "Linux 4.15.0-29-generic",
"name": "08203s-lubu1804",
"status_changed_at": "2020-01-20T07:25:02.633331+00:00",
"core_os": "linux",
"created_at": "2019-03-19T04:25:06.953312+00:00",
"error": null,
"machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d"
},
"task_id": "bfb82b8d-71a0-4e5f-9cfe-bd573ea32b25",
"family": "response",
"created_at": "2020-01-20T07:31:37Z",
"local_msg": "Success",
"system_msg": null,
"system_code": null,
"local_code": 0,
"os_type": "linux",
"machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d",
"type": "deleteFileResponse",
"id": "eb50fe9c-1059-42d4-9f5f-52e5af4ae64d"
}
],
"metadata": {
"count": 1,
"previous_url": null,
"timestamp": "2020-01-20T07:32:04.425044",
"next": null,
"per_page": 50,
"next_url": null,
"previous": null
}
}
(status = failure) local_msg dan system_msg akan digunakan.
{
"data": [
{
"status": "failure",
"doc_type": "collection",
"endpoint": {
"domain": "InstallerInitiated",
"updated_at": "2019-11-01T05:41:10.150817+00:00",
"id": "a3cdc174-3af0-400a-85c3-bbb1435a6b61",
"display_operating_system": "Ubuntu 18.04.1",
"hostname": "08203s-lubu1804",
"mac_address": "01:23:45:ab:cd:ef",
"upgrade_status": "",
"base_image": false,
"isolation_updated_at": null,
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [
{
"id": "fc2dfcc8-9329-4f33-86a2-877bfb27575e",
"name": "CORE ENV"
}
],
"isolation_request_status": null,
"groups": [
{
"is_dynamic": false,
"count": 1,
"id": "e453d4f6-95c9-4dc5-bc41-2f4cae423e19",
"name": "Demo: Bad Admin"
}
],
"sensors": [
{
"status": "monitored",
"sensor_version": "3.52.12",
"policy_status": "successful",
"policy_name": "Lab (Detect-Only with Streaming)",
"sensor_type": "hunt",
"id": "c7347a4b-3e71-5514-980f-90bdbab758cf",
"policy_id": "07b7a44f-25f3-4e5c-977b-2915de8160c5"
}
],
"ip_address": "192.0.2.1",
"is_isolated": false,
"operating_system": "Linux 4.15.0-29-generic",
"name": "08203s-lubu1804",
"status_changed_at": "2020-01-07T08:16:46.895105+00:00",
"core_os": "linux",
"created_at": "2019-03-19T04:25:06.953312+00:00",
"error": null,
"machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d"
},
"task_id": "5da277fe-503d-468a-822b-8801d9671cde",
"family": "response",
"created_at": "2020-01-07T13:10:50Z",
"local_msg": "Not found",
"system_msg": null,
"system_code": null,
"local_code": -7,
"os_type": "linux",
"machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d",
"type": "deleteFileResponse",
"id": "6f3e6148-6801-4cb8-8a5d-25f75ea93555"
}
],
"metadata": {
"count": 1,
"previous_url": null,
"timestamp": "2020-01-07T13:16:18.834163",
"next": null,
"per_page": 5,
"next_url": null,
"previous": null
}
}
Survei Driver (khusus Windows)
Mendapatkan informasi tentang driver dari endpoint Endgame tertentu.
Parameter
| Parameter | Jenis | Nilai Default | Deskripsi |
|---|---|---|---|
| Jumlah Maksimum Item yang Akan Ditampilkan | String | 50 | Tentukan jumlah item yang akan dikembalikan. |
Dijalankan pada
Tindakan ini berjalan di entity berikut:
- Hostname
- Alamat IP
Hasil tindakan
Pengayaan entitas
| Nama Kolom Pengayaan | Logika-Kapan harus diterapkan |
|---|---|
| driver_basename | Menampilkan apakah ada di hasil JSON |
| driver_filename | Menampilkan apakah ada di hasil JSON |
| date_modified | Menampilkan apakah ada di hasil JSON |
| driver_file_version | Menampilkan apakah ada di hasil JSON |
| driver_load_address | Menampilkan apakah ada di hasil JSON |
| collection_id | Menampilkan apakah ada di hasil JSON |
| hashes | Menampilkan apakah ada di hasil JSON |
| machine_id | Menampilkan apakah ada di hasil JSON |
| driver_product_version | Menampilkan apakah ada di hasil JSON |
| driver_description | Menampilkan apakah ada di hasil JSON |
Hasil skrip
| Nama Hasil Skrip | Opsi nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
[{
"EntityResult":
[{ "driver_basename": "test.exe",
"driver_filename": "C:\\\\Windows\\\\system32\\\\test.exe",
"date_modified": 1446189483.0185645,
"driver_file_version": "10.0.10586.0 (th2_release.151029-1700)",
"driver_load_address": "12345678",
"collection_id": "a9925cf1-6d4c-4bea-b13d-12345678",
"hashes": {
"sha256": "9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08",
"md5": "098f6bcd4621d373cade4e832627b4f6",
"sha1": "a94a8fe5ccb19ba61c4c0873d391e987982fbbd3"
},
"machine_id": "5dc677fd-6b47-7df9-f7f4-12345678",
"driver_product_version": "10.0.10586.0",
"driver_description": "Test"
}],
"Entity": "PC-01"
}]
Survei Firewall (khusus Windows)
Mendapatkan informasi tentang aturan firewall di endpoint Endgame tertentu.
Parameter
| Parameter | Jenis | Nilai Default | Deskripsi |
|---|---|---|---|
| Jumlah Maksimum Item yang Akan Ditampilkan | String | 50 | Tentukan jumlah item yang akan dikembalikan. |
Dijalankan pada
Tindakan ini berjalan di entity berikut:
- Hostname
- Alamat IP
Hasil tindakan
Pengayaan entitas
| Nama Kolom Pengayaan | Logika-Kapan harus diterapkan |
|---|---|
| direction | Menampilkan apakah ada di hasil JSON |
| machine_id | Menampilkan apakah ada di hasil JSON |
| deskripsi | Menampilkan apakah ada di hasil JSON |
| remote_addresses | Menampilkan apakah ada di hasil JSON |
| protocol_number | Menampilkan apakah ada di hasil JSON |
| diaktifkan | Menampilkan apakah ada di hasil JSON |
| edge_traversal | Menampilkan apakah ada di hasil JSON |
| profil | Menampilkan apakah ada di hasil JSON |
| interface_types | Menampilkan apakah ada di hasil JSON |
| rule_name | Menampilkan apakah ada di hasil JSON |
| icmp_and_type_codes | Menampilkan apakah ada di hasil JSON |
| local_addresses | Menampilkan apakah ada di hasil JSON |
| application_name | Menampilkan apakah ada di hasil JSON |
| collection_id | Menampilkan apakah ada di hasil JSON |
| remote_ports | Menampilkan apakah ada di hasil JSON |
| tindakan | Menampilkan apakah ada di hasil JSON |
| local_ports | Menampilkan apakah ada di hasil JSON |
Hasil skrip
| Nama Hasil Skrip | Opsi nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
[{
"EntityResult":
[{
"direction": "in",
"machine_id": "870499c3-d6bf-8edd-972d-12345678",
"description": "Inbound rule for Google Chrome to allow mDNS traffic.",
"remote_addresses": "*",
"protocol_number": 17,
"enabled": true,
"edge_traversal": false,
"profiles":
["domain", "public", "private"],
"interface_types": "All",
"rule_name": "Google Chrome (mDNS-In)",
"icmp_and_type_codes": "",
"local_addresses": "*",
"application_name": "C:\\\\Program Files (x86)\\\\Google\\\\Chrome\\\\Application\\\\chrome.exe",
"collection_id": "0925eea5-c61f-464a-ba61-12345678",
"remote_ports": "*",
"action": "allow",
"local_ports": "1234"
}],
"Entity": "PC-01"
}]
Mendapatkan Endpoint
Mencantumkan semua endpoint.
Parameter
T/A
Dijalankan pada
Tindakan ini dijalankan di semua entity.
Hasil tindakan
Hasil skrip
| Nama Hasil Skrip | Opsi nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
[{
"domain": "",
"updated_at": "2019-05-30T01:40:21.126499+00:00",
"id": "db33d864-7d58-4d85-9d2d-1a98a101995d",
"display_operating_system": "Windows 7 (SP1)",
"hostname": "ip-AC170169",
"mac_address": "01:23:45:ab:cd:ef",
"isolation_updated_at": "",
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [],
"isolation_request_status": "",
"alert_count": 72,
"investigation_count": 0,
"groups": [],
"sensors":
[{
"status": "monitored",
"sensor_version": "3.51.10",
"policy_status": "successful",
"policy_name": "POC-Lab",
"sensor_type": "hunt",
"id": "ec17f7bb-1d63-536a-b694-ca066cc2572e",
"policy_id": "d31f0192-b8e2-49ae-ae54-041376183b7f"
}],
"ip_address": "192.0.2.1",
"is_isolated": "false",
"operating_system": "Windows 6.1 Service Pack 1",
"name": "ip-AC170169",
"status_changed_at": "2019-05-30T01:40:18.200770+00:00",
"core_os": "windows",
"created_at": "2019-05-30T01:36:43.761600+00:00",
"error":
[{
"msg": "Installer failure - Execution failed for (http://192.0.2.1:5985/wsman)\\n",
"deployment_id": "90C2BAA6-B38B-4037-9A9E-7C8628E8D7D6",
"code": 1001, "ts": 1559180421.125456
}],
"machine_id": "4f1adabb-17c4-e39e-caa7-7900562d0b51"
}]
Hunt File
Menelusuri file yang sedang berjalan.
Parameter
| Parameter | Jenis | Nilai Default | Deskripsi |
|---|---|---|---|
| Endpoints Core OS | String | jendela | Pilih sistem operasi (misalnya, Windows, Linux, atau Mac) untuk memfilter daftar Endpoint. Catatan: Anda hanya dapat membuat satu investigasi untuk endpoint yang berjalan di sistem operasi yang sama. |
| Hash MD5 | String | T/A | KONFIGURASI LANJUTAN untuk perburuan ini. Masukkan Hash MD5, yang dipisahkan dengan koma. |
| Hash SHA1 | String | T/A | KONFIGURASI LANJUTAN untuk perburuan ini. Masukkan Hash SHA-1, yang dipisahkan dengan koma. |
| Hash SHA256 | String | T/A | KONFIGURASI LANJUTAN untuk perburuan ini. Masukkan Hash SHA256, yang dipisahkan dengan koma. |
| Direktori | String | T/A | Jalur direktori awal Contoh C:\windows\system32 |
| Menemukan File | String | T/A | Masukkan nama file yang akan ditelusuri. Masukkan ekspresi reguler untuk mempersempit hasil penelusuran. |
Dijalankan pada
Tindakan ini berjalan di entity berikut:
- Hostname
- Alamat IP
Hasil tindakan
Pengayaan entitas
| Nama Kolom Pengayaan | Logika-Kapan harus diterapkan |
|---|---|
| meta_data | Menampilkan apakah ada di hasil JSON |
| file_path | Menampilkan apakah ada di hasil JSON |
Hasil skrip
| Nama Hasil Skrip | Opsi nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
[{
"meta_data":
{ "hashes":
{ "sha256": "4705ba6793dc93c1bbe2a9e790e9e22778d217531b1750471206fd5c52bbd2b5",
"md5": "6383522c180badc4e1d5c30a5c4f4913",
"sha1": "62a30e96459b694f7b22d730c460a65cd2ebaaca"
},
"file_name_timestamps":
{ "accessed": 1468675289.0711532,
"entry_modified": 0,
"modified": 1468675289.0711532,
"created": 1468675404.0330572
},
"file_attributes": 38,
"file_size": 174
},
"file_path": "C:\\\\Program Files\\\\desktop.ini"
},
{
"meta_data":
{ "hashes":
{ "sha256": "44fe5eebd80e46f903d68c07bcf06d187a3698bf3953bc58bb578465e2e0fe6c",
"md5": "6bd5fb46283aa48e638bef47510c47da",
"sha1": "c38d46ec6c9bc8baece4a459b617f44d10af973c"
},
"file_name_timestamps":
{
"accessed": 1468675289.0024028,
"entry_modified": 0,
"modified": 1468675289.0024028,
"created": 1468675404.0111823
},
"file_attributes": 38,
"file_size": 645
},
"file_path": "C:\\\\Program Files\\\\Common Files\\\\microsoft shared\\\\Stationery\\\\Desktop.ini"
}]
Mencari IP
Mencari koneksi jaringan.
Parameter
| Parameter | Jenis | Nilai Default | Deskripsi |
|---|---|---|---|
| Endpoints Core OS | String | jendela | Pilih sistem operasi (misalnya, Windows, Linux, atau Mac) untuk memfilter daftar Endpoint. Catatan: Anda hanya dapat membuat satu investigasi untuk endpoint yang berjalan di sistem operasi yang sama. |
| Alamat IP Jarak Jauh | String | T/A | Alamat IP jarak jauh - dipisahkan dengan koma |
| Alamat IP Lokal | String | T/A | dipisahkan dengan koma |
| Negara bagian/Provinsi | String | T/A | Masukkan negara bagian untuk pengembalian. Contoh: APA PUN |
| Protokol | String | T/A | Contoh: ANY, UDP, TCP |
| Port Jaringan | String | T/A | T/A |
| Remote Jaringan | String | T/A | Jaringan Jarak Jauh atau Lokal. |
Dijalankan pada
Tindakan ini berjalan di entity berikut:
- Hostname
- Alamat IP
Hasil tindakan
Pengayaan entitas
| Nama Kolom Pengayaan | Logika-Kapan harus diterapkan |
|---|---|
| parent_name | Menampilkan apakah ada di hasil JSON |
| domain | Menampilkan apakah ada di hasil JSON |
| exe | Menampilkan apakah ada di hasil JSON |
| nama | Menampilkan apakah ada di hasil JSON |
| has_unbacked_execute_memory | Menampilkan apakah ada di hasil JSON |
| pid | Menampilkan apakah ada di hasil JSON |
| up_time | Menampilkan apakah ada di hasil JSON |
| is_sensor | Menampilkan apakah ada di hasil JSON |
| cmdline | Menampilkan apakah ada di hasil JSON |
| parent_exe | Menampilkan apakah ada di hasil JSON |
| unbacked_execute_byte_count | Menampilkan apakah ada di hasil JSON |
| create_time | Menampilkan apakah ada di hasil JSON |
| pengguna | Menampilkan apakah ada di hasil JSON |
| sid | Menampilkan apakah ada di hasil JSON |
| threads | Menampilkan apakah ada di hasil JSON |
| ppid | Menampilkan apakah ada di hasil JSON |
| unbacked_execute_region_count | Menampilkan apakah ada di hasil JSON |
Hasil skrip
| Nama Hasil Skrip | Opsi nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
[{
"parent_name": "System Idle Process",
"domain": "NT AUTHORITY",
"exe": "",
"name": "System",
"has_unbacked_execute_memory": false,
"pid": 4,
"up_time": 2384701,
"is_sensor": false,
"cmdline": "",
"parent_exe": "",
"unbacked_execute_byte_count": 0,
"create_time": 1559179903,
"user": "SYSTEM",
"sid": "S-1-5-18",
"threads":
[{
"thread_id": 8
}, {
"thread_id": 12,
"up_time": 13206038203,
"create_time": -11644473599
}, {
"thread_id": 16,
"up_time": 13206038203,
"create_time": -11644473599
}],
"ppid": 0,
"unbacked_execute_region_count": 0
}]
Proses Perburuan
Menelusuri proses yang sedang berjalan.
Parameter
| Parameter | Jenis | Nilai Default | Deskripsi |
|---|---|---|---|
| Endpoints Core OS | String | jendela | Pilih sistem operasi (yaitu, Windows, Linux, atau Mac) untuk memfilter daftar Endpoint. Catatan: Anda hanya dapat membuat satu penyelidikan untuk endpoint yang berjalan di sistem operasi yang sama. |
| Hash MD5 | String | T/A | KONFIGURASI LANJUTAN untuk perburuan ini. Masukkan Hash MD5, yang dipisahkan dengan koma. |
| Hash SHA1 | String | T/A | KONFIGURASI LANJUTAN untuk perburuan ini. Masukkan Hash SHA-1, yang dipisahkan dengan koma. |
| Hash SHA256 | String | T/A | KONFIGURASI LANJUTAN untuk perburuan ini. Masukkan Hash SHA256, yang dipisahkan dengan koma. |
| Nama Proses | String | T/A | KONFIGURASI LANJUTAN untuk perburuan ini. Masukkan Nama Proses, misalnya iss.exe* |
Dijalankan pada
Tindakan ini berjalan di entity berikut:
- Hostname
- Alamat IP
Hasil tindakan
Pengayaan entitas
| Nama Kolom Pengayaan | Logika-Kapan harus diterapkan |
|---|---|
| parent_name | Menampilkan apakah ada di hasil JSON |
| domain | Menampilkan apakah ada di hasil JSON |
| exe | Menampilkan apakah ada di hasil JSON |
| nama | Menampilkan apakah ada di hasil JSON |
| has_unbacked_execute_memory | Menampilkan apakah ada di hasil JSON |
| pid | Menampilkan apakah ada di hasil JSON |
| up_time | Menampilkan apakah ada di hasil JSON |
| is_sensor | Menampilkan apakah ada di hasil JSON |
| cmdline | Menampilkan apakah ada di hasil JSON |
| parent_exe | Menampilkan apakah ada di hasil JSON |
| unbacked_execute_byte_count | Menampilkan apakah ada di hasil JSON |
| create_time | Menampilkan apakah ada di hasil JSON |
| pengguna | Menampilkan apakah ada di hasil JSON |
| sid | Menampilkan apakah ada di hasil JSON |
| threads | Menampilkan apakah ada di hasil JSON |
| ppid | Menampilkan apakah ada di hasil JSON |
| unbacked_execute_region_count | Menampilkan apakah ada di hasil JSON |
Hasil skrip
| Nama Hasil Skrip | Opsi nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
[{
"parent_name": "System Idle Process",
"domain": "NT AUTHORITY",
"exe": "",
"name": "System",
"has_unbacked_execute_memory": false,
"pid": 4,
"up_time": 2384701,
"is_sensor": false,
"cmdline": "",
"parent_exe": "",
"unbacked_execute_byte_count": 0,
"create_time": 1559179903,
"user": "SYSTEM",
"sid": "S-1-5-18",
"threads":
[{
"thread_id": 8
},{
"thread_id": 12,
"up_time": 13206038203,
"create_time": -11644473599
},{
"thread_id": 16,
"up_time": 13206038203,
"create_time": -11644473599
}],
"ppid": 0,
"unbacked_execute_region_count": 0
}]
Hunt Registry
Menelusuri nama nilai atau kunci registri.
Parameter
| Parameter | Jenis | Nilai Default | Deskripsi |
|---|---|---|---|
| Hive | String | SEMUA | Salah satu dari berikut: HKEY_CLASSES_ROOT, HKEY_CURRENT_CONFIG, HKEY_USERS, HKEY_LOCAL_MACHINE, ALL. |
| Kunci | String | T/A | Nama Nilai atau Kunci Registry. |
| Ukuran Minimum | String | T/A | Ukuran byte minimum. |
| Ukuran Maksimum | String | T/A | Ukuran byte maksimum. |
| Endpoints Core OS | String | jendela | Pilih sistem operasi (yaitu, Windows, Linux, atau Mac) untuk memfilter daftar Endpoint. Catatan: Anda hanya dapat membuat satu penyelidikan untuk endpoint yang berjalan di sistem operasi yang sama. |
Dijalankan pada
Tindakan ini berjalan di entity berikut:
- Hostname
- Alamat IP
Hasil tindakan
Pengayaan entitas
| Nama Kolom Pengayaan | Logika-Kapan harus diterapkan |
|---|---|
| parent_name | Menampilkan apakah ada di hasil JSON |
| domain | Menampilkan apakah ada di hasil JSON |
| exe | Menampilkan apakah ada di hasil JSON |
| nama | Menampilkan apakah ada di hasil JSON |
| up_time | Menampilkan apakah ada di hasil JSON |
| is_sensor | Menampilkan apakah ada di hasil JSON |
| cmdline | Menampilkan apakah ada di hasil JSON |
| parent_exe | Menampilkan apakah ada di hasil JSON |
| unbacked_execute_byte_count | Menampilkan apakah ada di hasil JSON |
| create_time | Menampilkan apakah ada di hasil JSON |
| pengguna | Menampilkan apakah ada di hasil JSON |
| sid | Menampilkan apakah ada di hasil JSON |
| threads | Menampilkan apakah ada di hasil JSON |
| ppid | Menampilkan apakah ada di hasil JSON |
| unbacked_execute_region_count | Menampilkan apakah ada di hasil JSON |
Hasil skrip
| Nama Hasil Skrip | Opsi nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
[{
"parent_name": "System Idle Process",
"domain": "NT AUTHORITY",
"exe": "",
"name": "System",
"has_unbacked_execute_memory": false,
"pid": 4,
"up_time": 2384701,
"is_sensor": false,
"cmdline": "",
"parent_exe": "",
"unbacked_execute_byte_count": 0,
"create_time": 1559179903,
"user": "SYSTEM",
"sid": "S-1-5-18",
"threads":
[{
"thread_id": 8
},{
"thread_id": 12,
"up_time": 13206038203,
"create_time": -11644473599
}, {
"thread_id": 16,
"up_time": 13206038203,
"create_time": -11644473599
}],
"ppid": 0,
"unbacked_execute_region_count": 0
}]
Hunt User
Menelusuri jaringan untuk pengguna yang login.
Parameter
| Parameter | Jenis | Nilai Default | Deskripsi |
|---|---|---|---|
| Endpoints Core OS | String | jendela | Pilih sistem operasi (yaitu, Windows, Linux, atau Mac) untuk memfilter daftar Endpoint. Catatan: Anda hanya dapat membuat satu penyelidikan untuk endpoint yang berjalan di sistem operasi yang sama. |
| Menemukan Nama Pengguna | String | T/A | KONFIGURASI LANJUTAN untuk perburuan ini. Masukkan nama pengguna, pisahkan beberapa entri dengan titik koma. |
| Nama Domain | String | T/A | KONFIGURASI LANJUTAN untuk perburuan ini. Masukkan Nama Domain. |
Dijalankan pada
Tindakan ini berjalan di entity berikut:
- Hostname
- Alamat IP
Hasil tindakan
Pengayaan entitas
| Nama Kolom Pengayaan | Logika-Kapan harus diterapkan |
|---|---|
| parent_name | Menampilkan apakah ada di hasil JSON |
| domain | Menampilkan apakah ada di hasil JSON |
| exe | Menampilkan apakah ada di hasil JSON |
| nama | Menampilkan apakah ada di hasil JSON |
| has_unbacked_execute_memory | Menampilkan apakah ada di hasil JSON |
| pid | Menampilkan apakah ada di hasil JSON |
| up_time | Menampilkan apakah ada di hasil JSON |
| is_sensor | Menampilkan apakah ada di hasil JSON |
| cmdline | Menampilkan apakah ada di hasil JSON |
| parent_exe | Menampilkan apakah ada di hasil JSON |
| unbacked_execute_byte_count | Menampilkan apakah ada di hasil JSON |
| create_time | Menampilkan apakah ada di hasil JSON |
| pengguna | Menampilkan apakah ada di hasil JSON |
| sid | Menampilkan apakah ada di hasil JSON |
| threads | Menampilkan apakah ada di hasil JSON |
| ppid | Menampilkan apakah ada di hasil JSON |
| unbacked_execute_region_count | Menampilkan apakah ada di hasil JSON |
Hasil skrip
| Nama Hasil Skrip | Opsi nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
[{
"parent_name": "System Idle Process",
"domain": "NT AUTHORITY",
"exe": "",
"name": "System",
"has_unbacked_execute_memory": false,
"pid": 4,
"up_time": 2384701,
"is_sensor": false,
"Cmdline":"",
"parent_exe": "",
"unbacked_execute_byte_count": 0,
"create_time": 1559179903,
"user": "SYSTEM",
"sid": "S-1-5-18",
"threads":
[{
"thread_id": 8
}, {
"thread_id": 12,
"up_time": 13206038203,
"create_time": -11644473599
}, {
"thread_id": 16,
"up_time": 13206038203,
"create_time": -11644473599
}],
"ppid": 0,
"unbacked_execute_region_count": 0
}]
Menghentikan Proses
Menghentikan proses di endpoint Endgame tertentu.
Parameter
| Parameter | Jenis | Nilai Default | Deskripsi |
|---|---|---|---|
| Nama Proses | String | T/A | Masukkan nama proses |
| PID | String | T/A | Masukkan ID proses. |
Dijalankan pada
Tindakan ini berjalan di entity berikut:
- Hostname
- Alamat IP
Hasil tindakan
Hasil skrip
| Nama Hasil Skrip | Opsi nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Survei Jaringan
Mendapatkan informasi tentang koneksi, cache DNS, NetBIOS, ARP, dan tabel Rute dari endpoint Endgame tertentu.
Parameter
| Parameter | Jenis | Nilai Default | Deskripsi |
|---|---|---|---|
| Jumlah Maksimum Item yang Akan Ditampilkan | String | 50 | Tentukan jumlah autorun yang akan ditampilkan. |
| Menyertakan Informasi Entri Rute | Kotak centang | Dicentang | Tentukan untuk mendapatkan informasi tentang Entri Rute. |
| Menyertakan Informasi Net Bios | Kotak centang | Dicentang | Tentukan untuk mendapatkan informasi tentang Net Bios. |
| Menyertakan Informasi Cache DNS | Kotak centang | Dicentang | Tentukan untuk mendapatkan informasi tentang Cache DNS. |
| Sertakan Informasi Tabel ARP | Kotak centang | Dicentang | Tentukan untuk mendapatkan informasi tentang tabel ARP. |
Dijalankan pada
Tindakan ini berjalan di entity berikut:
- Hostname
- Alamat IP
Hasil tindakan
Pengayaan entitas
| Nama Kolom Pengayaan | Logika-Kapan harus diterapkan |
|---|---|
| koneksi | Menampilkan apakah ada di hasil JSON |
| netbios_info | Menampilkan apakah ada di hasil JSON |
| arp_table | Menampilkan apakah ada di hasil JSON |
| route_table | Menampilkan apakah ada di hasil JSON |
| dns_cache | Menampilkan apakah ada di hasil JSON |
Hasil skrip
| Nama Hasil Skrip | Opsi nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
[{
"EntityResult":
{
"connections":
[{
"connection_type": "SOCK_STREAM",
"collection_id": "50e74bd2-1cd4-412c-a7fc-24cf1456e883",
"exe": "C:\\\\Windows\\\\System32\\\\test.exe",
"connection_status": "LISTEN",
"name": "test.exe",
"family": "ipv4",
"local_port": 111,
"remote_port": 0,
"pid": 700,
"remote_address": "0.0.0.0",
"create_time": 1583314664,
"connection_timestamp": 1583314664.0117714,
"local_address": "0.0.0.0",
"protocol": "tcp",
"hashes":
{
"sha256": "5d00bbeb147e0c838a622fc42c543b2913d57eaca4e69d9a37ed61e98c819347", "md5": "8497852ed44aff902d502015792d315d",
"sha1": "800a4c2e524fc392c45748eae1691fa01d24ea4c"
},
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
}],
"netbios_info":
[{
"comment": "",
"name": "PC-01",
"version_major": 10,
"netbios_neighbor_type": 8392747,
"platform": "WINDOWS NT",
"version_minor": 0
}],
"arp_table":
[{
"connection_type": "SOCK_STREAM",
"collection_id": "50e74bd2-1cd4-412c-a7fc-24cf1456e883",
"exe": "C:\\\\Windows\\\\System32\\\\test.exe",
"connection_status": "LISTEN",
"name": "test.exe",
"family": "ipv4",
"local_port": 111,
"remote_port": 0,
"pid": 700,
"remote_address": "0.0.0.0",
"create_time": 1583314664,
"connection_timestamp": 1583314664.0117714,
"local_address": "0.0.0.0",
"protocol": "tcp",
"hashes": {"sha256": "5d00bbeb147e0c838a622fc42c543b2913d57eaca4e69d9a37ed61e98c819347", "md5": "8497852ed44aff902d502015792d315d",
"sha1": "800a4c2e524fc392c45748eae1691fa01d24ea4c"},
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
}],
"route_table":
[{
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"family": "ipv4",
"destination": "0.0.0.0",
"netmask": "0.0.0.0",
"collection_id": "50e74bd2-1cd4-412c-a7fc-24cf1456e883",
"interface_name": "Ethernet0",
"gateway": "1.1.1.1"
}],
"dns_cache":
[{
"name": "test.ms",
"dns_record_type": "A",
"ttl": 0,
"collection_id": "50e74bd2-1cd4-412c-a7fc-24cf1456e883",
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"query_error": 9701
}]
},
"Entity": "PC-01"
}]
Ping
Uji konektivitas ke server Endgame.
Parameter
T/A
Dijalankan pada
Tindakan ini dijalankan di semua entity.
Hasil tindakan
Hasil skrip
| Nama Hasil Skrip | Opsi nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Survei Proses
Mendapatkan informasi tentang proses yang sedang berjalan di endpoint Endgame tertentu.
Parameter
| Parameter | Jenis | Nilai Default | Deskripsi |
|---|---|---|---|
| Jumlah Maksimum Item yang Akan Ditampilkan | String | 50 | Tentukan jumlah item yang akan dikembalikan. |
| Mendeteksi Serangan Tanpa File (Khusus Windows) | Kotak centang | Tidak dicentang | Tentukan untuk mendeteksi serangan tanpa file. Khusus Windows. |
| Mendeteksi Malware dengan MalwareScore (Khusus Windows) | Kotak centang | Tidak dicentang | Tentukan untuk mendeteksi proses malware dengan MalwareScore. Khusus Windows. |
| Mengumpulkan Thread Proses | Kotak centang | Tidak dicentang | Tentukan untuk menyertakan informasi tentang jumlah thread proses dalam respons. |
| Hanya Menampilkan Proses Mencurigakan | Kotak centang | Dicentang | Tentukan untuk hanya menampilkan proses mencurigakan dari endpoint. Menurut definisi Endgame: Proses mencurigakan adalah proses yang dapat dieksekusi tanpa dukungan. |
Dijalankan pada
Tindakan ini berjalan di entity berikut:
- Hostname
- Alamat IP
Hasil tindakan
Pengayaan entitas
| Nama Kolom Pengayaan | Logika-Kapan harus diterapkan |
|---|---|
| domain | Menampilkan apakah ada di hasil JSON |
| name_suspicious | Menampilkan apakah ada di hasil JSON |
| pid | Menampilkan apakah ada di hasil JSON |
| name_uncommon_path | Menampilkan apakah ada di hasil JSON |
| repeat_offender | Menampilkan apakah ada di hasil JSON |
| cmdline | Menampilkan apakah ada di hasil JSON |
| create_time | Menampilkan apakah ada di hasil JSON |
| parent_name | Menampilkan apakah ada di hasil JSON |
| has_unbacked_execute_memory | Menampilkan apakah ada di hasil JSON |
| sid | Menampilkan apakah ada di hasil JSON |
| ppid | Menampilkan apakah ada di hasil JSON |
| up_time | Menampilkan apakah ada di hasil JSON |
| unbacked_execute_region_count | Menampilkan apakah ada di hasil JSON |
| is_sensor | Menampilkan apakah ada di hasil JSON |
| threads | Menampilkan apakah ada di hasil JSON |
| pengguna | Menampilkan apakah ada di hasil JSON |
| collection_id | Menampilkan apakah ada di hasil JSON |
| parent_exe | Menampilkan apakah ada di hasil JSON |
| exe | Menampilkan apakah ada di hasil JSON |
| nama | Menampilkan apakah ada di hasil JSON |
| unbacked_execute_byte_count | Menampilkan apakah ada di hasil JSON |
| machine_id | Menampilkan apakah ada di hasil JSON |
| unbacked_execute_region_count | Menampilkan apakah ada di hasil JSON |
| tty_device_minor_number | Menampilkan apakah ada di hasil JSON |
| uid | Menampilkan apakah ada di hasil JSON |
| name_suspicious | Menampilkan apakah ada di hasil JSON |
| phys_memory_bytes | Menampilkan apakah ada di hasil JSON |
| pid | Menampilkan apakah ada di hasil JSON |
| env_variables | Menampilkan apakah ada di hasil JSON |
| repeat_offender | Menampilkan apakah ada di hasil JSON |
| cmdline | Menampilkan apakah ada di hasil JSON |
| create_time | Menampilkan apakah ada di hasil JSON |
| tty_device_major_number | Menampilkan apakah ada di hasil JSON |
| parent_name | Menampilkan apakah ada di hasil JSON |
| grup | Menampilkan apakah ada di hasil JSON |
| cpu_percent | Menampilkan apakah ada di hasil JSON |
| has_unbacked_execute_memory | Menampilkan apakah ada di hasil JSON |
| gid | Menampilkan apakah ada di hasil JSON |
| sha256 | Menampilkan apakah ada di hasil JSON |
| cwd | Menampilkan apakah ada di hasil JSON |
| exe | Menampilkan apakah ada di hasil JSON |
| up_time | Menampilkan apakah ada di hasil JSON |
| short_name | Menampilkan apakah ada di hasil JSON |
| tty_device_name | Menampilkan apakah ada di hasil JSON |
| is_sensor | Menampilkan apakah ada di hasil JSON |
| sha1 | Menampilkan apakah ada di hasil JSON |
| threads | Menampilkan apakah ada di hasil JSON |
| name_uncommon_path | Menampilkan apakah ada di hasil JSON |
| collection_id | Menampilkan apakah ada di hasil JSON |
| md5 | Menampilkan apakah ada di hasil JSON |
| argv_list | Menampilkan apakah ada di hasil JSON |
| num_threads | Menampilkan apakah ada di hasil JSON |
| pengguna | Menampilkan apakah ada di hasil JSON |
| virt_memory_bytes | Menampilkan apakah ada di hasil JSON |
| nama | Menampilkan apakah ada di hasil JSON |
| session_id | Menampilkan apakah ada di hasil JSON |
| memory_percent | Menampilkan apakah ada di hasil JSON |
| machine_id | Menampilkan apakah ada di hasil JSON |
| unbacked_execute_byte_count | Menampilkan apakah ada di hasil JSON |
Hasil skrip
| Nama Hasil Skrip | Opsi nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
[{
"EntityResult":
[{
"domain": "NT AUTHORITY",
"name_suspicious": false,
"pid": 4,
"name_uncommon_path": false,
"repeat_offender": false,
"cmdline": "",
"create_time": 1583314654,
"parent_name": "System Idle Process",
"has_unbacked_execute_memory": false,
"sid": "S-1-5-18",
"ppid": 0,
"up_time": 342643,
"unbacked_execute_region_count": 0,
"is_sensor": false,
"threads":
[{ "thread_id": 12,
"up_time": 13228130896,
"create_time": -11644473599
},
{
"thread_id": 16,
"up_time": 13228130896,
"create_time": -11644473599
}],
"user": "SYSTEM",
"collection_id": "ac1fb296-db5a-4426-b32e-292e4a50188d",
"parent_exe": "",
"exe": "",
"name": "System",
"unbacked_execute_byte_count": 0,
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
}],
"Entity": "PC-01"
},
{
"EntityResult":
[{
"unbacked_execute_region_count": 0,
"tty_device_minor_number": 0,
"uid": 0,
"name_suspicious": false,
"phys_memory_bytes": 8900608,
"pid": 1,
"env_variables":
[ "HOME=/",
"init=/sbin/init",
"NETWORK_SKIP_ENSLAVED=",
"recovery=",
"TERM=linux",
"drop_caps=",
"BOOT_IMAGE=/vmlinuz-4.15.0-88-generic",
"PATH=/sbin:/usr/sbin:/bin:/usr/bin",
"PWD=/", "rootmnt=/root" ],
"repeat_offender": false,
"cmdline": "/sbin/init maybe-ubiquity",
"create_time": 1583632302,
"tty_device_major_number": 0,
"parent_name": "",
"group": "root",
"cpu_percent": 0,
"has_unbacked_execute_memory": false,
"gid": 0,
"sha256": "3a14ff4b18505543eda4dccb054aa5860478a95ed0cac76da392f3472da3ad67",
"cwd": "/",
"exe": "/lib/systemd/systemd",
"up_time": 24942,
"short_name": "systemd",
"tty_device_name": "",
"is_sensor": false,
"sha1": "e016f80b87101a74b52d15ce2726560a6e128b60",
"threads": [{"thread_id": 1}],
"name_uncommon_path": false,
"collection_id": "bcb6b33a-0ffb-4e72-818a-1731024dfd79",
"md5": "ca563cf817f03ed7d01a6462818a5791",
"argv_list": ["/sbin/init", "maybe-ubiquity"],
"num_threads": 1,
"ppid": 0,
"virt_memory_bytes": 79818752,
"name": "systemd",
"session_id": 1,
"memory_percent": 0.21517109870910645,
"parent_exe": "",
"unbacked_execute_byte_count": 0,
"machine_id": "5ae8ddd9-9339-ae4b-ccf7-5ed68f38b3a9",
"user": "root"
}],
"Entity": "PC-202"
}]
Survei Media yang Dapat Dilepas (Khusus Windows)
Dapatkan informasi tentang media penyimpanan yang dapat dilepas dari endpoint Endgame tertentu.
Parameter
| Parameter | Jenis | Nilai Default | Deskripsi |
|---|---|---|---|
| Jumlah Maksimum Item yang Akan Ditampilkan | String | 50 | Tentukan jumlah item yang akan dikembalikan. |
Dijalankan pada
Tindakan ini berjalan di entity berikut:
- Hostname
- Alamat IP
Hasil tindakan
Pengayaan entitas
| Nama Kolom Pengayaan | Logika-Kapan harus diterapkan |
|---|---|
| nama | Menampilkan apakah ada di hasil JSON |
| is_storage_device | Menampilkan apakah ada di hasil JSON |
| vendor_id | Menampilkan apakah ada di hasil JSON |
| collection_id | Menampilkan apakah ada di hasil JSON |
| last_connect_time | Menampilkan apakah ada di hasil JSON |
| serial_number | Menampilkan apakah ada di hasil JSON |
| machine_id | Menampilkan apakah ada di hasil JSON |
| is_connected | Menampilkan apakah ada di hasil JSON |
| product_id | Menampilkan apakah ada di hasil JSON |
Hasil skrip
| Nama Hasil Skrip | Opsi nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
[{
"EntityResult":
[{ "name": "USB Composite Device",
"is_storage_device": false,
"vendor_id": "0E0F",
"collection_id": "fbe61b16-e6b2-4595-8409-abf4ce15fa85",
"last_connect_time": 1552596043.0610971,
"serial_number": "6&35D1F50B&0&1",
"machine_id": "a4c05d5a-7ebc-c3ab-1beb-f1fe517768d8",
"is_connected": false,
"product_id": "0003"
}],
"Entity": "PC-01"
}]
Survei Software (khusus Windows)
Mendapatkan informasi tentang software yang diinstal di endpoint Endgame tertentu.
Parameter
| Parameter | Jenis | Nilai Default | Deskripsi |
|---|---|---|---|
| Jumlah Maksimum Item yang Akan Ditampilkan | String | 50 | Tentukan jumlah item yang akan dikembalikan. |
Dijalankan pada
Tindakan ini berjalan di entity berikut:
- Hostname
- Alamat IP
Hasil tindakan
Pengayaan entitas
| Nama Kolom Pengayaan | Logika-Kapan harus diterapkan |
|---|---|
| penerbit | Menampilkan apakah ada di hasil JSON |
| machine_id | Menampilkan apakah ada di hasil JSON |
| paket | Menampilkan apakah ada di hasil JSON |
| install_date | Menampilkan apakah ada di hasil JSON |
| versi | Menampilkan apakah ada di hasil JSON |
| collection_id | Menampilkan apakah ada di hasil JSON |
| installed_for | Menampilkan apakah ada di hasil JSON |
Hasil skrip
| Nama Hasil Skrip | Opsi nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
[{
"EntityResult":
[{
"publisher": "John Doe",
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"package": "Test",
"install_date": "20191008",
"version": "18.06",
"collection_id": "fc079e17-8a2e-40d9-94c9-b974e5534e58",
"installed_for": "allUsers"
}],
"Entity": "PC-01"
}]
Survei Sistem
Mendapatkan informasi sistem di satu endpoint endgame, seperti penggunaan memori, DNS, dan OS.
Parameter
| Parameter | Jenis | Nilai Default | Deskripsi |
|---|---|---|---|
| Jumlah Maksimum Item yang Akan Ditampilkan | String | 50 | Tentukan jumlah item yang akan dikembalikan. |
| Menyertakan Informasi Produk Keamanan (khusus Windows) | Kotak centang | Dicentang | Tentukan untuk mendapatkan informasi tentang produk keamanan yang diinstal di endpoint (khusus Windows). |
| Sertakan Informasi Patch (Khusus Windows) | Kotak centang | Dicentang | Tentukan untuk mendapatkan informasi tentang patch (khusus Windows). |
| Sertakan Informasi Disk | Kotak centang | Dicentang | Tentukan untuk mendapatkan informasi tentang Disk. |
| Sertakan Informasi Antarmuka Jaringan | Kotak centang | Dicentang | Tentukan untuk mendapatkan informasi tentang antarmuka jaringan. |
Dijalankan pada
Tindakan ini berjalan di entity berikut:
- Hostname
- Alamat IP
Hasil tindakan
Pengayaan entitas
| Nama Kolom Pengayaan | Logika-Kapan harus diterapkan |
|---|---|
| patches_info | Menampilkan apakah ada di hasil JSON |
| Disks_info | Menampilkan apakah ada di hasil JSON |
| network_interfaces | Menampilkan apakah ada di hasil JSON |
| Os_info | Menampilkan apakah ada di hasil JSON |
| installed_security_products | Menampilkan apakah ada di hasil JSON |
Hasil skrip
| Nama Hasil Skrip | Opsi nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
[{
"EntityResult":
{
"patches_info":
[{
"collection_id": "f7d a62bb-318d-40c1-a490-85979c0c9ede",
"installed_on": "2/3/2018",
"hotfix_id": "KB4049065",
"machine_id": "870499c3-d6bf-8edd-972d-f2f6621dd971"
}],
"Disks_info":
[{
"disk_id": "\\\\Device\\\\HarddiskVolume2",
"fstype": "NTFS",
"disk_total": 15579738112,
"disk_free": 1219571712,
"collection_id": "a27ebace-32ec-4257-ab4f-7da49f02a9d4",
"device": "\\\\Device\\\\HarddiskVolume2",
"path": "C:\\\\",
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
}],
"network_interfaces":
[{
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"mac_address": "01:23:45:ab:cd:ef",
"ipv4_addresses": ["1.1.1.1"],
"ipv6_addresses": ["1111::1111:1111:1111:1111"],
"collection_id": "a27ebace-32ec-4257-ab4f-7da49f02a9d4",
"smp_interface": true,
"interface_name": "Ethernet0"
}],
"Os_info":
[{
"memory":
{ "ram_free": 1240039424,
"page_percent_used": 36.89334358507761,
"page_total": 2818101248,
"ram_percent_used": 42.24349594504104,
"ram_total": 2147012608,
"ram_used": 906973184,
"page_used": 1039691776,
"page_free": 1778409472
},
"doc_type": "collection",
"domain": "PC-01.test.com",
"endpoint":
{ "status": "unmonitored",
"ad_distinguished_name":
"CN=PC_01,OU=TESTOU,OU=Organization,DC=test,DC=com",
"ad_hostname": "test.com",
"operating_system": "Windows 10.0 ",
"name": "PC-01",
"display_operating_system": "Windows 10 (v1511)",
"hostname": "PC-01",
"updated_at": "2020-03-08T08:27:22.919880+00:00",
"mac_address": "01:23:45:ab:cd:ef",
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"ip_address": "1.1.1.1",
"id": "b23c8a14-69e0-4966-b78a-c9fba4fdd934"
},
"investigation_id": "85cff906-8b39-4a37-aa05-84950c9b2a02",
"hostname": "PC-01",
"bulk_task_id": null,
"original_machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"os_version":
{
"os_minor": 0,
"os_is_server": false,
"os_major": 10,
"os_build_number": 10586,
"os_service_pack": ""
},
"correlation_id": "7e17de5a-abcb-4de0-a510-7ca79bfdc345",
"architecture": "x64",
"sensor_info":
{
"malware_feature_version": "3.0.0",
"sensor_build_time": "1581375786",
"sensor_commit_sha": "80af56b6b295de785e502d82f39deac34973b2dd",
"sensor_build_number": 48,
"sensor_version": "3.53.9"
},
"time":
{
"tz_observes_dst": true,
"tz_currently_in_dst": false,
"tz_name": "Pacific Standard Time",
"tz_offset_minutes": 480
},
"os_type": "windows",
"ad_info":
{
"distinguished_name": "CN=PC-01,OU=TESTOU,OU=Organization,DC=test,DC=com",
"domain_hostname": "test.com"
},
"origination_task_id": "d3d67012-cfb1-47d0-8ec9-bf7ffb68a019"
}],
"installed_security_products":
[{
"security_product_type": "AntiVirus",
"collection_id": "a27ebace-32ec-4257-ab4f-7da49f02a9d4",
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"enabled": false, "name": "Windows Defender"
}]
},
"Entity": "PC-01"
}]
Survei Sesi Pengguna
Mendapatkan informasi tentang sesi pengguna aktif di endpoint Endgame tertentu.
Parameter
| Parameter | Jenis | Nilai Default | Deskripsi |
|---|---|---|---|
| Jumlah Maksimum Item yang Akan Ditampilkan | String | 50 | Tentukan jumlah item yang akan dikembalikan. |
Dijalankan pada
- Hostname
- Alamat IP
Hasil tindakan
Pengayaan entitas
| Nama Kolom Pengayaan | Logika-Kapan harus diterapkan |
|---|---|
| nama pengguna | Menampilkan apakah ada di hasil JSON |
| shell | Menampilkan apakah ada di hasil JSON |
| uid | Menampilkan apakah ada di hasil JSON |
| dimulai | Menampilkan apakah ada di hasil JSON |
| hostname | Menampilkan apakah ada di hasil JSON |
| host_ip | Menampilkan apakah ada di hasil JSON |
| session_id | Menampilkan apakah ada di hasil JSON |
| session_count | Menampilkan apakah ada di hasil JSON |
| terminal | Menampilkan apakah ada di hasil JSON |
| berakhir | Menampilkan apakah ada di hasil JSON |
| gid | Menampilkan apakah ada di hasil JSON |
| collection_id | Menampilkan apakah ada di hasil JSON |
| machine_id | Menampilkan apakah ada di hasil JSON |
| dimulai | Menampilkan apakah ada di hasil JSON |
| password_last_set | Menampilkan apakah ada di hasil JSON |
| logon_type | Menampilkan apakah ada di hasil JSON |
| sid | Menampilkan apakah ada di hasil JSON |
Hasil skrip
| Nama Hasil Skrip | Opsi nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
[{
"EntityResult":
[{
"username": "endgame",
"shell": "/opt/endgame/bin/console",
"uid": 1000,
"started": 1582554802.55514,
"hostname": "",
"host_ip": "",
"session_id": 887,
"session_count": 1,
"terminal": "tty1",
"ended": 0,
"gid": 1000,
"collection_id": "1aebade8-9f7b-4237-8c43-2aed8729511e",
"machine_id": "827255f4-53a2-1823-cac0-7c0f7730ca26"
}],
"Entity": "PC-01"
}, {
"EntityResult":
[{
"username": "example",
"domain": "3B",
"started": 1580205134.001,
"session_count": 1,
"ended": 0,
"password_last_set": 0,
"logon_type": "interactive",
"sid": "",
"collection_id": "88b876b1-5063-40a8-b40e-440df5eb8952",
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
}],
"Entity": "PC-02"
}
Konektor
Untuk mendapatkan petunjuk mendetail tentang cara mengonfigurasi konektor di Google SecOps, lihat Mengonfigurasi konektor.
Konektor Endgame
Gunakan parameter berikut untuk mengonfigurasi konektor:
| Parameter | Jenis | Nilai Default | Deskripsi |
|---|---|---|---|
| DeviceProductField | String | device_product | Nama kolom yang digunakan untuk menentukan produk perangkat. |
| EventClassId | String | event_name | Nama kolom yang digunakan untuk menentukan nama peristiwa (sub-jenis) |
| PythonProcessTimeout | String | 30 | Batas waktu tunggu (dalam detik) untuk proses python yang menjalankan skrip saat ini |
| Root API | String | T/A | T/A |
| Nama pengguna | String | T/A | T/A |
| Sandi | Sandi | T/A | T/A |
| Verifikasi SSL | Kotak centang | Tidak dicentang | T/A |
| Maksimum Hari Mundur | String | T/A | T/A |
| Nama Kolom Lingkungan | String | T/A | Jika ditentukan, konektor akan mengekstrak lingkungan dari kolom peristiwa yang ditentukan. Anda dapat memanipulasi data kolom menggunakan kolom pola ekspresi reguler untuk mengekstrak string tertentu. |
| Batas Jumlah Pemberitahuan | String | T/A | T/A |
| Alamat Server Proxy | String | T/A | Alamat server proxy yang akan digunakan. |
| Nama Pengguna Proxy | String | T/A | Nama pengguna proxy untuk melakukan autentikasi. |
| Sandi Proxy | Sandi | T/A | Sandi proxy untuk mengautentikasi. |
Aturan konektor
Konektor mendukung proxy.
Konektor mendukung daftar dinamis.
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.