Endgame

Versione integrazione: 9.0

Integra Endgame con Google Security Operations

Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.

Azioni

Arricchisci entità

Arricchisci le entità Host e IP di Google SecOps in base alle informazioni di Endgame.

Parametri

N/D

Casi d'uso

L'azione può essere utilizzata nei playbook che analizzano l'attività sui dispositivi. Se sul dispositivo è installato l'agente Endgame, l'azione recupera le informazioni di Endgame sul dispositivo per arricchire le entità Google SecOps.

Pubblica su

Questa azione viene eseguita sulle seguenti entità:

  • Host
  • Indirizzo IP

Risultati dell'azione

Arricchimento delle entità
Nome campo di arricchimento Logica: quando applicarla
Endgame_Domain Sempre
Endgame_endpoint_id Sempre
Endgame_hostname Sempre
Endgame_sensors_status Sempre
Endgame_sensors_id Sempre
Endgame_sensors_status Sempre
Endgame_sensors_id Sempre
Endgame_policy_status Sempre
Endgame_policy_name Sempre
Endgame_policy_id Sempre
Endgame_is_isolated Sempre
Risultato dello script
Nome del risultato dello script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Risultato JSON
{
  "data": [
      {
          "domain": "InstallerInitiated",
          "updated_at": "2019-11-01T05:42:08.149079+00:00",
          "id": "1682418d-02ff-43cd-a730-bcae8215a514",
          "display_operating_system": "CentOS 7.6",
          "hostname": "example",
          "mac_address": "01:23:45:ab:cd:ef",
          "upgrade_status": "",
          "base_image": false,
          "isolation_updated_at": null,
          "status": "monitored",
          "ad_distinguished_name": "",
          "ad_hostname": "",
          "tags": [
              {
                  "id": "a0927aeb-915a-466d-a5eb-5d7b6f9217c5",
                  "name": "BLUE TEAM"
              },
              {
                  "id": "bede2f24-593c-45e4-9863-9c2438f0f163",
                  "name": "SOC"
              },
              {
                  "id": "fc2dfcc8-9329-4f33-86a2-877bfb27575e",
                  "name": "CORE ENV"
              }
          ],
          "isolation_request_status": null,
          "alert_count": 0,
          "investigation_count": 0,
          "groups": [
              {
                  "is_dynamic": false,
                  "count": 4,
                  "id": "c1af3cd6-2638-4144-842d-adc9cfb67fb9",
                  "name": "SOC"
              }
          ],
          "sensors": [
              {
                  "status": "monitored",
                  "sensor_version": "3.52.12",
                  "policy_status": "successful",
                  "policy_name": "Lab (Detect-Only)",
                  "sensor_type": "hunt",
                  "id": "fbb87923-a833-5581-a160-7f4f85a21bd0",
                  "policy_id": "a1d72bce-1f61-4ba8-bcd4-dfa97148335f"
              }
          ],
          "ip_address": "192.0.2.1",
          "is_isolated": false,
          "operating_system": "Linux 3.10.0-957.27.2.el7.x86_64",
          "name": "example",
          "status_changed_at": "2020-01-07T08:15:11.865854+00:00",
          "core_os": "linux",
          "created_at": "2019-03-19T05:07:50.598837+00:00",
          "error": null,
          "machine_id": "827255f4-53a2-1823-cac0-7c0f7730ca26"
      },
      {
          "domain": "InstallerInitiated",
          "updated_at": "2019-11-01T05:42:09.150756+00:00",
          "id": "12c3530d-657f-4ccd-835e-6df9affeed3d",
          "display_operating_system": "Ubuntu 18.04.3",
          "hostname": "example",
          "mac_address": "01:23:45:ab:cd:ef",
          "upgrade_status": "",
          "base_image": false,
          "isolation_updated_at": null,
          "status": "monitored",
          "ad_distinguished_name": "",
          "ad_hostname": "",
          "tags": [],
          "isolation_request_status": null,
          "alert_count": 0,
          "investigation_count": 0,
          "groups": [
              {
                  "is_dynamic": false,
                  "count": 4,
                  "id": "c1af3cd6-2638-4144-842d-adc9cfb67fb9",
                  "name": "SOC"
              }
          ],
          "sensors": [
              {
                  "status": "monitored",
                  "sensor_version": "3.52.12",
                  "policy_status": "successful",
                  "policy_name": "Lab (Detect-Only)",
                  "sensor_type": "hunt",
                  "id": "dc2e35cc-0c87-5a60-8fc8-de23ef747d02",
                  "policy_id": "a1d72bce-1f61-4ba8-bcd4-dfa97148335f"
              }
          ],
          "ip_address": "192.0.2.1",
          "is_isolated": false,
          "operating_system": "Linux 4.15.0-72-generic",
          "name": "example",
          "status_changed_at": "2020-01-07T08:15:16.875375+00:00",
          "core_os": "linux",
          "created_at": "2019-09-20T21:34:51.966863+00:00",
          "error": null,
          "machine_id": "5ae8ddd9-9339-ae4b-ccf7-5ed68f38b3a9"
      }
  ],
  "metadata": {
      "count": 38,
      "previous_url": null,
      "timestamp": "2020-01-07T18:09:43.765744",
      "next": null,
      "per_page": 50,
      "next_url": null,
      "transaction_id": "569cdc38-8c7a-4b93-af99-aaf907dc8dd6",
      "previous": null
  }
}

Elenco indagini

Elenca le indagini di Endgame.

Parametri

Parametro Tipo Valore predefinito Descrizione
Sistema operativo Stringa Solaris,Windows,macOS,Linux Specifica per quale sistema operativo vuoi elencare le indagini. Il parametro può accettare più valori come stringa separata da virgole.
Recupera le indagini delle ultime X ore Int N/D Restituisce le indagini create per l'intervallo di tempo specificato in ore.
Numero massimo di indagini da restituire Int N/D Specifica il numero di indagini per cui vuoi eseguire query.

Casi d'uso

Le indagini vengono utilizzate per cercare diversi oggetti degli endpoint, ad esempio processi, indirizzi IP e file. Questa azione consente all'utente di elencare le indagini. Gli analisti possono utilizzare questa azione per assicurarsi che tutte le indagini richieste vengano eseguite sul sistema.

Pubblica su

Questa azione viene eseguita su tutte le entità.

Risultati dell'azione

Risultato dello script
Nome del risultato dello script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Risultato JSON
{
  "data": [
      {
          "created_by_chat": false,
          "name": "Example User + 2020-01-08T13:47:51.334336_utc",
          "core_os": "windows",
          "created_at": "2020-01-08T13:47:51.340497+00:00",
          "task_completion": {
              "completed_tasks": 1,
              "total_tasks": 1
          },
          "archived": false,
          "created_by": {
              "username": "admin",
              "last_name": "User",
              "is_active": true,
              "is_editable": true,
              "is_ldap": false,
              "is_removable": false,
              "timezone": null,
              "id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
              "first_name": "Example",
              "last_viewed_alert": "2020-01-07T09:24:22.925000",
              "is_sso": false,
              "is_superuser": true,
              "role": {
                  "role": "Admin",
                  "id": "37e9e54e-0bb8-5058-9bd4-50a0d0fbea35",
                  "permissions": {
                      "endpoints.scan": true,
                      "sensor.admin.view": true,
                      "sensor.admin.update": true,
                      "endpoints.delete": true,
                      "endpoints.respond": true,
                      "search.search": true,
                      "sensor.admin.create": true,
                      "alerts.admin.forwardalerts": true,
                      "endpoints.tag": true,
                      "user.delete": true,
                      "endpoints.deploy": true,
                      "user.update": true,
                      "search.save": true,
                      "investigation.create": true,
                      "endpoints.view": true,
                      "user.view": true,
                      "sensor.admin.download": true,
                      "alerts.view": true,
                      "alerts.update": true,
                      "search.delete": true,
                      "sensor.admin.delete": true,
                      "endpoints.uninstall": true,
                      "investigation.view": true,
                      "admin": true,
                      "investigation.update": true,
                      "endpoints.changeconfiguration": true,
                      "user.create": true
                  }
              },
              "type": "Local",
              "email": null
          },
          "updated_at": "2020-01-08T13:47:51.379966+00:00",
          "created_by_user_display_name": "Example User",
          "canceled_by_user_id": null,
          "version": 2,
          "endpoint_count": 1,
          "assigned_to": {
              "username": "admin",
              "last_name": "User",
              "is_active": true,
              "is_editable": true,
              "is_ldap": false,
              "is_removable": false,
              "timezone": null,
              "id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
              "first_name": "Example",
              "last_viewed_alert": "2020-01-07T09:24:22.925000",
              "is_sso": false,
              "is_superuser": true,
              "role": {
                  "role": "Admin",
                  "id": "37e9e54e-0bb8-5058-9bd4-50a0d0fbea35",
                  "permissions": {
                      "endpoints.scan": true,
                      "sensor.admin.view": true,
                      "sensor.admin.update": true,
                      "endpoints.delete": true,
                      "endpoints.respond": true,
                      "search.search": true,
                      "sensor.admin.create": true,
                      "alerts.admin.forwardalerts": true,
                      "endpoints.tag": true,
                      "user.delete": true,
                      "endpoints.deploy": true,
                      "user.update": true,
                      "search.save": true,
                      "investigation.create": true,
                      "endpoints.view": true,
                      "user.view": true,
                      "sensor.admin.download": true,
                      "alerts.view": true,
                      "alerts.update": true,
                      "search.delete": true,
                      "sensor.admin.delete": true,
                      "endpoints.uninstall": true,
                      "investigation.view": true,
                      "admin": true,
                      "investigation.update": true,
                      "endpoints.changeconfiguration": true,
                      "user.create": true
                  }
              },
              "type": "Local",
              "email": null
          },
          "id": "e0ad7613-daf6-435f-98f6-ce40eae01acc",
          "canceled_by_user_display_name": null,
          "user_display_name": "Example User",
          "hunt_count": 1,
          "is_canceled": false
      }
  ],
 "metadata": {
      "count": 46,
      "previous_url": null,
      "timestamp": "2020-01-08T16:02:09.251511",
      "next": 2,
      "per_page": 1,
      "next_url": "/api/v1/investigations/?per_page=1&page=2",
      "previous": null
  }
}

Visualizzare i dettagli dell'indagine

Ottenere informazioni su un'indagine specifica di Endgame.

Parametri

Parametro Tipo Valore predefinito Descrizione
ID indagine Stringa N/D Specifica l'ID indagine di Endgame da cercare.

Casi d'uso

Le indagini vengono utilizzate per cercare diversi oggetti degli endpoint, ad esempio processi, indirizzi IP e file. Questa azione consente all'utente di ottenere maggiori informazioni su indagini specifiche. Gli analisti possono utilizzare questa azione per assicurarsi che tutte le attività richieste siano state eseguite sul sistema.

Pubblica su

Questa azione viene eseguita su tutte le entità.

Risultati dell'azione

Risultato dello script
Nome del risultato dello script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Risultato JSON
{
    "data": {
        "tasks": [
            "6500673c-d246-41a3-882d-d3a339f28497"
        ],
        "user_display_name": "Example User",
        "task_types": [
            "Process Survey"
        ],
        "task_completion": {
            "completed_tasks": 1,
            "total_tasks": 1
        },
        "updated_at": "2020-01-06T13:30:33.851816+00:00",
        "created_by_user_display_name": "Example User",
        "id": "54caeedc-d6b0-4ca0-8f64-8798d1c34d54",
        "task_completions_by_type": {
            "Process Survey": {
                "completed_tasks": 1,
                "task_type_id": "2fbf0c36-5160-5c31-99ec-0fa5880c6bd1",
                "total_tasks": 1
            }
        },
        "archived": false,
        "user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
        "is_canceled": false,
        "created_by": {
            "username": "admin",
            "last_name": "User",
            "is_active": true,
            "is_editable": true,
            "is_ldap": false,
            "is_removable": false,
            "timezone": null,
            "id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
            "first_name": "Example",
            "last_viewed_alert": "2020-01-06T09:27:04.097000",
            "is_sso": false,
            "is_superuser": true,
            "role": {
                "role": "Admin",
                "id": "37e9e54e-0bb8-5058-9bd4-50a0d0fbea35",
                "permissions": {
                    "endpoints.scan": true,
                    "sensor.admin.view": true,
                    "sensor.admin.update": true,
                    "endpoints.delete": true,
                    "endpoints.respond": true,
                    "search.search": true,
                    "sensor.admin.create": true,
                    "alerts.admin.forwardalerts": true,
                    "endpoints.tag": true,
                    "user.delete": true,
                    "endpoints.deploy": true,
                    "user.update": true,
                    "search.save": true,
                    "investigation.create": true,
                    "endpoints.view": true,
                    "user.view": true,
                    "sensor.admin.download": true,
                    "alerts.view": true,
                    "alerts.update": true,
                    "search.delete": true,
                    "sensor.admin.delete": true,
                    "endpoints.uninstall": true,
                    "investigation.view": true,
                    "admin": true,
                    "investigation.update": true,
                    "endpoints.changeconfiguration": true,
                    "user.create": true
                }
            },
            "type": "Local",
            "email": null
        },
        "hunt_count": 1,
        "canceled_by_user_id": null,
        "version": 2,
        "endpoint_count": 1,
        "canceled_by_user_display_name": null,
        "created_by_user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
        "account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
        "created_by_chat": false,
        "sensors": [
            "8eef6873-6db7-58ab-a1ca-68dc19b54117"
        ],
        "name": "Example User + 2020-01-06T13:30:33.808543_utc",
        "core_os": "windows",
        "created_at": "2020-01-06T13:30:33.813747+00:00",
        "assigned_to": {
            "username": "admin",
            "last_name": "User",
            "is_active": true,
            "is_editable": true,
            "is_ldap": false,
            "is_removable": false,
            "timezone": null,
            "id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
            "first_name": "Example",
            "last_viewed_alert": "2020-01-06T09:27:04.097000",
            "is_sso": false,
            "is_superuser": true,
            "role": {
                "role": "Admin",
                "id": "37e9e54e-0bb8-5058-9bd4-50a0d0fbea35",
                "permissions": {
                    "endpoints.scan": true,
                    "sensor.admin.view": true,
                    "sensor.admin.update": true,
                    "endpoints.delete": true,
                    "endpoints.respond": true,
                    "search.search": true,
                    "sensor.admin.create": true,
                    "alerts.admin.forwardalerts": true,
                    "endpoints.tag": true,
                    "user.delete": true,
                    "endpoints.deploy": true,
                    "user.update": true,
                    "search.save": true,
                    "investigation.create": true,
                    "endpoints.view": true,
                    "user.view": true,
                    "sensor.admin.download": true,
                    "alerts.view": true,
                    "alerts.update": true,
                    "search.delete": true,
                    "sensor.admin.delete": true,
                    "endpoints.uninstall": true,
                    "investigation.view": true,
                    "admin": true,
                    "investigation.update": true,
                    "endpoints.changeconfiguration": true,
                    "user.create": true
                }
            },
            "type": "Local",
            "email": null
        },
 "endpoints": [
            "b23c8a14-69e0-4966-b78a-c9fba4fdd934"
        ]
    },
    "metadata": {
        "timestamp": "2020-01-06T14:00:53.716517"
    }
}

Recupero configurazione isolamento host

Ottieni la configurazione dell'isolamento dell'host definita in Endgame.

Parametri

N/D

Casi d'uso

Questa azione viene utilizzata per ottenere informazioni sulla configurazione dell'isolamento host. Questa configurazione consente agli host isolati di connettersi agli indirizzi IP elencati. Gli analisti possono utilizzare questa azione per verificare che tutti gli indirizzi IP richiesti si trovino nella configurazione di isolamento dell'host.

Pubblica su

Questa azione viene eseguita su tutte le entità.

Risultati dell'azione

Risultato dello script
Nome del risultato dello script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Risultato JSON
{
  "data": [
      {
          "id": "47999eeb-f076-5aca-a7cc-56bf7ac2b647",
          "comments": [
              {
                  "comment": "Testing API",
                  "entity_id": "47999eeb-f076-5aca-a7cc-56bf7ac2b647",
                  "user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
                  "account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
                  "entity_type": "whitelisted_ip",
                  "created_at": "2020-01-07T15:59:56Z",
                  "updated_at": "2020-01-07T15:59:56Z",
                  "id": 547,
                  "activity_type": "comment"
              }
          ],
          "addr": "192.0.2.1/30"
      },
      {
          "id": "6ab5575c-718e-5e24-bd4d-77e0694ad6fc",
          "comments": [
              {
                  "comment": "Testing API",
                  "entity_id": "6ab5575c-718e-5e24-bd4d-77e0694ad6fc",
                  "user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
                  "account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
                  "entity_type": "whitelisted_ip",
                  "created_at": "2020-01-07T15:58:29Z",
                  "updated_at": "2020-01-07T15:58:29Z",
                  "id": 545,
                  "activity_type": "comment"
              }
          ],
          "addr": "192.0.2.11/32"
      },
      {
          "id": "72bdf5d2-4cc6-5ccf-9787-a539fae9c517",
  "comments": [
              {
                  "comment": "CIDR Test",
                  "entity_id": "72bdf5d2-4cc6-5ccf-9787-a539fae9c517",
                  "user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
                  "account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
                  "entity_type": "whitelisted_ip",
                  "created_at": "2020-01-07T15:58:04Z",
                  "updated_at": "2020-01-07T15:58:04Z",
                  "id": 543,
                  "activity_type": "comment"
              }
          ],
          "addr": "198.51.100.1/32"
      },
      {
          "id": "5aa89c8f-a535-5876-840c-af33a7ec1419",
          "comments": [
              {
                  "comment": "Testing API",
                  "entity_id": "5aa89c8f-a535-5876-840c-af33a7ec1419",
                  "user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
                  "account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
                  "entity_type": "whitelisted_ip",
                  "created_at": "2020-01-07T15:57:24Z",
                  "updated_at": "2020-01-07T15:57:24Z",
                  "id": 541,
                  "activity_type": "comment"
              }
          ],
          "addr": "198.51.100.10"
      },
      {
          "id": "06461575-700b-596d-8662-7ea0aff28e9c",
          "comments": [
              {
                  "comment": "Test Isolation",
                  "entity_id": "06461575-700b-596d-8662-7ea0aff28e9c",
                  "user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
                  "account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
                  "entity_type": "whitelisted_ip",
                  "created_at": "2020-01-07T15:55:21Z",
                  "updated_at": "2020-01-07T15:55:21Z",
                  "id": 539,
                  "activity_type": "comment"
              }
          ],
          "addr": "203.0.113.1"
      }
  ],
  "metadata": {
      "count": 5,
      "previous_url": null,
      "timestamp": "2020-01-07T16:00:19.754687",
      "next": null,
      "per_page": 10,
      "next_url": null,
      "previous": null
  }
}

Aggiungi subnet IP alla configurazione di isolamento host

Aggiungi una subnet IP alla configurazione di isolamento dell'host definita in Endgame.

Parametri

Parametro Tipo Valore predefinito Descrizione
Subnet IP Stringa N/D Inserisci la subnet IPv4 che vuoi aggiungere alla configurazione di isolamento host.
Descrizione Stringa N/D Inserisci la descrizione della subnet IP.
Crea approfondimento Casella di controllo non selezionata Se abilitata, crea un approfondimento dopo l'esecuzione corretta di questa azione.

Casi d'uso

Questa azione viene utilizzata per ottenere informazioni sulla configurazione dell'isolamento host. Questa configurazione consente agli host isolati di connettersi alle subnet IP elencate. Gli analisti possono utilizzare questa azione per aggiungere le subnet IP richieste alla configurazione dell'isolamento host.

Run On

Questa azione viene eseguita su tutte le entità.

Risultati dell'azione

Approfondimenti

Se una subnet IP è stata aggiunta alla configurazione di isolamento dell'host utilizzando Endgame, crea un insight per indicarlo.

Risultato dello script
Nome del risultato dello script Opzioni di valore Esempio
is_success Vero/Falso is_success:False

Rimuovi la subnet IP dalla configurazione di isolamento host

Rimuovi una subnet IP dalla configurazione di isolamento host definita in Endgame.

Parametri

Parametro Tipo Valore predefinito Descrizione
Subnet IP Stringa N/D Inserisci la subnet IPv4 che vuoi aggiungere alla configurazione di isolamento host.
Crea approfondimento Casella di controllo non selezionata Se abilitata, crea un approfondimento dopo l'esecuzione corretta di questa azione.

Casi d'uso

Questa azione viene utilizzata per ottenere informazioni sulla configurazione dell'isolamento host. Questa configurazione consente agli host isolati di connettersi alle subnet IP elencate. Gli analisti possono utilizzare questa azione per rimuovere le subnet IP non più necessarie dalla configurazione di isolamento host.

Pubblica su

Questa azione viene eseguita su tutte le entità.

Risultati dell'azione

Approfondimenti

Se una subnet IP è stata rimossa dalla configurazione di isolamento dell'host utilizzando Endgame, crea un insight per indicarlo.

Risultato dello script
Nome del risultato dello script Opzioni di valore Esempio
is_success Vero/Falso is_success:False

Raccogli Autoruns (solo Windows)

Raccogli le esecuzioni automatiche dall'endpoint Endgame.

Parametri

Nome visualizzato del parametro Tipo Valore predefinito Descrizione
Numero massimo di articoli da restituire Numero intero 1000

Specifica il numero di esecuzioni automatiche da restituire.
Categoria "Tutti" Casella di controllo Selezionata Se abilitata, cerca tutte le categorie di esecuzione automatica.
Categoria "Fornitore della rete" Casella di controllo Deselezionata Se attivata, cerca la categoria di esecuzione automatica "Fornitore di rete".
Categoria "Ufficio" Casella di controllo Deselezionata Se è attivata, cerca la categoria di esecuzione automatica "Office".
Categoria "Autista" Casella di controllo Deselezionata Se è attivata, cerca la categoria di esecuzione automatica "Driver".
Categoria "Inizializzazione app" Casella di controllo Deselezionata Se è attivata, cerca la categoria di esecuzione automatica "App Init".
Categoria "Winlogon" Casella di controllo Deselezionata Se attivata, cerca la categoria di esecuzione automatica "Winlogon".
Categoria "Monitoraggio stampa" Casella di controllo Deselezionata Se è attivata, cerca la categoria di esecuzione automatica "Print Monitor".
Categoria "Accesso facilitato" Casella di controllo Deselezionata Se è attivata, cerca la categoria di esecuzione automatica "Accesso facilitato".
Categoria "WMI" Casella di controllo Deselezionata Se è attivata, cerca la categoria di esecuzione automatica "WMI".
Categoria "Fornitore LSA" Casella di controllo Deselezionata Se è attivata, cerca la categoria di esecuzione automatica "Fornitore di annunci di Servizi locali".
Categoria "Servizio" Casella di controllo Deselezionata Se è attiva, cerca la categoria di esecuzione automatica "Servizio".
Categoria "Bit" Casella di controllo Deselezionata Se è attivata, cerca la categoria di esecuzione automatica "Bit".
Categoria "Known dll" Casella di controllo Deselezionata Se è attivata, cerca la categoria di esecuzione automatica "Known dll".
Categoria "Fornitore di servizi di stampa" Casella di controllo Deselezionata Se è attivata, cerca la categoria di esecuzione automatica "Provider di stampa".
Categoria "Image Hijack" Casella di controllo Deselezionata Se è attivata, cerca la categoria di esecuzione automatica "Image Hijack".
Categoria "Cartella di avvio" Casella di controllo Deselezionata Se attivata, cerca la categoria di esecuzione automatica "Cartella Esecuzione automatica".
Categoria "Internet Explorer" Casella di controllo Deselezionata Se è attivata, cerca la categoria di esecuzione automatica "Internet Explorer".
Categoria "Codec" Casella di controllo Deselezionata Se è attivata, cerca la categoria di esecuzione automatica "Codec".
Categoria "Accesso" Casella di controllo Deselezionata Se è attivata, cerca la categoria di esecuzione automatica "Accesso".
Categoria "Hijack dell'ordine di ricerca" Casella di controllo Deselezionata Se è attivata, cerca la categoria di esecuzione automatica "Hijack dell'ordine di ricerca".
Categoria "Winsock Provider" Casella di controllo Deselezionata Se è attivata, cerca la categoria di esecuzione automatica "Winsock Provider".
Categoria "Boot Execute" Casella di controllo Deselezionata Se è attivata, cerca la categoria di esecuzione automatica "Boot Execute".
Categoria "Phantom dll" Casella di controllo Deselezionata Se è attivata, cerca la categoria di esecuzione automatica "Phantom dll".
Categoria "Com Hijack" Casella di controllo Deselezionata Se è attivata, cerca la categoria di esecuzione automatica "Com Hijack".
Categoria "Explorer" Casella di controllo Deselezionata Se è attivata, cerca la categoria di esecuzione automatica "Explorer".
Categoria "Attività pianificata" Casella di controllo Deselezionata Se attivata, cerca la categoria di esecuzione automatica "Attività pianificata".
Includi tutti i metadati Casella di controllo Selezionata Se abilitata, fornisce tutti i dati disponibili.
Includi metadati di classificazione del malware Casella di controllo Deselezionata Se attivata, fornisce informazioni su MalwareScore.
Includi metadati Authenticode Casella di controllo Deselezionata Se attivata, fornisce le informazioni sul firmatario.
Includi hash MD5 Casella di controllo Deselezionata Se attivata, fornisce l'hash MD5 nella risposta.
Includi hash SHA-1 Casella di controllo Deselezionata Se attivato, fornisce l'hash SHA-1 nella risposta.
Includi hash SHA-256 Casella di controllo Deselezionata Se attivato, fornisce l'hash SHA-256 nella risposta.

Casi d'uso

Questa azione può essere utilizzata per raccogliere informazioni sulle esecuzioni automatiche sull'endpoint. Questi dati possono aiutare gli analisti a eseguire processi di triage e correzione.

Pubblica su

Questa azione viene eseguita sulle seguenti entità:

  • Host
  • Indirizzo IP

Risultati dell'azione

Risultato dello script
Nome del risultato dello script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Risultato JSON
{
  "data": {
      "count": 1,
      "per_page": 50,
      "previous": null,
      "tasks": [
          {
              "user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
              "data": {
                  "category_option": {
                      "category_network_provider": true,
                      "category_office": false,
                      "category_driver": false,
                      "category_app_init": false,
                      "category_winlogon": false,
                      "category_print_monitor": false,
                      "category_ease_of_access": false,
                      "category_wmi": false,
                      "category_lsa_provider": false,
                      "category_service": false,
                      "category_bits": false,
                      "category_known_dll": false,
                      "category_print_provider": false,
                      "category_image_hijack": false,
                      "category_startup_folder": false,
                      "category_internet_explorer": false,
                      "category_codec": false,
                      "category_logon": false,
                      "category_all": false,
                      "category_search_order_hijack": false,
                      "category_winsock_provider": false,
                      "category_boot_execute": false,
                      "category_phantom_dll": false,
                      "category_com_hijack": false,
                      "category_explorer": false,
                      "category_scheduled_task": false
                  },
                  "metadata_option": {
                      "metadata_all": true,
                      "metadata_malware_classification": false,
                      "metadata_sha1": false,
                      "metadata_sha256": false,
                      "metadata_authenticode": false,
                      "metadata_md5": false
                  }
              },
              "account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
              "metadata": {
                  "sensor_id": "8eef6873-6db7-58ab-a1ca-68dc19b54117",
                  "investigation_id": "0b043f77-531f-4109-93b1-e01019ad0980",
                  "task_id": "e667b0c3-39de-4862-9baf-d6697db79721",
                  "echo": "",
                  "endpoint_id": "b23c8a14-69e0-4966-b78a-c9fba4fdd934",
                  "destination_plugin": "autoruns",
                  "key": "collectAutoRunsRequest",
                  "semantic_version": "3.52.\\d+",
                  "collection_id": "2393f424-bf57-40af-81e6-91b95acf5409"
              }
          }
      ],
      "next": null
  },
  "metadata": {
      "timestamp": "2020-01-08T13:15:37.238341"
  }
}

Isola host

Isola l'endpoint Endgame. Questa azione supporta solo i sistemi Windows e macOS.

Parametri

Parametro Tipo Valore predefinito Descrizione
Crea approfondimento Casella di controllo Deselezionata Se abilitata, crea un approfondimento dopo l'esecuzione riuscita di questa azione.

Casi d'uso

Questa azione viene utilizzata per ottenere informazioni sulla configurazione dell'isolamento host. Questa configurazione consente agli host isolati di connettersi alle subnet IP elencate. Gli analisti possono utilizzare questa azione per aggiungere le subnet IP richieste alla configurazione dell'isolamento host.

Pubblica su

Questa azione viene eseguita sulle seguenti entità:

  • Host
  • Indirizzo IP

Risultati dell'azione

Arricchimento delle entità

N/D

Approfondimenti

Se l'endpoint è stato isolato utilizzando l'agente Endgame, crea un insight per indicarlo.

Risultato dello script
Nome del risultato dello script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Risultato JSON
{
  "data": {
      "valid": true,
      "bulk_task_id": "a6ccc2f7-39a7-42e7-b646-41b281316b1d",
      "error_messages": []
  },
  "metadata": {
      "timestamp": "2020-01-08T15:09:22.474963"
  }
}

Unisolate Host

Rimuovi l'isolamento da un endpoint Endgame. Questa azione supporta solo i sistemi Windows e macOS.

Parametri

Nome visualizzato del parametro Tipo Valore predefinito Descrizione
Crea approfondimento Casella di controllo Deselezionata Se abilitata, crea un approfondimento dopo l'esecuzione riuscita di questa azione.

Pubblica su

Questa azione viene eseguita sulle seguenti entità:

  • Host
  • Indirizzo IP

Risultati dell'azione

Approfondimenti

Se l'endpoint è stato isolato utilizzando l'agente Endgame, crea un insight per indicarlo.

Risultato dello script
Nome del risultato dello script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Risultato JSON
{
  "data": {
      "domain": "InstallerInitiated",
      "updated_at": "2020-01-08T08:16:26.063394+00:00",
      "id": "b23c8a14-69e0-4966-b78a-c9fba4fdd934",
      "display_operating_system": "Windows 10 (v1511)",
      "hostname": "example",
      "mac_address": "01:23:45:ab:cd:ef",
      "upgrade_status": "",
      "base_image": false,
      "isolation_updated_at": "2020-01-08T15:09:24.665367+00:00",
      "status": "monitored",
      "ad_distinguished_name": "CN=EXAMPLE,CN=Computers,DC=example,DC=com",
      "ad_hostname": "example.com",
      "tags": [],
      "isolation_request_status": null,
      "alert_count": 0,
      "groups": [
          {
              "is_dynamic": false,
              "count": 2,
              "id": "d9de26c9-ee63-4d38-9997-7418bd13c45e",
              "name": "Demo: APT28"
          }
      ],
      "sensors": [
          {
              "status": "monitored",
              "sensor_version": "3.52.12",
              "policy_status": "successful",
              "policy_name": "Lab (Detect-Only with Streaming)",
              "sensor_type": "hunt",
              "id": "8eef6873-6db7-58ab-a1ca-68dc19b54117",
              "policy_id": "07b7a44f-25f3-4e5c-977b-2915de8160c5"
          }
      ],
      "ip_address": "192.0.2.3",
      "is_isolated": false,
      "operating_system": "Windows 10.0",
      "name": "example",
      "status_changed_at": "2020-01-08T12:30:48.704802+00:00",
      "core_os": "windows",
      "created_at": "2019-11-01T06:31:32.519640+00:00",
      "error": null,
      "machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
  },
  "metadata": {
      "timestamp": "2020-01-08T15:16:34.303701"
  }
}

Scarica file

Scarica un file da un endpoint Endgame specifico.

Parametri

Nome visualizzato del parametro Tipo Valore predefinito Descrizione
Percorso file completo Stringa N/D Se abilitata, crea un approfondimento dopo l'esecuzione riuscita di questa azione.
Percorso completo della cartella di download Stringa N/D Inserisci il percorso della cartella in cui vuoi archiviare questo file.
Hash SHA-256 previsto Stringa N/D Inserisci l'hash SHA-256 previsto.

Casi d'uso

Puoi utilizzare questa azione per accedere ai file dagli endpoint. A volte i file devono essere elaborati manualmente e questa attività aiuta gli utenti ad accedere ai file richiesti.

Pubblica su

Questa azione viene eseguita sulle seguenti entità:

  • Host
  • Indirizzo IP

Risultati dell'azione

Approfondimenti

Se l'endpoint è stato isolato utilizzando l'agente Endgame, crea un insight per indicarlo.

Risultato dello script
Nome del risultato dello script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Risultato JSON

Se lo stato è success, il risultato JSON è il seguente:

{
  "data": {
      "status": "success",
      "doc_type": "collection",
      "endpoint": {
          "domain": "InstallerInitiated",
          "updated_at": "2019-11-01T05:41:10.150817+00:00",
          "id": "a3cdc174-3af0-400a-85c3-bbb1435a6b61",
          "display_operating_system": "Ubuntu 18.04.1",
          "hostname": "example",
          "mac_address": "01:23:45:ab:cd:ef",
          "base_image": false,
          "isolation_updated_at": null,
          "status": "monitored",
          "ad_distinguished_name": "",
          "ad_hostname": "",
          "tags": [
              {
                  "id": "fc2dfcc8-9329-4f33-86a2-877bfb27575e",
                  "name": "CORE ENV"
              }
          ],
          "isolation_request_status": null,
          "upgrade_status": "",
          "groups": [
              {
                  "is_dynamic": false,
                  "count": 1,
                  "id": "e453d4f6-95c9-4dc5-bc41-2f4cae423e19",
                  "name": "Demo: Bad Admin"
              }
          ],
          "sensors": [
              {
                  "status": "A",
                  "sensor_version": "3.52.12",
                  "sensor_type": "hunt",
                  "id": "c7347a4b-3e71-5514-980f-90bdbab758cf"
              }
          ],
          "ip_address": "192.0.2.1",
          "is_isolated": false,
          "operating_system": "Linux 4.15.0-29-generic",
          "name": "example",
          "status_changed_at": "2020-01-07T08:16:46.895105+00:00",
          "core_os": "linux",
          "created_at": "2019-03-19T04:25:06.953312+00:00",
          "error": null,
          "machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d"
      },
      "task_id": "0854ae75-47ca-438a-8731-615defac44ac",
      "family": "response",
      "data": {
          "results": [
              {
                  "size": 1731,
                  "endpoint": {
                      "status": "monitored",
                      "ad_distinguished_name": "",
                      "ad_hostname": "",
                      "operating_system": "Linux 4.15.0-29-generic",
                      "name": "example",
                      "display_operating_system": "Ubuntu 18.04.1",
                      "hostname": "example",
                      "updated_at": "2020-01-07T08:16:44Z",
                      "mac_address": "01:23:45:ab:cd:ef",
                      "ip_address": "192.0.2.1",
                      "id": "a3cdc174-3af0-400a-85c3-bbb1435a6b61"
                  },
                  "user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
                  "account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
                  "investigation_id": null,
                  "filepath": "/home/a-arobinson/Downloads/bad_admin.sh",
                  "bulk_task_id": null,
                  "created_by": "a-arobinson",
                  "file_uuid": "4c45cc36-b6ca-412a-ae0b-ed214a9c7187",
                  "correlation_id": "13dfca7b-9e75-4115-be93-e6684dbfc7c8",
                  "user": {
                      "username": "admin",
                      "first_name": "Example",
                      "last_name": "User",
                      "id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1"
                  },
                  "chunk_size": 26214400,
                  "existing_path": "/home/a-arobinson/Downloads/bad_admin.sh",
                  "sha256": "8066b309db13bae560c15c35f42247a0f778786f0056d326ff3e6dffd1eac4f8",
                  "origination_task_id": "0854ae75-47ca-438a-8731-615defac44ac",
                  "md5": "6441b8f58feddb5a5f6fcd81c117ecb8"
              }
          ]
      },
      "created_at": "2020-01-07T11:28:02.826397Z",
      "os_type": "linux",
      "machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d",
      "type": "downloadFileResponse",
      "id": "d6fb3bf3-afea-44e0-8472-389f4e7e0002"
  },
  "metadata": {
      "count": 1,
      "previous_url": null,
      "timestamp": "2020-01-07T11:41:56.750788",
      "next": null,
      "per_page": 50,
      "next_url": null,
      "previous": null
  }
}

Se lo stato è failure, il risultato JSON è il seguente:

{
    "data": {
        "status": "failure",
        "doc_type": "collection",
        "endpoint": {
            "domain": "InstallerInitiated",
            "updated_at": "2019-11-01T05:42:09.150756+00:00",
            "id": "12c3530d-657f-4ccd-835e-6df9affeed3d",
            "display_operating_system": "Ubuntu 18.04.3",
            "hostname": "example",
            "mac_address": "01:23:45:ab:cd:ef",
            "base_image": false,
            "isolation_updated_at": null,
            "status": "monitored",
            "ad_distinguished_name": "",
            "ad_hostname": "",
            "tags": [],
            "isolation_request_status": null,
            "upgrade_status": "",
            "groups": [
                {
                    "is_dynamic": false,
                    "count": 4,
                    "id": "c1af3cd6-2638-4144-842d-adc9cfb67fb9",
                    "name": "SOC"
                }
            ],
            "sensors": [
                {
                    "status": "A",
                    "sensor_version": "3.52.12",
                    "sensor_type": "hunt",
                    "id": "dc2e35cc-0c87-5a60-8fc8-de23ef747d02"
                }
            ],
            "ip_address": "192.0.2.1",
            "is_isolated": false,
            "operating_system": "Linux 4.15.0-72-generic",
            "name": "example",
            "status_changed_at": "2020-01-19T11:05:16.765186+00:00",
            "core_os": "linux",
            "created_at": "2019-09-20T21:34:51.966863+00:00",
            "error": null,
            "machine_id": "5ae8ddd9-9339-ae4b-ccf7-5ed68f38b3a9"
        },
        "task_id": "85148460-c868-4fe5-a3e6-0d90784fadd1",
        "family": "response",
        "data": {
            "results": [
                {
                    "endpoint": {
                        "status": "monitored",
                        "ad_distinguished_name": "",
                        "ad_hostname": "",
                        "operating_system": "Linux 4.15.0-72-generic",
                        "name": "example",
                        "display_operating_system": "Ubuntu 18.04.3",
                        "hostname": "example",
                        "updated_at": "2020-01-16T14:04:22Z",
                        "mac_address": "01:23:45:ab:cd:ef",
                        "ip_address": "192.0.2.1",
                        "id": "12c3530d-657f-4ccd-835e-6df9affeed3d"
                    },
                    "user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
                    "account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
                    "investigation_id": null,
                    "expected_sha256": "123",
                    "bulk_task_id": null,
                    "correlation_id": "a7dc04c8-932c-4056-9477-8095b1fa15d8",
                    "user": {
                        "username": "admin",
                        "first_name": "Example",
                        "last_name": "User",
                        "id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1"
                    },
                    "chunk_size": 26214400,
                    "existing_path": "/home/example/Downloads/bad_admin.sh",
                    "origination_task_id": "85148460-c868-4fe5-a3e6-0d90784fadd1"
                }
            ]
        },
        "created_at": "2020-01-19T12:19:57Z",
        "os_type": "linux",
        "machine_id": "5ae8ddd9-9339-ae4b-ccf7-5ed68f38b3a9",
        "type": "downloadFileResponse",
        "id": "8eb6b538-d480-4210-92fb-df08a3a4dfb9"
    },
    "metadata": {
        "count": 1,
        "previous_url": null,
        "timestamp": "2020-01-19T12:23:23.623961",
        "next": null,
        "per_page": 50,
        "next_url": null,
        "previous": null
    }
}

Elimina file

Elimina un file da un endpoint Endgame.

Parametri

Nome visualizzato del parametro Tipo Valore predefinito Descrizione
Percorso file Stringa N/D Inserisci il percorso del file.

Casi d'uso

Questa azione viene utilizzata per eliminare i file dall'endpoint. Ad esempio, può essere utilizzato quando è stato rilevato un malware e un analista vuole rimuoverlo.

Pubblica su

Questa azione viene eseguita sulle seguenti entità:

  • Host
  • Indirizzo IP

Risultati dell'azione

Approfondimenti

Se l'endpoint è stato isolato utilizzando l'agente Endgame, crea un insight per indicarlo.

Risultato dello script
Nome del risultato dello script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Risultato JSON

(status = success)

{
    "data": [
        {
            "status": "success",
            "doc_type": "collection",
            "endpoint": {
                "domain": "InstallerInitiated",
                "updated_at": "2019-11-01T05:41:10.150817+00:00",
                "id": "a3cdc174-3af0-400a-85c3-bbb1435a6b61",
                "display_operating_system": "Ubuntu 18.04.1",
                "hostname": "08203s-lubu1804",
                "mac_address": "01:23:45:ab:cd:ef",
                "upgrade_status": "",
                "base_image": false,
                "isolation_updated_at": null,
                "status": "monitored",
                "ad_distinguished_name": "",
                "ad_hostname": "",
                "tags": [
                    {
                        "id": "fc2dfcc8-9329-4f33-86a2-877bfb27575e",
                        "name": "CORE ENV"
                    }
                ],
                "isolation_request_status": null,
                "groups": [
                    {
                        "is_dynamic": false,
                        "count": 1,
                        "id": "e453d4f6-95c9-4dc5-bc41-2f4cae423e19",
                        "name": "Demo: Bad Admin"
                    }
                ],
                "sensors": [
                    {
                        "status": "monitored",
                        "sensor_version": "3.52.12",
                        "policy_status": "successful",
                        "policy_name": "Lab (Detect-Only with Streaming)",
                        "sensor_type": "hunt",
                        "id": "c7347a4b-3e71-5514-980f-90bdbab758cf",
                        "policy_id": "07b7a44f-25f3-4e5c-977b-2915de8160c5"
                    }
                ],
                "ip_address": "192.0.2.1",
                "is_isolated": false,
                "operating_system": "Linux 4.15.0-29-generic",
                "name": "08203s-lubu1804",
                "status_changed_at": "2020-01-20T07:25:02.633331+00:00",
                "core_os": "linux",
                "created_at": "2019-03-19T04:25:06.953312+00:00",
                "error": null,
                "machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d"
            },
            "task_id": "bfb82b8d-71a0-4e5f-9cfe-bd573ea32b25",
            "family": "response",
            "created_at": "2020-01-20T07:31:37Z",
            "local_msg": "Success",
            "system_msg": null,
            "system_code": null,
            "local_code": 0,
            "os_type": "linux",
            "machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d",
            "type": "deleteFileResponse",
            "id": "eb50fe9c-1059-42d4-9f5f-52e5af4ae64d"
        }
    ],
    "metadata": {
        "count": 1,
        "previous_url": null,
        "timestamp": "2020-01-20T07:32:04.425044",
        "next": null,
        "per_page": 50,
        "next_url": null,
        "previous": null
    }
}

(status = failure) local_msg and system_msg will be used.

{
  "data": [
      {
          "status": "failure",
          "doc_type": "collection",
          "endpoint": {
              "domain": "InstallerInitiated",
              "updated_at": "2019-11-01T05:41:10.150817+00:00",
              "id": "a3cdc174-3af0-400a-85c3-bbb1435a6b61",
              "display_operating_system": "Ubuntu 18.04.1",
              "hostname": "08203s-lubu1804",
              "mac_address": "01:23:45:ab:cd:ef",
              "upgrade_status": "",
              "base_image": false,
              "isolation_updated_at": null,
              "status": "monitored",
              "ad_distinguished_name": "",
              "ad_hostname": "",
              "tags": [
                  {
                      "id": "fc2dfcc8-9329-4f33-86a2-877bfb27575e",
                      "name": "CORE ENV"
                  }
              ],
              "isolation_request_status": null,
              "groups": [
                  {
                      "is_dynamic": false,
                      "count": 1,
                      "id": "e453d4f6-95c9-4dc5-bc41-2f4cae423e19",
                      "name": "Demo: Bad Admin"
                  }
              ],
              "sensors": [
                  {
                      "status": "monitored",
                      "sensor_version": "3.52.12",
                      "policy_status": "successful",
                      "policy_name": "Lab (Detect-Only with Streaming)",
                      "sensor_type": "hunt",
                      "id": "c7347a4b-3e71-5514-980f-90bdbab758cf",
                      "policy_id": "07b7a44f-25f3-4e5c-977b-2915de8160c5"
                  }
              ],
              "ip_address": "192.0.2.1",
              "is_isolated": false,
              "operating_system": "Linux 4.15.0-29-generic",
              "name": "08203s-lubu1804",
              "status_changed_at": "2020-01-07T08:16:46.895105+00:00",
              "core_os": "linux",
              "created_at": "2019-03-19T04:25:06.953312+00:00",
              "error": null,
              "machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d"
          },
          "task_id": "5da277fe-503d-468a-822b-8801d9671cde",
          "family": "response",
          "created_at": "2020-01-07T13:10:50Z",
          "local_msg": "Not found",
          "system_msg": null,
          "system_code": null,
          "local_code": -7,
          "os_type": "linux",
          "machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d",
          "type": "deleteFileResponse",
          "id": "6f3e6148-6801-4cb8-8a5d-25f75ea93555"
      }
  ],
  "metadata": {
      "count": 1,
      "previous_url": null,
      "timestamp": "2020-01-07T13:16:18.834163",
      "next": null,
      "per_page": 5,
      "next_url": null,
      "previous": null
  }
}

Sondaggio sui conducenti (solo Windows)

Recupera le informazioni sui driver da un endpoint Endgame specifico.

Parametri

Parametro Tipo Valore predefinito Descrizione
Numero massimo di articoli da restituire Stringa 50 Specifica il numero di articoli da restituire.

Pubblica su

Questa azione viene eseguita sulle seguenti entità:

  • Nome host
  • Indirizzo IP

Risultati dell'azione

Arricchimento delle entità
Nome campo di arricchimento Logica: quando applicarla
driver_basename Restituisce se esiste nel risultato JSON
driver_filename Restituisce se esiste nel risultato JSON
date_modified Restituisce se esiste nel risultato JSON
driver_file_version Restituisce se esiste nel risultato JSON
driver_load_address Restituisce se esiste nel risultato JSON
collection_id Restituisce se esiste nel risultato JSON
hash Restituisce se esiste nel risultato JSON
machine_id Restituisce se esiste nel risultato JSON
driver_product_version Restituisce se esiste nel risultato JSON
driver_description Restituisce se esiste nel risultato JSON
Risultato dello script
Nome risultato script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Risultato JSON
[{
   "EntityResult":
      [{ "driver_basename": "test.exe",
         "driver_filename": "C:\\\\Windows\\\\system32\\\\test.exe",
         "date_modified": 1446189483.0185645,
         "driver_file_version": "10.0.10586.0 (th2_release.151029-1700)",
         "driver_load_address": "12345678",
         "collection_id": "a9925cf1-6d4c-4bea-b13d-12345678",
         "hashes": {
                     "sha256": "9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08",
                     "md5": "098f6bcd4621d373cade4e832627b4f6",
                     "sha1": "a94a8fe5ccb19ba61c4c0873d391e987982fbbd3"
                    },
        "machine_id": "5dc677fd-6b47-7df9-f7f4-12345678",
        "driver_product_version": "10.0.10586.0",
        "driver_description": "Test"
      }],
   "Entity": "PC-01"
 }]

Sondaggio sul firewall (solo Windows)

Visualizza informazioni sulle regole firewall su un endpoint Endgame specifico.

Parametri

Parametro Tipo Valore predefinito Descrizione
Numero massimo di articoli da restituire Stringa 50 Specifica il numero di articoli da restituire.

Pubblica su

Questa azione viene eseguita sulle seguenti entità:

  • Nome host
  • Indirizzo IP

Risultati dell'azione

Arricchimento delle entità
Nome campo di arricchimento Logica: quando applicarla
direction Restituisce se esiste nel risultato JSON
machine_id Restituisce se esiste nel risultato JSON
descrizione Restituisce se esiste nel risultato JSON
remote_addresses Restituisce se esiste nel risultato JSON
protocol_number Restituisce se esiste nel risultato JSON
abilitato Restituisce se esiste nel risultato JSON
edge_traversal Restituisce se esiste nel risultato JSON
profili Restituisce se esiste nel risultato JSON
interface_types Restituisce se esiste nel risultato JSON
rule_name Restituisce se esiste nel risultato JSON
icmp_and_type_codes Restituisce se esiste nel risultato JSON
local_addresses Restituisce se esiste nel risultato JSON
application_name Restituisce se esiste nel risultato JSON
collection_id Restituisce se esiste nel risultato JSON
remote_ports Restituisce se esiste nel risultato JSON
azione Restituisce se esiste nel risultato JSON
local_ports Restituisce se esiste nel risultato JSON
Risultato dello script
Nome risultato script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Risultato JSON
[{
   "EntityResult":
      [{
         "direction": "in",
         "machine_id": "870499c3-d6bf-8edd-972d-12345678",
         "description": "Inbound rule for Google Chrome to allow mDNS traffic.",
         "remote_addresses": "*",
         "protocol_number": 17,
         "enabled": true,
         "edge_traversal": false,
         "profiles":
             ["domain", "public", "private"],
         "interface_types": "All",
         "rule_name": "Google Chrome (mDNS-In)",
         "icmp_and_type_codes": "",
         "local_addresses": "*",
         "application_name": "C:\\\\Program Files (x86)\\\\Google\\\\Chrome\\\\Application\\\\chrome.exe",
         "collection_id": "0925eea5-c61f-464a-ba61-12345678",
         "remote_ports": "*",
         "action": "allow",
         "local_ports": "1234"
      }],
   "Entity": "PC-01"
}]

Recupero endpoint

Elenca tutti gli endpoint.

Parametri

N/D

Pubblica su

Questa azione viene eseguita su tutte le entità.

Risultati dell'azione

Risultato dello script
Nome risultato script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Risultato JSON
[{
   "domain": "",
   "updated_at": "2019-05-30T01:40:21.126499+00:00",
   "id": "db33d864-7d58-4d85-9d2d-1a98a101995d",
   "display_operating_system": "Windows 7 (SP1)",
   "hostname": "ip-AC170169",
   "mac_address": "01:23:45:ab:cd:ef",
   "isolation_updated_at": "",
   "status": "monitored",
   "ad_distinguished_name": "",
   "ad_hostname": "",
   "tags": [],
   "isolation_request_status": "",
   "alert_count": 72,
   "investigation_count": 0,
   "groups": [],
   "sensors":
      [{
         "status": "monitored",
         "sensor_version": "3.51.10",
         "policy_status": "successful",
         "policy_name": "POC-Lab",
         "sensor_type": "hunt",
         "id": "ec17f7bb-1d63-536a-b694-ca066cc2572e",
         "policy_id": "d31f0192-b8e2-49ae-ae54-041376183b7f"
      }],
   "ip_address": "192.0.2.1",
   "is_isolated": "false",
   "operating_system": "Windows 6.1 Service Pack 1",
   "name": "ip-AC170169",
   "status_changed_at": "2019-05-30T01:40:18.200770+00:00",
   "core_os": "windows",
   "created_at": "2019-05-30T01:36:43.761600+00:00",
   "error":
     [{
        "msg": "Installer failure - Execution failed for (http://192.0.2.1:5985/wsman)\\n",
       "deployment_id": "90C2BAA6-B38B-4037-9A9E-7C8628E8D7D6",
       "code": 1001, "ts": 1559180421.125456
     }],
   "machine_id": "4f1adabb-17c4-e39e-caa7-7900562d0b51"
}]

File di caccia

Cerca i file in esecuzione.

Parametri

Parametro Tipo Valore predefinito Descrizione
Endpoint CoreOS Stringa finestre Seleziona un sistema operativo (ad es. Windows, Linux o Mac) per filtrare l'elenco Endpoint. Nota: puoi creare una sola indagine per gli endpoint che eseguono lo stesso sistema operativo.
Hash MD5 Stringa N/D CONFIGURAZIONE AVANZATA per questa caccia. Inserisci gli hash MD5, separati da virgole.
Hash SHA1 Stringa N/D CONFIGURAZIONE AVANZATA per questa caccia. Inserisci gli hash SHA-1 separati da virgole.
Hash SHA256 Stringa N/D CONFIGURAZIONE AVANZATA per questa caccia. Inserisci gli hash SHA256 separati da virgole.
Directory Stringa N/D Il percorso della directory iniziale. Esempio: C:\windows\system32
Trova file Stringa N/D Inserisci i nomi dei file da cercare. Inserisci un'espressione regolare per restringere i risultati di ricerca.

Pubblica su

Questa azione viene eseguita sulle seguenti entità:

  • Nome host
  • Indirizzo IP

Risultati dell'azione

Arricchimento delle entità
Nome campo di arricchimento Logica: quando applicarla
meta_data Restituisce se esiste nel risultato JSON
file_path Restituisce se esiste nel risultato JSON
Risultato dello script
Nome risultato script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Risultato JSON
[{
      "meta_data":
          {  "hashes":
                {  "sha256": "4705ba6793dc93c1bbe2a9e790e9e22778d217531b1750471206fd5c52bbd2b5",
                   "md5": "6383522c180badc4e1d5c30a5c4f4913",
                   "sha1": "62a30e96459b694f7b22d730c460a65cd2ebaaca"
                 },
             "file_name_timestamps":
                {  "accessed": 1468675289.0711532,
                   "entry_modified": 0,
                   "modified": 1468675289.0711532,
                   "created": 1468675404.0330572
                 },
             "file_attributes": 38,
             "file_size": 174
           },
      "file_path": "C:\\\\Program Files\\\\desktop.ini"
    },
  {
     "meta_data":
          {  "hashes":
                {  "sha256": "44fe5eebd80e46f903d68c07bcf06d187a3698bf3953bc58bb578465e2e0fe6c",
                   "md5": "6bd5fb46283aa48e638bef47510c47da",
                   "sha1": "c38d46ec6c9bc8baece4a459b617f44d10af973c"
                 },
             "file_name_timestamps":
                {
                   "accessed": 1468675289.0024028,
                   "entry_modified": 0,
                   "modified": 1468675289.0024028,
                   "created": 1468675404.0111823
                 },
            "file_attributes": 38,
            "file_size": 645
           },
    "file_path": "C:\\\\Program Files\\\\Common Files\\\\microsoft shared\\\\Stationery\\\\Desktop.ini"
}]

Hunt IP

Cerca connessioni di rete.

Parametri

Parametro Tipo Valore predefinito Descrizione
Endpoint CoreOS Stringa finestre Seleziona un sistema operativo (ad es. Windows, Linux o Mac) per filtrare l'elenco Endpoint. Nota: puoi creare una sola indagine per gli endpoint che eseguono lo stesso sistema operativo.
Indirizzo IP remoto Stringa N/D indirizzo IP remoto, separato da virgole
Indirizzo IP locale Stringa N/D separati da virgola
Stato Stringa N/D Inserisci lo stato da cui tornare. Esempio: ANY
Protocollo Stringa N/D Esempio: ANY, UDP, TCP
Porta di rete Stringa N/D N/D
Network Remote Stringa N/D Rete remota o locale.

Pubblica su

Questa azione viene eseguita sulle seguenti entità:

  • Nome host
  • Indirizzo IP

Risultati dell'azione

Arricchimento delle entità
Nome campo di arricchimento Logica: quando applicarla
parent_name Restituisce se esiste nel risultato JSON
dominio Restituisce se esiste nel risultato JSON
exe Restituisce se esiste nel risultato JSON
nome Restituisce se esiste nel risultato JSON
has_unbacked_execute_memory Restituisce se esiste nel risultato JSON
pid Restituisce se esiste nel risultato JSON
up_time Restituisce se esiste nel risultato JSON
is_sensor Restituisce se esiste nel risultato JSON
cmdline Restituisce se esiste nel risultato JSON
parent_exe Restituisce se esiste nel risultato JSON
unbacked_execute_byte_count Restituisce se esiste nel risultato JSON
create_time Restituisce se esiste nel risultato JSON
utente Restituisce se esiste nel risultato JSON
sid Restituisce se esiste nel risultato JSON
thread Restituisce se esiste nel risultato JSON
ppid Restituisce se esiste nel risultato JSON
unbacked_execute_region_count Restituisce se esiste nel risultato JSON
Risultato dello script
Nome risultato script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Risultato JSON
[{
   "parent_name": "System Idle Process",
   "domain": "NT AUTHORITY",
   "exe": "",
   "name": "System",
   "has_unbacked_execute_memory": false,
   "pid": 4,
   "up_time": 2384701,
   "is_sensor": false,
   "cmdline": "",
   "parent_exe": "",
   "unbacked_execute_byte_count": 0,
   "create_time": 1559179903,
   "user": "SYSTEM",
   "sid": "S-1-5-18",
   "threads":
     [{
        "thread_id": 8
      }, {
       "thread_id": 12,
       "up_time": 13206038203,
       "create_time": -11644473599
     }, {
       "thread_id": 16,
       "up_time": 13206038203,
       "create_time": -11644473599
      }],
   "ppid": 0,
   "unbacked_execute_region_count": 0
}]

Procedura di caccia

Cerca i processi in esecuzione.

Parametri

Parametro Tipo Valore predefinito Descrizione
Endpoint CoreOS Stringa finestre Seleziona un sistema operativo (ad es. Windows, Linux o Mac) per filtrare l'elenco degli endpoint. Nota: puoi creare una sola indagine per gli endpoint che eseguono lo stesso sistema operativo.
Hash MD5 Stringa N/D CONFIGURAZIONE AVANZATA per questa caccia. Inserisci gli hash MD5, separati da virgole.
Hash SHA1 Stringa N/D CONFIGURAZIONE AVANZATA per questa caccia. Inserisci gli hash SHA-1 separati da virgole.
Hash SHA256 Stringa N/D CONFIGURAZIONE AVANZATA per questa caccia. Inserisci gli hash SHA256 separati da virgole.
Nome processo Stringa N/D CONFIGURAZIONE AVANZATA per questa caccia. Inserisci il nome del processo, ad es. iss.exe*

Pubblica su

Questa azione viene eseguita sulle seguenti entità:

  • Nome host
  • Indirizzo IP

Risultati dell'azione

Arricchimento delle entità
Nome campo di arricchimento Logica: quando applicarla
parent_name Restituisce se esiste nel risultato JSON
dominio Restituisce se esiste nel risultato JSON
exe Restituisce se esiste nel risultato JSON
nome Restituisce se esiste nel risultato JSON
has_unbacked_execute_memory Restituisce se esiste nel risultato JSON
pid Restituisce se esiste nel risultato JSON
up_time Restituisce se esiste nel risultato JSON
is_sensor Restituisce se esiste nel risultato JSON
cmdline Restituisce se esiste nel risultato JSON
parent_exe Restituisce se esiste nel risultato JSON
unbacked_execute_byte_count Restituisce se esiste nel risultato JSON
create_time Restituisce se esiste nel risultato JSON
utente Restituisce se esiste nel risultato JSON
sid Restituisce se esiste nel risultato JSON
thread Restituisce se esiste nel risultato JSON
ppid Restituisce se esiste nel risultato JSON
unbacked_execute_region_count Restituisce se esiste nel risultato JSON
Risultato dello script
Nome risultato script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Risultato JSON
[{
   "parent_name": "System Idle Process",
   "domain": "NT AUTHORITY",
   "exe": "",
   "name": "System",
   "has_unbacked_execute_memory": false,
   "pid": 4,
   "up_time": 2384701,
   "is_sensor": false,
   "cmdline": "",
   "parent_exe": "",
   "unbacked_execute_byte_count": 0,
   "create_time": 1559179903,
   "user": "SYSTEM",
   "sid": "S-1-5-18",
   "threads":
      [{
         "thread_id": 8
       },{
         "thread_id": 12,
         "up_time": 13206038203,
         "create_time": -11644473599
       },{
        "thread_id": 16,
        "up_time": 13206038203,
        "create_time": -11644473599
      }],
   "ppid": 0,
   "unbacked_execute_region_count": 0
}]

Registro delle cacce

Cerca una chiave o un nome di valore del registro.

Parametri

Parametro Tipo Valore predefinito Descrizione
Hive Stringa TUTTE Uno dei seguenti: HKEY_CLASSES_ROOT, HKEY_CURRENT_CONFIG, HKEY_USERS, HKEY_LOCAL_MACHINE, ALL.
Chiavi Stringa N/D Nome della chiave o del valore del registro.
Dimensioni minime Stringa N/D Dimensione minima in byte.
Dimensioni massime Stringa N/D Dimensioni massime in byte.
Endpoint CoreOS Stringa finestre Seleziona un sistema operativo (ad es. Windows, Linux o Mac) per filtrare l'elenco degli endpoint. Nota: puoi creare una sola indagine per gli endpoint che eseguono lo stesso sistema operativo.

Pubblica su

Questa azione viene eseguita sulle seguenti entità:

  • Nome host
  • Indirizzo IP

Risultati dell'azione

Arricchimento delle entità
Nome campo di arricchimento Logica: quando applicarla
parent_name Restituisce se esiste nel risultato JSON
dominio Restituisce se esiste nel risultato JSON
exe Restituisce se esiste nel risultato JSON
nome Restituisce se esiste nel risultato JSON
up_time Restituisce se esiste nel risultato JSON
is_sensor Restituisce se esiste nel risultato JSON
cmdline Restituisce se esiste nel risultato JSON
parent_exe Restituisce se esiste nel risultato JSON
unbacked_execute_byte_count Restituisce se esiste nel risultato JSON
create_time Restituisce se esiste nel risultato JSON
utente Restituisce se esiste nel risultato JSON
sid Restituisce se esiste nel risultato JSON
thread Restituisce se esiste nel risultato JSON
ppid Restituisce se esiste nel risultato JSON
unbacked_execute_region_count Restituisce se esiste nel risultato JSON
Risultato dello script
Nome risultato script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Risultato JSON
[{
   "parent_name": "System Idle Process",
   "domain": "NT AUTHORITY",
   "exe": "",
   "name": "System",
   "has_unbacked_execute_memory": false,
   "pid": 4,
   "up_time": 2384701,
   "is_sensor": false,
   "cmdline": "",
   "parent_exe": "",
   "unbacked_execute_byte_count": 0,
   "create_time": 1559179903,
   "user": "SYSTEM",
   "sid": "S-1-5-18",
   "threads":
      [{
          "thread_id": 8
        },{
          "thread_id": 12,
          "up_time": 13206038203,
          "create_time": -11644473599
        }, {
          "thread_id": 16,
          "up_time": 13206038203,
          "create_time": -11644473599
         }],
   "ppid": 0,
   "unbacked_execute_region_count": 0
}]

Hunt User

Cerca nella rete gli utenti che hanno eseguito l'accesso.

Parametri

Parametro Tipo Valore predefinito Descrizione
Endpoint CoreOS Stringa finestre Seleziona un sistema operativo (ad es. Windows, Linux o Mac) per filtrare l'elenco degli endpoint. Nota: puoi creare una sola indagine per gli endpoint che eseguono lo stesso sistema operativo.
Trova nome utente Stringa N/D CONFIGURAZIONE AVANZATA per questa caccia. Inserisci i nomi utente, separando più voci con un punto e virgola.
Nome di dominio Stringa N/D CONFIGURAZIONE AVANZATA per questa caccia. Inserisci il nome di dominio.

Pubblica su

Questa azione viene eseguita sulle seguenti entità:

  • Nome host
  • Indirizzo IP

Risultati dell'azione

Arricchimento delle entità
Nome campo di arricchimento Logica: quando applicarla
parent_name Restituisce se esiste nel risultato JSON
dominio Restituisce se esiste nel risultato JSON
exe Restituisce se esiste nel risultato JSON
nome Restituisce se esiste nel risultato JSON
has_unbacked_execute_memory Restituisce se esiste nel risultato JSON
pid Restituisce se esiste nel risultato JSON
up_time Restituisce se esiste nel risultato JSON
is_sensor Restituisce se esiste nel risultato JSON
cmdline Restituisce se esiste nel risultato JSON
parent_exe Restituisce se esiste nel risultato JSON
unbacked_execute_byte_count Restituisce se esiste nel risultato JSON
create_time Restituisce se esiste nel risultato JSON
utente Restituisce se esiste nel risultato JSON
sid Restituisce se esiste nel risultato JSON
thread Restituisce se esiste nel risultato JSON
ppid Restituisce se esiste nel risultato JSON
unbacked_execute_region_count Restituisce se esiste nel risultato JSON
Risultato dello script
Nome risultato script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Risultato JSON
[{
   "parent_name": "System Idle Process",
   "domain": "NT AUTHORITY",
   "exe": "",
   "name": "System",
   "has_unbacked_execute_memory": false,
   "pid": 4,
   "up_time": 2384701,
   "is_sensor": false,
   "Cmdline":"",
   "parent_exe": "",
   "unbacked_execute_byte_count": 0,
   "create_time": 1559179903,
   "user": "SYSTEM",
   "sid": "S-1-5-18",
   "threads":
     [{
        "thread_id": 8
      }, {
       "thread_id": 12,
       "up_time": 13206038203,
       "create_time": -11644473599
     }, {
       "thread_id": 16,
       "up_time": 13206038203,
       "create_time": -11644473599
    }],
  "ppid": 0,
  "unbacked_execute_region_count": 0
}]

Termina processo

Termina un processo in un endpoint Endgame specifico.

Parametri

Parametro Tipo Valore predefinito Descrizione
Nome processo Stringa N/D Inserisci il nome del processo
PID Stringa N/D Inserisci l'ID del processo.

Pubblica su

Questa azione viene eseguita sulle seguenti entità:

  • Nome host
  • Indirizzo IP

Risultati dell'azione

Risultato dello script
Nome risultato script Opzioni di valore Esempio
is_success Vero/Falso is_success:False

Rilevamento della rete

Ricevi informazioni su connessioni, cache DNS, NetBIOS, ARP e tabelle di routing da un endpoint Endgame specifico.

Parametri

Parametro Tipo Valore predefinito Descrizione
Numero massimo di articoli da restituire Stringa 50 Specifica il numero di esecuzioni automatiche da restituire.
Includere informazioni sulle voci di itinerario Casella di controllo Selezionata Specifica di ricevere informazioni sulle voci di itinerario.
Includere informazioni NetBIOS Casella di controllo Selezionata Specifica di ricevere informazioni su NetBIOS.
Includi informazioni sulla cache DNS Casella di controllo Selezionata Specifica di ricevere informazioni sulla cache DNS.
Includi informazioni sulla tabella ARP Casella di controllo Selezionata Specifica di ottenere informazioni sulla tabella ARP.

Pubblica su

Questa azione viene eseguita sulle seguenti entità:

  • Nome host
  • Indirizzo IP

Risultati dell'azione

Arricchimento delle entità
Nome campo di arricchimento Logica: quando applicarla
connessioni Restituisce se esiste nel risultato JSON
netbios_info Restituisce se esiste nel risultato JSON
arp_table Restituisce se esiste nel risultato JSON
route_table Restituisce se esiste nel risultato JSON
dns_cache Restituisce se esiste nel risultato JSON
Risultato dello script
Nome risultato script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Risultato JSON
[{
  "EntityResult":
   {
    "connections":
      [{
       "connection_type": "SOCK_STREAM",
       "collection_id": "50e74bd2-1cd4-412c-a7fc-24cf1456e883",
       "exe": "C:\\\\Windows\\\\System32\\\\test.exe",
       "connection_status": "LISTEN",
       "name": "test.exe",
       "family": "ipv4",
       "local_port": 111,
       "remote_port": 0,
       "pid": 700,
       "remote_address": "0.0.0.0",
       "create_time": 1583314664,
       "connection_timestamp": 1583314664.0117714,
       "local_address": "0.0.0.0",
       "protocol": "tcp",
       "hashes":
          {
            "sha256": "5d00bbeb147e0c838a622fc42c543b2913d57eaca4e69d9a37ed61e98c819347", "md5": "8497852ed44aff902d502015792d315d",
            "sha1": "800a4c2e524fc392c45748eae1691fa01d24ea4c"
           },
       "machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
     }],
   "netbios_info":
     [{
       "comment": "",
       "name": "PC-01",
       "version_major": 10,
       "netbios_neighbor_type": 8392747,
       "platform": "WINDOWS NT",
       "version_minor": 0
     }],
   "arp_table":
     [{
       "connection_type": "SOCK_STREAM",
       "collection_id": "50e74bd2-1cd4-412c-a7fc-24cf1456e883",
       "exe": "C:\\\\Windows\\\\System32\\\\test.exe",
       "connection_status": "LISTEN",
       "name": "test.exe",
       "family": "ipv4",
       "local_port": 111,
       "remote_port": 0,
       "pid": 700,
       "remote_address": "0.0.0.0",
       "create_time": 1583314664,
       "connection_timestamp": 1583314664.0117714,
       "local_address": "0.0.0.0",
       "protocol": "tcp",
       "hashes": {"sha256": "5d00bbeb147e0c838a622fc42c543b2913d57eaca4e69d9a37ed61e98c819347", "md5": "8497852ed44aff902d502015792d315d",
                 "sha1": "800a4c2e524fc392c45748eae1691fa01d24ea4c"},
       "machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
     }],
   "route_table":
     [{
       "machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
       "family": "ipv4",
       "destination": "0.0.0.0",
       "netmask": "0.0.0.0",
       "collection_id": "50e74bd2-1cd4-412c-a7fc-24cf1456e883",
       "interface_name": "Ethernet0",
       "gateway": "1.1.1.1"
     }],
   "dns_cache":
     [{
       "name": "test.ms",
       "dns_record_type": "A",
       "ttl": 0,
       "collection_id": "50e74bd2-1cd4-412c-a7fc-24cf1456e883",
       "machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
       "query_error": 9701
      }]
    },
  "Entity": "PC-01"
}]

Dindin

Testa la connettività al server Endgame.

Parametri

N/D

Pubblica su

Questa azione viene eseguita su tutte le entità.

Risultati dell'azione

Risultato dello script
Nome risultato script Opzioni di valore Esempio
is_success Vero/Falso is_success:False

Sondaggio sulla procedura

Ricevi informazioni sui processi in esecuzione su un endpoint Endgame specifico.

Parametri

Parametro Tipo Default Vaule Descrizione
Numero massimo di articoli da restituire Stringa 50 Specifica il numero di articoli da restituire.
Rilevare attacchi senza file (solo Windows) Casella di controllo Deselezionata Specifica di rilevare gli attacchi fileless. Solo Windows.
Rilevare malware con MalwareScore (solo Windows) Casella di controllo Deselezionata Specifica di rilevare i processi malware con MalwareScore. Solo Windows.
Raccogliere i thread del processo Casella di controllo Deselezionata Specifica di includere informazioni sulla quantità di thread di processo nella risposta.
Restituisci solo processi sospetti Casella di controllo Selezionata Specifica di restituire solo i processi sospetti dall'endpoint. Secondo la definizione di Endgame, i processi sospetti sono processi eseguibili non supportati.

Pubblica su

Questa azione viene eseguita sulle seguenti entità:

  • Nome host
  • Indirizzo IP

Risultati dell'azione

Arricchimento delle entità
Nome campo di arricchimento Logica: quando applicarla
dominio Restituisce se esiste nel risultato JSON
name_suspicious Restituisce se esiste nel risultato JSON
pid Restituisce se esiste nel risultato JSON
name_uncommon_path Restituisce se esiste nel risultato JSON
repeat_offender Restituisce se esiste nel risultato JSON
cmdline Restituisce se esiste nel risultato JSON
create_time Restituisce se esiste nel risultato JSON
parent_name Restituisce se esiste nel risultato JSON
has_unbacked_execute_memory Restituisce se esiste nel risultato JSON
sid Restituisce se esiste nel risultato JSON
ppid Restituisce se esiste nel risultato JSON
up_time Restituisce se esiste nel risultato JSON
unbacked_execute_region_count Restituisce se esiste nel risultato JSON
is_sensor Restituisce se esiste nel risultato JSON
thread Restituisce se esiste nel risultato JSON
utente Restituisce se esiste nel risultato JSON
collection_id Restituisce se esiste nel risultato JSON
parent_exe Restituisce se esiste nel risultato JSON
exe Restituisce se esiste nel risultato JSON
nome Restituisce se esiste nel risultato JSON
unbacked_execute_byte_count Restituisce se esiste nel risultato JSON
machine_id Restituisce se esiste nel risultato JSON
unbacked_execute_region_count Restituisce se esiste nel risultato JSON
tty_device_minor_number Restituisce se esiste nel risultato JSON
uid Restituisce se esiste nel risultato JSON
name_suspicious Restituisce se esiste nel risultato JSON
phys_memory_bytes Restituisce se esiste nel risultato JSON
pid Restituisce se esiste nel risultato JSON
env_variables Restituisce se esiste nel risultato JSON
repeat_offender Restituisce se esiste nel risultato JSON
cmdline Restituisce se esiste nel risultato JSON
create_time Restituisce se esiste nel risultato JSON
tty_device_major_number Restituisce se esiste nel risultato JSON
parent_name Restituisce se esiste nel risultato JSON
gruppo Restituisce se esiste nel risultato JSON
cpu_percent Restituisce se esiste nel risultato JSON
has_unbacked_execute_memory Restituisce se esiste nel risultato JSON
gid Restituisce se esiste nel risultato JSON
sha256 Restituisce se esiste nel risultato JSON
cwd Restituisce se esiste nel risultato JSON
exe Restituisce se esiste nel risultato JSON
up_time Restituisce se esiste nel risultato JSON
short_name Restituisce se esiste nel risultato JSON
tty_device_name Restituisce se esiste nel risultato JSON
is_sensor Restituisce se esiste nel risultato JSON
sha1 Restituisce se esiste nel risultato JSON
thread Restituisce se esiste nel risultato JSON
name_uncommon_path Restituisce se esiste nel risultato JSON
collection_id Restituisce se esiste nel risultato JSON
md5 Restituisce se esiste nel risultato JSON
argv_list Restituisce se esiste nel risultato JSON
num_threads Restituisce se esiste nel risultato JSON
utente Restituisce se esiste nel risultato JSON
virt_memory_bytes Restituisce se esiste nel risultato JSON
nome Restituisce se esiste nel risultato JSON
session_id Restituisce se esiste nel risultato JSON
memory_percent Restituisce se esiste nel risultato JSON
machine_id Restituisce se esiste nel risultato JSON
unbacked_execute_byte_count Restituisce se esiste nel risultato JSON
Risultato dello script
Nome risultato script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Risultato JSON
[{
  "EntityResult":
   [{
      "domain": "NT AUTHORITY",
      "name_suspicious": false,
      "pid": 4,
      "name_uncommon_path": false,
      "repeat_offender": false,
      "cmdline": "",
      "create_time": 1583314654,
      "parent_name": "System Idle Process",
      "has_unbacked_execute_memory": false,
      "sid": "S-1-5-18",
      "ppid": 0,
     "up_time": 342643,
     "unbacked_execute_region_count": 0,
     "is_sensor": false,
     "threads":
      [{  "thread_id": 12,
          "up_time": 13228130896,
          "create_time": -11644473599
       },
       {
          "thread_id": 16,
          "up_time": 13228130896,
          "create_time": -11644473599
       }],
     "user": "SYSTEM",
     "collection_id": "ac1fb296-db5a-4426-b32e-292e4a50188d",
     "parent_exe": "",
     "exe": "",
     "name": "System",
     "unbacked_execute_byte_count": 0,
     "machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
    }],
  "Entity": "PC-01"
 },
{
  "EntityResult":
   [{
     "unbacked_execute_region_count": 0,
     "tty_device_minor_number": 0,
     "uid": 0,
     "name_suspicious": false,
     "phys_memory_bytes": 8900608,
     "pid": 1,
     "env_variables":
       [  "HOME=/",
          "init=/sbin/init",
          "NETWORK_SKIP_ENSLAVED=",
          "recovery=",
          "TERM=linux",
          "drop_caps=",
          "BOOT_IMAGE=/vmlinuz-4.15.0-88-generic",
          "PATH=/sbin:/usr/sbin:/bin:/usr/bin",
          "PWD=/", "rootmnt=/root"  ],
    "repeat_offender": false,
    "cmdline": "/sbin/init maybe-ubiquity",
    "create_time": 1583632302,
    "tty_device_major_number": 0,
    "parent_name": "",
    "group": "root",
    "cpu_percent": 0,
    "has_unbacked_execute_memory": false,
    "gid": 0,
    "sha256": "3a14ff4b18505543eda4dccb054aa5860478a95ed0cac76da392f3472da3ad67",
    "cwd": "/",
    "exe": "/lib/systemd/systemd",
    "up_time": 24942,
    "short_name": "systemd",
    "tty_device_name": "",
    "is_sensor": false,
    "sha1": "e016f80b87101a74b52d15ce2726560a6e128b60",
    "threads": [{"thread_id": 1}],
    "name_uncommon_path": false,
    "collection_id": "bcb6b33a-0ffb-4e72-818a-1731024dfd79",
    "md5": "ca563cf817f03ed7d01a6462818a5791",
    "argv_list": ["/sbin/init", "maybe-ubiquity"],
    "num_threads": 1,
    "ppid": 0,
    "virt_memory_bytes": 79818752,
    "name": "systemd",
    "session_id": 1,
    "memory_percent": 0.21517109870910645,
    "parent_exe": "",
    "unbacked_execute_byte_count": 0,
    "machine_id": "5ae8ddd9-9339-ae4b-ccf7-5ed68f38b3a9",
    "user": "root"
  }],
 "Entity": "PC-202"
}]

Sondaggio sui supporti rimovibili (solo Windows)

DGet information about removable media from a specific Endgame endpoint.

Parametri

Parametro Tipo Valore predefinito Descrizione
Numero massimo di articoli da restituire Stringa 50 Specifica il numero di articoli da restituire.

Pubblica su

Questa azione viene eseguita sulle seguenti entità:

  • Nome host
  • Indirizzo IP

Risultati dell'azione

Arricchimento delle entità
Nome campo di arricchimento Logica: quando applicarla
nome Restituisce se esiste nel risultato JSON
is_storage_device Restituisce se esiste nel risultato JSON
vendor_id Restituisce se esiste nel risultato JSON
collection_id Restituisce se esiste nel risultato JSON
last_connect_time Restituisce se esiste nel risultato JSON
serial_number Restituisce se esiste nel risultato JSON
machine_id Restituisce se esiste nel risultato JSON
is_connected Restituisce se esiste nel risultato JSON
product_id Restituisce se esiste nel risultato JSON
Risultato dello script
Nome risultato script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Risultato JSON
[{
   "EntityResult":
    [{  "name": "USB Composite Device",
        "is_storage_device": false,
        "vendor_id": "0E0F",
        "collection_id": "fbe61b16-e6b2-4595-8409-abf4ce15fa85",
        "last_connect_time": 1552596043.0610971,
        "serial_number": "6&35D1F50B&0&1",
        "machine_id": "a4c05d5a-7ebc-c3ab-1beb-f1fe517768d8",
        "is_connected": false,
        "product_id": "0003"
     }],
   "Entity": "PC-01"
}]

Sondaggio sul software (solo Windows)

Ricevere informazioni su un software installato su un endpoint Endgame specifico.

Parametri

Parametro Tipo Valore predefinito Descrizione
Numero massimo di articoli da restituire Stringa 50 Specifica il numero di articoli da restituire.

Pubblica su

Questa azione viene eseguita sulle seguenti entità:

  • Nome host
  • Indirizzo IP

Risultati dell'azione

Arricchimento delle entità
Nome campo di arricchimento Logica: quando applicarla
publisher Restituisce se esiste nel risultato JSON
machine_id Restituisce se esiste nel risultato JSON
pacchetto Restituisce se esiste nel risultato JSON
install_date Restituisce se esiste nel risultato JSON
versione Restituisce se esiste nel risultato JSON
collection_id Restituisce se esiste nel risultato JSON
installed_for Restituisce se esiste nel risultato JSON
Risultato dello script
Nome risultato script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Risultato JSON
[{
 "EntityResult":
   [{
      "publisher": "John Doe",
      "machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
      "package": "Test",
      "install_date": "20191008",
      "version": "18.06",
      "collection_id": "fc079e17-8a2e-40d9-94c9-b974e5534e58",
      "installed_for": "allUsers"
   }],
 "Entity": "PC-01"
}]

Sondaggio sul sistema

Ottieni informazioni di sistema su un singolo endpoint di fine partita, come utilizzo della memoria, DNS e sistema operativo.

Parametri

Parametro Tipo Valore predefinito Descrizione
Numero massimo di articoli da restituire Stringa 50 Specifica il numero di articoli da restituire.
Includi le informazioni sul prodotto di sicurezza (solo Windows) Casella di controllo Selezionata Specifica di ricevere informazioni sui prodotti per la sicurezza installati sull'endpoint (solo Windows).
Includi informazioni sulle patch (solo Windows) Casella di controllo Selezionata Specifica di ottenere informazioni sulle patch (solo Windows).
Includi informazioni sul disco Casella di controllo Selezionata Specifica di ricevere informazioni sui dischi.
Includi informazioni sull'interfaccia di rete Casella di controllo Selezionata Specifica di ottenere informazioni sulle interfacce di rete.

Pubblica su

Questa azione viene eseguita sulle seguenti entità:

  • Nome host
  • Indirizzo IP

Risultati dell'azione

Arricchimento delle entità
Nome campo di arricchimento Logica: quando applicarla
patches_info Restituisce se esiste nel risultato JSON
Disks_info Restituisce se esiste nel risultato JSON
network_interfaces Restituisce se esiste nel risultato JSON
Os_info Restituisce se esiste nel risultato JSON
installed_security_products Restituisce se esiste nel risultato JSON
Risultato dello script
Nome risultato script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Risultato JSON
[{
  "EntityResult":
   {
     "patches_info":
      [{
        "collection_id": "f7d a62bb-318d-40c1-a490-85979c0c9ede",
        "installed_on": "2/3/2018",
        "hotfix_id": "KB4049065",
        "machine_id": "870499c3-d6bf-8edd-972d-f2f6621dd971"
      }],
     "Disks_info":
      [{
        "disk_id": "\\\\Device\\\\HarddiskVolume2",
        "fstype": "NTFS",
        "disk_total": 15579738112,
        "disk_free": 1219571712,
        "collection_id": "a27ebace-32ec-4257-ab4f-7da49f02a9d4",
        "device": "\\\\Device\\\\HarddiskVolume2",
        "path": "C:\\\\",
        "machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
      }],
     "network_interfaces":
       [{
        "machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
        "mac_address": "01:23:45:ab:cd:ef",
        "ipv4_addresses": ["1.1.1.1"],
        "ipv6_addresses": ["1111::1111:1111:1111:1111"],
        "collection_id": "a27ebace-32ec-4257-ab4f-7da49f02a9d4",
        "smp_interface": true,
        "interface_name": "Ethernet0"
       }],
    "Os_info":
      [{
        "memory":
          {  "ram_free": 1240039424,
             "page_percent_used": 36.89334358507761,
             "page_total": 2818101248,
             "ram_percent_used": 42.24349594504104,
             "ram_total": 2147012608,
             "ram_used": 906973184,
             "page_used": 1039691776,
             "page_free": 1778409472
          },
        "doc_type": "collection",
        "domain": "PC-01.test.com",
        "endpoint":
          {  "status": "unmonitored",
             "ad_distinguished_name":
             "CN=PC_01,OU=TESTOU,OU=Organization,DC=test,DC=com",
             "ad_hostname": "test.com",
             "operating_system": "Windows 10.0 ",
             "name": "PC-01",
             "display_operating_system": "Windows 10 (v1511)",
             "hostname": "PC-01",
             "updated_at": "2020-03-08T08:27:22.919880+00:00",
             "mac_address": "01:23:45:ab:cd:ef",
             "machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
             "ip_address": "1.1.1.1",
             "id": "b23c8a14-69e0-4966-b78a-c9fba4fdd934"
          },
       "investigation_id": "85cff906-8b39-4a37-aa05-84950c9b2a02",
       "hostname": "PC-01",
       "bulk_task_id": null,
       "original_machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
       "os_version":
         {
            "os_minor": 0,
            "os_is_server": false,
            "os_major": 10,
            "os_build_number": 10586,
            "os_service_pack": ""
          },
      "correlation_id": "7e17de5a-abcb-4de0-a510-7ca79bfdc345",
      "architecture": "x64",
      "sensor_info":
         {
            "malware_feature_version": "3.0.0",
            "sensor_build_time": "1581375786",
            "sensor_commit_sha": "80af56b6b295de785e502d82f39deac34973b2dd",
            "sensor_build_number": 48,
            "sensor_version": "3.53.9"
          },
      "time":
        {
           "tz_observes_dst": true,
           "tz_currently_in_dst": false,
           "tz_name": "Pacific Standard Time",
           "tz_offset_minutes": 480
        },
     "os_type": "windows",
     "ad_info":
       {
           "distinguished_name": "CN=PC-01,OU=TESTOU,OU=Organization,DC=test,DC=com",
           "domain_hostname": "test.com"
        },
     "origination_task_id": "d3d67012-cfb1-47d0-8ec9-bf7ffb68a019"
    }],
 "installed_security_products":
   [{
     "security_product_type": "AntiVirus",
     "collection_id": "a27ebace-32ec-4257-ab4f-7da49f02a9d4",
     "machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
     "enabled": false, "name": "Windows Defender"
   }]
  },
 "Entity": "PC-01"
}]

Sondaggio sulle sessioni utente

Ricevi informazioni sulle sessioni di un utente attivo su un endpoint Endgame specifico.

Parametri

Parametro Tipo Valore predefinito Descrizione
Numero massimo di articoli da restituire Stringa 50 Specifica il numero di articoli da restituire.

Pubblica su

  • Nome host
  • Indirizzo IP

Risultati dell'azione

Arricchimento delle entità
Nome campo di arricchimento Logica: quando applicarla
nome utente Restituisce se esiste nel risultato JSON
shell Restituisce se esiste nel risultato JSON
uid Restituisce se esiste nel risultato JSON
iniziato Restituisce se esiste nel risultato JSON
nome host Restituisce se esiste nel risultato JSON
host_ip Restituisce se esiste nel risultato JSON
session_id Restituisce se esiste nel risultato JSON
session_count Restituisce se esiste nel risultato JSON
terminale Restituisce se esiste nel risultato JSON
terminata Restituisce se esiste nel risultato JSON
gid Restituisce se esiste nel risultato JSON
collection_id Restituisce se esiste nel risultato JSON
machine_id Restituisce se esiste nel risultato JSON
iniziato Restituisce se esiste nel risultato JSON
password_last_set Restituisce se esiste nel risultato JSON
logon_type Restituisce se esiste nel risultato JSON
sid Restituisce se esiste nel risultato JSON
Risultato dello script
Nome risultato script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Risultato JSON
[{
   "EntityResult":
     [{
        "username": "endgame",
        "shell": "/opt/endgame/bin/console",
        "uid": 1000,
        "started": 1582554802.55514,
        "hostname": "",
        "host_ip": "",
        "session_id": 887,
        "session_count": 1,
        "terminal": "tty1",
        "ended": 0,
        "gid": 1000,
        "collection_id": "1aebade8-9f7b-4237-8c43-2aed8729511e",
        "machine_id": "827255f4-53a2-1823-cac0-7c0f7730ca26"
     }],
   "Entity": "PC-01"
 }, {
    "EntityResult":
      [{
        "username": "example",
        "domain": "3B",
        "started": 1580205134.001,
        "session_count": 1,
        "ended": 0,
        "password_last_set": 0,
        "logon_type": "interactive",
        "sid": "",
        "collection_id": "88b876b1-5063-40a8-b40e-440df5eb8952",
        "machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
      }],
  "Entity": "PC-02"
}

Connettori

Per istruzioni dettagliate su come configurare un connettore in Google SecOps, vedi Configurazione del connettore.

Endgame Connector

Utilizza i seguenti parametri per configurare il connettore:

Parametro Tipo Valore predefinito Descrizione
DeviceProductField Stringa device_product Il nome del campo utilizzato per determinare il prodotto del dispositivo.
EventClassId Stringa event_name Il nome del campo utilizzato per determinare il nome dell'evento (sottotipo)
PythonProcessTimeout Stringa 30 Il limite di timeout (in secondi) per il processo Python che esegue lo script corrente
Root API Stringa N/D N/D
Nome utente Stringa N/D N/D
Password Password N/D N/D
Verifica SSL Casella di controllo Deselezionata N/D
Max Days Backwards Stringa N/D N/D
Nome campo ambiente Stringa N/D Se definito, il connettore estrae l'ambiente dal campo dell'evento specificato. Puoi manipolare i dati del campo utilizzando il campo pattern dell'espressione regolare per estrarre una stringa specifica.
Limite conteggio avvisi Stringa N/D N/D
Indirizzo del server proxy Stringa N/D L'indirizzo del server proxy da utilizzare.
Nome utente proxy Stringa N/D Il nome utente del proxy con cui eseguire l'autenticazione.
Password proxy Password N/D La password del proxy per l'autenticazione.

Regole del connettore

  • Il connettore supporta il proxy.

  • Il connettore supporta l'elenco dinamico.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.