Endgame
統合バージョン: 9.0
Endgame と Google Security Operations を統合する
Google SecOps で統合を構成する方法について詳しくは、統合を構成するをご覧ください。
操作
エンティティの拡充
Endgame の情報に基づいて、Google SecOps のホストと IP エンティティを拡充します。
パラメータ
なし
ユースケース
このアクションは、デバイスのアクティビティを調査するプレイブックで使用できます。デバイスに Endgame エージェントがインストールされている場合、アクションはデバイスの Endgame 情報を取得して、Google SecOps エンティティを拡充します。
実行
このアクションは次のエンティティに対して実行されます。
- ホスト
- IP アドレス
アクションの結果
エンティティ拡充
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| Endgame_Domain | 常に |
| Endgame_endpoint_id | 常に |
| Endgame_hostname | 常に |
| Endgame_sensors_status | 常に |
| Endgame_sensors_id | 常に |
| Endgame_sensors_status | 常に |
| Endgame_sensors_id | 常に |
| Endgame_policy_status | 常に |
| Endgame_policy_name | 常に |
| Endgame_policy_id | 常に |
| Endgame_is_isolated | 常に |
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"data": [
{
"domain": "InstallerInitiated",
"updated_at": "2019-11-01T05:42:08.149079+00:00",
"id": "1682418d-02ff-43cd-a730-bcae8215a514",
"display_operating_system": "CentOS 7.6",
"hostname": "example",
"mac_address": "01:23:45:ab:cd:ef",
"upgrade_status": "",
"base_image": false,
"isolation_updated_at": null,
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [
{
"id": "a0927aeb-915a-466d-a5eb-5d7b6f9217c5",
"name": "BLUE TEAM"
},
{
"id": "bede2f24-593c-45e4-9863-9c2438f0f163",
"name": "SOC"
},
{
"id": "fc2dfcc8-9329-4f33-86a2-877bfb27575e",
"name": "CORE ENV"
}
],
"isolation_request_status": null,
"alert_count": 0,
"investigation_count": 0,
"groups": [
{
"is_dynamic": false,
"count": 4,
"id": "c1af3cd6-2638-4144-842d-adc9cfb67fb9",
"name": "SOC"
}
],
"sensors": [
{
"status": "monitored",
"sensor_version": "3.52.12",
"policy_status": "successful",
"policy_name": "Lab (Detect-Only)",
"sensor_type": "hunt",
"id": "fbb87923-a833-5581-a160-7f4f85a21bd0",
"policy_id": "a1d72bce-1f61-4ba8-bcd4-dfa97148335f"
}
],
"ip_address": "192.0.2.1",
"is_isolated": false,
"operating_system": "Linux 3.10.0-957.27.2.el7.x86_64",
"name": "example",
"status_changed_at": "2020-01-07T08:15:11.865854+00:00",
"core_os": "linux",
"created_at": "2019-03-19T05:07:50.598837+00:00",
"error": null,
"machine_id": "827255f4-53a2-1823-cac0-7c0f7730ca26"
},
{
"domain": "InstallerInitiated",
"updated_at": "2019-11-01T05:42:09.150756+00:00",
"id": "12c3530d-657f-4ccd-835e-6df9affeed3d",
"display_operating_system": "Ubuntu 18.04.3",
"hostname": "example",
"mac_address": "01:23:45:ab:cd:ef",
"upgrade_status": "",
"base_image": false,
"isolation_updated_at": null,
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [],
"isolation_request_status": null,
"alert_count": 0,
"investigation_count": 0,
"groups": [
{
"is_dynamic": false,
"count": 4,
"id": "c1af3cd6-2638-4144-842d-adc9cfb67fb9",
"name": "SOC"
}
],
"sensors": [
{
"status": "monitored",
"sensor_version": "3.52.12",
"policy_status": "successful",
"policy_name": "Lab (Detect-Only)",
"sensor_type": "hunt",
"id": "dc2e35cc-0c87-5a60-8fc8-de23ef747d02",
"policy_id": "a1d72bce-1f61-4ba8-bcd4-dfa97148335f"
}
],
"ip_address": "192.0.2.1",
"is_isolated": false,
"operating_system": "Linux 4.15.0-72-generic",
"name": "example",
"status_changed_at": "2020-01-07T08:15:16.875375+00:00",
"core_os": "linux",
"created_at": "2019-09-20T21:34:51.966863+00:00",
"error": null,
"machine_id": "5ae8ddd9-9339-ae4b-ccf7-5ed68f38b3a9"
}
],
"metadata": {
"count": 38,
"previous_url": null,
"timestamp": "2020-01-07T18:09:43.765744",
"next": null,
"per_page": 50,
"next_url": null,
"transaction_id": "569cdc38-8c7a-4b93-af99-aaf907dc8dd6",
"previous": null
}
}
調査の一覧表示
Endgame の調査を一覧表示します。
パラメータ
| パラメータ | 種類 | デフォルト値 | 説明 |
|---|---|---|---|
| OS | 文字列 | Solaris、Windows、MacOs、Linux | 調査を一覧表示する OS を指定します。パラメータは、カンマ区切りの文字列として複数の値を受け取ることができます。 |
| 過去 X 時間の調査を取得する | Int | なし | 指定された期間(時間単位)に作成された調査を返します。 |
| 返される調査の最大数 | Int | なし | クエリする調査の数を指定します。 |
ユースケース
調査は、エンドポイントのさまざまなオブジェクト(プロセス、IP アドレス、ファイルなど)を検出するために使用されます。このアクションにより、ユーザーは調査を一覧表示できます。アナリストは、このアクションを使用して、必要な調査がすべてシステムで実行されていることを確認できます。
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"data": [
{
"created_by_chat": false,
"name": "Example User + 2020-01-08T13:47:51.334336_utc",
"core_os": "windows",
"created_at": "2020-01-08T13:47:51.340497+00:00",
"task_completion": {
"completed_tasks": 1,
"total_tasks": 1
},
"archived": false,
"created_by": {
"username": "admin",
"last_name": "User",
"is_active": true,
"is_editable": true,
"is_ldap": false,
"is_removable": false,
"timezone": null,
"id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"first_name": "Example",
"last_viewed_alert": "2020-01-07T09:24:22.925000",
"is_sso": false,
"is_superuser": true,
"role": {
"role": "Admin",
"id": "37e9e54e-0bb8-5058-9bd4-50a0d0fbea35",
"permissions": {
"endpoints.scan": true,
"sensor.admin.view": true,
"sensor.admin.update": true,
"endpoints.delete": true,
"endpoints.respond": true,
"search.search": true,
"sensor.admin.create": true,
"alerts.admin.forwardalerts": true,
"endpoints.tag": true,
"user.delete": true,
"endpoints.deploy": true,
"user.update": true,
"search.save": true,
"investigation.create": true,
"endpoints.view": true,
"user.view": true,
"sensor.admin.download": true,
"alerts.view": true,
"alerts.update": true,
"search.delete": true,
"sensor.admin.delete": true,
"endpoints.uninstall": true,
"investigation.view": true,
"admin": true,
"investigation.update": true,
"endpoints.changeconfiguration": true,
"user.create": true
}
},
"type": "Local",
"email": null
},
"updated_at": "2020-01-08T13:47:51.379966+00:00",
"created_by_user_display_name": "Example User",
"canceled_by_user_id": null,
"version": 2,
"endpoint_count": 1,
"assigned_to": {
"username": "admin",
"last_name": "User",
"is_active": true,
"is_editable": true,
"is_ldap": false,
"is_removable": false,
"timezone": null,
"id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"first_name": "Example",
"last_viewed_alert": "2020-01-07T09:24:22.925000",
"is_sso": false,
"is_superuser": true,
"role": {
"role": "Admin",
"id": "37e9e54e-0bb8-5058-9bd4-50a0d0fbea35",
"permissions": {
"endpoints.scan": true,
"sensor.admin.view": true,
"sensor.admin.update": true,
"endpoints.delete": true,
"endpoints.respond": true,
"search.search": true,
"sensor.admin.create": true,
"alerts.admin.forwardalerts": true,
"endpoints.tag": true,
"user.delete": true,
"endpoints.deploy": true,
"user.update": true,
"search.save": true,
"investigation.create": true,
"endpoints.view": true,
"user.view": true,
"sensor.admin.download": true,
"alerts.view": true,
"alerts.update": true,
"search.delete": true,
"sensor.admin.delete": true,
"endpoints.uninstall": true,
"investigation.view": true,
"admin": true,
"investigation.update": true,
"endpoints.changeconfiguration": true,
"user.create": true
}
},
"type": "Local",
"email": null
},
"id": "e0ad7613-daf6-435f-98f6-ce40eae01acc",
"canceled_by_user_display_name": null,
"user_display_name": "Example User",
"hunt_count": 1,
"is_canceled": false
}
],
"metadata": {
"count": 46,
"previous_url": null,
"timestamp": "2020-01-08T16:02:09.251511",
"next": 2,
"per_page": 1,
"next_url": "/api/v1/investigations/?per_page=1&page=2",
"previous": null
}
}
調査の詳細を取得する
特定の Endgame 調査に関する情報を取得します。
パラメータ
| パラメータ | 種類 | デフォルト値 | 説明 |
|---|---|---|---|
| 調査 ID | 文字列 | なし | 検索する Endgame 調査 ID を指定します。 |
ユースケース
調査は、エンドポイントのさまざまなオブジェクト(プロセス、IP アドレス、ファイルなど)を検出するために使用されます。このアクションにより、ユーザーは特定の調査に関する詳細情報を取得できます。アナリストは、このアクションを使用して、必要なタスクがすべてシステムで実行されたことを確認できます。
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"data": {
"tasks": [
"6500673c-d246-41a3-882d-d3a339f28497"
],
"user_display_name": "Example User",
"task_types": [
"Process Survey"
],
"task_completion": {
"completed_tasks": 1,
"total_tasks": 1
},
"updated_at": "2020-01-06T13:30:33.851816+00:00",
"created_by_user_display_name": "Example User",
"id": "54caeedc-d6b0-4ca0-8f64-8798d1c34d54",
"task_completions_by_type": {
"Process Survey": {
"completed_tasks": 1,
"task_type_id": "2fbf0c36-5160-5c31-99ec-0fa5880c6bd1",
"total_tasks": 1
}
},
"archived": false,
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"is_canceled": false,
"created_by": {
"username": "admin",
"last_name": "User",
"is_active": true,
"is_editable": true,
"is_ldap": false,
"is_removable": false,
"timezone": null,
"id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"first_name": "Example",
"last_viewed_alert": "2020-01-06T09:27:04.097000",
"is_sso": false,
"is_superuser": true,
"role": {
"role": "Admin",
"id": "37e9e54e-0bb8-5058-9bd4-50a0d0fbea35",
"permissions": {
"endpoints.scan": true,
"sensor.admin.view": true,
"sensor.admin.update": true,
"endpoints.delete": true,
"endpoints.respond": true,
"search.search": true,
"sensor.admin.create": true,
"alerts.admin.forwardalerts": true,
"endpoints.tag": true,
"user.delete": true,
"endpoints.deploy": true,
"user.update": true,
"search.save": true,
"investigation.create": true,
"endpoints.view": true,
"user.view": true,
"sensor.admin.download": true,
"alerts.view": true,
"alerts.update": true,
"search.delete": true,
"sensor.admin.delete": true,
"endpoints.uninstall": true,
"investigation.view": true,
"admin": true,
"investigation.update": true,
"endpoints.changeconfiguration": true,
"user.create": true
}
},
"type": "Local",
"email": null
},
"hunt_count": 1,
"canceled_by_user_id": null,
"version": 2,
"endpoint_count": 1,
"canceled_by_user_display_name": null,
"created_by_user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"created_by_chat": false,
"sensors": [
"8eef6873-6db7-58ab-a1ca-68dc19b54117"
],
"name": "Example User + 2020-01-06T13:30:33.808543_utc",
"core_os": "windows",
"created_at": "2020-01-06T13:30:33.813747+00:00",
"assigned_to": {
"username": "admin",
"last_name": "User",
"is_active": true,
"is_editable": true,
"is_ldap": false,
"is_removable": false,
"timezone": null,
"id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"first_name": "Example",
"last_viewed_alert": "2020-01-06T09:27:04.097000",
"is_sso": false,
"is_superuser": true,
"role": {
"role": "Admin",
"id": "37e9e54e-0bb8-5058-9bd4-50a0d0fbea35",
"permissions": {
"endpoints.scan": true,
"sensor.admin.view": true,
"sensor.admin.update": true,
"endpoints.delete": true,
"endpoints.respond": true,
"search.search": true,
"sensor.admin.create": true,
"alerts.admin.forwardalerts": true,
"endpoints.tag": true,
"user.delete": true,
"endpoints.deploy": true,
"user.update": true,
"search.save": true,
"investigation.create": true,
"endpoints.view": true,
"user.view": true,
"sensor.admin.download": true,
"alerts.view": true,
"alerts.update": true,
"search.delete": true,
"sensor.admin.delete": true,
"endpoints.uninstall": true,
"investigation.view": true,
"admin": true,
"investigation.update": true,
"endpoints.changeconfiguration": true,
"user.create": true
}
},
"type": "Local",
"email": null
},
"endpoints": [
"b23c8a14-69e0-4966-b78a-c9fba4fdd934"
]
},
"metadata": {
"timestamp": "2020-01-06T14:00:53.716517"
}
}
ホスト分離構成を取得する
Endgame で定義されたホスト分離構成を取得します。
パラメータ
なし
ユースケース
このアクションは、ホスト分離構成に関する情報を取得するために使用されます。この構成により、分離されたホストはそこにリストされている IP アドレスに接続できます。アナリストは、このアクションを使用して、必要なすべての IP アドレスがホスト分離構成に含まれていることを確認できます。
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"data": [
{
"id": "47999eeb-f076-5aca-a7cc-56bf7ac2b647",
"comments": [
{
"comment": "Testing API",
"entity_id": "47999eeb-f076-5aca-a7cc-56bf7ac2b647",
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"entity_type": "whitelisted_ip",
"created_at": "2020-01-07T15:59:56Z",
"updated_at": "2020-01-07T15:59:56Z",
"id": 547,
"activity_type": "comment"
}
],
"addr": "192.0.2.1/30"
},
{
"id": "6ab5575c-718e-5e24-bd4d-77e0694ad6fc",
"comments": [
{
"comment": "Testing API",
"entity_id": "6ab5575c-718e-5e24-bd4d-77e0694ad6fc",
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"entity_type": "whitelisted_ip",
"created_at": "2020-01-07T15:58:29Z",
"updated_at": "2020-01-07T15:58:29Z",
"id": 545,
"activity_type": "comment"
}
],
"addr": "192.0.2.11/32"
},
{
"id": "72bdf5d2-4cc6-5ccf-9787-a539fae9c517",
"comments": [
{
"comment": "CIDR Test",
"entity_id": "72bdf5d2-4cc6-5ccf-9787-a539fae9c517",
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"entity_type": "whitelisted_ip",
"created_at": "2020-01-07T15:58:04Z",
"updated_at": "2020-01-07T15:58:04Z",
"id": 543,
"activity_type": "comment"
}
],
"addr": "198.51.100.1/32"
},
{
"id": "5aa89c8f-a535-5876-840c-af33a7ec1419",
"comments": [
{
"comment": "Testing API",
"entity_id": "5aa89c8f-a535-5876-840c-af33a7ec1419",
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"entity_type": "whitelisted_ip",
"created_at": "2020-01-07T15:57:24Z",
"updated_at": "2020-01-07T15:57:24Z",
"id": 541,
"activity_type": "comment"
}
],
"addr": "198.51.100.10"
},
{
"id": "06461575-700b-596d-8662-7ea0aff28e9c",
"comments": [
{
"comment": "Test Isolation",
"entity_id": "06461575-700b-596d-8662-7ea0aff28e9c",
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"entity_type": "whitelisted_ip",
"created_at": "2020-01-07T15:55:21Z",
"updated_at": "2020-01-07T15:55:21Z",
"id": 539,
"activity_type": "comment"
}
],
"addr": "203.0.113.1"
}
],
"metadata": {
"count": 5,
"previous_url": null,
"timestamp": "2020-01-07T16:00:19.754687",
"next": null,
"per_page": 10,
"next_url": null,
"previous": null
}
}
ホスト分離構成に IP サブネットを追加
Endgame で定義されたホスト分離構成に IP サブネットを追加します。
パラメータ
| パラメータ | 種類 | デフォルト値 | 説明 |
|---|---|---|---|
| IP サブネット | 文字列 | なし | ホスト分離構成に追加する IPv4 サブネットを入力します。 |
| 説明 | 文字列 | なし | IP サブネットの説明を入力します。 |
| インサイトの作成 | チェックボックス | オフ | 有効にすると、このアクションが正常に実行された後にインサイトが作成されます。 |
ユースケース
このアクションは、ホスト分離構成に関する情報を取得するために使用されます。この構成により、分離されたホストは、そこにリストされている IP サブネットに接続できます。アナリストは、このアクションを使用して、必要な IP サブネットをホスト分離構成に追加できます。
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
分析情報
Endgame を使用して IP サブネットがホスト分離構成に追加された場合は、これを示す分析情報を生成します。
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
ホスト分離構成から IP サブネットを削除する
Endgame で定義されたホスト分離構成から IP サブネットを削除します。
パラメータ
| パラメータ | 種類 | デフォルト値 | 説明 |
|---|---|---|---|
| IP サブネット | 文字列 | なし | ホスト分離構成に追加する IPv4 サブネットを入力します。 |
| インサイトの作成 | チェックボックス | オフ | 有効にすると、このアクションが正常に実行された後にインサイトが作成されます。 |
ユースケース
このアクションは、ホスト分離構成に関する情報を取得するために使用されます。この構成により、分離されたホストは、そこにリストされている IP サブネットに接続できます。アナリストは、このアクションを使用して、ホスト分離構成から不要になった IP サブネットを削除できます。
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
分析情報
Endgame を使用して IP サブネットがホスト分離構成から削除された場合は、これを示す分析情報を作成します。
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
Autoruns を収集する(Windows のみ)
Endgame エンドポイントから自動実行を収集します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 説明 |
|---|---|---|---|
| 返されるアイテムの最大数 | Integer | 1000 | 返す自動実行の数を指定します。 |
| カテゴリ「すべて」 | チェックボックス | オン | 有効にすると、すべての自動実行カテゴリが検索されます。 |
| カテゴリ「ネットワーク プロバイダ」 | チェックボックス | オフ | 有効になっている場合は、「ネットワーク プロバイダ」の自動実行カテゴリを検索します。 |
| カテゴリ「Office」 | チェックボックス | オフ | 有効になっている場合は、「Office」の自動実行カテゴリを検索します。 |
| カテゴリ「Driver」 | チェックボックス | オフ | 有効になっている場合は、「Driver」自動実行カテゴリを検索します。 |
| カテゴリ「アプリの初期化」 | チェックボックス | オフ | 有効になっている場合は、「App Init」自動実行カテゴリを検索します。 |
| カテゴリ「Winlogon」 | チェックボックス | オフ | 有効になっている場合は、「Winlogon」の自動実行カテゴリを検索します。 |
| カテゴリ「Print Monitor」 | チェックボックス | オフ | 有効になっている場合は、「Print Monitor」の自動実行カテゴリを検索します。 |
| カテゴリ「Ease of Access」 | チェックボックス | オフ | 有効になっている場合は、[Ease of Access] 自動実行カテゴリを検索します。 |
| カテゴリ「WMI」 | チェックボックス | オフ | 有効になっている場合は、「WMI」自動実行カテゴリを検索します。 |
| カテゴリ「LSA Provider」 | チェックボックス | オフ | 有効になっている場合は、「LSA Provider」の自動実行カテゴリを検索します。 |
| カテゴリ「サービス」 | チェックボックス | オフ | 有効になっている場合は、「Service」自動実行カテゴリを検索します。 |
| カテゴリ「Bits」 | チェックボックス | オフ | 有効になっている場合は、「ビット」の自動実行カテゴリを探します。 |
| カテゴリ「既知の DLL」 | チェックボックス | オフ | 有効になっている場合は、「Known dll」自動実行カテゴリを検索します。 |
| カテゴリ「Print Provider」 | チェックボックス | オフ | 有効になっている場合は、「Print Provider」の自動実行カテゴリを検索します。 |
| カテゴリ「Image Hijack」 | チェックボックス | オフ | 有効になっている場合は、「Image Hijack」自動実行カテゴリを検索します。 |
| カテゴリ「Startup Folder」 | チェックボックス | オフ | 有効になっている場合は、「Startup Folder」の自動実行カテゴリを検索します。 |
| カテゴリ「Internet Explorer」 | チェックボックス | オフ | 有効になっている場合は、「Internet Explorer」の自動実行カテゴリを検索します。 |
| カテゴリ「Codec」 | チェックボックス | オフ | 有効になっている場合は、「コーデック」の自動実行カテゴリを検索します。 |
| カテゴリ「Logon」 | チェックボックス | オフ | 有効になっている場合は、「Logon」自動実行カテゴリを検索します。 |
| カテゴリ「検索順序ハイジャック」 | チェックボックス | オフ | 有効になっている場合は、「Search Order Hijack」自動実行カテゴリを検索します。 |
| カテゴリ「Winsock Provider」 | チェックボックス | オフ | 有効になっている場合は、「Winsock Provider」の自動実行カテゴリを検索します。 |
| カテゴリ「Boot Execute」 | チェックボックス | オフ | 有効になっている場合は、「Boot Execute」自動実行カテゴリを検索します。 |
| カテゴリ「Phantom dll」 | チェックボックス | オフ | 有効になっている場合は、「Phantom dll」の自動実行カテゴリを検索します。 |
| カテゴリ「Com Hijack」 | チェックボックス | オフ | 有効になっている場合は、「Com Hijack」自動実行カテゴリを検索します。 |
| カテゴリ「Explorer」 | チェックボックス | オフ | 有効になっている場合は、「Explorer」の自動実行カテゴリを検索します。 |
| カテゴリ「Scheduled Task」 | チェックボックス | オフ | 有効になっている場合は、「Scheduled Task」自動実行カテゴリを検索します。 |
| すべてのメタデータを含める | チェックボックス | オン | 有効にすると、利用可能なすべてのデータが提供されます。 |
| マルウェア分類メタデータを含める | チェックボックス | オフ | 有効にすると、MalwareScore に関する情報が提供されます。 |
| Authenticode メタデータを含める | チェックボックス | オフ | 有効になっている場合、署名者情報を提供します。 |
| MD5 ハッシュを含める | チェックボックス | オフ | 有効にすると、レスポンスで MD5 ハッシュが提供されます。 |
| SHA-1 ハッシュを含める | チェックボックス | オフ | 有効にすると、レスポンスで SHA-1 ハッシュが提供されます。 |
| SHA-256 ハッシュを含める | チェックボックス | オフ | 有効になっている場合、レスポンスで SHA-256 ハッシュを提供します。 |
ユースケース
このアクションは、エンドポイントの自動実行に関する情報を収集するために使用できます。このデータは、アナリストがトリアージと修復プロセスを実行する際に役立ちます。
実行
このアクションは次のエンティティに対して実行されます。
- ホスト
- IP アドレス
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"data": {
"count": 1,
"per_page": 50,
"previous": null,
"tasks": [
{
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"data": {
"category_option": {
"category_network_provider": true,
"category_office": false,
"category_driver": false,
"category_app_init": false,
"category_winlogon": false,
"category_print_monitor": false,
"category_ease_of_access": false,
"category_wmi": false,
"category_lsa_provider": false,
"category_service": false,
"category_bits": false,
"category_known_dll": false,
"category_print_provider": false,
"category_image_hijack": false,
"category_startup_folder": false,
"category_internet_explorer": false,
"category_codec": false,
"category_logon": false,
"category_all": false,
"category_search_order_hijack": false,
"category_winsock_provider": false,
"category_boot_execute": false,
"category_phantom_dll": false,
"category_com_hijack": false,
"category_explorer": false,
"category_scheduled_task": false
},
"metadata_option": {
"metadata_all": true,
"metadata_malware_classification": false,
"metadata_sha1": false,
"metadata_sha256": false,
"metadata_authenticode": false,
"metadata_md5": false
}
},
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"metadata": {
"sensor_id": "8eef6873-6db7-58ab-a1ca-68dc19b54117",
"investigation_id": "0b043f77-531f-4109-93b1-e01019ad0980",
"task_id": "e667b0c3-39de-4862-9baf-d6697db79721",
"echo": "",
"endpoint_id": "b23c8a14-69e0-4966-b78a-c9fba4fdd934",
"destination_plugin": "autoruns",
"key": "collectAutoRunsRequest",
"semantic_version": "3.52.\\d+",
"collection_id": "2393f424-bf57-40af-81e6-91b95acf5409"
}
}
],
"next": null
},
"metadata": {
"timestamp": "2020-01-08T13:15:37.238341"
}
}
ホストの分離
Endgame エンドポイントを隔離します。このアクションは、Windows システムと macOS システムでのみサポートされています。
パラメータ
| パラメータ | 種類 | デフォルト値 | 説明 |
|---|---|---|---|
| インサイトの作成 | チェックボックス | オフ | 有効にすると、このアクションが正常に実行された後にインサイトが作成されます。 |
ユースケース
このアクションは、ホスト分離構成に関する情報を取得するために使用されます。この構成により、分離されたホストは、そこにリストされている IP サブネットに接続できます。アナリストは、このアクションを使用して、必要な IP サブネットをホスト分離構成に追加できます。
実行
このアクションは次のエンティティに対して実行されます。
- ホスト
- IP アドレス
アクションの結果
エンティティ拡充
なし
分析情報
Endgame エージェントを使用してエンドポイントが隔離された場合は、これを示す分析情報を生成します。
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"data": {
"valid": true,
"bulk_task_id": "a6ccc2f7-39a7-42e7-b646-41b281316b1d",
"error_messages": []
},
"metadata": {
"timestamp": "2020-01-08T15:09:22.474963"
}
}
ホストの分離を解除する
Endgame エンドポイントの分離を解除します。このアクションは、Windows と macOS のシステムでのみサポートされています。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 説明 |
|---|---|---|---|
| インサイトの作成 | チェックボックス | オフ | 有効にすると、このアクションが正常に実行された後にインサイトが作成されます。 |
実行
このアクションは次のエンティティに対して実行されます。
- ホスト
- IP アドレス
アクションの結果
分析情報
Endgame エージェントを使用してエンドポイントの分離が解除された場合は、これを示す分析情報を生成します。
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"data": {
"domain": "InstallerInitiated",
"updated_at": "2020-01-08T08:16:26.063394+00:00",
"id": "b23c8a14-69e0-4966-b78a-c9fba4fdd934",
"display_operating_system": "Windows 10 (v1511)",
"hostname": "example",
"mac_address": "01:23:45:ab:cd:ef",
"upgrade_status": "",
"base_image": false,
"isolation_updated_at": "2020-01-08T15:09:24.665367+00:00",
"status": "monitored",
"ad_distinguished_name": "CN=EXAMPLE,CN=Computers,DC=example,DC=com",
"ad_hostname": "example.com",
"tags": [],
"isolation_request_status": null,
"alert_count": 0,
"groups": [
{
"is_dynamic": false,
"count": 2,
"id": "d9de26c9-ee63-4d38-9997-7418bd13c45e",
"name": "Demo: APT28"
}
],
"sensors": [
{
"status": "monitored",
"sensor_version": "3.52.12",
"policy_status": "successful",
"policy_name": "Lab (Detect-Only with Streaming)",
"sensor_type": "hunt",
"id": "8eef6873-6db7-58ab-a1ca-68dc19b54117",
"policy_id": "07b7a44f-25f3-4e5c-977b-2915de8160c5"
}
],
"ip_address": "192.0.2.3",
"is_isolated": false,
"operating_system": "Windows 10.0",
"name": "example",
"status_changed_at": "2020-01-08T12:30:48.704802+00:00",
"core_os": "windows",
"created_at": "2019-11-01T06:31:32.519640+00:00",
"error": null,
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
},
"metadata": {
"timestamp": "2020-01-08T15:16:34.303701"
}
}
ファイルをダウンロード
特定の Endgame エンドポイントからファイルをダウンロードします。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 説明 |
|---|---|---|---|
| ファイルのフルパス | 文字列 | なし | 有効にすると、このアクションが正常に実行された後にインサイトが作成されます。 |
| ダウンロード フォルダのフルパス | 文字列 | なし | このファイルを保存するフォルダのパスを入力します。 |
| 想定される SHA-256 ハッシュ | 文字列 | なし | 予想される SHA-256 ハッシュを入力します。 |
ユースケース
このアクションを使用すると、エンドポイントからファイルにアクセスできます。ファイルを手動で処理する必要がある場合があり、このアクティビティはユーザーが必要なファイルにアクセスするのに役立ちます。
実行
このアクションは次のエンティティに対して実行されます。
- ホスト
- IP アドレス
アクションの結果
分析情報
Endgame エージェントを使用してエンドポイントの分離が解除された場合は、そのことを示す分析情報を生成します。
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
ステータスが success の場合、JSON の結果は次のようになります。
{
"data": {
"status": "success",
"doc_type": "collection",
"endpoint": {
"domain": "InstallerInitiated",
"updated_at": "2019-11-01T05:41:10.150817+00:00",
"id": "a3cdc174-3af0-400a-85c3-bbb1435a6b61",
"display_operating_system": "Ubuntu 18.04.1",
"hostname": "example",
"mac_address": "01:23:45:ab:cd:ef",
"base_image": false,
"isolation_updated_at": null,
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [
{
"id": "fc2dfcc8-9329-4f33-86a2-877bfb27575e",
"name": "CORE ENV"
}
],
"isolation_request_status": null,
"upgrade_status": "",
"groups": [
{
"is_dynamic": false,
"count": 1,
"id": "e453d4f6-95c9-4dc5-bc41-2f4cae423e19",
"name": "Demo: Bad Admin"
}
],
"sensors": [
{
"status": "A",
"sensor_version": "3.52.12",
"sensor_type": "hunt",
"id": "c7347a4b-3e71-5514-980f-90bdbab758cf"
}
],
"ip_address": "192.0.2.1",
"is_isolated": false,
"operating_system": "Linux 4.15.0-29-generic",
"name": "example",
"status_changed_at": "2020-01-07T08:16:46.895105+00:00",
"core_os": "linux",
"created_at": "2019-03-19T04:25:06.953312+00:00",
"error": null,
"machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d"
},
"task_id": "0854ae75-47ca-438a-8731-615defac44ac",
"family": "response",
"data": {
"results": [
{
"size": 1731,
"endpoint": {
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"operating_system": "Linux 4.15.0-29-generic",
"name": "example",
"display_operating_system": "Ubuntu 18.04.1",
"hostname": "example",
"updated_at": "2020-01-07T08:16:44Z",
"mac_address": "01:23:45:ab:cd:ef",
"ip_address": "192.0.2.1",
"id": "a3cdc174-3af0-400a-85c3-bbb1435a6b61"
},
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"investigation_id": null,
"filepath": "/home/a-arobinson/Downloads/bad_admin.sh",
"bulk_task_id": null,
"created_by": "a-arobinson",
"file_uuid": "4c45cc36-b6ca-412a-ae0b-ed214a9c7187",
"correlation_id": "13dfca7b-9e75-4115-be93-e6684dbfc7c8",
"user": {
"username": "admin",
"first_name": "Example",
"last_name": "User",
"id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1"
},
"chunk_size": 26214400,
"existing_path": "/home/a-arobinson/Downloads/bad_admin.sh",
"sha256": "8066b309db13bae560c15c35f42247a0f778786f0056d326ff3e6dffd1eac4f8",
"origination_task_id": "0854ae75-47ca-438a-8731-615defac44ac",
"md5": "6441b8f58feddb5a5f6fcd81c117ecb8"
}
]
},
"created_at": "2020-01-07T11:28:02.826397Z",
"os_type": "linux",
"machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d",
"type": "downloadFileResponse",
"id": "d6fb3bf3-afea-44e0-8472-389f4e7e0002"
},
"metadata": {
"count": 1,
"previous_url": null,
"timestamp": "2020-01-07T11:41:56.750788",
"next": null,
"per_page": 50,
"next_url": null,
"previous": null
}
}
ステータスが failure の場合、JSON の結果は次のようになります。
{
"data": {
"status": "failure",
"doc_type": "collection",
"endpoint": {
"domain": "InstallerInitiated",
"updated_at": "2019-11-01T05:42:09.150756+00:00",
"id": "12c3530d-657f-4ccd-835e-6df9affeed3d",
"display_operating_system": "Ubuntu 18.04.3",
"hostname": "example",
"mac_address": "01:23:45:ab:cd:ef",
"base_image": false,
"isolation_updated_at": null,
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [],
"isolation_request_status": null,
"upgrade_status": "",
"groups": [
{
"is_dynamic": false,
"count": 4,
"id": "c1af3cd6-2638-4144-842d-adc9cfb67fb9",
"name": "SOC"
}
],
"sensors": [
{
"status": "A",
"sensor_version": "3.52.12",
"sensor_type": "hunt",
"id": "dc2e35cc-0c87-5a60-8fc8-de23ef747d02"
}
],
"ip_address": "192.0.2.1",
"is_isolated": false,
"operating_system": "Linux 4.15.0-72-generic",
"name": "example",
"status_changed_at": "2020-01-19T11:05:16.765186+00:00",
"core_os": "linux",
"created_at": "2019-09-20T21:34:51.966863+00:00",
"error": null,
"machine_id": "5ae8ddd9-9339-ae4b-ccf7-5ed68f38b3a9"
},
"task_id": "85148460-c868-4fe5-a3e6-0d90784fadd1",
"family": "response",
"data": {
"results": [
{
"endpoint": {
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"operating_system": "Linux 4.15.0-72-generic",
"name": "example",
"display_operating_system": "Ubuntu 18.04.3",
"hostname": "example",
"updated_at": "2020-01-16T14:04:22Z",
"mac_address": "01:23:45:ab:cd:ef",
"ip_address": "192.0.2.1",
"id": "12c3530d-657f-4ccd-835e-6df9affeed3d"
},
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"investigation_id": null,
"expected_sha256": "123",
"bulk_task_id": null,
"correlation_id": "a7dc04c8-932c-4056-9477-8095b1fa15d8",
"user": {
"username": "admin",
"first_name": "Example",
"last_name": "User",
"id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1"
},
"chunk_size": 26214400,
"existing_path": "/home/example/Downloads/bad_admin.sh",
"origination_task_id": "85148460-c868-4fe5-a3e6-0d90784fadd1"
}
]
},
"created_at": "2020-01-19T12:19:57Z",
"os_type": "linux",
"machine_id": "5ae8ddd9-9339-ae4b-ccf7-5ed68f38b3a9",
"type": "downloadFileResponse",
"id": "8eb6b538-d480-4210-92fb-df08a3a4dfb9"
},
"metadata": {
"count": 1,
"previous_url": null,
"timestamp": "2020-01-19T12:23:23.623961",
"next": null,
"per_page": 50,
"next_url": null,
"previous": null
}
}
ファイルを削除
Endgame エンドポイントからファイルを削除します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 説明 |
|---|---|---|---|
| ファイルパス | 文字列 | なし | ファイルのパスを入力します。 |
ユースケース
このアクションは、エンドポイントからファイルを削除するために使用されます。たとえば、マルウェアが検出され、アナリストがマルウェアを削除したい場合に使用できます。
実行
このアクションは次のエンティティに対して実行されます。
- ホスト
- IP アドレス
アクションの結果
分析情報
Endgame エージェントを使用してエンドポイントの分離が解除された場合は、そのことを示す分析情報を生成します。
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
(status = success)
{
"data": [
{
"status": "success",
"doc_type": "collection",
"endpoint": {
"domain": "InstallerInitiated",
"updated_at": "2019-11-01T05:41:10.150817+00:00",
"id": "a3cdc174-3af0-400a-85c3-bbb1435a6b61",
"display_operating_system": "Ubuntu 18.04.1",
"hostname": "08203s-lubu1804",
"mac_address": "01:23:45:ab:cd:ef",
"upgrade_status": "",
"base_image": false,
"isolation_updated_at": null,
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [
{
"id": "fc2dfcc8-9329-4f33-86a2-877bfb27575e",
"name": "CORE ENV"
}
],
"isolation_request_status": null,
"groups": [
{
"is_dynamic": false,
"count": 1,
"id": "e453d4f6-95c9-4dc5-bc41-2f4cae423e19",
"name": "Demo: Bad Admin"
}
],
"sensors": [
{
"status": "monitored",
"sensor_version": "3.52.12",
"policy_status": "successful",
"policy_name": "Lab (Detect-Only with Streaming)",
"sensor_type": "hunt",
"id": "c7347a4b-3e71-5514-980f-90bdbab758cf",
"policy_id": "07b7a44f-25f3-4e5c-977b-2915de8160c5"
}
],
"ip_address": "192.0.2.1",
"is_isolated": false,
"operating_system": "Linux 4.15.0-29-generic",
"name": "08203s-lubu1804",
"status_changed_at": "2020-01-20T07:25:02.633331+00:00",
"core_os": "linux",
"created_at": "2019-03-19T04:25:06.953312+00:00",
"error": null,
"machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d"
},
"task_id": "bfb82b8d-71a0-4e5f-9cfe-bd573ea32b25",
"family": "response",
"created_at": "2020-01-20T07:31:37Z",
"local_msg": "Success",
"system_msg": null,
"system_code": null,
"local_code": 0,
"os_type": "linux",
"machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d",
"type": "deleteFileResponse",
"id": "eb50fe9c-1059-42d4-9f5f-52e5af4ae64d"
}
],
"metadata": {
"count": 1,
"previous_url": null,
"timestamp": "2020-01-20T07:32:04.425044",
"next": null,
"per_page": 50,
"next_url": null,
"previous": null
}
}
(status = failure)local_msg と system_msg が使用されます。
{
"data": [
{
"status": "failure",
"doc_type": "collection",
"endpoint": {
"domain": "InstallerInitiated",
"updated_at": "2019-11-01T05:41:10.150817+00:00",
"id": "a3cdc174-3af0-400a-85c3-bbb1435a6b61",
"display_operating_system": "Ubuntu 18.04.1",
"hostname": "08203s-lubu1804",
"mac_address": "01:23:45:ab:cd:ef",
"upgrade_status": "",
"base_image": false,
"isolation_updated_at": null,
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [
{
"id": "fc2dfcc8-9329-4f33-86a2-877bfb27575e",
"name": "CORE ENV"
}
],
"isolation_request_status": null,
"groups": [
{
"is_dynamic": false,
"count": 1,
"id": "e453d4f6-95c9-4dc5-bc41-2f4cae423e19",
"name": "Demo: Bad Admin"
}
],
"sensors": [
{
"status": "monitored",
"sensor_version": "3.52.12",
"policy_status": "successful",
"policy_name": "Lab (Detect-Only with Streaming)",
"sensor_type": "hunt",
"id": "c7347a4b-3e71-5514-980f-90bdbab758cf",
"policy_id": "07b7a44f-25f3-4e5c-977b-2915de8160c5"
}
],
"ip_address": "192.0.2.1",
"is_isolated": false,
"operating_system": "Linux 4.15.0-29-generic",
"name": "08203s-lubu1804",
"status_changed_at": "2020-01-07T08:16:46.895105+00:00",
"core_os": "linux",
"created_at": "2019-03-19T04:25:06.953312+00:00",
"error": null,
"machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d"
},
"task_id": "5da277fe-503d-468a-822b-8801d9671cde",
"family": "response",
"created_at": "2020-01-07T13:10:50Z",
"local_msg": "Not found",
"system_msg": null,
"system_code": null,
"local_code": -7,
"os_type": "linux",
"machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d",
"type": "deleteFileResponse",
"id": "6f3e6148-6801-4cb8-8a5d-25f75ea93555"
}
],
"metadata": {
"count": 1,
"previous_url": null,
"timestamp": "2020-01-07T13:16:18.834163",
"next": null,
"per_page": 5,
"next_url": null,
"previous": null
}
}
ドライバに関するアンケート(Windows のみ)
特定の Endgame エンドポイントからドライバに関する情報を取得します。
パラメータ
| パラメータ | 種類 | デフォルト値 | 説明 |
|---|---|---|---|
| 返されるアイテムの最大数 | 文字列 | 50 | 返すアイテムの数を指定します。 |
実行
このアクションは次のエンティティに対して実行されます。
- ホスト名
- IP アドレス
アクションの結果
エンティティ拡充
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| driver_basename | JSON の結果に存在する場合に返す |
| driver_filename | JSON の結果に存在する場合に返す |
| date_modified | JSON の結果に存在する場合に返す |
| driver_file_version | JSON の結果に存在する場合に返す |
| driver_load_address | JSON の結果に存在する場合に返す |
| collection_id | JSON の結果に存在する場合に返す |
| hashes | JSON の結果に存在する場合に返す |
| machine_id | JSON の結果に存在する場合に返す |
| driver_product_version | JSON の結果に存在する場合に返す |
| driver_description | JSON の結果に存在する場合に返す |
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[{
"EntityResult":
[{ "driver_basename": "test.exe",
"driver_filename": "C:\\\\Windows\\\\system32\\\\test.exe",
"date_modified": 1446189483.0185645,
"driver_file_version": "10.0.10586.0 (th2_release.151029-1700)",
"driver_load_address": "12345678",
"collection_id": "a9925cf1-6d4c-4bea-b13d-12345678",
"hashes": {
"sha256": "9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08",
"md5": "098f6bcd4621d373cade4e832627b4f6",
"sha1": "a94a8fe5ccb19ba61c4c0873d391e987982fbbd3"
},
"machine_id": "5dc677fd-6b47-7df9-f7f4-12345678",
"driver_product_version": "10.0.10586.0",
"driver_description": "Test"
}],
"Entity": "PC-01"
}]
ファイアウォール アンケート(Windows のみ)
特定の Endgame エンドポイントのファイアウォール ルールに関する情報を取得します。
パラメータ
| パラメータ | 種類 | デフォルト値 | 説明 |
|---|---|---|---|
| 返されるアイテムの最大数 | 文字列 | 50 | 返すアイテムの数を指定します。 |
実行
このアクションは次のエンティティに対して実行されます。
- ホスト名
- IP アドレス
アクションの結果
エンティティ拡充
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| direction | JSON の結果に存在する場合に返す |
| machine_id | JSON の結果に存在する場合に返す |
| 説明 | JSON の結果に存在する場合に返す |
| remote_addresses | JSON の結果に存在する場合に返す |
| protocol_number | JSON の結果に存在する場合に返す |
| 有効 | JSON の結果に存在する場合に返す |
| edge_traversal | JSON の結果に存在する場合に返す |
| プロファイル | JSON の結果に存在する場合に返す |
| interface_types | JSON の結果に存在する場合に返す |
| rule_name | JSON の結果に存在する場合に返す |
| icmp_and_type_codes | JSON の結果に存在する場合に返す |
| local_addresses | JSON の結果に存在する場合に返す |
| application_name | JSON の結果に存在する場合に返す |
| collection_id | JSON の結果に存在する場合に返す |
| remote_ports | JSON の結果に存在する場合に返す |
| アクション | JSON の結果に存在する場合に返す |
| local_ports | JSON の結果に存在する場合に返す |
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[{
"EntityResult":
[{
"direction": "in",
"machine_id": "870499c3-d6bf-8edd-972d-12345678",
"description": "Inbound rule for Google Chrome to allow mDNS traffic.",
"remote_addresses": "*",
"protocol_number": 17,
"enabled": true,
"edge_traversal": false,
"profiles":
["domain", "public", "private"],
"interface_types": "All",
"rule_name": "Google Chrome (mDNS-In)",
"icmp_and_type_codes": "",
"local_addresses": "*",
"application_name": "C:\\\\Program Files (x86)\\\\Google\\\\Chrome\\\\Application\\\\chrome.exe",
"collection_id": "0925eea5-c61f-464a-ba61-12345678",
"remote_ports": "*",
"action": "allow",
"local_ports": "1234"
}],
"Entity": "PC-01"
}]
エンドポイントを取得する
すべてのエンドポイントを一覧表示します。
パラメータ
なし
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[{
"domain": "",
"updated_at": "2019-05-30T01:40:21.126499+00:00",
"id": "db33d864-7d58-4d85-9d2d-1a98a101995d",
"display_operating_system": "Windows 7 (SP1)",
"hostname": "ip-AC170169",
"mac_address": "01:23:45:ab:cd:ef",
"isolation_updated_at": "",
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [],
"isolation_request_status": "",
"alert_count": 72,
"investigation_count": 0,
"groups": [],
"sensors":
[{
"status": "monitored",
"sensor_version": "3.51.10",
"policy_status": "successful",
"policy_name": "POC-Lab",
"sensor_type": "hunt",
"id": "ec17f7bb-1d63-536a-b694-ca066cc2572e",
"policy_id": "d31f0192-b8e2-49ae-ae54-041376183b7f"
}],
"ip_address": "192.0.2.1",
"is_isolated": "false",
"operating_system": "Windows 6.1 Service Pack 1",
"name": "ip-AC170169",
"status_changed_at": "2019-05-30T01:40:18.200770+00:00",
"core_os": "windows",
"created_at": "2019-05-30T01:36:43.761600+00:00",
"error":
[{
"msg": "Installer failure - Execution failed for (http://192.0.2.1:5985/wsman)\\n",
"deployment_id": "90C2BAA6-B38B-4037-9A9E-7C8628E8D7D6",
"code": 1001, "ts": 1559180421.125456
}],
"machine_id": "4f1adabb-17c4-e39e-caa7-7900562d0b51"
}]
ハンティング ファイル
実行中のファイルを検索します。
パラメータ
| パラメータ | 種類 | デフォルト値 | 説明 |
|---|---|---|---|
| Endpoints Core OS | 文字列 | 窓 | オペレーティング システム(Windows、Linux、Mac など)を選択して、エンドポイントのリストをフィルタします。注: 同じオペレーティング システムで実行されているエンドポイントに対して作成できる調査は 1 つのみです。 |
| MD5 ハッシュ | 文字列 | なし | このハンティングの詳細設定。MD5 ハッシュをカンマで区切って入力します。 |
| SHA1 ハッシュ | 文字列 | なし | このハンティングの詳細設定。SHA-1 ハッシュをカンマで区切って入力します。 |
| SHA256 ハッシュ | 文字列 | なし | このハンティングの詳細設定。SHA256 ハッシュをカンマで区切って入力します。 |
| ディレクトリ | 文字列 | なし | 開始ディレクトリのパスの例: C:\windows\system32 |
| Find File | 文字列 | なし | 検索するファイル名を入力します。検索結果を絞り込むための正規表現を入力します。 |
実行
このアクションは次のエンティティに対して実行されます。
- ホスト名
- IP アドレス
アクションの結果
エンティティ拡充
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| meta_data | JSON の結果に存在する場合に返す |
| file_path | JSON の結果に存在する場合に返す |
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[{
"meta_data":
{ "hashes":
{ "sha256": "4705ba6793dc93c1bbe2a9e790e9e22778d217531b1750471206fd5c52bbd2b5",
"md5": "6383522c180badc4e1d5c30a5c4f4913",
"sha1": "62a30e96459b694f7b22d730c460a65cd2ebaaca"
},
"file_name_timestamps":
{ "accessed": 1468675289.0711532,
"entry_modified": 0,
"modified": 1468675289.0711532,
"created": 1468675404.0330572
},
"file_attributes": 38,
"file_size": 174
},
"file_path": "C:\\\\Program Files\\\\desktop.ini"
},
{
"meta_data":
{ "hashes":
{ "sha256": "44fe5eebd80e46f903d68c07bcf06d187a3698bf3953bc58bb578465e2e0fe6c",
"md5": "6bd5fb46283aa48e638bef47510c47da",
"sha1": "c38d46ec6c9bc8baece4a459b617f44d10af973c"
},
"file_name_timestamps":
{
"accessed": 1468675289.0024028,
"entry_modified": 0,
"modified": 1468675289.0024028,
"created": 1468675404.0111823
},
"file_attributes": 38,
"file_size": 645
},
"file_path": "C:\\\\Program Files\\\\Common Files\\\\microsoft shared\\\\Stationery\\\\Desktop.ini"
}]
Hunt IP
ネットワーク接続を検索します。
パラメータ
| パラメータ | 種類 | デフォルト値 | 説明 |
|---|---|---|---|
| Endpoints Core OS | 文字列 | 窓 | オペレーティング システム(Windows、Linux、Mac など)を選択して、エンドポイントのリストをフィルタします。注: 同じオペレーティング システムで実行されているエンドポイントに対して作成できる調査は 1 つのみです。 |
| リモート IP アドレス | 文字列 | なし | リモート IP アドレス - カンマ区切り |
| ローカル IP アドレス | 文字列 | なし | カンマ区切り |
| 状態 | 文字列 | なし | 返品する都道府県 / 州を入力します。例: ANY |
| プロトコル | 文字列 | なし | 例: ANY、UDP、TCP |
| ネットワーク ポート | 文字列 | なし | なし |
| ネットワーク リモート | 文字列 | なし | ネットワーク リモートまたはローカル。 |
実行
このアクションは次のエンティティに対して実行されます。
- ホスト名
- IP アドレス
アクションの結果
エンティティ拡充
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| parent_name | JSON の結果に存在する場合に返す |
| ドメイン | JSON の結果に存在する場合に返す |
| exe | JSON の結果に存在する場合に返す |
| name | JSON の結果に存在する場合に返す |
| has_unbacked_execute_memory | JSON の結果に存在する場合に返す |
| pid | JSON の結果に存在する場合に返す |
| up_time | JSON の結果に存在する場合に返す |
| is_sensor | JSON の結果に存在する場合に返す |
| cmdline | JSON の結果に存在する場合に返す |
| parent_exe | JSON の結果に存在する場合に返す |
| unbacked_execute_byte_count | JSON の結果に存在する場合に返す |
| create_time | JSON の結果に存在する場合に返す |
| ユーザー | JSON の結果に存在する場合に返す |
| sid | JSON の結果に存在する場合に返す |
| threads | JSON の結果に存在する場合に返す |
| ppid | JSON の結果に存在する場合に返す |
| unbacked_execute_region_count | JSON の結果に存在する場合に返す |
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[{
"parent_name": "System Idle Process",
"domain": "NT AUTHORITY",
"exe": "",
"name": "System",
"has_unbacked_execute_memory": false,
"pid": 4,
"up_time": 2384701,
"is_sensor": false,
"cmdline": "",
"parent_exe": "",
"unbacked_execute_byte_count": 0,
"create_time": 1559179903,
"user": "SYSTEM",
"sid": "S-1-5-18",
"threads":
[{
"thread_id": 8
}, {
"thread_id": 12,
"up_time": 13206038203,
"create_time": -11644473599
}, {
"thread_id": 16,
"up_time": 13206038203,
"create_time": -11644473599
}],
"ppid": 0,
"unbacked_execute_region_count": 0
}]
ハンティング プロセス
実行中のプロセスを検索します。
パラメータ
| パラメータ | 種類 | デフォルト値 | 説明 |
|---|---|---|---|
| Endpoints Core OS | 文字列 | 窓 | オペレーティング システム(Windows、Linux、Mac)を選択して、エンドポイントのリストをフィルタします。注: 同じオペレーティング システムで実行されているエンドポイントに対して作成できる調査は 1 つのみです。 |
| MD5 ハッシュ | 文字列 | なし | このハンティングの詳細設定。MD5 ハッシュをカンマで区切って入力します。 |
| SHA1 ハッシュ | 文字列 | なし | このハンティングの詳細設定。SHA-1 ハッシュをカンマで区切って入力します。 |
| SHA256 ハッシュ | 文字列 | なし | このハンティングの詳細設定。SHA256 ハッシュをカンマで区切って入力します。 |
| プロセス名 | 文字列 | なし | このハンティングの詳細設定。プロセス名を入力します(例: iss.exe)* |
実行
このアクションは次のエンティティに対して実行されます。
- ホスト名
- IP アドレス
アクションの結果
エンティティ拡充
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| parent_name | JSON の結果に存在する場合に返す |
| ドメイン | JSON の結果に存在する場合に返す |
| exe | JSON の結果に存在する場合に返す |
| name | JSON の結果に存在する場合に返す |
| has_unbacked_execute_memory | JSON の結果に存在する場合に返す |
| pid | JSON の結果に存在する場合に返す |
| up_time | JSON の結果に存在する場合に返す |
| is_sensor | JSON の結果に存在する場合に返す |
| cmdline | JSON の結果に存在する場合に返す |
| parent_exe | JSON の結果に存在する場合に返す |
| unbacked_execute_byte_count | JSON の結果に存在する場合に返す |
| create_time | JSON の結果に存在する場合に返す |
| ユーザー | JSON の結果に存在する場合に返す |
| sid | JSON の結果に存在する場合に返す |
| threads | JSON の結果に存在する場合に返す |
| ppid | JSON の結果に存在する場合に返す |
| unbacked_execute_region_count | JSON の結果に存在する場合に返す |
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[{
"parent_name": "System Idle Process",
"domain": "NT AUTHORITY",
"exe": "",
"name": "System",
"has_unbacked_execute_memory": false,
"pid": 4,
"up_time": 2384701,
"is_sensor": false,
"cmdline": "",
"parent_exe": "",
"unbacked_execute_byte_count": 0,
"create_time": 1559179903,
"user": "SYSTEM",
"sid": "S-1-5-18",
"threads":
[{
"thread_id": 8
},{
"thread_id": 12,
"up_time": 13206038203,
"create_time": -11644473599
},{
"thread_id": 16,
"up_time": 13206038203,
"create_time": -11644473599
}],
"ppid": 0,
"unbacked_execute_region_count": 0
}]
ハンティング レジストリ
レジストリ キーまたは値の名前を検索します。
パラメータ
| パラメータ | 種類 | デフォルト値 | 説明 |
|---|---|---|---|
| Hive | 文字列 | すべて | HKEY_CLASSES_ROOT、HKEY_CURRENT_CONFIG、HKEY_USERS、HKEY_LOCAL_MACHINE、ALL のいずれか。 |
| キー | 文字列 | なし | レジストリキーまたは値の名前。 |
| 最小サイズ | 文字列 | なし | 最小バイトサイズ。 |
| 最大サイズ | 文字列 | なし | 最大バイトサイズ。 |
| Endpoints Core OS | 文字列 | 窓 | オペレーティング システム(Windows、Linux、Mac)を選択して、エンドポイントのリストをフィルタします。注: 同じオペレーティング システムで実行されているエンドポイントに対して作成できる調査は 1 つのみです。 |
実行
このアクションは次のエンティティに対して実行されます。
- ホスト名
- IP アドレス
アクションの結果
エンティティ拡充
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| parent_name | JSON の結果に存在する場合に返す |
| ドメイン | JSON の結果に存在する場合に返す |
| exe | JSON の結果に存在する場合に返す |
| name | JSON の結果に存在する場合に返す |
| up_time | JSON の結果に存在する場合に返す |
| is_sensor | JSON の結果に存在する場合に返す |
| cmdline | JSON の結果に存在する場合に返す |
| parent_exe | JSON の結果に存在する場合に返す |
| unbacked_execute_byte_count | JSON の結果に存在する場合に返す |
| create_time | JSON の結果に存在する場合に返す |
| ユーザー | JSON の結果に存在する場合に返す |
| sid | JSON の結果に存在する場合に返す |
| threads | JSON の結果に存在する場合に返す |
| ppid | JSON の結果に存在する場合に返す |
| unbacked_execute_region_count | JSON の結果に存在する場合に返す |
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[{
"parent_name": "System Idle Process",
"domain": "NT AUTHORITY",
"exe": "",
"name": "System",
"has_unbacked_execute_memory": false,
"pid": 4,
"up_time": 2384701,
"is_sensor": false,
"cmdline": "",
"parent_exe": "",
"unbacked_execute_byte_count": 0,
"create_time": 1559179903,
"user": "SYSTEM",
"sid": "S-1-5-18",
"threads":
[{
"thread_id": 8
},{
"thread_id": 12,
"up_time": 13206038203,
"create_time": -11644473599
}, {
"thread_id": 16,
"up_time": 13206038203,
"create_time": -11644473599
}],
"ppid": 0,
"unbacked_execute_region_count": 0
}]
ユーザーの検索
ネットワークでログインしているユーザーを検索します。
パラメータ
| パラメータ | 種類 | デフォルト値 | 説明 |
|---|---|---|---|
| Endpoints Core OS | 文字列 | 窓 | オペレーティング システム(Windows、Linux、Mac)を選択して、エンドポイントのリストをフィルタします。注: 同じオペレーティング システムで実行されているエンドポイントに対して作成できる調査は 1 つのみです。 |
| ユーザー名を探す | 文字列 | なし | このハンティングの詳細設定。ユーザー名を入力します。複数のエントリがある場合は、セミコロンで区切ります。 |
| ドメイン名 | 文字列 | なし | このハンティングの詳細設定。ドメイン名を入力します。 |
実行
このアクションは次のエンティティに対して実行されます。
- ホスト名
- IP アドレス
アクションの結果
エンティティ拡充
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| parent_name | JSON の結果に存在する場合に返す |
| ドメイン | JSON の結果に存在する場合に返す |
| exe | JSON の結果に存在する場合に返す |
| name | JSON の結果に存在する場合に返す |
| has_unbacked_execute_memory | JSON の結果に存在する場合に返す |
| pid | JSON の結果に存在する場合に返す |
| up_time | JSON の結果に存在する場合に返す |
| is_sensor | JSON の結果に存在する場合に返す |
| cmdline | JSON の結果に存在する場合に返す |
| parent_exe | JSON の結果に存在する場合に返す |
| unbacked_execute_byte_count | JSON の結果に存在する場合に返す |
| create_time | JSON の結果に存在する場合に返す |
| ユーザー | JSON の結果に存在する場合に返す |
| sid | JSON の結果に存在する場合に返す |
| threads | JSON の結果に存在する場合に返す |
| ppid | JSON の結果に存在する場合に返す |
| unbacked_execute_region_count | JSON の結果に存在する場合に返す |
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[{
"parent_name": "System Idle Process",
"domain": "NT AUTHORITY",
"exe": "",
"name": "System",
"has_unbacked_execute_memory": false,
"pid": 4,
"up_time": 2384701,
"is_sensor": false,
"Cmdline":"",
"parent_exe": "",
"unbacked_execute_byte_count": 0,
"create_time": 1559179903,
"user": "SYSTEM",
"sid": "S-1-5-18",
"threads":
[{
"thread_id": 8
}, {
"thread_id": 12,
"up_time": 13206038203,
"create_time": -11644473599
}, {
"thread_id": 16,
"up_time": 13206038203,
"create_time": -11644473599
}],
"ppid": 0,
"unbacked_execute_region_count": 0
}]
プロセスを終了
特定の Endgame エンドポイントでプロセスを強制終了します。
パラメータ
| パラメータ | 種類 | デフォルト値 | 説明 |
|---|---|---|---|
| プロセス名 | 文字列 | なし | プロセス名を入力する |
| PID | 文字列 | なし | プロセスの ID を入力します。 |
実行
このアクションは次のエンティティに対して実行されます。
- ホスト名
- IP アドレス
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
ネットワーク調査
特定の Endgame エンドポイントから、接続、DNS キャッシュ、NetBIOS、ARP、ルートテーブルに関する情報を取得します。
パラメータ
| パラメータ | 種類 | デフォルト値 | 説明 |
|---|---|---|---|
| 返されるアイテムの最大数 | 文字列 | 50 | 返す自動実行の数を指定します。 |
| ルート エントリ情報を含める | チェックボックス | オン | ルート エントリに関する情報を取得するように指定します。 |
| Net Bios 情報を含める | チェックボックス | オン | Net Bios に関する情報を取得するように指定します。 |
| DNS キャッシュ情報を含める | チェックボックス | オン | DNS キャッシュに関する情報を取得するように指定します。 |
| ARP テーブル情報を含める | チェックボックス | オン | ARP テーブルに関する情報を取得するように指定します。 |
実行
このアクションは次のエンティティに対して実行されます。
- ホスト名
- IP アドレス
アクションの結果
エンティティ拡充
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| 接続 | JSON の結果に存在する場合に返す |
| netbios_info | JSON の結果に存在する場合に返す |
| arp_table | JSON の結果に存在する場合に返す |
| route_table | JSON の結果に存在する場合に返す |
| dns_cache | JSON の結果に存在する場合に返す |
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[{
"EntityResult":
{
"connections":
[{
"connection_type": "SOCK_STREAM",
"collection_id": "50e74bd2-1cd4-412c-a7fc-24cf1456e883",
"exe": "C:\\\\Windows\\\\System32\\\\test.exe",
"connection_status": "LISTEN",
"name": "test.exe",
"family": "ipv4",
"local_port": 111,
"remote_port": 0,
"pid": 700,
"remote_address": "0.0.0.0",
"create_time": 1583314664,
"connection_timestamp": 1583314664.0117714,
"local_address": "0.0.0.0",
"protocol": "tcp",
"hashes":
{
"sha256": "5d00bbeb147e0c838a622fc42c543b2913d57eaca4e69d9a37ed61e98c819347", "md5": "8497852ed44aff902d502015792d315d",
"sha1": "800a4c2e524fc392c45748eae1691fa01d24ea4c"
},
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
}],
"netbios_info":
[{
"comment": "",
"name": "PC-01",
"version_major": 10,
"netbios_neighbor_type": 8392747,
"platform": "WINDOWS NT",
"version_minor": 0
}],
"arp_table":
[{
"connection_type": "SOCK_STREAM",
"collection_id": "50e74bd2-1cd4-412c-a7fc-24cf1456e883",
"exe": "C:\\\\Windows\\\\System32\\\\test.exe",
"connection_status": "LISTEN",
"name": "test.exe",
"family": "ipv4",
"local_port": 111,
"remote_port": 0,
"pid": 700,
"remote_address": "0.0.0.0",
"create_time": 1583314664,
"connection_timestamp": 1583314664.0117714,
"local_address": "0.0.0.0",
"protocol": "tcp",
"hashes": {"sha256": "5d00bbeb147e0c838a622fc42c543b2913d57eaca4e69d9a37ed61e98c819347", "md5": "8497852ed44aff902d502015792d315d",
"sha1": "800a4c2e524fc392c45748eae1691fa01d24ea4c"},
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
}],
"route_table":
[{
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"family": "ipv4",
"destination": "0.0.0.0",
"netmask": "0.0.0.0",
"collection_id": "50e74bd2-1cd4-412c-a7fc-24cf1456e883",
"interface_name": "Ethernet0",
"gateway": "1.1.1.1"
}],
"dns_cache":
[{
"name": "test.ms",
"dns_record_type": "A",
"ttl": 0,
"collection_id": "50e74bd2-1cd4-412c-a7fc-24cf1456e883",
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"query_error": 9701
}]
},
"Entity": "PC-01"
}]
Ping
Endgame サーバーへの接続をテストします。
パラメータ
なし
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
プロセスに関するアンケート
特定の Endgame エンドポイントで実行されているプロセスに関する情報を取得します。
パラメータ
| パラメータ | タイプ | デフォルト値 | 説明 |
|---|---|---|---|
| 返されるアイテムの最大数 | 文字列 | 50 | 返すアイテムの数を指定します。 |
| ファイルレス攻撃を検出する(Windows のみ) | チェックボックス | オフ | ファイルレス攻撃を検出するように指定します。Windows のみ。 |
| MalwareScore でマルウェアを検出する(Windows のみ) | チェックボックス | オフ | MalwareScore でマルウェア プロセスを検出するように指定します。Windows のみ。 |
| プロセス スレッドを収集する | チェックボックス | オフ | レスポンスにプロセス スレッドの量に関する情報を含めるように指定します。 |
| Return Only Suspicious Processes | チェックボックス | オン | エンドポイントから疑わしいプロセスのみを返すように指定します。Endgame の定義では、不審なプロセスはバックアップされていない実行可能プロセスです。 |
実行
このアクションは次のエンティティに対して実行されます。
- ホスト名
- IP アドレス
アクションの結果
エンティティ拡充
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| ドメイン | JSON の結果に存在する場合に返す |
| name_suspicious | JSON の結果に存在する場合に返す |
| pid | JSON の結果に存在する場合に返す |
| name_uncommon_path | JSON の結果に存在する場合に返す |
| repeat_offender | JSON の結果に存在する場合に返す |
| cmdline | JSON の結果に存在する場合に返す |
| create_time | JSON の結果に存在する場合に返す |
| parent_name | JSON の結果に存在する場合に返す |
| has_unbacked_execute_memory | JSON の結果に存在する場合に返す |
| sid | JSON の結果に存在する場合に返す |
| ppid | JSON の結果に存在する場合に返す |
| up_time | JSON の結果に存在する場合に返す |
| unbacked_execute_region_count | JSON の結果に存在する場合に返す |
| is_sensor | JSON の結果に存在する場合に返す |
| threads | JSON の結果に存在する場合に返す |
| ユーザー | JSON の結果に存在する場合に返す |
| collection_id | JSON の結果に存在する場合に返す |
| parent_exe | JSON の結果に存在する場合に返す |
| exe | JSON の結果に存在する場合に返す |
| name | JSON の結果に存在する場合に返す |
| unbacked_execute_byte_count | JSON の結果に存在する場合に返す |
| machine_id | JSON の結果に存在する場合に返す |
| unbacked_execute_region_count | JSON の結果に存在する場合に返す |
| tty_device_minor_number | JSON の結果に存在する場合に返す |
| uid | JSON の結果に存在する場合に返す |
| name_suspicious | JSON の結果に存在する場合に返す |
| phys_memory_bytes | JSON の結果に存在する場合に返す |
| pid | JSON の結果に存在する場合に返す |
| env_variables | JSON の結果に存在する場合に返す |
| repeat_offender | JSON の結果に存在する場合に返す |
| cmdline | JSON の結果に存在する場合に返す |
| create_time | JSON の結果に存在する場合に返す |
| tty_device_major_number | JSON の結果に存在する場合に返す |
| parent_name | JSON の結果に存在する場合に返す |
| グループ | JSON の結果に存在する場合に返す |
| cpu_percent | JSON の結果に存在する場合に返す |
| has_unbacked_execute_memory | JSON の結果に存在する場合に返す |
| gid | JSON の結果に存在する場合に返す |
| sha256 | JSON の結果に存在する場合に返す |
| cwd | JSON の結果に存在する場合に返す |
| exe | JSON の結果に存在する場合に返す |
| up_time | JSON の結果に存在する場合に返す |
| short_name | JSON の結果に存在する場合に返す |
| tty_device_name | JSON の結果に存在する場合に返す |
| is_sensor | JSON の結果に存在する場合に返す |
| sha1 | JSON の結果に存在する場合に返す |
| threads | JSON の結果に存在する場合に返す |
| name_uncommon_path | JSON の結果に存在する場合に返す |
| collection_id | JSON の結果に存在する場合に返す |
| md5 | JSON の結果に存在する場合に返す |
| argv_list | JSON の結果に存在する場合に返す |
| num_threads | JSON の結果に存在する場合に返す |
| ユーザー | JSON の結果に存在する場合に返す |
| virt_memory_bytes | JSON の結果に存在する場合に返す |
| name | JSON の結果に存在する場合に返す |
| session_id | JSON の結果に存在する場合に返す |
| memory_percent | JSON の結果に存在する場合に返す |
| machine_id | JSON の結果に存在する場合に返す |
| unbacked_execute_byte_count | JSON の結果に存在する場合に返す |
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[{
"EntityResult":
[{
"domain": "NT AUTHORITY",
"name_suspicious": false,
"pid": 4,
"name_uncommon_path": false,
"repeat_offender": false,
"cmdline": "",
"create_time": 1583314654,
"parent_name": "System Idle Process",
"has_unbacked_execute_memory": false,
"sid": "S-1-5-18",
"ppid": 0,
"up_time": 342643,
"unbacked_execute_region_count": 0,
"is_sensor": false,
"threads":
[{ "thread_id": 12,
"up_time": 13228130896,
"create_time": -11644473599
},
{
"thread_id": 16,
"up_time": 13228130896,
"create_time": -11644473599
}],
"user": "SYSTEM",
"collection_id": "ac1fb296-db5a-4426-b32e-292e4a50188d",
"parent_exe": "",
"exe": "",
"name": "System",
"unbacked_execute_byte_count": 0,
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
}],
"Entity": "PC-01"
},
{
"EntityResult":
[{
"unbacked_execute_region_count": 0,
"tty_device_minor_number": 0,
"uid": 0,
"name_suspicious": false,
"phys_memory_bytes": 8900608,
"pid": 1,
"env_variables":
[ "HOME=/",
"init=/sbin/init",
"NETWORK_SKIP_ENSLAVED=",
"recovery=",
"TERM=linux",
"drop_caps=",
"BOOT_IMAGE=/vmlinuz-4.15.0-88-generic",
"PATH=/sbin:/usr/sbin:/bin:/usr/bin",
"PWD=/", "rootmnt=/root" ],
"repeat_offender": false,
"cmdline": "/sbin/init maybe-ubiquity",
"create_time": 1583632302,
"tty_device_major_number": 0,
"parent_name": "",
"group": "root",
"cpu_percent": 0,
"has_unbacked_execute_memory": false,
"gid": 0,
"sha256": "3a14ff4b18505543eda4dccb054aa5860478a95ed0cac76da392f3472da3ad67",
"cwd": "/",
"exe": "/lib/systemd/systemd",
"up_time": 24942,
"short_name": "systemd",
"tty_device_name": "",
"is_sensor": false,
"sha1": "e016f80b87101a74b52d15ce2726560a6e128b60",
"threads": [{"thread_id": 1}],
"name_uncommon_path": false,
"collection_id": "bcb6b33a-0ffb-4e72-818a-1731024dfd79",
"md5": "ca563cf817f03ed7d01a6462818a5791",
"argv_list": ["/sbin/init", "maybe-ubiquity"],
"num_threads": 1,
"ppid": 0,
"virt_memory_bytes": 79818752,
"name": "systemd",
"session_id": 1,
"memory_percent": 0.21517109870910645,
"parent_exe": "",
"unbacked_execute_byte_count": 0,
"machine_id": "5ae8ddd9-9339-ae4b-ccf7-5ed68f38b3a9",
"user": "root"
}],
"Entity": "PC-202"
}]
リムーバブル メディア調査(Windows のみ)
特定の Endgame エンドポイントからリムーバブル メディアに関する情報を取得します。
パラメータ
| パラメータ | 種類 | デフォルト値 | 説明 |
|---|---|---|---|
| 返されるアイテムの最大数 | 文字列 | 50 | 返すアイテムの数を指定します。 |
実行
このアクションは次のエンティティに対して実行されます。
- ホスト名
- IP アドレス
アクションの結果
エンティティ拡充
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| name | JSON の結果に存在する場合に返す |
| is_storage_device | JSON の結果に存在する場合に返す |
| vendor_id | JSON の結果に存在する場合に返す |
| collection_id | JSON の結果に存在する場合に返す |
| last_connect_time | JSON の結果に存在する場合に返す |
| serial_number | JSON の結果に存在する場合に返す |
| machine_id | JSON の結果に存在する場合に返す |
| is_connected | JSON の結果に存在する場合に返す |
| product_id | JSON の結果に存在する場合に返す |
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[{
"EntityResult":
[{ "name": "USB Composite Device",
"is_storage_device": false,
"vendor_id": "0E0F",
"collection_id": "fbe61b16-e6b2-4595-8409-abf4ce15fa85",
"last_connect_time": 1552596043.0610971,
"serial_number": "6&35D1F50B&0&1",
"machine_id": "a4c05d5a-7ebc-c3ab-1beb-f1fe517768d8",
"is_connected": false,
"product_id": "0003"
}],
"Entity": "PC-01"
}]
ソフトウェア アンケート(Windows のみ)
特定の Endgame エンドポイントにインストールされているソフトウェアに関する情報を取得します。
パラメータ
| パラメータ | 種類 | デフォルト値 | 説明 |
|---|---|---|---|
| 返されるアイテムの最大数 | 文字列 | 50 | 返すアイテムの数を指定します。 |
実行
このアクションは次のエンティティに対して実行されます。
- ホスト名
- IP アドレス
アクションの結果
エンティティ拡充
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| パブリッシャー | JSON の結果に存在する場合に返す |
| machine_id | JSON の結果に存在する場合に返す |
| パッケージ | JSON の結果に存在する場合に返す |
| install_date | JSON の結果に存在する場合に返す |
| version | JSON の結果に存在する場合に返す |
| collection_id | JSON の結果に存在する場合に返す |
| installed_for | JSON の結果に存在する場合に返す |
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[{
"EntityResult":
[{
"publisher": "John Doe",
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"package": "Test",
"install_date": "20191008",
"version": "18.06",
"collection_id": "fc079e17-8a2e-40d9-94c9-b974e5534e58",
"installed_for": "allUsers"
}],
"Entity": "PC-01"
}]
システム アンケート
メモリ使用量、DNS、OS など、単一の Endgame エンドポイントに関するシステム情報を取得します。
パラメータ
| パラメータ | 種類 | デフォルト値 | 説明 |
|---|---|---|---|
| 返されるアイテムの最大数 | 文字列 | 50 | 返すアイテムの数を指定します。 |
| セキュリティ プロダクト情報を含める(Windows のみ) | チェックボックス | オン | エンドポイントにインストールされているセキュリティ製品に関する情報を取得するように指定します(Windows のみ)。 |
| パッチ情報を含める(Windows のみ) | チェックボックス | オン | パッチに関する情報を取得するように指定します(Windows のみ)。 |
| ディスク情報を含める | チェックボックス | オン | ディスクに関する情報を取得するように指定します。 |
| ネットワーク インターフェース情報を含める | チェックボックス | オン | ネットワーク インターフェースに関する情報を取得するように指定します。 |
実行
このアクションは次のエンティティに対して実行されます。
- ホスト名
- IP アドレス
アクションの結果
エンティティ拡充
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| patches_info | JSON の結果に存在する場合に返す |
| Disks_info | JSON の結果に存在する場合に返す |
| network_interfaces | JSON の結果に存在する場合に返す |
| Os_info | JSON の結果に存在する場合に返す |
| installed_security_products | JSON の結果に存在する場合に返す |
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[{
"EntityResult":
{
"patches_info":
[{
"collection_id": "f7d a62bb-318d-40c1-a490-85979c0c9ede",
"installed_on": "2/3/2018",
"hotfix_id": "KB4049065",
"machine_id": "870499c3-d6bf-8edd-972d-f2f6621dd971"
}],
"Disks_info":
[{
"disk_id": "\\\\Device\\\\HarddiskVolume2",
"fstype": "NTFS",
"disk_total": 15579738112,
"disk_free": 1219571712,
"collection_id": "a27ebace-32ec-4257-ab4f-7da49f02a9d4",
"device": "\\\\Device\\\\HarddiskVolume2",
"path": "C:\\\\",
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
}],
"network_interfaces":
[{
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"mac_address": "01:23:45:ab:cd:ef",
"ipv4_addresses": ["1.1.1.1"],
"ipv6_addresses": ["1111::1111:1111:1111:1111"],
"collection_id": "a27ebace-32ec-4257-ab4f-7da49f02a9d4",
"smp_interface": true,
"interface_name": "Ethernet0"
}],
"Os_info":
[{
"memory":
{ "ram_free": 1240039424,
"page_percent_used": 36.89334358507761,
"page_total": 2818101248,
"ram_percent_used": 42.24349594504104,
"ram_total": 2147012608,
"ram_used": 906973184,
"page_used": 1039691776,
"page_free": 1778409472
},
"doc_type": "collection",
"domain": "PC-01.test.com",
"endpoint":
{ "status": "unmonitored",
"ad_distinguished_name":
"CN=PC_01,OU=TESTOU,OU=Organization,DC=test,DC=com",
"ad_hostname": "test.com",
"operating_system": "Windows 10.0 ",
"name": "PC-01",
"display_operating_system": "Windows 10 (v1511)",
"hostname": "PC-01",
"updated_at": "2020-03-08T08:27:22.919880+00:00",
"mac_address": "01:23:45:ab:cd:ef",
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"ip_address": "1.1.1.1",
"id": "b23c8a14-69e0-4966-b78a-c9fba4fdd934"
},
"investigation_id": "85cff906-8b39-4a37-aa05-84950c9b2a02",
"hostname": "PC-01",
"bulk_task_id": null,
"original_machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"os_version":
{
"os_minor": 0,
"os_is_server": false,
"os_major": 10,
"os_build_number": 10586,
"os_service_pack": ""
},
"correlation_id": "7e17de5a-abcb-4de0-a510-7ca79bfdc345",
"architecture": "x64",
"sensor_info":
{
"malware_feature_version": "3.0.0",
"sensor_build_time": "1581375786",
"sensor_commit_sha": "80af56b6b295de785e502d82f39deac34973b2dd",
"sensor_build_number": 48,
"sensor_version": "3.53.9"
},
"time":
{
"tz_observes_dst": true,
"tz_currently_in_dst": false,
"tz_name": "Pacific Standard Time",
"tz_offset_minutes": 480
},
"os_type": "windows",
"ad_info":
{
"distinguished_name": "CN=PC-01,OU=TESTOU,OU=Organization,DC=test,DC=com",
"domain_hostname": "test.com"
},
"origination_task_id": "d3d67012-cfb1-47d0-8ec9-bf7ffb68a019"
}],
"installed_security_products":
[{
"security_product_type": "AntiVirus",
"collection_id": "a27ebace-32ec-4257-ab4f-7da49f02a9d4",
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"enabled": false, "name": "Windows Defender"
}]
},
"Entity": "PC-01"
}]
ユーザー セッションに関するアンケート
特定の Endgame エンドポイントのアクティブ ユーザー セッションに関する情報を取得します。
パラメータ
| パラメータ | 種類 | デフォルト値 | 説明 |
|---|---|---|---|
| 返されるアイテムの最大数 | 文字列 | 50 | 返すアイテムの数を指定します。 |
実行
- ホスト名
- IP アドレス
アクションの結果
エンティティ拡充
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| ユーザー名 | JSON の結果に存在する場合に返す |
| シェル | JSON の結果に存在する場合に返す |
| uid | JSON の結果に存在する場合に返す |
| 開始済み | JSON の結果に存在する場合に返す |
| hostname | JSON の結果に存在する場合に返す |
| host_ip | JSON の結果に存在する場合に返す |
| session_id | JSON の結果に存在する場合に返す |
| session_count | JSON の結果に存在する場合に返す |
| ターミナル | JSON の結果に存在する場合に返す |
| 終了しました | JSON の結果に存在する場合に返す |
| gid | JSON の結果に存在する場合に返す |
| collection_id | JSON の結果に存在する場合に返す |
| machine_id | JSON の結果に存在する場合に返す |
| 開始済み | JSON の結果に存在する場合に返す |
| password_last_set | JSON の結果に存在する場合に返す |
| logon_type | JSON の結果に存在する場合に返す |
| sid | JSON の結果に存在する場合に返す |
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[{
"EntityResult":
[{
"username": "endgame",
"shell": "/opt/endgame/bin/console",
"uid": 1000,
"started": 1582554802.55514,
"hostname": "",
"host_ip": "",
"session_id": 887,
"session_count": 1,
"terminal": "tty1",
"ended": 0,
"gid": 1000,
"collection_id": "1aebade8-9f7b-4237-8c43-2aed8729511e",
"machine_id": "827255f4-53a2-1823-cac0-7c0f7730ca26"
}],
"Entity": "PC-01"
}, {
"EntityResult":
[{
"username": "example",
"domain": "3B",
"started": 1580205134.001,
"session_count": 1,
"ended": 0,
"password_last_set": 0,
"logon_type": "interactive",
"sid": "",
"collection_id": "88b876b1-5063-40a8-b40e-440df5eb8952",
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
}],
"Entity": "PC-02"
}
コネクタ
Google SecOps でコネクタを構成する方法の詳細については、コネクタの構成をご覧ください。
Endgame Connector
次のパラメータを使用してコネクタを構成します。
| パラメータ | タイプ | デフォルト値 | 説明 |
|---|---|---|---|
| DeviceProductField | 文字列 | device_product | デバイス プロダクトを識別するために使用されるフィールド名。 |
| EventClassId | 文字列 | event_name | イベント名(サブタイプ)を特定するために使用されるフィールド名 |
| PythonProcessTimeout | 文字列 | 30 | 現在のスクリプトを実行している Python プロセスのタイムアウト上限(秒単位) |
| API ルート | 文字列 | なし | なし |
| ユーザー名 | 文字列 | なし | なし |
| パスワード | パスワード | なし | なし |
| SSL を確認 | チェックボックス | オフ | なし |
| 遡る最大日数 | 文字列 | なし | なし |
| 環境フィールド名 | 文字列 | なし | 定義されている場合、コネクタは指定されたイベント フィールドから環境を抽出します。正規表現パターン フィールドを使用してフィールド データを操作し、特定の文字列を抽出できます。 |
| アラート数の上限 | 文字列 | なし | なし |
| プロキシ サーバーのアドレス | 文字列 | なし | 使用するプロキシ サーバーのアドレス。 |
| プロキシのユーザー名 | 文字列 | なし | 認証に使用するプロキシのユーザー名。 |
| プロキシ パスワード | パスワード | なし | 認証に使用するプロキシ パスワード。 |
コネクタルール
コネクタでプロキシがサポートされます。
コネクタは動的リストをサポートしています。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。