Endgame
이 문서에서는 Endgame을 Google Security Operations와 통합하는 방법을 설명합니다.
Endgame을 Google Security Operations와 통합
Google SecOps에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.
작업
항목 보강
Endgame의 정보를 기반으로 Google SecOps 호스트 및 IP 항목을 보강합니다.
매개변수
해당 사항 없음
사용 사례
이 작업은 기기 활동을 조사하는 플레이북에서 사용할 수 있습니다. 기기에 Endgame 에이전트가 설치되어 있으면 이 작업은 기기의 Endgame 정보를 가져와 Google SecOps 엔티티를 보강합니다.
실행
이 작업은 다음 항목에서 실행됩니다.
- 호스트
- IP 주소
작업 결과
항목 보강
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| Endgame_Domain | 항상 |
| Endgame_endpoint_id | 항상 |
| Endgame_hostname | 항상 |
| Endgame_sensors_status | 항상 |
| Endgame_sensors_id | 항상 |
| Endgame_sensors_status | 항상 |
| Endgame_sensors_id | 항상 |
| Endgame_policy_status | 항상 |
| Endgame_policy_name | 항상 |
| Endgame_policy_id | 항상 |
| Endgame_is_isolated | 항상 |
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"data": [
{
"domain": "InstallerInitiated",
"updated_at": "2019-11-01T05:42:08.149079+00:00",
"id": "1682418d-02ff-43cd-a730-bcae8215a514",
"display_operating_system": "CentOS 7.6",
"hostname": "example",
"mac_address": "01:23:45:ab:cd:ef",
"upgrade_status": "",
"base_image": false,
"isolation_updated_at": null,
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [
{
"id": "a0927aeb-915a-466d-a5eb-5d7b6f9217c5",
"name": "BLUE TEAM"
},
{
"id": "bede2f24-593c-45e4-9863-9c2438f0f163",
"name": "SOC"
},
{
"id": "fc2dfcc8-9329-4f33-86a2-877bfb27575e",
"name": "CORE ENV"
}
],
"isolation_request_status": null,
"alert_count": 0,
"investigation_count": 0,
"groups": [
{
"is_dynamic": false,
"count": 4,
"id": "c1af3cd6-2638-4144-842d-adc9cfb67fb9",
"name": "SOC"
}
],
"sensors": [
{
"status": "monitored",
"sensor_version": "3.52.12",
"policy_status": "successful",
"policy_name": "Lab (Detect-Only)",
"sensor_type": "hunt",
"id": "fbb87923-a833-5581-a160-7f4f85a21bd0",
"policy_id": "a1d72bce-1f61-4ba8-bcd4-dfa97148335f"
}
],
"ip_address": "192.0.2.1",
"is_isolated": false,
"operating_system": "Linux 3.10.0-957.27.2.el7.x86_64",
"name": "example",
"status_changed_at": "2020-01-07T08:15:11.865854+00:00",
"core_os": "linux",
"created_at": "2019-03-19T05:07:50.598837+00:00",
"error": null,
"machine_id": "827255f4-53a2-1823-cac0-7c0f7730ca26"
},
{
"domain": "InstallerInitiated",
"updated_at": "2019-11-01T05:42:09.150756+00:00",
"id": "12c3530d-657f-4ccd-835e-6df9affeed3d",
"display_operating_system": "Ubuntu 18.04.3",
"hostname": "example",
"mac_address": "01:23:45:ab:cd:ef",
"upgrade_status": "",
"base_image": false,
"isolation_updated_at": null,
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [],
"isolation_request_status": null,
"alert_count": 0,
"investigation_count": 0,
"groups": [
{
"is_dynamic": false,
"count": 4,
"id": "c1af3cd6-2638-4144-842d-adc9cfb67fb9",
"name": "SOC"
}
],
"sensors": [
{
"status": "monitored",
"sensor_version": "3.52.12",
"policy_status": "successful",
"policy_name": "Lab (Detect-Only)",
"sensor_type": "hunt",
"id": "dc2e35cc-0c87-5a60-8fc8-de23ef747d02",
"policy_id": "a1d72bce-1f61-4ba8-bcd4-dfa97148335f"
}
],
"ip_address": "192.0.2.1",
"is_isolated": false,
"operating_system": "Linux 4.15.0-72-generic",
"name": "example",
"status_changed_at": "2020-01-07T08:15:16.875375+00:00",
"core_os": "linux",
"created_at": "2019-09-20T21:34:51.966863+00:00",
"error": null,
"machine_id": "5ae8ddd9-9339-ae4b-ccf7-5ed68f38b3a9"
}
],
"metadata": {
"count": 38,
"previous_url": null,
"timestamp": "2020-01-07T18:09:43.765744",
"next": null,
"per_page": 50,
"next_url": null,
"transaction_id": "569cdc38-8c7a-4b93-af99-aaf907dc8dd6",
"previous": null
}
}
조사 나열
엔드게임 조사를 나열합니다.
매개변수
| 매개변수 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| OS | 문자열 | Solaris,Windows,MacOs,Linux | 조사를 나열할 OS를 지정합니다. 매개변수는 여러 값을 쉼표로 구분된 문자열로 사용할 수 있습니다. |
| 지난 X시간 동안의 조사를 가져옵니다. | 정수 | 해당 사항 없음 | 지정된 기간(시간)에 생성된 조사를 반환합니다. |
| 반환할 최대 조사 수 | 정수 | 해당 사항 없음 | 조회할 조사 수를 지정합니다. |
사용 사례
조사는 프로세스, IP 주소, 파일 등 엔드포인트의 다양한 객체를 추적하는 데 사용됩니다. 이 작업을 통해 사용자는 조사를 나열할 수 있습니다. 분석가는 이 작업을 사용하여 시스템에서 필요한 모든 조사가 수행되고 있는지 확인할 수 있습니다.
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"data": [
{
"created_by_chat": false,
"name": "Example User + 2020-01-08T13:47:51.334336_utc",
"core_os": "windows",
"created_at": "2020-01-08T13:47:51.340497+00:00",
"task_completion": {
"completed_tasks": 1,
"total_tasks": 1
},
"archived": false,
"created_by": {
"username": "admin",
"last_name": "User",
"is_active": true,
"is_editable": true,
"is_ldap": false,
"is_removable": false,
"timezone": null,
"id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"first_name": "Example",
"last_viewed_alert": "2020-01-07T09:24:22.925000",
"is_sso": false,
"is_superuser": true,
"role": {
"role": "Admin",
"id": "37e9e54e-0bb8-5058-9bd4-50a0d0fbea35",
"permissions": {
"endpoints.scan": true,
"sensor.admin.view": true,
"sensor.admin.update": true,
"endpoints.delete": true,
"endpoints.respond": true,
"search.search": true,
"sensor.admin.create": true,
"alerts.admin.forwardalerts": true,
"endpoints.tag": true,
"user.delete": true,
"endpoints.deploy": true,
"user.update": true,
"search.save": true,
"investigation.create": true,
"endpoints.view": true,
"user.view": true,
"sensor.admin.download": true,
"alerts.view": true,
"alerts.update": true,
"search.delete": true,
"sensor.admin.delete": true,
"endpoints.uninstall": true,
"investigation.view": true,
"admin": true,
"investigation.update": true,
"endpoints.changeconfiguration": true,
"user.create": true
}
},
"type": "Local",
"email": null
},
"updated_at": "2020-01-08T13:47:51.379966+00:00",
"created_by_user_display_name": "Example User",
"canceled_by_user_id": null,
"version": 2,
"endpoint_count": 1,
"assigned_to": {
"username": "admin",
"last_name": "User",
"is_active": true,
"is_editable": true,
"is_ldap": false,
"is_removable": false,
"timezone": null,
"id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"first_name": "Example",
"last_viewed_alert": "2020-01-07T09:24:22.925000",
"is_sso": false,
"is_superuser": true,
"role": {
"role": "Admin",
"id": "37e9e54e-0bb8-5058-9bd4-50a0d0fbea35",
"permissions": {
"endpoints.scan": true,
"sensor.admin.view": true,
"sensor.admin.update": true,
"endpoints.delete": true,
"endpoints.respond": true,
"search.search": true,
"sensor.admin.create": true,
"alerts.admin.forwardalerts": true,
"endpoints.tag": true,
"user.delete": true,
"endpoints.deploy": true,
"user.update": true,
"search.save": true,
"investigation.create": true,
"endpoints.view": true,
"user.view": true,
"sensor.admin.download": true,
"alerts.view": true,
"alerts.update": true,
"search.delete": true,
"sensor.admin.delete": true,
"endpoints.uninstall": true,
"investigation.view": true,
"admin": true,
"investigation.update": true,
"endpoints.changeconfiguration": true,
"user.create": true
}
},
"type": "Local",
"email": null
},
"id": "e0ad7613-daf6-435f-98f6-ce40eae01acc",
"canceled_by_user_display_name": null,
"user_display_name": "Example User",
"hunt_count": 1,
"is_canceled": false
}
],
"metadata": {
"count": 46,
"previous_url": null,
"timestamp": "2020-01-08T16:02:09.251511",
"next": 2,
"per_page": 1,
"next_url": "/api/v1/investigations/?per_page=1&page=2",
"previous": null
}
}
조사 세부정보 가져오기
특정 Endgame 조사에 대한 정보를 가져옵니다.
매개변수
| 매개변수 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| 조사 ID | 문자열 | 해당 사항 없음 | 검색할 Endgame 조사 ID를 지정합니다. |
사용 사례
조사는 프로세스, IP 주소, 파일 등 엔드포인트의 다양한 객체를 추적하는 데 사용됩니다. 이 작업을 통해 사용자는 특정 조사에 관한 자세한 정보를 확인할 수 있습니다. 분석가는 이 작업을 사용하여 시스템에서 필요한 모든 작업이 수행되었는지 확인할 수 있습니다.
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"data": {
"tasks": [
"6500673c-d246-41a3-882d-d3a339f28497"
],
"user_display_name": "Example User",
"task_types": [
"Process Survey"
],
"task_completion": {
"completed_tasks": 1,
"total_tasks": 1
},
"updated_at": "2020-01-06T13:30:33.851816+00:00",
"created_by_user_display_name": "Example User",
"id": "54caeedc-d6b0-4ca0-8f64-8798d1c34d54",
"task_completions_by_type": {
"Process Survey": {
"completed_tasks": 1,
"task_type_id": "2fbf0c36-5160-5c31-99ec-0fa5880c6bd1",
"total_tasks": 1
}
},
"archived": false,
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"is_canceled": false,
"created_by": {
"username": "admin",
"last_name": "User",
"is_active": true,
"is_editable": true,
"is_ldap": false,
"is_removable": false,
"timezone": null,
"id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"first_name": "Example",
"last_viewed_alert": "2020-01-06T09:27:04.097000",
"is_sso": false,
"is_superuser": true,
"role": {
"role": "Admin",
"id": "37e9e54e-0bb8-5058-9bd4-50a0d0fbea35",
"permissions": {
"endpoints.scan": true,
"sensor.admin.view": true,
"sensor.admin.update": true,
"endpoints.delete": true,
"endpoints.respond": true,
"search.search": true,
"sensor.admin.create": true,
"alerts.admin.forwardalerts": true,
"endpoints.tag": true,
"user.delete": true,
"endpoints.deploy": true,
"user.update": true,
"search.save": true,
"investigation.create": true,
"endpoints.view": true,
"user.view": true,
"sensor.admin.download": true,
"alerts.view": true,
"alerts.update": true,
"search.delete": true,
"sensor.admin.delete": true,
"endpoints.uninstall": true,
"investigation.view": true,
"admin": true,
"investigation.update": true,
"endpoints.changeconfiguration": true,
"user.create": true
}
},
"type": "Local",
"email": null
},
"hunt_count": 1,
"canceled_by_user_id": null,
"version": 2,
"endpoint_count": 1,
"canceled_by_user_display_name": null,
"created_by_user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"created_by_chat": false,
"sensors": [
"8eef6873-6db7-58ab-a1ca-68dc19b54117"
],
"name": "Example User + 2020-01-06T13:30:33.808543_utc",
"core_os": "windows",
"created_at": "2020-01-06T13:30:33.813747+00:00",
"assigned_to": {
"username": "admin",
"last_name": "User",
"is_active": true,
"is_editable": true,
"is_ldap": false,
"is_removable": false,
"timezone": null,
"id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"first_name": "Example",
"last_viewed_alert": "2020-01-06T09:27:04.097000",
"is_sso": false,
"is_superuser": true,
"role": {
"role": "Admin",
"id": "37e9e54e-0bb8-5058-9bd4-50a0d0fbea35",
"permissions": {
"endpoints.scan": true,
"sensor.admin.view": true,
"sensor.admin.update": true,
"endpoints.delete": true,
"endpoints.respond": true,
"search.search": true,
"sensor.admin.create": true,
"alerts.admin.forwardalerts": true,
"endpoints.tag": true,
"user.delete": true,
"endpoints.deploy": true,
"user.update": true,
"search.save": true,
"investigation.create": true,
"endpoints.view": true,
"user.view": true,
"sensor.admin.download": true,
"alerts.view": true,
"alerts.update": true,
"search.delete": true,
"sensor.admin.delete": true,
"endpoints.uninstall": true,
"investigation.view": true,
"admin": true,
"investigation.update": true,
"endpoints.changeconfiguration": true,
"user.create": true
}
},
"type": "Local",
"email": null
},
"endpoints": [
"b23c8a14-69e0-4966-b78a-c9fba4fdd934"
]
},
"metadata": {
"timestamp": "2020-01-06T14:00:53.716517"
}
}
호스트 격리 구성 가져오기
Endgame에 정의된 호스트 격리 구성을 가져옵니다.
매개변수
해당 사항 없음
사용 사례
이 작업은 호스트 격리 구성에 관한 정보를 가져오는 데 사용됩니다. 이 구성을 사용하면 격리된 호스트가 여기에 나열된 IP 주소에 연결할 수 있습니다. 분석가는 이 작업을 사용하여 필요한 모든 IP 주소가 호스트 격리 구성에 있는지 확인할 수 있습니다.
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"data": [
{
"id": "47999eeb-f076-5aca-a7cc-56bf7ac2b647",
"comments": [
{
"comment": "Testing API",
"entity_id": "47999eeb-f076-5aca-a7cc-56bf7ac2b647",
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"entity_type": "whitelisted_ip",
"created_at": "2020-01-07T15:59:56Z",
"updated_at": "2020-01-07T15:59:56Z",
"id": 547,
"activity_type": "comment"
}
],
"addr": "192.0.2.1/30"
},
{
"id": "6ab5575c-718e-5e24-bd4d-77e0694ad6fc",
"comments": [
{
"comment": "Testing API",
"entity_id": "6ab5575c-718e-5e24-bd4d-77e0694ad6fc",
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"entity_type": "whitelisted_ip",
"created_at": "2020-01-07T15:58:29Z",
"updated_at": "2020-01-07T15:58:29Z",
"id": 545,
"activity_type": "comment"
}
],
"addr": "192.0.2.11/32"
},
{
"id": "72bdf5d2-4cc6-5ccf-9787-a539fae9c517",
"comments": [
{
"comment": "CIDR Test",
"entity_id": "72bdf5d2-4cc6-5ccf-9787-a539fae9c517",
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"entity_type": "whitelisted_ip",
"created_at": "2020-01-07T15:58:04Z",
"updated_at": "2020-01-07T15:58:04Z",
"id": 543,
"activity_type": "comment"
}
],
"addr": "198.51.100.1/32"
},
{
"id": "5aa89c8f-a535-5876-840c-af33a7ec1419",
"comments": [
{
"comment": "Testing API",
"entity_id": "5aa89c8f-a535-5876-840c-af33a7ec1419",
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"entity_type": "whitelisted_ip",
"created_at": "2020-01-07T15:57:24Z",
"updated_at": "2020-01-07T15:57:24Z",
"id": 541,
"activity_type": "comment"
}
],
"addr": "198.51.100.10"
},
{
"id": "06461575-700b-596d-8662-7ea0aff28e9c",
"comments": [
{
"comment": "Test Isolation",
"entity_id": "06461575-700b-596d-8662-7ea0aff28e9c",
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"entity_type": "whitelisted_ip",
"created_at": "2020-01-07T15:55:21Z",
"updated_at": "2020-01-07T15:55:21Z",
"id": 539,
"activity_type": "comment"
}
],
"addr": "203.0.113.1"
}
],
"metadata": {
"count": 5,
"previous_url": null,
"timestamp": "2020-01-07T16:00:19.754687",
"next": null,
"per_page": 10,
"next_url": null,
"previous": null
}
}
호스트 격리 구성에 IP 서브넷 추가
Endgame에 정의된 호스트 격리 구성에 IP 서브넷 추가
매개변수
| 매개변수 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| IP 서브넷 | 문자열 | 해당 사항 없음 | 호스트 격리 구성에 추가할 IPv4 서브넷을 입력합니다. |
| 설명 | 문자열 | 해당 사항 없음 | IP 서브넷에 대한 설명을 입력합니다. |
| 통계 만들기 | 체크박스 | 선택 해제됨 | 사용 설정된 경우 이 작업이 성공적으로 실행된 후 통계를 만듭니다. |
사용 사례
이 작업은 호스트 격리 구성에 관한 정보를 가져오는 데 사용됩니다. 이 구성을 사용하면 격리된 호스트가 여기에 나열된 IP 서브넷에 연결할 수 있습니다. 분석가는 이 작업을 사용하여 필요한 IP 서브넷을 호스트 격리 구성에 추가할 수 있습니다.
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
통계
Endgame을 사용하여 호스트 격리 구성에 IP 서브넷이 추가된 경우 이를 나타내는 통계를 만듭니다.
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
호스트 격리 구성에서 IP 서브넷 삭제
Endgame에 정의된 호스트 격리 구성에서 IP 서브넷을 삭제합니다.
매개변수
| 매개변수 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| IP 서브넷 | 문자열 | 해당 사항 없음 | 호스트 격리 구성에 추가할 IPv4 서브넷을 입력합니다. |
| 통계 만들기 | 체크박스 | 선택 해제됨 | 사용 설정된 경우 이 작업이 성공적으로 실행된 후 통계를 만듭니다. |
사용 사례
이 작업은 호스트 격리 구성에 관한 정보를 가져오는 데 사용됩니다. 이 구성을 사용하면 격리된 호스트가 여기에 나열된 IP 서브넷에 연결할 수 있습니다. 분석가는 이 작업을 사용하여 더 이상 필요하지 않은 IP 서브넷을 호스트 격리 구성에서 삭제할 수 있습니다.
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
통계
Endgame을 사용하여 호스트 격리 구성에서 IP 서브넷이 삭제된 경우 이를 나타내는 통계를 만듭니다.
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
Autoruns 수집 (Windows만 해당)
엔드게임 엔드포인트에서 자동 실행을 수집합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| 반환할 최대 항목 수 | 정수 | 1000 | 반환할 자동 실행 수를 지정합니다. |
| '전체' 카테고리 | 체크박스 | 선택됨 | 사용 설정된 경우 모든 자동 실행 카테고리를 검색합니다. |
| '네트워크 제공업체' 카테고리 | 체크박스 | 선택 해제 | 사용 설정된 경우 '네트워크 제공업체' 자동 실행 카테고리를 검색합니다. |
| 'Office' 카테고리 | 체크박스 | 선택 해제 | 사용 설정된 경우 'Office' 자동 실행 카테고리를 검색합니다 . |
| '드라이버' 카테고리 | 체크박스 | 선택 해제 | 사용 설정된 경우 '드라이버' 자동 실행 카테고리를 검색합니다. |
| '앱 초기화' 카테고리 | 체크박스 | 선택 해제 | 사용 설정된 경우 'App Init' 자동 실행 카테고리를 검색합니다. |
| 'Winlogon' 카테고리 | 체크박스 | 선택 해제 | 사용 설정된 경우 'Winlogon' 자동 실행 카테고리를 검색합니다. |
| '인쇄 모니터' 카테고리 | 체크박스 | 선택 해제 | 사용 설정된 경우 '인쇄 모니터' 자동 실행 카테고리를 검색합니다. |
| '접근성' 카테고리 | 체크박스 | 선택 해제 | 사용 설정된 경우 '접근성' 자동 실행 카테고리를 검색합니다. |
| 'WMI' 카테고리 | 체크박스 | 선택 해제 | 사용 설정된 경우 'WMI' 자동 실행 카테고리를 검색합니다. |
| 'LSA 제공업체' 카테고리 | 체크박스 | 선택 해제 | 사용 설정된 경우 'LSA 공급자' 자동 실행 카테고리를 검색합니다. |
| '서비스' 카테고리 | 체크박스 | 선택 해제 | 사용 설정된 경우 '서비스' 자동 실행 카테고리를 검색합니다. |
| '비트' 카테고리 | 체크박스 | 선택 해제 | 사용 설정된 경우 '비트' 자동 실행 카테고리를 검색합니다. |
| '알려진 dll' 카테고리 | 체크박스 | 선택 해제 | 사용 설정된 경우 '알려진 dll' 자동 실행 카테고리를 검색합니다. |
| '인쇄 제공자' 카테고리 | 체크박스 | 선택 해제 | 사용 설정된 경우 '인쇄 제공업체' 자동 실행 카테고리를 검색합니다. |
| '이미지 도용' 카테고리 | 체크박스 | 선택 해제 | 사용 설정된 경우 'Image Hijack' 자동 실행 카테고리를 검색합니다. |
| '시작 폴더' 카테고리 | 체크박스 | 선택 해제 | 사용 설정된 경우 '시작 폴더' 자동 실행 카테고리를 검색합니다. |
| 'Internet Explorer' 카테고리 | 체크박스 | 선택 해제 | 사용 설정된 경우 'Internet Explorer' 자동 실행 카테고리를 검색합니다. |
| '코덱' 카테고리 | 체크박스 | 선택 해제 | 사용 설정된 경우 '코덱' 자동 실행 카테고리를 검색합니다. |
| '로그온' 카테고리 | 체크박스 | 선택 해제 | 사용 설정된 경우 '로그온' 자동 실행 카테고리를 검색합니다. |
| '검색 순위 도용' 카테고리 | 체크박스 | 선택 해제 | 사용 설정된 경우 '검색 순서 하이재킹' 자동 실행 카테고리를 검색합니다. |
| 'Winsock Provider' 카테고리 | 체크박스 | 선택 해제 | 사용 설정된 경우 'Winsock Provider' 자동 실행 카테고리를 검색합니다 . |
| '부팅 실행' 카테고리 | 체크박스 | 선택 해제 | 사용 설정된 경우 '부팅 실행' 자동 실행 카테고리를 검색합니다. |
| '팬텀 dll' 카테고리 | 체크박스 | 선택 해제 | 사용 설정된 경우 'Phantom dll' 자동 실행 카테고리를 검색합니다. |
| 'Com Hijack' 카테고리 | 체크박스 | 선택 해제 | 사용 설정된 경우 'Com Hijack' 자동 실행 카테고리를 검색합니다. |
| '탐색기' 카테고리 | 체크박스 | 선택 해제 | 사용 설정된 경우 '탐색기' 자동 실행 카테고리를 검색합니다. |
| '예약된 작업' 카테고리 | 체크박스 | 선택 해제 | 사용 설정된 경우 'Scheduled Task' 자동 실행 카테고리를 검색합니다. |
| 모든 메타데이터 포함 | 체크박스 | 선택됨 | 사용 설정된 경우 사용 가능한 모든 데이터를 제공합니다. |
| 멀웨어 분류 메타데이터 포함 | 체크박스 | 선택 해제 | 사용 설정된 경우 MalwareScore에 관한 정보를 제공합니다. |
| Authenticode 메타데이터 포함 | 체크박스 | 선택 해제 | 사용 설정된 경우 서명자 정보를 제공합니다. |
| MD5 해시 포함 | 체크박스 | 선택 해제 | 사용 설정된 경우 응답에 MD5 해시를 제공합니다. |
| SHA-1 해시 포함 | 체크박스 | 선택 해제 | 사용 설정된 경우 응답에 SHA-1 해시를 제공합니다. |
| SHA-256 해시 포함 | 체크박스 | 선택 해제 | 사용 설정된 경우 응답에 SHA-256 해시를 제공합니다. |
사용 사례
이 작업은 엔드포인트의 자동 실행에 관한 정보를 수집하는 데 사용할 수 있습니다. 이 데이터는 분석가가 트리아지 및 수정 프로세스를 실행하는 데 도움이 될 수 있습니다.
실행
이 작업은 다음 항목에서 실행됩니다.
- 호스트
- IP 주소
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"data": {
"count": 1,
"per_page": 50,
"previous": null,
"tasks": [
{
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"data": {
"category_option": {
"category_network_provider": true,
"category_office": false,
"category_driver": false,
"category_app_init": false,
"category_winlogon": false,
"category_print_monitor": false,
"category_ease_of_access": false,
"category_wmi": false,
"category_lsa_provider": false,
"category_service": false,
"category_bits": false,
"category_known_dll": false,
"category_print_provider": false,
"category_image_hijack": false,
"category_startup_folder": false,
"category_internet_explorer": false,
"category_codec": false,
"category_logon": false,
"category_all": false,
"category_search_order_hijack": false,
"category_winsock_provider": false,
"category_boot_execute": false,
"category_phantom_dll": false,
"category_com_hijack": false,
"category_explorer": false,
"category_scheduled_task": false
},
"metadata_option": {
"metadata_all": true,
"metadata_malware_classification": false,
"metadata_sha1": false,
"metadata_sha256": false,
"metadata_authenticode": false,
"metadata_md5": false
}
},
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"metadata": {
"sensor_id": "8eef6873-6db7-58ab-a1ca-68dc19b54117",
"investigation_id": "0b043f77-531f-4109-93b1-e01019ad0980",
"task_id": "e667b0c3-39de-4862-9baf-d6697db79721",
"echo": "",
"endpoint_id": "b23c8a14-69e0-4966-b78a-c9fba4fdd934",
"destination_plugin": "autoruns",
"key": "collectAutoRunsRequest",
"semantic_version": "3.52.\\d+",
"collection_id": "2393f424-bf57-40af-81e6-91b95acf5409"
}
}
],
"next": null
},
"metadata": {
"timestamp": "2020-01-08T13:15:37.238341"
}
}
호스트 격리
엔드게임 엔드포인트를 격리합니다. 이 작업은 Windows 및 macOS 시스템만 지원합니다.
매개변수
| 매개변수 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| 통계 만들기 | 체크박스 | 선택 해제 | 사용 설정된 경우 이 작업이 성공적으로 실행된 후 통계를 만듭니다. |
사용 사례
이 작업은 호스트 격리 구성에 관한 정보를 가져오는 데 사용됩니다. 이 구성을 사용하면 격리된 호스트가 여기에 나열된 IP 서브넷에 연결할 수 있습니다. 분석가는 이 작업을 사용하여 필요한 IP 서브넷을 호스트 격리 구성에 추가할 수 있습니다.
실행
이 작업은 다음 항목에서 실행됩니다.
- 호스트
- IP 주소
작업 결과
항목 보강
해당 사항 없음
통계
엔드포인트가 Endgame 에이전트를 사용하여 격리된 경우 이를 나타내는 인사이트를 만듭니다.
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"data": {
"valid": true,
"bulk_task_id": "a6ccc2f7-39a7-42e7-b646-41b281316b1d",
"error_messages": []
},
"metadata": {
"timestamp": "2020-01-08T15:09:22.474963"
}
}
호스트 격리 해제
Endgame 엔드포인트의 격리를 해제합니다. 이 작업은 Windows 및 macOS 시스템만 지원합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| 통계 만들기 | 체크박스 | 선택 해제 | 사용 설정된 경우 이 작업이 성공적으로 실행된 후 통계를 만듭니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- 호스트
- IP 주소
작업 결과
통계
Endgame 에이전트를 사용하여 엔드포인트가 격리 해제된 경우 이를 나타내는 인사이트를 만듭니다.
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"data": {
"domain": "InstallerInitiated",
"updated_at": "2020-01-08T08:16:26.063394+00:00",
"id": "b23c8a14-69e0-4966-b78a-c9fba4fdd934",
"display_operating_system": "Windows 10 (v1511)",
"hostname": "example",
"mac_address": "01:23:45:ab:cd:ef",
"upgrade_status": "",
"base_image": false,
"isolation_updated_at": "2020-01-08T15:09:24.665367+00:00",
"status": "monitored",
"ad_distinguished_name": "CN=EXAMPLE,CN=Computers,DC=example,DC=com",
"ad_hostname": "example.com",
"tags": [],
"isolation_request_status": null,
"alert_count": 0,
"groups": [
{
"is_dynamic": false,
"count": 2,
"id": "d9de26c9-ee63-4d38-9997-7418bd13c45e",
"name": "Demo: APT28"
}
],
"sensors": [
{
"status": "monitored",
"sensor_version": "3.52.12",
"policy_status": "successful",
"policy_name": "Lab (Detect-Only with Streaming)",
"sensor_type": "hunt",
"id": "8eef6873-6db7-58ab-a1ca-68dc19b54117",
"policy_id": "07b7a44f-25f3-4e5c-977b-2915de8160c5"
}
],
"ip_address": "192.0.2.3",
"is_isolated": false,
"operating_system": "Windows 10.0",
"name": "example",
"status_changed_at": "2020-01-08T12:30:48.704802+00:00",
"core_os": "windows",
"created_at": "2019-11-01T06:31:32.519640+00:00",
"error": null,
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
},
"metadata": {
"timestamp": "2020-01-08T15:16:34.303701"
}
}
파일 다운로드
특정 Endgame 엔드포인트에서 파일을 다운로드합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| 전체 파일 경로 | 문자열 | 해당 사항 없음 | 사용 설정된 경우 이 작업이 성공적으로 실행된 후 통계를 만듭니다. |
| 전체 다운로드 폴더 경로 | 문자열 | 해당 사항 없음 | 이 파일을 저장할 폴더의 경로를 입력합니다. |
| 예상 SHA-256 해시 | 문자열 | 해당 사항 없음 | 예상 SHA-256 해시를 입력합니다. |
사용 사례
이 작업을 사용하여 엔드포인트에서 파일에 액세스할 수 있습니다. 파일은 수동으로 처리해야 하는 경우가 있으며, 이 활동은 사용자가 필요한 파일에 액세스하는 데 도움이 됩니다.
실행
이 작업은 다음 항목에서 실행됩니다.
- 호스트
- IP 주소
작업 결과
통계
엔드포인트가 Endgame 에이전트를 사용하여 격리 해제된 경우 이를 나타내는 통계를 만듭니다.
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
상태가 success인 경우 JSON 결과는 다음과 같습니다.
{
"data": {
"status": "success",
"doc_type": "collection",
"endpoint": {
"domain": "InstallerInitiated",
"updated_at": "2019-11-01T05:41:10.150817+00:00",
"id": "a3cdc174-3af0-400a-85c3-bbb1435a6b61",
"display_operating_system": "Ubuntu 18.04.1",
"hostname": "example",
"mac_address": "01:23:45:ab:cd:ef",
"base_image": false,
"isolation_updated_at": null,
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [
{
"id": "fc2dfcc8-9329-4f33-86a2-877bfb27575e",
"name": "CORE ENV"
}
],
"isolation_request_status": null,
"upgrade_status": "",
"groups": [
{
"is_dynamic": false,
"count": 1,
"id": "e453d4f6-95c9-4dc5-bc41-2f4cae423e19",
"name": "Demo: Bad Admin"
}
],
"sensors": [
{
"status": "A",
"sensor_version": "3.52.12",
"sensor_type": "hunt",
"id": "c7347a4b-3e71-5514-980f-90bdbab758cf"
}
],
"ip_address": "192.0.2.1",
"is_isolated": false,
"operating_system": "Linux 4.15.0-29-generic",
"name": "example",
"status_changed_at": "2020-01-07T08:16:46.895105+00:00",
"core_os": "linux",
"created_at": "2019-03-19T04:25:06.953312+00:00",
"error": null,
"machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d"
},
"task_id": "0854ae75-47ca-438a-8731-615defac44ac",
"family": "response",
"data": {
"results": [
{
"size": 1731,
"endpoint": {
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"operating_system": "Linux 4.15.0-29-generic",
"name": "example",
"display_operating_system": "Ubuntu 18.04.1",
"hostname": "example",
"updated_at": "2020-01-07T08:16:44Z",
"mac_address": "01:23:45:ab:cd:ef",
"ip_address": "192.0.2.1",
"id": "a3cdc174-3af0-400a-85c3-bbb1435a6b61"
},
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"investigation_id": null,
"filepath": "/home/a-arobinson/Downloads/bad_admin.sh",
"bulk_task_id": null,
"created_by": "a-arobinson",
"file_uuid": "4c45cc36-b6ca-412a-ae0b-ed214a9c7187",
"correlation_id": "13dfca7b-9e75-4115-be93-e6684dbfc7c8",
"user": {
"username": "admin",
"first_name": "Example",
"last_name": "User",
"id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1"
},
"chunk_size": 26214400,
"existing_path": "/home/a-arobinson/Downloads/bad_admin.sh",
"sha256": "8066b309db13bae560c15c35f42247a0f778786f0056d326ff3e6dffd1eac4f8",
"origination_task_id": "0854ae75-47ca-438a-8731-615defac44ac",
"md5": "6441b8f58feddb5a5f6fcd81c117ecb8"
}
]
},
"created_at": "2020-01-07T11:28:02.826397Z",
"os_type": "linux",
"machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d",
"type": "downloadFileResponse",
"id": "d6fb3bf3-afea-44e0-8472-389f4e7e0002"
},
"metadata": {
"count": 1,
"previous_url": null,
"timestamp": "2020-01-07T11:41:56.750788",
"next": null,
"per_page": 50,
"next_url": null,
"previous": null
}
}
상태가 failure인 경우 JSON 결과는 다음과 같습니다.
{
"data": {
"status": "failure",
"doc_type": "collection",
"endpoint": {
"domain": "InstallerInitiated",
"updated_at": "2019-11-01T05:42:09.150756+00:00",
"id": "12c3530d-657f-4ccd-835e-6df9affeed3d",
"display_operating_system": "Ubuntu 18.04.3",
"hostname": "example",
"mac_address": "01:23:45:ab:cd:ef",
"base_image": false,
"isolation_updated_at": null,
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [],
"isolation_request_status": null,
"upgrade_status": "",
"groups": [
{
"is_dynamic": false,
"count": 4,
"id": "c1af3cd6-2638-4144-842d-adc9cfb67fb9",
"name": "SOC"
}
],
"sensors": [
{
"status": "A",
"sensor_version": "3.52.12",
"sensor_type": "hunt",
"id": "dc2e35cc-0c87-5a60-8fc8-de23ef747d02"
}
],
"ip_address": "192.0.2.1",
"is_isolated": false,
"operating_system": "Linux 4.15.0-72-generic",
"name": "example",
"status_changed_at": "2020-01-19T11:05:16.765186+00:00",
"core_os": "linux",
"created_at": "2019-09-20T21:34:51.966863+00:00",
"error": null,
"machine_id": "5ae8ddd9-9339-ae4b-ccf7-5ed68f38b3a9"
},
"task_id": "85148460-c868-4fe5-a3e6-0d90784fadd1",
"family": "response",
"data": {
"results": [
{
"endpoint": {
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"operating_system": "Linux 4.15.0-72-generic",
"name": "example",
"display_operating_system": "Ubuntu 18.04.3",
"hostname": "example",
"updated_at": "2020-01-16T14:04:22Z",
"mac_address": "01:23:45:ab:cd:ef",
"ip_address": "192.0.2.1",
"id": "12c3530d-657f-4ccd-835e-6df9affeed3d"
},
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"investigation_id": null,
"expected_sha256": "123",
"bulk_task_id": null,
"correlation_id": "a7dc04c8-932c-4056-9477-8095b1fa15d8",
"user": {
"username": "admin",
"first_name": "Example",
"last_name": "User",
"id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1"
},
"chunk_size": 26214400,
"existing_path": "/home/example/Downloads/bad_admin.sh",
"origination_task_id": "85148460-c868-4fe5-a3e6-0d90784fadd1"
}
]
},
"created_at": "2020-01-19T12:19:57Z",
"os_type": "linux",
"machine_id": "5ae8ddd9-9339-ae4b-ccf7-5ed68f38b3a9",
"type": "downloadFileResponse",
"id": "8eb6b538-d480-4210-92fb-df08a3a4dfb9"
},
"metadata": {
"count": 1,
"previous_url": null,
"timestamp": "2020-01-19T12:23:23.623961",
"next": null,
"per_page": 50,
"next_url": null,
"previous": null
}
}
파일 삭제
Endgame 엔드포인트에서 파일을 삭제합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| 파일 경로 | 문자열 | 해당 사항 없음 | 파일 경로를 입력합니다. |
사용 사례
이 작업은 엔드포인트에서 파일을 삭제하는 데 사용됩니다. 예를 들어 멀웨어가 발견되어 분석가가 이를 삭제하려는 경우에 사용할 수 있습니다.
실행
이 작업은 다음 항목에서 실행됩니다.
- 호스트
- IP 주소
작업 결과
통계
엔드포인트가 Endgame 에이전트를 사용하여 격리 해제된 경우 이를 나타내는 통계를 만듭니다.
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
(status = success)
{
"data": [
{
"status": "success",
"doc_type": "collection",
"endpoint": {
"domain": "InstallerInitiated",
"updated_at": "2019-11-01T05:41:10.150817+00:00",
"id": "a3cdc174-3af0-400a-85c3-bbb1435a6b61",
"display_operating_system": "Ubuntu 18.04.1",
"hostname": "08203s-lubu1804",
"mac_address": "01:23:45:ab:cd:ef",
"upgrade_status": "",
"base_image": false,
"isolation_updated_at": null,
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [
{
"id": "fc2dfcc8-9329-4f33-86a2-877bfb27575e",
"name": "CORE ENV"
}
],
"isolation_request_status": null,
"groups": [
{
"is_dynamic": false,
"count": 1,
"id": "e453d4f6-95c9-4dc5-bc41-2f4cae423e19",
"name": "Demo: Bad Admin"
}
],
"sensors": [
{
"status": "monitored",
"sensor_version": "3.52.12",
"policy_status": "successful",
"policy_name": "Lab (Detect-Only with Streaming)",
"sensor_type": "hunt",
"id": "c7347a4b-3e71-5514-980f-90bdbab758cf",
"policy_id": "07b7a44f-25f3-4e5c-977b-2915de8160c5"
}
],
"ip_address": "192.0.2.1",
"is_isolated": false,
"operating_system": "Linux 4.15.0-29-generic",
"name": "08203s-lubu1804",
"status_changed_at": "2020-01-20T07:25:02.633331+00:00",
"core_os": "linux",
"created_at": "2019-03-19T04:25:06.953312+00:00",
"error": null,
"machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d"
},
"task_id": "bfb82b8d-71a0-4e5f-9cfe-bd573ea32b25",
"family": "response",
"created_at": "2020-01-20T07:31:37Z",
"local_msg": "Success",
"system_msg": null,
"system_code": null,
"local_code": 0,
"os_type": "linux",
"machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d",
"type": "deleteFileResponse",
"id": "eb50fe9c-1059-42d4-9f5f-52e5af4ae64d"
}
],
"metadata": {
"count": 1,
"previous_url": null,
"timestamp": "2020-01-20T07:32:04.425044",
"next": null,
"per_page": 50,
"next_url": null,
"previous": null
}
}
(status = failure) local_msg 및 system_msg가 사용됩니다.
{
"data": [
{
"status": "failure",
"doc_type": "collection",
"endpoint": {
"domain": "InstallerInitiated",
"updated_at": "2019-11-01T05:41:10.150817+00:00",
"id": "a3cdc174-3af0-400a-85c3-bbb1435a6b61",
"display_operating_system": "Ubuntu 18.04.1",
"hostname": "08203s-lubu1804",
"mac_address": "01:23:45:ab:cd:ef",
"upgrade_status": "",
"base_image": false,
"isolation_updated_at": null,
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [
{
"id": "fc2dfcc8-9329-4f33-86a2-877bfb27575e",
"name": "CORE ENV"
}
],
"isolation_request_status": null,
"groups": [
{
"is_dynamic": false,
"count": 1,
"id": "e453d4f6-95c9-4dc5-bc41-2f4cae423e19",
"name": "Demo: Bad Admin"
}
],
"sensors": [
{
"status": "monitored",
"sensor_version": "3.52.12",
"policy_status": "successful",
"policy_name": "Lab (Detect-Only with Streaming)",
"sensor_type": "hunt",
"id": "c7347a4b-3e71-5514-980f-90bdbab758cf",
"policy_id": "07b7a44f-25f3-4e5c-977b-2915de8160c5"
}
],
"ip_address": "192.0.2.1",
"is_isolated": false,
"operating_system": "Linux 4.15.0-29-generic",
"name": "08203s-lubu1804",
"status_changed_at": "2020-01-07T08:16:46.895105+00:00",
"core_os": "linux",
"created_at": "2019-03-19T04:25:06.953312+00:00",
"error": null,
"machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d"
},
"task_id": "5da277fe-503d-468a-822b-8801d9671cde",
"family": "response",
"created_at": "2020-01-07T13:10:50Z",
"local_msg": "Not found",
"system_msg": null,
"system_code": null,
"local_code": -7,
"os_type": "linux",
"machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d",
"type": "deleteFileResponse",
"id": "6f3e6148-6801-4cb8-8a5d-25f75ea93555"
}
],
"metadata": {
"count": 1,
"previous_url": null,
"timestamp": "2020-01-07T13:16:18.834163",
"next": null,
"per_page": 5,
"next_url": null,
"previous": null
}
}
드라이버 설문조사 (Windows만 해당)
특정 Endgame 엔드포인트에서 드라이버에 관한 정보를 가져옵니다.
매개변수
| 매개변수 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| 반환할 최대 항목 수 | 문자열 | 50 | 반환할 항목 수를 지정합니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- 호스트 이름
- IP 주소
작업 결과
항목 보강
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| driver_basename | JSON 결과에 존재하는 경우에 반환 |
| driver_filename | JSON 결과에 존재하는 경우에 반환 |
| date_modified | JSON 결과에 존재하는 경우에 반환 |
| driver_file_version | JSON 결과에 존재하는 경우에 반환 |
| driver_load_address | JSON 결과에 존재하는 경우에 반환 |
| collection_id | JSON 결과에 존재하는 경우에 반환 |
| hashes | JSON 결과에 존재하는 경우에 반환 |
| machine_id | JSON 결과에 존재하는 경우에 반환 |
| driver_product_version | JSON 결과에 존재하는 경우에 반환 |
| driver_description | JSON 결과에 존재하는 경우에 반환 |
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[{
"EntityResult":
[{ "driver_basename": "test.exe",
"driver_filename": "C:\\\\Windows\\\\system32\\\\test.exe",
"date_modified": 1446189483.0185645,
"driver_file_version": "10.0.10586.0 (th2_release.151029-1700)",
"driver_load_address": "12345678",
"collection_id": "a9925cf1-6d4c-4bea-b13d-12345678",
"hashes": {
"sha256": "9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08",
"md5": "098f6bcd4621d373cade4e832627b4f6",
"sha1": "a94a8fe5ccb19ba61c4c0873d391e987982fbbd3"
},
"machine_id": "5dc677fd-6b47-7df9-f7f4-12345678",
"driver_product_version": "10.0.10586.0",
"driver_description": "Test"
}],
"Entity": "PC-01"
}]
방화벽 설문조사 (Windows만 해당)
특정 Endgame 엔드포인트의 방화벽 규칙에 관한 정보를 가져옵니다.
매개변수
| 매개변수 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| 반환할 최대 항목 수 | 문자열 | 50 | 반환할 항목 수를 지정합니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- 호스트 이름
- IP 주소
작업 결과
항목 보강
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| direction | JSON 결과에 존재하는 경우에 반환 |
| machine_id | JSON 결과에 존재하는 경우에 반환 |
| 설명 | JSON 결과에 존재하는 경우에 반환 |
| remote_addresses | JSON 결과에 존재하는 경우에 반환 |
| protocol_number | JSON 결과에 존재하는 경우에 반환 |
| 사용 설정됨 | JSON 결과에 존재하는 경우에 반환 |
| edge_traversal | JSON 결과에 존재하는 경우에 반환 |
| 프로필 | JSON 결과에 존재하는 경우에 반환 |
| interface_types | JSON 결과에 존재하는 경우에 반환 |
| rule_name | JSON 결과에 존재하는 경우에 반환 |
| icmp_and_type_codes | JSON 결과에 존재하는 경우에 반환 |
| local_addresses | JSON 결과에 존재하는 경우에 반환 |
| application_name | JSON 결과에 존재하는 경우에 반환 |
| collection_id | JSON 결과에 존재하는 경우에 반환 |
| remote_ports | JSON 결과에 존재하는 경우에 반환 |
| action | JSON 결과에 존재하는 경우에 반환 |
| local_ports | JSON 결과에 존재하는 경우에 반환 |
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[{
"EntityResult":
[{
"direction": "in",
"machine_id": "870499c3-d6bf-8edd-972d-12345678",
"description": "Inbound rule for Google Chrome to allow mDNS traffic.",
"remote_addresses": "*",
"protocol_number": 17,
"enabled": true,
"edge_traversal": false,
"profiles":
["domain", "public", "private"],
"interface_types": "All",
"rule_name": "Google Chrome (mDNS-In)",
"icmp_and_type_codes": "",
"local_addresses": "*",
"application_name": "C:\\\\Program Files (x86)\\\\Google\\\\Chrome\\\\Application\\\\chrome.exe",
"collection_id": "0925eea5-c61f-464a-ba61-12345678",
"remote_ports": "*",
"action": "allow",
"local_ports": "1234"
}],
"Entity": "PC-01"
}]
엔드포인트 가져오기
모든 엔드포인트를 나열합니다.
매개변수
해당 사항 없음
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[{
"domain": "",
"updated_at": "2019-05-30T01:40:21.126499+00:00",
"id": "db33d864-7d58-4d85-9d2d-1a98a101995d",
"display_operating_system": "Windows 7 (SP1)",
"hostname": "ip-AC170169",
"mac_address": "01:23:45:ab:cd:ef",
"isolation_updated_at": "",
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [],
"isolation_request_status": "",
"alert_count": 72,
"investigation_count": 0,
"groups": [],
"sensors":
[{
"status": "monitored",
"sensor_version": "3.51.10",
"policy_status": "successful",
"policy_name": "POC-Lab",
"sensor_type": "hunt",
"id": "ec17f7bb-1d63-536a-b694-ca066cc2572e",
"policy_id": "d31f0192-b8e2-49ae-ae54-041376183b7f"
}],
"ip_address": "192.0.2.1",
"is_isolated": "false",
"operating_system": "Windows 6.1 Service Pack 1",
"name": "ip-AC170169",
"status_changed_at": "2019-05-30T01:40:18.200770+00:00",
"core_os": "windows",
"created_at": "2019-05-30T01:36:43.761600+00:00",
"error":
[{
"msg": "Installer failure - Execution failed for (http://192.0.2.1:5985/wsman)\\n",
"deployment_id": "90C2BAA6-B38B-4037-9A9E-7C8628E8D7D6",
"code": 1001, "ts": 1559180421.125456
}],
"machine_id": "4f1adabb-17c4-e39e-caa7-7900562d0b51"
}]
헌트 파일
실행 중인 파일을 검색합니다.
매개변수
| 매개변수 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| 엔드포인트 핵심 OS | 문자열 | windows | 운영체제 (예: Windows, Linux, Mac)를 선택하여 엔드포인트 목록을 필터링합니다. 참고: 동일한 운영체제에서 실행되는 엔드포인트에 대해서만 하나의 조사를 만들 수 있습니다. |
| MD5 해시 | 문자열 | 해당 사항 없음 | 이 조사의 고급 구성입니다. MD5 해시를 쉼표로 구분하여 입력하세요. |
| SHA1 해시 | 문자열 | 해당 사항 없음 | 이 조사의 고급 구성입니다. SHA-1 해시를 쉼표로 구분하여 입력합니다. |
| SHA256 해시 | 문자열 | 해당 사항 없음 | 이 조사의 고급 구성입니다. SHA256 해시를 쉼표로 구분하여 입력하세요. |
| 디렉터리 | 문자열 | 해당 사항 없음 | 시작 디렉터리 경로입니다. 예: C:\windows\system32 |
| 파일 찾기 | 문자열 | 해당 사항 없음 | 검색할 파일 이름을 입력합니다. 정규 표현식을 입력하여 검색 결과를 좁힙니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- 호스트 이름
- IP 주소
작업 결과
항목 보강
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| meta_data | JSON 결과에 존재하는 경우에 반환 |
| file_path | JSON 결과에 존재하는 경우에 반환 |
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[{
"meta_data":
{ "hashes":
{ "sha256": "4705ba6793dc93c1bbe2a9e790e9e22778d217531b1750471206fd5c52bbd2b5",
"md5": "6383522c180badc4e1d5c30a5c4f4913",
"sha1": "62a30e96459b694f7b22d730c460a65cd2ebaaca"
},
"file_name_timestamps":
{ "accessed": 1468675289.0711532,
"entry_modified": 0,
"modified": 1468675289.0711532,
"created": 1468675404.0330572
},
"file_attributes": 38,
"file_size": 174
},
"file_path": "C:\\\\Program Files\\\\desktop.ini"
},
{
"meta_data":
{ "hashes":
{ "sha256": "44fe5eebd80e46f903d68c07bcf06d187a3698bf3953bc58bb578465e2e0fe6c",
"md5": "6bd5fb46283aa48e638bef47510c47da",
"sha1": "c38d46ec6c9bc8baece4a459b617f44d10af973c"
},
"file_name_timestamps":
{
"accessed": 1468675289.0024028,
"entry_modified": 0,
"modified": 1468675289.0024028,
"created": 1468675404.0111823
},
"file_attributes": 38,
"file_size": 645
},
"file_path": "C:\\\\Program Files\\\\Common Files\\\\microsoft shared\\\\Stationery\\\\Desktop.ini"
}]
IP 추적
네트워크 연결을 검색합니다.
매개변수
| 매개변수 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| 엔드포인트 핵심 OS | 문자열 | windows | 운영체제 (예: Windows, Linux, Mac)를 선택하여 엔드포인트 목록을 필터링합니다. 참고: 동일한 운영체제에서 실행되는 엔드포인트에 대해서만 하나의 조사를 만들 수 있습니다. |
| 원격 IP 주소 | 문자열 | 해당 사항 없음 | 원격 IP 주소(쉼표로 구분) |
| 로컬 IP 주소 | 문자열 | 해당 사항 없음 | 쉼표로 구분 |
| 주 | 문자열 | 해당 사항 없음 | 반환할 상태를 입력합니다. 예: ANY |
| 프로토콜 | 문자열 | 해당 사항 없음 | 예: ANY, UDP, TCP |
| 네트워크 포트 | 문자열 | 해당 사항 없음 | 해당 사항 없음 |
| 네트워크 리모컨 | 문자열 | 해당 사항 없음 | 네트워크 원격 또는 로컬입니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- 호스트 이름
- IP 주소
작업 결과
항목 보강
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| parent_name | JSON 결과에 존재하는 경우에 반환 |
| 도메인 | JSON 결과에 존재하는 경우에 반환 |
| exe | JSON 결과에 존재하는 경우에 반환 |
| name | JSON 결과에 존재하는 경우에 반환 |
| has_unbacked_execute_memory | JSON 결과에 존재하는 경우에 반환 |
| pid | JSON 결과에 존재하는 경우에 반환 |
| up_time | JSON 결과에 존재하는 경우에 반환 |
| is_sensor | JSON 결과에 존재하는 경우에 반환 |
| cmdline | JSON 결과에 존재하는 경우에 반환 |
| parent_exe | JSON 결과에 존재하는 경우에 반환 |
| unbacked_execute_byte_count | JSON 결과에 존재하는 경우에 반환 |
| create_time | JSON 결과에 존재하는 경우에 반환 |
| 사용자 | JSON 결과에 존재하는 경우에 반환 |
| sid | JSON 결과에 존재하는 경우에 반환 |
| threads | JSON 결과에 존재하는 경우에 반환 |
| ppid | JSON 결과에 존재하는 경우에 반환 |
| unbacked_execute_region_count | JSON 결과에 존재하는 경우에 반환 |
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[{
"parent_name": "System Idle Process",
"domain": "NT AUTHORITY",
"exe": "",
"name": "System",
"has_unbacked_execute_memory": false,
"pid": 4,
"up_time": 2384701,
"is_sensor": false,
"cmdline": "",
"parent_exe": "",
"unbacked_execute_byte_count": 0,
"create_time": 1559179903,
"user": "SYSTEM",
"sid": "S-1-5-18",
"threads":
[{
"thread_id": 8
}, {
"thread_id": 12,
"up_time": 13206038203,
"create_time": -11644473599
}, {
"thread_id": 16,
"up_time": 13206038203,
"create_time": -11644473599
}],
"ppid": 0,
"unbacked_execute_region_count": 0
}]
헌팅 프로세스
실행 중인 프로세스를 검색합니다.
매개변수
| 매개변수 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| 엔드포인트 핵심 OS | 문자열 | windows | 운영체제 (예: Windows, Linux 또는 Mac)을 입력하여 엔드포인트 목록을 필터링합니다. 참고: 동일한 운영체제에서 실행되는 엔드포인트에 대해서만 단일 조사를 만들 수 있습니다. |
| MD5 해시 | 문자열 | 해당 사항 없음 | 이 조사의 고급 구성입니다. MD5 해시를 쉼표로 구분하여 입력하세요. |
| SHA1 해시 | 문자열 | 해당 사항 없음 | 이 조사의 고급 구성입니다. SHA-1 해시를 쉼표로 구분하여 입력합니다. |
| SHA256 해시 | 문자열 | 해당 사항 없음 | 이 조사의 고급 구성입니다. SHA256 해시를 쉼표로 구분하여 입력하세요. |
| 프로세스 이름 | 문자열 | 해당 사항 없음 | 이 조사의 고급 구성입니다. 프로세스 이름(예: iss. exe)을 입력하세요.* |
실행
이 작업은 다음 항목에서 실행됩니다.
- 호스트 이름
- IP 주소
작업 결과
항목 보강
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| parent_name | JSON 결과에 존재하는 경우에 반환 |
| 도메인 | JSON 결과에 존재하는 경우에 반환 |
| exe | JSON 결과에 존재하는 경우에 반환 |
| name | JSON 결과에 존재하는 경우에 반환 |
| has_unbacked_execute_memory | JSON 결과에 존재하는 경우에 반환 |
| pid | JSON 결과에 존재하는 경우에 반환 |
| up_time | JSON 결과에 존재하는 경우에 반환 |
| is_sensor | JSON 결과에 존재하는 경우에 반환 |
| cmdline | JSON 결과에 존재하는 경우에 반환 |
| parent_exe | JSON 결과에 존재하는 경우에 반환 |
| unbacked_execute_byte_count | JSON 결과에 존재하는 경우에 반환 |
| create_time | JSON 결과에 존재하는 경우에 반환 |
| 사용자 | JSON 결과에 존재하는 경우에 반환 |
| sid | JSON 결과에 존재하는 경우에 반환 |
| threads | JSON 결과에 존재하는 경우에 반환 |
| ppid | JSON 결과에 존재하는 경우에 반환 |
| unbacked_execute_region_count | JSON 결과에 존재하는 경우에 반환 |
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[{
"parent_name": "System Idle Process",
"domain": "NT AUTHORITY",
"exe": "",
"name": "System",
"has_unbacked_execute_memory": false,
"pid": 4,
"up_time": 2384701,
"is_sensor": false,
"cmdline": "",
"parent_exe": "",
"unbacked_execute_byte_count": 0,
"create_time": 1559179903,
"user": "SYSTEM",
"sid": "S-1-5-18",
"threads":
[{
"thread_id": 8
},{
"thread_id": 12,
"up_time": 13206038203,
"create_time": -11644473599
},{
"thread_id": 16,
"up_time": 13206038203,
"create_time": -11644473599
}],
"ppid": 0,
"unbacked_execute_region_count": 0
}]
Hunt Registry
레지스트리 키 또는 값 이름을 검색합니다.
매개변수
| 매개변수 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| Hive | 문자열 | 전체 | HKEY_CLASSES_ROOT, HKEY_CURRENT_CONFIG, HKEY_USERS, HKEY_LOCAL_MACHINE, ALL 중 하나입니다. |
| 키 | 문자열 | 해당 사항 없음 | 레지스트리 키 또는 값 이름입니다. |
| 최소 크기 | 문자열 | 해당 사항 없음 | 최소 바이트 크기입니다. |
| 최대 크기 | 문자열 | 해당 사항 없음 | 최대 바이트 크기입니다. |
| 엔드포인트 핵심 OS | 문자열 | windows | 운영체제 (예: Windows, Linux 또는 Mac)을 입력하여 엔드포인트 목록을 필터링합니다. 참고: 동일한 운영체제에서 실행되는 엔드포인트에 대해서만 단일 조사를 만들 수 있습니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- 호스트 이름
- IP 주소
작업 결과
항목 보강
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| parent_name | JSON 결과에 존재하는 경우에 반환 |
| 도메인 | JSON 결과에 존재하는 경우에 반환 |
| exe | JSON 결과에 존재하는 경우에 반환 |
| name | JSON 결과에 존재하는 경우에 반환 |
| up_time | JSON 결과에 존재하는 경우에 반환 |
| is_sensor | JSON 결과에 존재하는 경우에 반환 |
| cmdline | JSON 결과에 존재하는 경우에 반환 |
| parent_exe | JSON 결과에 존재하는 경우에 반환 |
| unbacked_execute_byte_count | JSON 결과에 존재하는 경우에 반환 |
| create_time | JSON 결과에 존재하는 경우에 반환 |
| 사용자 | JSON 결과에 존재하는 경우에 반환 |
| sid | JSON 결과에 존재하는 경우에 반환 |
| threads | JSON 결과에 존재하는 경우에 반환 |
| ppid | JSON 결과에 존재하는 경우에 반환 |
| unbacked_execute_region_count | JSON 결과에 존재하는 경우에 반환 |
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[{
"parent_name": "System Idle Process",
"domain": "NT AUTHORITY",
"exe": "",
"name": "System",
"has_unbacked_execute_memory": false,
"pid": 4,
"up_time": 2384701,
"is_sensor": false,
"cmdline": "",
"parent_exe": "",
"unbacked_execute_byte_count": 0,
"create_time": 1559179903,
"user": "SYSTEM",
"sid": "S-1-5-18",
"threads":
[{
"thread_id": 8
},{
"thread_id": 12,
"up_time": 13206038203,
"create_time": -11644473599
}, {
"thread_id": 16,
"up_time": 13206038203,
"create_time": -11644473599
}],
"ppid": 0,
"unbacked_execute_region_count": 0
}]
사용자 검색
로그인한 사용자를 네트워크에서 검색합니다.
매개변수
| 매개변수 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| 엔드포인트 핵심 OS | 문자열 | windows | 운영체제 (예: Windows, Linux 또는 Mac)을 입력하여 엔드포인트 목록을 필터링합니다. 참고: 동일한 운영체제에서 실행되는 엔드포인트에 대해서만 단일 조사를 만들 수 있습니다. |
| 사용자 이름 찾기 | 문자열 | 해당 사항 없음 | 이 조사의 고급 구성입니다. 사용자 이름을 입력하고 여러 항목은 세미콜론으로 구분합니다. |
| 도메인 이름 | 문자열 | 해당 사항 없음 | 이 조사의 고급 구성입니다. 도메인 이름을 입력합니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- 호스트 이름
- IP 주소
작업 결과
항목 보강
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| parent_name | JSON 결과에 존재하는 경우에 반환 |
| 도메인 | JSON 결과에 존재하는 경우에 반환 |
| exe | JSON 결과에 존재하는 경우에 반환 |
| name | JSON 결과에 존재하는 경우에 반환 |
| has_unbacked_execute_memory | JSON 결과에 존재하는 경우에 반환 |
| pid | JSON 결과에 존재하는 경우에 반환 |
| up_time | JSON 결과에 존재하는 경우에 반환 |
| is_sensor | JSON 결과에 존재하는 경우에 반환 |
| cmdline | JSON 결과에 존재하는 경우에 반환 |
| parent_exe | JSON 결과에 존재하는 경우에 반환 |
| unbacked_execute_byte_count | JSON 결과에 존재하는 경우에 반환 |
| create_time | JSON 결과에 존재하는 경우에 반환 |
| 사용자 | JSON 결과에 존재하는 경우에 반환 |
| sid | JSON 결과에 존재하는 경우에 반환 |
| threads | JSON 결과에 존재하는 경우에 반환 |
| ppid | JSON 결과에 존재하는 경우에 반환 |
| unbacked_execute_region_count | JSON 결과에 존재하는 경우에 반환 |
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[{
"parent_name": "System Idle Process",
"domain": "NT AUTHORITY",
"exe": "",
"name": "System",
"has_unbacked_execute_memory": false,
"pid": 4,
"up_time": 2384701,
"is_sensor": false,
"Cmdline":"",
"parent_exe": "",
"unbacked_execute_byte_count": 0,
"create_time": 1559179903,
"user": "SYSTEM",
"sid": "S-1-5-18",
"threads":
[{
"thread_id": 8
}, {
"thread_id": 12,
"up_time": 13206038203,
"create_time": -11644473599
}, {
"thread_id": 16,
"up_time": 13206038203,
"create_time": -11644473599
}],
"ppid": 0,
"unbacked_execute_region_count": 0
}]
프로세스 종료
특정 Endgame 엔드포인트에서 프로세스를 종료합니다.
매개변수
| 매개변수 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| 프로세스 이름 | 문자열 | 해당 사항 없음 | 프로세스 이름을 입력합니다. |
| PID | 문자열 | 해당 사항 없음 | 프로세스 ID를 입력합니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- 호스트 이름
- IP 주소
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
네트워크 설문조사
특정 Endgame 엔드포인트에서 연결, DNS 캐시, NetBIOS, ARP, 라우팅 테이블에 관한 정보를 가져옵니다.
매개변수
| 매개변수 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| 반환할 최대 항목 수 | 문자열 | 50 | 반환할 자동 실행 수를 지정합니다. |
| 경로 항목 정보 포함 | 체크박스 | 선택됨 | 경로 항목에 관한 정보를 가져오도록 지정합니다. |
| Net Bios 정보 포함 | 체크박스 | 선택됨 | Net Bios에 관한 정보를 가져오도록 지정합니다. |
| DNS 캐시 정보 포함 | 체크박스 | 선택됨 | DNS 캐시에 관한 정보를 가져오도록 지정합니다. |
| ARP 테이블 정보 포함 | 체크박스 | 선택됨 | ARP 테이블에 관한 정보를 가져오도록 지정합니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- 호스트 이름
- IP 주소
작업 결과
항목 보강
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| 연결 | JSON 결과에 존재하는 경우에 반환 |
| netbios_info | JSON 결과에 존재하는 경우에 반환 |
| arp_table | JSON 결과에 존재하는 경우에 반환 |
| route_table | JSON 결과에 존재하는 경우에 반환 |
| dns_cache | JSON 결과에 존재하는 경우에 반환 |
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[{
"EntityResult":
{
"connections":
[{
"connection_type": "SOCK_STREAM",
"collection_id": "50e74bd2-1cd4-412c-a7fc-24cf1456e883",
"exe": "C:\\\\Windows\\\\System32\\\\test.exe",
"connection_status": "LISTEN",
"name": "test.exe",
"family": "ipv4",
"local_port": 111,
"remote_port": 0,
"pid": 700,
"remote_address": "0.0.0.0",
"create_time": 1583314664,
"connection_timestamp": 1583314664.0117714,
"local_address": "0.0.0.0",
"protocol": "tcp",
"hashes":
{
"sha256": "5d00bbeb147e0c838a622fc42c543b2913d57eaca4e69d9a37ed61e98c819347", "md5": "8497852ed44aff902d502015792d315d",
"sha1": "800a4c2e524fc392c45748eae1691fa01d24ea4c"
},
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
}],
"netbios_info":
[{
"comment": "",
"name": "PC-01",
"version_major": 10,
"netbios_neighbor_type": 8392747,
"platform": "WINDOWS NT",
"version_minor": 0
}],
"arp_table":
[{
"connection_type": "SOCK_STREAM",
"collection_id": "50e74bd2-1cd4-412c-a7fc-24cf1456e883",
"exe": "C:\\\\Windows\\\\System32\\\\test.exe",
"connection_status": "LISTEN",
"name": "test.exe",
"family": "ipv4",
"local_port": 111,
"remote_port": 0,
"pid": 700,
"remote_address": "0.0.0.0",
"create_time": 1583314664,
"connection_timestamp": 1583314664.0117714,
"local_address": "0.0.0.0",
"protocol": "tcp",
"hashes": {"sha256": "5d00bbeb147e0c838a622fc42c543b2913d57eaca4e69d9a37ed61e98c819347", "md5": "8497852ed44aff902d502015792d315d",
"sha1": "800a4c2e524fc392c45748eae1691fa01d24ea4c"},
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
}],
"route_table":
[{
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"family": "ipv4",
"destination": "0.0.0.0",
"netmask": "0.0.0.0",
"collection_id": "50e74bd2-1cd4-412c-a7fc-24cf1456e883",
"interface_name": "Ethernet0",
"gateway": "1.1.1.1"
}],
"dns_cache":
[{
"name": "test.ms",
"dns_record_type": "A",
"ttl": 0,
"collection_id": "50e74bd2-1cd4-412c-a7fc-24cf1456e883",
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"query_error": 9701
}]
},
"Entity": "PC-01"
}]
핑
Endgame 서버 연결을 테스트합니다.
매개변수
해당 사항 없음
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
프로세스 설문조사
특정 Endgame 엔드포인트에서 실행 중인 프로세스에 관한 정보를 가져옵니다.
매개변수
| 매개변수 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| 반환할 최대 항목 수 | 문자열 | 50 | 반환할 항목 수를 지정합니다. |
| 파일 없는 공격 감지 (Windows만 해당) | 체크박스 | 선택 해제 | 파일 없는 공격을 감지하도록 지정합니다. Windows만 해당 |
| MalwareScore로 멀웨어 감지 (Windows만 해당) | 체크박스 | 선택 해제 | MalwareScore로 멀웨어 프로세스를 감지하도록 지정합니다. Windows만 해당 |
| 프로세스 스레드 수집 | 체크박스 | 선택 해제 | 응답에 프로세스 스레드 수에 관한 정보를 포함하도록 지정합니다. |
| 의심스러운 프로세스만 반환 | 체크박스 | 선택됨 | 엔드포인트에서 의심스러운 프로세스만 반환하도록 지정합니다. 엔드게임 정의에 따르면 의심스러운 프로세스는 지원되지 않는 실행 파일 프로세스입니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- 호스트 이름
- IP 주소
작업 결과
항목 보강
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| 도메인 | JSON 결과에 존재하는 경우에 반환 |
| name_suspicious | JSON 결과에 존재하는 경우에 반환 |
| pid | JSON 결과에 존재하는 경우에 반환 |
| name_uncommon_path | JSON 결과에 존재하는 경우에 반환 |
| repeat_offender | JSON 결과에 존재하는 경우에 반환 |
| cmdline | JSON 결과에 존재하는 경우에 반환 |
| create_time | JSON 결과에 존재하는 경우에 반환 |
| parent_name | JSON 결과에 존재하는 경우에 반환 |
| has_unbacked_execute_memory | JSON 결과에 존재하는 경우에 반환 |
| sid | JSON 결과에 존재하는 경우에 반환 |
| ppid | JSON 결과에 존재하는 경우에 반환 |
| up_time | JSON 결과에 존재하는 경우에 반환 |
| unbacked_execute_region_count | JSON 결과에 존재하는 경우에 반환 |
| is_sensor | JSON 결과에 존재하는 경우에 반환 |
| threads | JSON 결과에 존재하는 경우에 반환 |
| 사용자 | JSON 결과에 존재하는 경우에 반환 |
| collection_id | JSON 결과에 존재하는 경우에 반환 |
| parent_exe | JSON 결과에 존재하는 경우에 반환 |
| exe | JSON 결과에 존재하는 경우에 반환 |
| name | JSON 결과에 존재하는 경우에 반환 |
| unbacked_execute_byte_count | JSON 결과에 존재하는 경우에 반환 |
| machine_id | JSON 결과에 존재하는 경우에 반환 |
| unbacked_execute_region_count | JSON 결과에 존재하는 경우에 반환 |
| tty_device_minor_number | JSON 결과에 존재하는 경우에 반환 |
| uid | JSON 결과에 존재하는 경우에 반환 |
| name_suspicious | JSON 결과에 존재하는 경우에 반환 |
| phys_memory_bytes | JSON 결과에 존재하는 경우에 반환 |
| pid | JSON 결과에 존재하는 경우에 반환 |
| env_variables | JSON 결과에 존재하는 경우에 반환 |
| repeat_offender | JSON 결과에 존재하는 경우에 반환 |
| cmdline | JSON 결과에 존재하는 경우에 반환 |
| create_time | JSON 결과에 존재하는 경우에 반환 |
| tty_device_major_number | JSON 결과에 존재하는 경우에 반환 |
| parent_name | JSON 결과에 존재하는 경우에 반환 |
| 그룹 | JSON 결과에 존재하는 경우에 반환 |
| cpu_percent | JSON 결과에 존재하는 경우에 반환 |
| has_unbacked_execute_memory | JSON 결과에 존재하는 경우에 반환 |
| gid | JSON 결과에 존재하는 경우에 반환 |
| sha256 | JSON 결과에 존재하는 경우에 반환 |
| cwd | JSON 결과에 존재하는 경우에 반환 |
| exe | JSON 결과에 존재하는 경우에 반환 |
| up_time | JSON 결과에 존재하는 경우에 반환 |
| short_name | JSON 결과에 존재하는 경우에 반환 |
| tty_device_name | JSON 결과에 존재하는 경우에 반환 |
| is_sensor | JSON 결과에 존재하는 경우에 반환 |
| sha1 | JSON 결과에 존재하는 경우에 반환 |
| threads | JSON 결과에 존재하는 경우에 반환 |
| name_uncommon_path | JSON 결과에 존재하는 경우에 반환 |
| collection_id | JSON 결과에 존재하는 경우에 반환 |
| md5 | JSON 결과에 존재하는 경우에 반환 |
| argv_list | JSON 결과에 존재하는 경우에 반환 |
| num_threads | JSON 결과에 존재하는 경우에 반환 |
| 사용자 | JSON 결과에 존재하는 경우에 반환 |
| virt_memory_bytes | JSON 결과에 존재하는 경우에 반환 |
| name | JSON 결과에 존재하는 경우에 반환 |
| session_id | JSON 결과에 존재하는 경우에 반환 |
| memory_percent | JSON 결과에 존재하는 경우에 반환 |
| machine_id | JSON 결과에 존재하는 경우에 반환 |
| unbacked_execute_byte_count | JSON 결과에 존재하는 경우에 반환 |
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[{
"EntityResult":
[{
"domain": "NT AUTHORITY",
"name_suspicious": false,
"pid": 4,
"name_uncommon_path": false,
"repeat_offender": false,
"cmdline": "",
"create_time": 1583314654,
"parent_name": "System Idle Process",
"has_unbacked_execute_memory": false,
"sid": "S-1-5-18",
"ppid": 0,
"up_time": 342643,
"unbacked_execute_region_count": 0,
"is_sensor": false,
"threads":
[{ "thread_id": 12,
"up_time": 13228130896,
"create_time": -11644473599
},
{
"thread_id": 16,
"up_time": 13228130896,
"create_time": -11644473599
}],
"user": "SYSTEM",
"collection_id": "ac1fb296-db5a-4426-b32e-292e4a50188d",
"parent_exe": "",
"exe": "",
"name": "System",
"unbacked_execute_byte_count": 0,
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
}],
"Entity": "PC-01"
},
{
"EntityResult":
[{
"unbacked_execute_region_count": 0,
"tty_device_minor_number": 0,
"uid": 0,
"name_suspicious": false,
"phys_memory_bytes": 8900608,
"pid": 1,
"env_variables":
[ "HOME=/",
"init=/sbin/init",
"NETWORK_SKIP_ENSLAVED=",
"recovery=",
"TERM=linux",
"drop_caps=",
"BOOT_IMAGE=/vmlinuz-4.15.0-88-generic",
"PATH=/sbin:/usr/sbin:/bin:/usr/bin",
"PWD=/", "rootmnt=/root" ],
"repeat_offender": false,
"cmdline": "/sbin/init maybe-ubiquity",
"create_time": 1583632302,
"tty_device_major_number": 0,
"parent_name": "",
"group": "root",
"cpu_percent": 0,
"has_unbacked_execute_memory": false,
"gid": 0,
"sha256": "3a14ff4b18505543eda4dccb054aa5860478a95ed0cac76da392f3472da3ad67",
"cwd": "/",
"exe": "/lib/systemd/systemd",
"up_time": 24942,
"short_name": "systemd",
"tty_device_name": "",
"is_sensor": false,
"sha1": "e016f80b87101a74b52d15ce2726560a6e128b60",
"threads": [{"thread_id": 1}],
"name_uncommon_path": false,
"collection_id": "bcb6b33a-0ffb-4e72-818a-1731024dfd79",
"md5": "ca563cf817f03ed7d01a6462818a5791",
"argv_list": ["/sbin/init", "maybe-ubiquity"],
"num_threads": 1,
"ppid": 0,
"virt_memory_bytes": 79818752,
"name": "systemd",
"session_id": 1,
"memory_percent": 0.21517109870910645,
"parent_exe": "",
"unbacked_execute_byte_count": 0,
"machine_id": "5ae8ddd9-9339-ae4b-ccf7-5ed68f38b3a9",
"user": "root"
}],
"Entity": "PC-202"
}]
이동식 미디어 설문조사 (Windows만 해당)
특정 Endgame 엔드포인트에서 이동식 미디어에 관한 정보를 가져옵니다.
매개변수
| 매개변수 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| 반환할 최대 항목 수 | 문자열 | 50 | 반환할 항목 수를 지정합니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- 호스트 이름
- IP 주소
작업 결과
항목 보강
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| name | JSON 결과에 존재하는 경우에 반환 |
| is_storage_device | JSON 결과에 존재하는 경우에 반환 |
| vendor_id | JSON 결과에 존재하는 경우에 반환 |
| collection_id | JSON 결과에 존재하는 경우에 반환 |
| last_connect_time | JSON 결과에 존재하는 경우에 반환 |
| serial_number | JSON 결과에 존재하는 경우에 반환 |
| machine_id | JSON 결과에 존재하는 경우에 반환 |
| is_connected | JSON 결과에 존재하는 경우에 반환 |
| product_id | JSON 결과에 존재하는 경우에 반환 |
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[{
"EntityResult":
[{ "name": "USB Composite Device",
"is_storage_device": false,
"vendor_id": "0E0F",
"collection_id": "fbe61b16-e6b2-4595-8409-abf4ce15fa85",
"last_connect_time": 1552596043.0610971,
"serial_number": "6&35D1F50B&0&1",
"machine_id": "a4c05d5a-7ebc-c3ab-1beb-f1fe517768d8",
"is_connected": false,
"product_id": "0003"
}],
"Entity": "PC-01"
}]
소프트웨어 설문조사 (Windows만 해당)
특정 Endgame 엔드포인트에 설치된 소프트웨어에 관한 정보를 가져옵니다.
매개변수
| 매개변수 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| 반환할 최대 항목 수 | 문자열 | 50 | 반환할 항목 수를 지정합니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- 호스트 이름
- IP 주소
작업 결과
항목 보강
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| 게시자 | JSON 결과에 존재하는 경우에 반환 |
| machine_id | JSON 결과에 존재하는 경우에 반환 |
| 패키지 | JSON 결과에 존재하는 경우에 반환 |
| install_date | JSON 결과에 존재하는 경우에 반환 |
| version | JSON 결과에 존재하는 경우에 반환 |
| collection_id | JSON 결과에 존재하는 경우에 반환 |
| installed_for | JSON 결과에 존재하는 경우에 반환 |
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[{
"EntityResult":
[{
"publisher": "John Doe",
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"package": "Test",
"install_date": "20191008",
"version": "18.06",
"collection_id": "fc079e17-8a2e-40d9-94c9-b974e5534e58",
"installed_for": "allUsers"
}],
"Entity": "PC-01"
}]
시스템 설문조사
메모리 사용량, DNS, OS 등 단일 엔드게임 엔드포인트에 관한 시스템 정보를 가져옵니다.
매개변수
| 매개변수 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| 반환할 최대 항목 수 | 문자열 | 50 | 반환할 항목 수를 지정합니다. |
| 보안 제품 정보 포함 (Windows만 해당) | 체크박스 | 선택됨 | 엔드포인트에 설치된 보안 제품에 관한 정보를 가져오도록 지정합니다 (Windows만 해당). |
| 패치 정보 포함 (Windows만 해당) | 체크박스 | 선택됨 | 패치에 관한 정보를 가져오도록 지정합니다 (Windows만 해당). |
| 디스크 정보 포함 | 체크박스 | 선택됨 | 디스크에 관한 정보를 가져오도록 지정합니다. |
| 네트워크 인터페이스 정보 포함 | 체크박스 | 선택됨 | 네트워크 인터페이스에 관한 정보를 가져오도록 지정합니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- 호스트 이름
- IP 주소
작업 결과
항목 보강
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| patches_info | JSON 결과에 존재하는 경우에 반환 |
| Disks_info | JSON 결과에 존재하는 경우에 반환 |
| network_interfaces | JSON 결과에 존재하는 경우에 반환 |
| Os_info | JSON 결과에 존재하는 경우에 반환 |
| installed_security_products | JSON 결과에 존재하는 경우에 반환 |
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[{
"EntityResult":
{
"patches_info":
[{
"collection_id": "f7d a62bb-318d-40c1-a490-85979c0c9ede",
"installed_on": "2/3/2018",
"hotfix_id": "KB4049065",
"machine_id": "870499c3-d6bf-8edd-972d-f2f6621dd971"
}],
"Disks_info":
[{
"disk_id": "\\\\Device\\\\HarddiskVolume2",
"fstype": "NTFS",
"disk_total": 15579738112,
"disk_free": 1219571712,
"collection_id": "a27ebace-32ec-4257-ab4f-7da49f02a9d4",
"device": "\\\\Device\\\\HarddiskVolume2",
"path": "C:\\\\",
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
}],
"network_interfaces":
[{
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"mac_address": "01:23:45:ab:cd:ef",
"ipv4_addresses": ["1.1.1.1"],
"ipv6_addresses": ["1111::1111:1111:1111:1111"],
"collection_id": "a27ebace-32ec-4257-ab4f-7da49f02a9d4",
"smp_interface": true,
"interface_name": "Ethernet0"
}],
"Os_info":
[{
"memory":
{ "ram_free": 1240039424,
"page_percent_used": 36.89334358507761,
"page_total": 2818101248,
"ram_percent_used": 42.24349594504104,
"ram_total": 2147012608,
"ram_used": 906973184,
"page_used": 1039691776,
"page_free": 1778409472
},
"doc_type": "collection",
"domain": "PC-01.test.com",
"endpoint":
{ "status": "unmonitored",
"ad_distinguished_name":
"CN=PC_01,OU=TESTOU,OU=Organization,DC=test,DC=com",
"ad_hostname": "test.com",
"operating_system": "Windows 10.0 ",
"name": "PC-01",
"display_operating_system": "Windows 10 (v1511)",
"hostname": "PC-01",
"updated_at": "2020-03-08T08:27:22.919880+00:00",
"mac_address": "01:23:45:ab:cd:ef",
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"ip_address": "1.1.1.1",
"id": "b23c8a14-69e0-4966-b78a-c9fba4fdd934"
},
"investigation_id": "85cff906-8b39-4a37-aa05-84950c9b2a02",
"hostname": "PC-01",
"bulk_task_id": null,
"original_machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"os_version":
{
"os_minor": 0,
"os_is_server": false,
"os_major": 10,
"os_build_number": 10586,
"os_service_pack": ""
},
"correlation_id": "7e17de5a-abcb-4de0-a510-7ca79bfdc345",
"architecture": "x64",
"sensor_info":
{
"malware_feature_version": "3.0.0",
"sensor_build_time": "1581375786",
"sensor_commit_sha": "80af56b6b295de785e502d82f39deac34973b2dd",
"sensor_build_number": 48,
"sensor_version": "3.53.9"
},
"time":
{
"tz_observes_dst": true,
"tz_currently_in_dst": false,
"tz_name": "Pacific Standard Time",
"tz_offset_minutes": 480
},
"os_type": "windows",
"ad_info":
{
"distinguished_name": "CN=PC-01,OU=TESTOU,OU=Organization,DC=test,DC=com",
"domain_hostname": "test.com"
},
"origination_task_id": "d3d67012-cfb1-47d0-8ec9-bf7ffb68a019"
}],
"installed_security_products":
[{
"security_product_type": "AntiVirus",
"collection_id": "a27ebace-32ec-4257-ab4f-7da49f02a9d4",
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"enabled": false, "name": "Windows Defender"
}]
},
"Entity": "PC-01"
}]
사용자 세션 설문조사
특정 Endgame 엔드포인트의 활성 사용자 세션에 관한 정보를 가져옵니다.
매개변수
| 매개변수 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| 반환할 최대 항목 수 | 문자열 | 50 | 반환할 항목 수를 지정합니다. |
실행
- 호스트 이름
- IP 주소
작업 결과
항목 보강
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| 사용자 이름 | JSON 결과에 존재하는 경우에 반환 |
| 셸 | JSON 결과에 존재하는 경우에 반환 |
| uid | JSON 결과에 존재하는 경우에 반환 |
| 시작됨 | JSON 결과에 존재하는 경우에 반환 |
| 호스트 이름 | JSON 결과에 존재하는 경우에 반환 |
| host_ip | JSON 결과에 존재하는 경우에 반환 |
| session_id | JSON 결과에 존재하는 경우에 반환 |
| session_count | JSON 결과에 존재하는 경우에 반환 |
| 터미널 | JSON 결과에 존재하는 경우에 반환 |
| 종료됨 | JSON 결과에 존재하는 경우에 반환 |
| gid | JSON 결과에 존재하는 경우에 반환 |
| collection_id | JSON 결과에 존재하는 경우에 반환 |
| machine_id | JSON 결과에 존재하는 경우에 반환 |
| 시작됨 | JSON 결과에 존재하는 경우에 반환 |
| password_last_set | JSON 결과에 존재하는 경우에 반환 |
| logon_type | JSON 결과에 존재하는 경우에 반환 |
| sid | JSON 결과에 존재하는 경우에 반환 |
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[{
"EntityResult":
[{
"username": "endgame",
"shell": "/opt/endgame/bin/console",
"uid": 1000,
"started": 1582554802.55514,
"hostname": "",
"host_ip": "",
"session_id": 887,
"session_count": 1,
"terminal": "tty1",
"ended": 0,
"gid": 1000,
"collection_id": "1aebade8-9f7b-4237-8c43-2aed8729511e",
"machine_id": "827255f4-53a2-1823-cac0-7c0f7730ca26"
}],
"Entity": "PC-01"
}, {
"EntityResult":
[{
"username": "example",
"domain": "3B",
"started": 1580205134.001,
"session_count": 1,
"ended": 0,
"password_last_set": 0,
"logon_type": "interactive",
"sid": "",
"collection_id": "88b876b1-5063-40a8-b40e-440df5eb8952",
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
}],
"Entity": "PC-02"
}
커넥터
Google SecOps에서 커넥터를 구성하는 방법에 대한 자세한 내용은 커넥터 구성을 참고하세요.
Endgame Connector
다음 매개변수를 사용하여 커넥터를 구성합니다.
| 매개변수 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| DeviceProductField | 문자열 | device_product | 기기 제품을 확인하는 데 사용되는 필드 이름입니다. |
| EventClassId | 문자열 | event_name | 이벤트 이름 (하위 유형)을 결정하는 데 사용되는 필드 이름 |
| PythonProcessTimeout | 문자열 | 30 | 현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도 (초) |
| API 루트 | 문자열 | 해당 사항 없음 | 해당 사항 없음 |
| 사용자 이름 | 문자열 | 해당 사항 없음 | 해당 사항 없음 |
| 비밀번호 | 비밀번호 | 해당 사항 없음 | 해당 사항 없음 |
| SSL 확인 | 체크박스 | 선택 해제 | 해당 사항 없음 |
| 최대 이전 일수 | 문자열 | 해당 사항 없음 | 해당 사항 없음 |
| 환경 필드 이름 | 문자열 | 해당 사항 없음 | 정의된 경우 커넥터는 지정된 이벤트 필드에서 환경을 추출합니다. 정규 표현식 패턴 필드를 사용하여 필드 데이터를 조작하여 특정 문자열을 추출할 수 있습니다. |
| 알림 수 제한 | 문자열 | 해당 사항 없음 | 해당 사항 없음 |
| 프록시 서버 주소 | 문자열 | 해당 사항 없음 | 사용할 프록시 서버의 주소입니다. |
| 프록시 사용자 이름 | 문자열 | 해당 사항 없음 | 인증할 프록시 사용자 이름입니다. |
| 프록시 비밀번호 | 비밀번호 | 해당 사항 없음 | 인증할 프록시 비밀번호입니다. |
커넥터 규칙
커넥터가 프록시를 지원합니다.
커넥터가 동적 목록을 지원합니다.
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.