Endgame
통합 버전: 9.0
Endgame을 Google Security Operations와 통합
Google SecOps에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.
작업
항목 보강
Endgame의 정보를 기반으로 Google SecOps 호스트 및 IP 항목을 보강합니다.
매개변수
해당 사항 없음
사용 사례
이 작업은 기기 활동을 조사하는 플레이북에서 사용할 수 있습니다. 기기에 Endgame 에이전트가 설치되어 있으면 이 작업은 기기의 Endgame 정보를 가져와 Google SecOps 엔티티를 보강합니다.
실행
이 작업은 다음 항목에서 실행됩니다.
- 호스트
- IP 주소
작업 결과
항목 보강
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| Endgame_Domain | 항상 |
| Endgame_endpoint_id | 항상 |
| Endgame_hostname | 항상 |
| Endgame_sensors_status | 항상 |
| Endgame_sensors_id | 항상 |
| Endgame_sensors_status | 항상 |
| Endgame_sensors_id | 항상 |
| Endgame_policy_status | 항상 |
| Endgame_policy_name | 항상 |
| Endgame_policy_id | 항상 |
| Endgame_is_isolated | 항상 |
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"data": [
{
"domain": "InstallerInitiated",
"updated_at": "2019-11-01T05:42:08.149079+00:00",
"id": "1682418d-02ff-43cd-a730-bcae8215a514",
"display_operating_system": "CentOS 7.6",
"hostname": "example",
"mac_address": "01:23:45:ab:cd:ef",
"upgrade_status": "",
"base_image": false,
"isolation_updated_at": null,
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [
{
"id": "a0927aeb-915a-466d-a5eb-5d7b6f9217c5",
"name": "BLUE TEAM"
},
{
"id": "bede2f24-593c-45e4-9863-9c2438f0f163",
"name": "SOC"
},
{
"id": "fc2dfcc8-9329-4f33-86a2-877bfb27575e",
"name": "CORE ENV"
}
],
"isolation_request_status": null,
"alert_count": 0,
"investigation_count": 0,
"groups": [
{
"is_dynamic": false,
"count": 4,
"id": "c1af3cd6-2638-4144-842d-adc9cfb67fb9",
"name": "SOC"
}
],
"sensors": [
{
"status": "monitored",
"sensor_version": "3.52.12",
"policy_status": "successful",
"policy_name": "Lab (Detect-Only)",
"sensor_type": "hunt",
"id": "fbb87923-a833-5581-a160-7f4f85a21bd0",
"policy_id": "a1d72bce-1f61-4ba8-bcd4-dfa97148335f"
}
],
"ip_address": "192.0.2.1",
"is_isolated": false,
"operating_system": "Linux 3.10.0-957.27.2.el7.x86_64",
"name": "example",
"status_changed_at": "2020-01-07T08:15:11.865854+00:00",
"core_os": "linux",
"created_at": "2019-03-19T05:07:50.598837+00:00",
"error": null,
"machine_id": "827255f4-53a2-1823-cac0-7c0f7730ca26"
},
{
"domain": "InstallerInitiated",
"updated_at": "2019-11-01T05:42:09.150756+00:00",
"id": "12c3530d-657f-4ccd-835e-6df9affeed3d",
"display_operating_system": "Ubuntu 18.04.3",
"hostname": "example",
"mac_address": "01:23:45:ab:cd:ef",
"upgrade_status": "",
"base_image": false,
"isolation_updated_at": null,
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [],
"isolation_request_status": null,
"alert_count": 0,
"investigation_count": 0,
"groups": [
{
"is_dynamic": false,
"count": 4,
"id": "c1af3cd6-2638-4144-842d-adc9cfb67fb9",
"name": "SOC"
}
],
"sensors": [
{
"status": "monitored",
"sensor_version": "3.52.12",
"policy_status": "successful",
"policy_name": "Lab (Detect-Only)",
"sensor_type": "hunt",
"id": "dc2e35cc-0c87-5a60-8fc8-de23ef747d02",
"policy_id": "a1d72bce-1f61-4ba8-bcd4-dfa97148335f"
}
],
"ip_address": "192.0.2.1",
"is_isolated": false,
"operating_system": "Linux 4.15.0-72-generic",
"name": "example",
"status_changed_at": "2020-01-07T08:15:16.875375+00:00",
"core_os": "linux",
"created_at": "2019-09-20T21:34:51.966863+00:00",
"error": null,
"machine_id": "5ae8ddd9-9339-ae4b-ccf7-5ed68f38b3a9"
}
],
"metadata": {
"count": 38,
"previous_url": null,
"timestamp": "2020-01-07T18:09:43.765744",
"next": null,
"per_page": 50,
"next_url": null,
"transaction_id": "569cdc38-8c7a-4b93-af99-aaf907dc8dd6",
"previous": null
}
}
조사 나열
엔드게임 조사를 나열합니다.
매개변수
| 매개변수 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| OS | 문자열 | Solaris,Windows,MacOs,Linux | 조사를 나열할 OS를 지정합니다. 매개변수는 여러 값을 쉼표로 구분된 문자열로 사용할 수 있습니다. |
| 지난 X시간 동안의 조사를 가져옵니다. | 정수 | 해당 사항 없음 | 지정된 기간(시간)에 생성된 조사를 반환합니다. |
| 반환할 최대 조사 수 | 정수 | 해당 사항 없음 | 조회할 조사 수를 지정합니다. |
사용 사례
조사는 프로세스, IP 주소, 파일 등 엔드포인트의 다양한 객체를 추적하는 데 사용됩니다. 이 작업을 통해 사용자는 조사를 나열할 수 있습니다. 분석가는 이 작업을 사용하여 시스템에서 필요한 모든 조사가 수행되고 있는지 확인할 수 있습니다.
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"data": [
{
"created_by_chat": false,
"name": "Example User + 2020-01-08T13:47:51.334336_utc",
"core_os": "windows",
"created_at": "2020-01-08T13:47:51.340497+00:00",
"task_completion": {
"completed_tasks": 1,
"total_tasks": 1
},
"archived": false,
"created_by": {
"username": "admin",
"last_name": "User",
"is_active": true,
"is_editable": true,
"is_ldap": false,
"is_removable": false,
"timezone": null,
"id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"first_name": "Example",
"last_viewed_alert": "2020-01-07T09:24:22.925000",
"is_sso": false,
"is_superuser": true,
"role": {
"role": "Admin",
"id": "37e9e54e-0bb8-5058-9bd4-50a0d0fbea35",
"permissions": {
"endpoints.scan": true,
"sensor.admin.view": true,
"sensor.admin.update": true,
"endpoints.delete": true,
"endpoints.respond": true,
"search.search": true,
"sensor.admin.create": true,
"alerts.admin.forwardalerts": true,
"endpoints.tag": true,
"user.delete": true,
"endpoints.deploy": true,
"user.update": true,
"search.save": true,
"investigation.create": true,
"endpoints.view": true,
"user.view": true,
"sensor.admin.download": true,
"alerts.view": true,
"alerts.update": true,
"search.delete": true,
"sensor.admin.delete": true,
"endpoints.uninstall": true,
"investigation.view": true,
"admin": true,
"investigation.update": true,
"endpoints.changeconfiguration": true,
"user.create": true
}
},
"type": "Local",
"email": null
},
"updated_at": "2020-01-08T13:47:51.379966+00:00",
"created_by_user_display_name": "Example User",
"canceled_by_user_id": null,
"version": 2,
"endpoint_count": 1,
"assigned_to": {
"username": "admin",
"last_name": "User",
"is_active": true,
"is_editable": true,
"is_ldap": false,
"is_removable": false,
"timezone": null,
"id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"first_name": "Example",
"last_viewed_alert": "2020-01-07T09:24:22.925000",
"is_sso": false,
"is_superuser": true,
"role": {
"role": "Admin",
"id": "37e9e54e-0bb8-5058-9bd4-50a0d0fbea35",
"permissions": {
"endpoints.scan": true,
"sensor.admin.view": true,
"sensor.admin.update": true,
"endpoints.delete": true,
"endpoints.respond": true,
"search.search": true,
"sensor.admin.create": true,
"alerts.admin.forwardalerts": true,
"endpoints.tag": true,
"user.delete": true,
"endpoints.deploy": true,
"user.update": true,
"search.save": true,
"investigation.create": true,
"endpoints.view": true,
"user.view": true,
"sensor.admin.download": true,
"alerts.view": true,
"alerts.update": true,
"search.delete": true,
"sensor.admin.delete": true,
"endpoints.uninstall": true,
"investigation.view": true,
"admin": true,
"investigation.update": true,
"endpoints.changeconfiguration": true,
"user.create": true
}
},
"type": "Local",
"email": null
},
"id": "e0ad7613-daf6-435f-98f6-ce40eae01acc",
"canceled_by_user_display_name": null,
"user_display_name": "Example User",
"hunt_count": 1,
"is_canceled": false
}
],
"metadata": {
"count": 46,
"previous_url": null,
"timestamp": "2020-01-08T16:02:09.251511",
"next": 2,
"per_page": 1,
"next_url": "/api/v1/investigations/?per_page=1&page=2",
"previous": null
}
}
조사 세부정보 가져오기
특정 Endgame 조사에 대한 정보를 가져옵니다.
매개변수
| 매개변수 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| 조사 ID | 문자열 | 해당 사항 없음 | 검색할 Endgame 조사 ID를 지정합니다. |
사용 사례
조사는 프로세스, IP 주소, 파일 등 엔드포인트의 다양한 객체를 추적하는 데 사용됩니다. 이 작업을 통해 사용자는 특정 조사에 관한 자세한 정보를 확인할 수 있습니다. 분석가는 이 작업을 사용하여 시스템에서 필요한 모든 작업이 수행되었는지 확인할 수 있습니다.
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"data": {
"tasks": [
"6500673c-d246-41a3-882d-d3a339f28497"
],
"user_display_name": "Example User",
"task_types": [
"Process Survey"
],
"task_completion": {
"completed_tasks": 1,
"total_tasks": 1
},
"updated_at": "2020-01-06T13:30:33.851816+00:00",
"created_by_user_display_name": "Example User",
"id": "54caeedc-d6b0-4ca0-8f64-8798d1c34d54",
"task_completions_by_type": {
"Process Survey": {
"completed_tasks": 1,
"task_type_id": "2fbf0c36-5160-5c31-99ec-0fa5880c6bd1",
"total_tasks": 1
}
},
"archived": false,
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"is_canceled": false,
"created_by": {
"username": "admin",
"last_name": "User",
"is_active": true,
"is_editable": true,
"is_ldap": false,
"is_removable": false,
"timezone": null,
"id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"first_name": "Example",
"last_viewed_alert": "2020-01-06T09:27:04.097000",
"is_sso": false,
"is_superuser": true,
"role": {
"role": "Admin",
"id": "37e9e54e-0bb8-5058-9bd4-50a0d0fbea35",
"permissions": {
"endpoints.scan": true,
"sensor.admin.view": true,
"sensor.admin.update": true,
"endpoints.delete": true,
"endpoints.respond": true,
"search.search": true,
"sensor.admin.create": true,
"alerts.admin.forwardalerts": true,
"endpoints.tag": true,
"user.delete": true,
"endpoints.deploy": true,
"user.update": true,
"search.save": true,
"investigation.create": true,
"endpoints.view": true,
"user.view": true,
"sensor.admin.download": true,
"alerts.view": true,
"alerts.update": true,
"search.delete": true,
"sensor.admin.delete": true,
"endpoints.uninstall": true,
"investigation.view": true,
"admin": true,
"investigation.update": true,
"endpoints.changeconfiguration": true,
"user.create": true
}
},
"type": "Local",
"email": null
},
"hunt_count": 1,
"canceled_by_user_id": null,
"version": 2,
"endpoint_count": 1,
"canceled_by_user_display_name": null,
"created_by_user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"created_by_chat": false,
"sensors": [
"8eef6873-6db7-58ab-a1ca-68dc19b54117"
],
"name": "Example User + 2020-01-06T13:30:33.808543_utc",
"core_os": "windows",
"created_at": "2020-01-06T13:30:33.813747+00:00",
"assigned_to": {
"username": "admin",
"last_name": "User",
"is_active": true,
"is_editable": true,
"is_ldap": false,
"is_removable": false,
"timezone": null,
"id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"first_name": "Example",
"last_viewed_alert": "2020-01-06T09:27:04.097000",
"is_sso": false,
"is_superuser": true,
"role": {
"role": "Admin",
"id": "37e9e54e-0bb8-5058-9bd4-50a0d0fbea35",
"permissions": {
"endpoints.scan": true,
"sensor.admin.view": true,
"sensor.admin.update": true,
"endpoints.delete": true,
"endpoints.respond": true,
"search.search": true,
"sensor.admin.create": true,
"alerts.admin.forwardalerts": true,
"endpoints.tag": true,
"user.delete": true,
"endpoints.deploy": true,
"user.update": true,
"search.save": true,
"investigation.create": true,
"endpoints.view": true,
"user.view": true,
"sensor.admin.download": true,
"alerts.view": true,
"alerts.update": true,
"search.delete": true,
"sensor.admin.delete": true,
"endpoints.uninstall": true,
"investigation.view": true,
"admin": true,
"investigation.update": true,
"endpoints.changeconfiguration": true,
"user.create": true
}
},
"type": "Local",
"email": null
},
"endpoints": [
"b23c8a14-69e0-4966-b78a-c9fba4fdd934"
]
},
"metadata": {
"timestamp": "2020-01-06T14:00:53.716517"
}
}
호스트 격리 구성 가져오기
Endgame에 정의된 호스트 격리 구성을 가져옵니다.
매개변수
해당 사항 없음
사용 사례
이 작업은 호스트 격리 구성에 관한 정보를 가져오는 데 사용됩니다. 이 구성을 사용하면 격리된 호스트가 여기에 나열된 IP 주소에 연결할 수 있습니다. 분석가는 이 작업을 사용하여 필요한 모든 IP 주소가 호스트 격리 구성에 있는지 확인할 수 있습니다.
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"data": [
{
"id": "47999eeb-f076-5aca-a7cc-56bf7ac2b647",
"comments": [
{
"comment": "Testing API",
"entity_id": "47999eeb-f076-5aca-a7cc-56bf7ac2b647",
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"entity_type": "whitelisted_ip",
"created_at": "2020-01-07T15:59:56Z",
"updated_at": "2020-01-07T15:59:56Z",
"id": 547,
"activity_type": "comment"
}
],
"addr": "192.0.2.1/30"
},
{
"id": "6ab5575c-718e-5e24-bd4d-77e0694ad6fc",
"comments": [
{
"comment": "Testing API",
"entity_id": "6ab5575c-718e-5e24-bd4d-77e0694ad6fc",
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"entity_type": "whitelisted_ip",
"created_at": "2020-01-07T15:58:29Z",
"updated_at": "2020-01-07T15:58:29Z",
"id": 545,
"activity_type": "comment"
}
],
"addr": "192.0.2.11/32"
},
{
"id": "72bdf5d2-4cc6-5ccf-9787-a539fae9c517",
"comments": [
{
"comment": "CIDR Test",
"entity_id": "72bdf5d2-4cc6-5ccf-9787-a539fae9c517",
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"entity_type": "whitelisted_ip",
"created_at": "2020-01-07T15:58:04Z",
"updated_at": "2020-01-07T15:58:04Z",
"id": 543,
"activity_type": "comment"
}
],
"addr": "198.51.100.1/32"
},
{
"id": "5aa89c8f-a535-5876-840c-af33a7ec1419",
"comments": [
{
"comment": "Testing API",
"entity_id": "5aa89c8f-a535-5876-840c-af33a7ec1419",
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"entity_type": "whitelisted_ip",
"created_at": "2020-01-07T15:57:24Z",
"updated_at": "2020-01-07T15:57:24Z",
"id": 541,
"activity_type": "comment"
}
],
"addr": "198.51.100.10"
},
{
"id": "06461575-700b-596d-8662-7ea0aff28e9c",
"comments": [
{
"comment": "Test Isolation",
"entity_id": "06461575-700b-596d-8662-7ea0aff28e9c",
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"entity_type": "whitelisted_ip",
"created_at": "2020-01-07T15:55:21Z",
"updated_at": "2020-01-07T15:55:21Z",
"id": 539,
"activity_type": "comment"
}
],
"addr": "203.0.113.1"
}
],
"metadata": {
"count": 5,
"previous_url": null,
"timestamp": "2020-01-07T16:00:19.754687",
"next": null,
"per_page": 10,
"next_url": null,
"previous": null
}
}
호스트 격리 구성에 IP 서브넷 추가
Endgame에 정의된 호스트 격리 구성에 IP 서브넷 추가
매개변수
| 매개변수 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| IP 서브넷 | 문자열 | 해당 사항 없음 | 호스트 격리 구성에 추가할 IPv4 서브넷을 입력합니다. |
| 설명 | 문자열 | 해당 사항 없음 | IP 서브넷에 대한 설명을 입력합니다. |
| 통계 만들기 | 체크박스 | 선택 해제됨 | 사용 설정된 경우 이 작업이 성공적으로 실행된 후 통계를 만듭니다. |
사용 사례
이 작업은 호스트 격리 구성에 관한 정보를 가져오는 데 사용됩니다. 이 구성을 사용하면 격리된 호스트가 여기에 나열된 IP 서브넷에 연결할 수 있습니다. 분석가는 이 작업을 사용하여 필요한 IP 서브넷을 호스트 격리 구성에 추가할 수 있습니다.
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
통계
Endgame을 사용하여 호스트 격리 구성에 IP 서브넷이 추가된 경우 이를 나타내는 인사이트를 만듭니다.
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
호스트 격리 구성에서 IP 서브넷 삭제
Endgame에 정의된 호스트 격리 구성에서 IP 서브넷을 삭제합니다.
매개변수
| 매개변수 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| IP 서브넷 | 문자열 | 해당 사항 없음 | 호스트 격리 구성에 추가할 IPv4 서브넷을 입력합니다. |
| 통계 만들기 | 체크박스 | 선택 해제됨 | 사용 설정된 경우 이 작업이 성공적으로 실행된 후 통계를 만듭니다. |
사용 사례
이 작업은 호스트 격리 구성에 관한 정보를 가져오는 데 사용됩니다. 이 구성을 사용하면 격리된 호스트가 여기에 나열된 IP 서브넷에 연결할 수 있습니다. 분석가는 이 작업을 사용하여 더 이상 필요하지 않은 IP 서브넷을 호스트 격리 구성에서 삭제할 수 있습니다.
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
통계
Endgame을 사용하여 호스트 격리 구성에서 IP 서브넷이 삭제된 경우 이를 나타내는 통계를 만듭니다.
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
Autoruns 수집 (Windows만 해당)
엔드게임 엔드포인트에서 자동 실행을 수집합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| 반환할 최대 항목 수 | 정수 | 1000 | 반환할 자동 실행 수를 지정합니다. |
| '전체' 카테고리 | 체크박스 | 선택됨 | 사용 설정된 경우 모든 자동 실행 카테고리를 검색합니다. |
| '네트워크 제공업체' 카테고리 | 체크박스 | 선택 해제 | 사용 설정된 경우 '네트워크 제공업체' 자동 실행 카테고리를 검색합니다. |
| 'Office' 카테고리 | 체크박스 | 선택 해제 | 사용 설정된 경우 'Office' 자동 실행 카테고리를 검색합니다 . |
| '운전기사' 카테고리 | 체크박스 | 선택 해제 | 사용 설정된 경우 '드라이버' 자동 실행 카테고리를 검색합니다. |
| '앱 초기화' 카테고리 | 체크박스 | 선택 해제 | 사용 설정된 경우 'App Init' 자동 실행 카테고리를 검색합니다. |
| 'Winlogon' 카테고리 | 체크박스 | 선택 해제 | 사용 설정된 경우 'Winlogon' 자동 실행 카테고리를 검색합니다. |
| '인쇄 모니터' 카테고리 | 체크박스 | 선택 해제 | 사용 설정된 경우 '인쇄 모니터' 자동 실행 카테고리를 검색합니다. |
| '접근성' 카테고리 | 체크박스 | 선택 해제 | 사용 설정된 경우 '접근성' 자동 실행 카테고리를 검색합니다. |
| 'WMI' 카테고리 | 체크박스 | 선택 해제 | 사용 설정된 경우 'WMI' 자동 실행 카테고리를 검색합니다. |
| 'LSA 제공업체' 카테고리 | 체크박스 | 선택 해제 | 사용 설정된 경우 'LSA 공급자' 자동 실행 카테고리를 검색합니다. |
| '서비스' 카테고리 | 체크박스 | 선택 해제 | 사용 설정된 경우 '서비스' 자동 실행 카테고리를 검색합니다. |
| '비트' 카테고리 | 체크박스 | 선택 해제 | 사용 설정된 경우 '비트' 자동 실행 카테고리를 검색합니다. |
| '알려진 dll' 카테고리 | 체크박스 | 선택 해제 | 사용 설정된 경우 '알려진 dll' 자동 실행 카테고리를 검색합니다. |
| '인쇄 제공업체' 카테고리 | 체크박스 | 선택 해제 | 사용 설정된 경우 '인쇄 제공업체' 자동 실행 카테고리를 검색합니다. |
| '이미지 도용' 카테고리 | 체크박스 | 선택 해제 | 사용 설정된 경우 'Image Hijack' 자동 실행 카테고리를 검색합니다. |
| '시작 폴더' 카테고리 | 체크박스 | 선택 해제 | 사용 설정된 경우 '시작 폴더' 자동 실행 카테고리를 검색합니다. |
| 'Internet Explorer' 카테고리 | 체크박스 | 선택 해제 | 사용 설정된 경우 'Internet Explorer' 자동 실행 카테고리를 검색합니다. |
| '코덱' 카테고리 | 체크박스 | 선택 해제 | 사용 설정된 경우 '코덱' 자동 실행 카테고리를 검색합니다. |
| '로그온' 카테고리 | 체크박스 | 선택 해제 | 사용 설정된 경우 '로그온' 자동 실행 카테고리를 검색합니다. |
| '검색 순서 하이재킹' 카테고리 | 체크박스 | 선택 해제 | 사용 설정된 경우 '검색 순서 하이재킹' 자동 실행 카테고리를 검색합니다. |
| 'Winsock Provider' 카테고리 | 체크박스 | 선택 해제 | 사용 설정된 경우 'Winsock Provider' 자동 실행 카테고리를 검색합니다 . |
| '부팅 실행' 카테고리 | 체크박스 | 선택 해제 | 사용 설정된 경우 '부팅 실행' 자동 실행 카테고리를 검색합니다. |
| '팬텀 dll' 카테고리 | 체크박스 | 선택 해제 | 사용 설정된 경우 'Phantom dll' 자동 실행 카테고리를 검색합니다. |
| 'Com Hijack' 카테고리 | 체크박스 | 선택 해제 | 사용 설정된 경우 'Com Hijack' 자동 실행 카테고리를 검색합니다. |
| '탐색기' 카테고리 | 체크박스 | 선택 해제 | 사용 설정된 경우 '탐색기' 자동 실행 카테고리를 검색합니다. |
| '예약된 작업' 카테고리 | 체크박스 | 선택 해제 | 사용 설정된 경우 'Scheduled Task' 자동 실행 카테고리를 검색합니다. |
| 모든 메타데이터 포함 | 체크박스 | 선택됨 | 사용 설정된 경우 사용 가능한 모든 데이터를 제공합니다. |
| 멀웨어 분류 메타데이터 포함 | 체크박스 | 선택 해제 | 사용 설정된 경우 MalwareScore에 관한 정보를 제공합니다. |
| Authenticode 메타데이터 포함 | 체크박스 | 선택 해제 | 사용 설정된 경우 서명자 정보를 제공합니다. |
| MD5 해시 포함 | 체크박스 | 선택 해제 | 사용 설정된 경우 응답에 MD5 해시를 제공합니다. |
| SHA-1 해시 포함 | 체크박스 | 선택 해제 | 사용 설정된 경우 응답에 SHA-1 해시를 제공합니다. |
| SHA-256 해시 포함 | 체크박스 | 선택 해제 | 사용 설정된 경우 응답에 SHA-256 해시를 제공합니다. |
사용 사례
이 작업은 엔드포인트의 자동 실행에 관한 정보를 수집하는 데 사용할 수 있습니다. 이 데이터는 분석가가 트리아지 및 수정 프로세스를 실행하는 데 도움이 될 수 있습니다.
실행
이 작업은 다음 항목에서 실행됩니다.
- 호스트
- IP 주소
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"data": {
"count": 1,
"per_page": 50,
"previous": null,
"tasks": [
{
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"data": {
"category_option": {
"category_network_provider": true,
"category_office": false,
"category_driver": false,
"category_app_init": false,
"category_winlogon": false,
"category_print_monitor": false,
"category_ease_of_access": false,
"category_wmi": false,
"category_lsa_provider": false,
"category_service": false,
"category_bits": false,
"category_known_dll": false,
"category_print_provider": false,
"category_image_hijack": false,
"category_startup_folder": false,
"category_internet_explorer": false,
"category_codec": false,
"category_logon": false,
"category_all": false,
"category_search_order_hijack": false,
"category_winsock_provider": false,
"category_boot_execute": false,
"category_phantom_dll": false,
"category_com_hijack": false,
"category_explorer": false,
"category_scheduled_task": false
},
"metadata_option": {
"metadata_all": true,
"metadata_malware_classification": false,
"metadata_sha1": false,
"metadata_sha256": false,
"metadata_authenticode": false,
"metadata_md5": false
}
},
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"metadata": {
"sensor_id": "8eef6873-6db7-58ab-a1ca-68dc19b54117",
"investigation_id": "0b043f77-531f-4109-93b1-e01019ad0980",
"task_id": "e667b0c3-39de-4862-9baf-d6697db79721",
"echo": "",
"endpoint_id": "b23c8a14-69e0-4966-b78a-c9fba4fdd934",
"destination_plugin": "autoruns",
"key": "collectAutoRunsRequest",
"semantic_version": "3.52.\\d+",
"collection_id": "2393f424-bf57-40af-81e6-91b95acf5409"
}
}
],
"next": null
},
"metadata": {
"timestamp": "2020-01-08T13:15:37.238341"
}
}
호스트 격리
엔드게임 엔드포인트를 격리합니다. 이 작업은 Windows 및 macOS 시스템만 지원합니다.
매개변수
| 매개변수 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| 통계 만들기 | 체크박스 | 선택 해제 | 사용 설정된 경우 이 작업이 성공적으로 실행된 후 통계를 만듭니다. |
사용 사례
이 작업은 호스트 격리 구성에 관한 정보를 가져오는 데 사용됩니다. 이 구성을 사용하면 격리된 호스트가 여기에 나열된 IP 서브넷에 연결할 수 있습니다. 분석가는 이 작업을 사용하여 필요한 IP 서브넷을 호스트 격리 구성에 추가할 수 있습니다.
실행
이 작업은 다음 항목에서 실행됩니다.
- 호스트
- IP 주소
작업 결과
항목 보강
해당 사항 없음
통계
엔드포인트가 Endgame 에이전트를 사용하여 격리된 경우 이를 나타내는 인사이트를 만듭니다.
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"data": {
"valid": true,
"bulk_task_id": "a6ccc2f7-39a7-42e7-b646-41b281316b1d",
"error_messages": []
},
"metadata": {
"timestamp": "2020-01-08T15:09:22.474963"
}
}
호스트 격리 해제
엔드게임 엔드포인트의 격리를 해제합니다. 이 작업은 Windows 및 macOS 시스템만 지원합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| 통계 만들기 | 체크박스 | 선택 해제 | 사용 설정된 경우 이 작업이 성공적으로 실행된 후 통계를 만듭니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- 호스트
- IP 주소
작업 결과
통계
Endgame 에이전트를 사용하여 엔드포인트가 격리 해제된 경우 이를 나타내는 인사이트를 만듭니다.
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"data": {
"domain": "InstallerInitiated",
"updated_at": "2020-01-08T08:16:26.063394+00:00",
"id": "b23c8a14-69e0-4966-b78a-c9fba4fdd934",
"display_operating_system": "Windows 10 (v1511)",
"hostname": "example",
"mac_address": "01:23:45:ab:cd:ef",
"upgrade_status": "",
"base_image": false,
"isolation_updated_at": "2020-01-08T15:09:24.665367+00:00",
"status": "monitored",
"ad_distinguished_name": "CN=EXAMPLE,CN=Computers,DC=example,DC=com",
"ad_hostname": "example.com",
"tags": [],
"isolation_request_status": null,
"alert_count": 0,
"groups": [
{
"is_dynamic": false,
"count": 2,
"id": "d9de26c9-ee63-4d38-9997-7418bd13c45e",
"name": "Demo: APT28"
}
],
"sensors": [
{
"status": "monitored",
"sensor_version": "3.52.12",
"policy_status": "successful",
"policy_name": "Lab (Detect-Only with Streaming)",
"sensor_type": "hunt",
"id": "8eef6873-6db7-58ab-a1ca-68dc19b54117",
"policy_id": "07b7a44f-25f3-4e5c-977b-2915de8160c5"
}
],
"ip_address": "192.0.2.3",
"is_isolated": false,
"operating_system": "Windows 10.0",
"name": "example",
"status_changed_at": "2020-01-08T12:30:48.704802+00:00",
"core_os": "windows",
"created_at": "2019-11-01T06:31:32.519640+00:00",
"error": null,
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
},
"metadata": {
"timestamp": "2020-01-08T15:16:34.303701"
}
}
파일 다운로드
특정 Endgame 엔드포인트에서 파일을 다운로드합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| 전체 파일 경로 | 문자열 | 해당 사항 없음 | 사용 설정된 경우 이 작업이 성공적으로 실행된 후 통계를 만듭니다. |
| 전체 다운로드 폴더 경로 | 문자열 | 해당 사항 없음 | 이 파일을 저장할 폴더의 경로를 입력합니다. |
| 예상 SHA-256 해시 | 문자열 | 해당 사항 없음 | 예상 SHA-256 해시를 입력합니다. |
사용 사례
이 작업을 사용하여 엔드포인트에서 파일에 액세스할 수 있습니다. 파일은 수동으로 처리해야 하는 경우가 있으며 이 활동은 사용자가 필요한 파일에 액세스하는 데 도움이 됩니다.
실행
이 작업은 다음 항목에서 실행됩니다.
- 호스트
- IP 주소
작업 결과
통계
엔드포인트가 Endgame 에이전트를 사용하여 격리 해제된 경우 이를 나타내는 통계를 만듭니다.
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
상태가 success인 경우 JSON 결과는 다음과 같습니다.
{
"data": {
"status": "success",
"doc_type": "collection",
"endpoint": {
"domain": "InstallerInitiated",
"updated_at": "2019-11-01T05:41:10.150817+00:00",
"id": "a3cdc174-3af0-400a-85c3-bbb1435a6b61",
"display_operating_system": "Ubuntu 18.04.1",
"hostname": "example",
"mac_address": "01:23:45:ab:cd:ef",
"base_image": false,
"isolation_updated_at": null,
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [
{
"id": "fc2dfcc8-9329-4f33-86a2-877bfb27575e",
"name": "CORE ENV"
}
],
"isolation_request_status": null,
"upgrade_status": "",
"groups": [
{
"is_dynamic": false,
"count": 1,
"id": "e453d4f6-95c9-4dc5-bc41-2f4cae423e19",
"name": "Demo: Bad Admin"
}
],
"sensors": [
{
"status": "A",
"sensor_version": "3.52.12",
"sensor_type": "hunt",
"id": "c7347a4b-3e71-5514-980f-90bdbab758cf"
}
],
"ip_address": "192.0.2.1",
"is_isolated": false,
"operating_system": "Linux 4.15.0-29-generic",
"name": "example",
"status_changed_at": "2020-01-07T08:16:46.895105+00:00",
"core_os": "linux",
"created_at": "2019-03-19T04:25:06.953312+00:00",
"error": null,
"machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d"
},
"task_id": "0854ae75-47ca-438a-8731-615defac44ac",
"family": "response",
"data": {
"results": [
{
"size": 1731,
"endpoint": {
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"operating_system": "Linux 4.15.0-29-generic",
"name": "example",
"display_operating_system": "Ubuntu 18.04.1",
"hostname": "example",
"updated_at": "2020-01-07T08:16:44Z",
"mac_address": "01:23:45:ab:cd:ef",
"ip_address": "192.0.2.1",
"id": "a3cdc174-3af0-400a-85c3-bbb1435a6b61"
},
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"investigation_id": null,
"filepath": "/home/a-arobinson/Downloads/bad_admin.sh",
"bulk_task_id": null,
"created_by": "a-arobinson",
"file_uuid": "4c45cc36-b6ca-412a-ae0b-ed214a9c7187",
"correlation_id": "13dfca7b-9e75-4115-be93-e6684dbfc7c8",
"user": {
"username": "admin",
"first_name": "Example",
"last_name": "User",
"id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1"
},
"chunk_size": 26214400,
"existing_path": "/home/a-arobinson/Downloads/bad_admin.sh",
"sha256": "8066b309db13bae560c15c35f42247a0f778786f0056d326ff3e6dffd1eac4f8",
"origination_task_id": "0854ae75-47ca-438a-8731-615defac44ac",
"md5": "6441b8f58feddb5a5f6fcd81c117ecb8"
}
]
},
"created_at": "2020-01-07T11:28:02.826397Z",
"os_type": "linux",
"machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d",
"type": "downloadFileResponse",
"id": "d6fb3bf3-afea-44e0-8472-389f4e7e0002"
},
"metadata": {
"count": 1,
"previous_url": null,
"timestamp": "2020-01-07T11:41:56.750788",
"next": null,
"per_page": 50,
"next_url": null,
"previous": null
}
}
상태가 failure인 경우 JSON 결과는 다음과 같습니다.
{
"data": {
"status": "failure",
"doc_type": "collection",
"endpoint": {
"domain": "InstallerInitiated",
"updated_at": "2019-11-01T05:42:09.150756+00:00",
"id": "12c3530d-657f-4ccd-835e-6df9affeed3d",
"display_operating_system": "Ubuntu 18.04.3",
"hostname": "example",
"mac_address": "01:23:45:ab:cd:ef",
"base_image": false,
"isolation_updated_at": null,
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [],
"isolation_request_status": null,
"upgrade_status": "",
"groups": [
{
"is_dynamic": false,
"count": 4,
"id": "c1af3cd6-2638-4144-842d-adc9cfb67fb9",
"name": "SOC"
}
],
"sensors": [
{
"status": "A",
"sensor_version": "3.52.12",
"sensor_type": "hunt",
"id": "dc2e35cc-0c87-5a60-8fc8-de23ef747d02"
}
],
"ip_address": "192.0.2.1",
"is_isolated": false,
"operating_system": "Linux 4.15.0-72-generic",
"name": "example",
"status_changed_at": "2020-01-19T11:05:16.765186+00:00",
"core_os": "linux",
"created_at": "2019-09-20T21:34:51.966863+00:00",
"error": null,
"machine_id": "5ae8ddd9-9339-ae4b-ccf7-5ed68f38b3a9"
},
"task_id": "85148460-c868-4fe5-a3e6-0d90784fadd1",
"family": "response",
"data": {
"results": [
{
"endpoint": {
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"operating_system": "Linux 4.15.0-72-generic",
"name": "example",
"display_operating_system": "Ubuntu 18.04.3",
"hostname": "example",
"updated_at": "2020-01-16T14:04:22Z",
"mac_address": "01:23:45:ab:cd:ef",
"ip_address": "192.0.2.1",
"id": "12c3530d-657f-4ccd-835e-6df9affeed3d"
},
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"investigation_id": null,
"expected_sha256": "123",
"bulk_task_id": null,
"correlation_id": "a7dc04c8-932c-4056-9477-8095b1fa15d8",
"user": {
"username": "admin",
"first_name": "Example",
"last_name": "User",
"id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1"
},
"chunk_size": 26214400,
"existing_path": "/home/example/Downloads/bad_admin.sh",
"origination_task_id": "85148460-c868-4fe5-a3e6-0d90784fadd1"
}
]
},
"created_at": "2020-01-19T12:19:57Z",
"os_type": "linux",
"machine_id": "5ae8ddd9-9339-ae4b-ccf7-5ed68f38b3a9",
"type": "downloadFileResponse",
"id": "8eb6b538-d480-4210-92fb-df08a3a4dfb9"
},
"metadata": {
"count": 1,
"previous_url": null,
"timestamp": "2020-01-19T12:23:23.623961",
"next": null,
"per_page": 50,
"next_url": null,
"previous": null
}
}
파일 삭제
Endgame 엔드포인트에서 파일을 삭제합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| 파일 경로 | 문자열 | 해당 사항 없음 | 파일 경로를 입력합니다. |
사용 사례
이 작업은 엔드포인트에서 파일을 삭제하는 데 사용됩니다. 예를 들어 멀웨어가 발견되어 분석가가 이를 삭제하려는 경우에 사용할 수 있습니다.
실행
이 작업은 다음 항목에서 실행됩니다.
- 호스트
- IP 주소
작업 결과
통계
엔드포인트가 Endgame 에이전트를 사용하여 격리 해제된 경우 이를 나타내는 통계를 만듭니다.
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
(status = success)
{
"data": [
{
"status": "success",
"doc_type": "collection",
"endpoint": {
"domain": "InstallerInitiated",
"updated_at": "2019-11-01T05:41:10.150817+00:00",
"id": "a3cdc174-3af0-400a-85c3-bbb1435a6b61",
"display_operating_system": "Ubuntu 18.04.1",
"hostname": "08203s-lubu1804",
"mac_address": "01:23:45:ab:cd:ef",
"upgrade_status": "",
"base_image": false,
"isolation_updated_at": null,
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [
{
"id": "fc2dfcc8-9329-4f33-86a2-877bfb27575e",
"name": "CORE ENV"
}
],
"isolation_request_status": null,
"groups": [
{
"is_dynamic": false,
"count": 1,
"id": "e453d4f6-95c9-4dc5-bc41-2f4cae423e19",
"name": "Demo: Bad Admin"
}
],
"sensors": [
{
"status": "monitored",
"sensor_version": "3.52.12",
"policy_status": "successful",
"policy_name": "Lab (Detect-Only with Streaming)",
"sensor_type": "hunt",
"id": "c7347a4b-3e71-5514-980f-90bdbab758cf",
"policy_id": "07b7a44f-25f3-4e5c-977b-2915de8160c5"
}
],
"ip_address": "192.0.2.1",
"is_isolated": false,
"operating_system": "Linux 4.15.0-29-generic",
"name": "08203s-lubu1804",
"status_changed_at": "2020-01-20T07:25:02.633331+00:00",
"core_os": "linux",
"created_at": "2019-03-19T04:25:06.953312+00:00",
"error": null,
"machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d"
},
"task_id": "bfb82b8d-71a0-4e5f-9cfe-bd573ea32b25",
"family": "response",
"created_at": "2020-01-20T07:31:37Z",
"local_msg": "Success",
"system_msg": null,
"system_code": null,
"local_code": 0,
"os_type": "linux",
"machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d",
"type": "deleteFileResponse",
"id": "eb50fe9c-1059-42d4-9f5f-52e5af4ae64d"
}
],
"metadata": {
"count": 1,
"previous_url": null,
"timestamp": "2020-01-20T07:32:04.425044",
"next": null,
"per_page": 50,
"next_url": null,
"previous": null
}
}
(status = failure) local_msg 및 system_msg가 사용됩니다.
{
"data": [
{
"status": "failure",
"doc_type": "collection",
"endpoint": {
"domain": "InstallerInitiated",
"updated_at": "2019-11-01T05:41:10.150817+00:00",
"id": "a3cdc174-3af0-400a-85c3-bbb1435a6b61",
"display_operating_system": "Ubuntu 18.04.1",
"hostname": "08203s-lubu1804",
"mac_address": "01:23:45:ab:cd:ef",
"upgrade_status": "",
"base_image": false,
"isolation_updated_at": null,
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [
{
"id": "fc2dfcc8-9329-4f33-86a2-877bfb27575e",
"name": "CORE ENV"
}
],
"isolation_request_status": null,
"groups": [
{
"is_dynamic": false,
"count": 1,
"id": "e453d4f6-95c9-4dc5-bc41-2f4cae423e19",
"name": "Demo: Bad Admin"
}
],
"sensors": [
{
"status": "monitored",
"sensor_version": "3.52.12",
"policy_status": "successful",
"policy_name": "Lab (Detect-Only with Streaming)",
"sensor_type": "hunt",
"id": "c7347a4b-3e71-5514-980f-90bdbab758cf",
"policy_id": "07b7a44f-25f3-4e5c-977b-2915de8160c5"
}
],
"ip_address": "192.0.2.1",
"is_isolated": false,
"operating_system": "Linux 4.15.0-29-generic",
"name": "08203s-lubu1804",
"status_changed_at": "2020-01-07T08:16:46.895105+00:00",
"core_os": "linux",
"created_at": "2019-03-19T04:25:06.953312+00:00",
"error": null,
"machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d"
},
"task_id": "5da277fe-503d-468a-822b-8801d9671cde",
"family": "response",
"created_at": "2020-01-07T13:10:50Z",
"local_msg": "Not found",
"system_msg": null,
"system_code": null,
"local_code": -7,
"os_type": "linux",
"machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d",
"type": "deleteFileResponse",
"id": "6f3e6148-6801-4cb8-8a5d-25f75ea93555"
}
],
"metadata": {
"count": 1,
"previous_url": null,
"timestamp": "2020-01-07T13:16:18.834163",
"next": null,
"per_page": 5,
"next_url": null,
"previous": null
}
}
드라이버 설문조사 (Windows만 해당)
특정 Endgame 엔드포인트에서 드라이버에 관한 정보를 가져옵니다.
매개변수
| 매개변수 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| 반환할 최대 항목 수 | 문자열 | 50 | 반환할 항목 수를 지정합니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- 호스트 이름
- IP 주소
작업 결과
항목 보강
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| driver_basename | JSON 결과에 존재하는 경우에 반환 |
| driver_filename | JSON 결과에 존재하는 경우에 반환 |
| date_modified | JSON 결과에 존재하는 경우에 반환 |
| driver_file_version | JSON 결과에 존재하는 경우에 반환 |
| driver_load_address | JSON 결과에 존재하는 경우에 반환 |
| collection_id | JSON 결과에 존재하는 경우에 반환 |
| hashes | JSON 결과에 존재하는 경우에 반환 |
| machine_id | JSON 결과에 존재하는 경우에 반환 |
| driver_product_version | JSON 결과에 존재하는 경우에 반환 |
| driver_description | JSON 결과에 존재하는 경우에 반환 |
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[{
"EntityResult":
[{ "driver_basename": "test.exe",
"driver_filename": "C:\\\\Windows\\\\system32\\\\test.exe",
"date_modified": 1446189483.0185645,
"driver_file_version": "10.0.10586.0 (th2_release.151029-1700)",
"driver_load_address": "12345678",
"collection_id": "a9925cf1-6d4c-4bea-b13d-12345678",
"hashes": {
"sha256": "9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08",
"md5": "098f6bcd4621d373cade4e832627b4f6",
"sha1": "a94a8fe5ccb19ba61c4c0873d391e987982fbbd3"
},
"machine_id": "5dc677fd-6b47-7df9-f7f4-12345678",
"driver_product_version": "10.0.10586.0",
"driver_description": "Test"
}],
"Entity": "PC-01"
}]
방화벽 설문조사 (Windows만 해당)
특정 Endgame 엔드포인트의 방화벽 규칙에 관한 정보를 가져옵니다.
매개변수
| 매개변수 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| 반환할 최대 항목 수 | 문자열 | 50 | 반환할 항목 수를 지정합니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- 호스트 이름
- IP 주소
작업 결과
항목 보강
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| direction | JSON 결과에 존재하는 경우에 반환 |
| machine_id | JSON 결과에 존재하는 경우에 반환 |
| 설명 | JSON 결과에 존재하는 경우에 반환 |
| remote_addresses | JSON 결과에 존재하는 경우에 반환 |
| protocol_number | JSON 결과에 존재하는 경우에 반환 |
| 사용 설정됨 | JSON 결과에 존재하는 경우에 반환 |
| edge_traversal | JSON 결과에 존재하는 경우에 반환 |
| 프로필 | JSON 결과에 존재하는 경우에 반환 |
| interface_types | JSON 결과에 존재하는 경우에 반환 |
| rule_name | JSON 결과에 존재하는 경우에 반환 |
| icmp_and_type_codes | JSON 결과에 존재하는 경우에 반환 |
| local_addresses | JSON 결과에 존재하는 경우에 반환 |
| application_name | JSON 결과에 존재하는 경우에 반환 |
| collection_id | JSON 결과에 존재하는 경우에 반환 |
| remote_ports | JSON 결과에 존재하는 경우에 반환 |
| action | JSON 결과에 존재하는 경우에 반환 |
| local_ports | JSON 결과에 존재하는 경우에 반환 |
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[{
"EntityResult":
[{
"direction": "in",
"machine_id": "870499c3-d6bf-8edd-972d-12345678",
"description": "Inbound rule for Google Chrome to allow mDNS traffic.",
"remote_addresses": "*",
"protocol_number": 17,
"enabled": true,
"edge_traversal": false,
"profiles":
["domain", "public", "private"],
"interface_types": "All",
"rule_name": "Google Chrome (mDNS-In)",
"icmp_and_type_codes": "",
"local_addresses": "*",
"application_name": "C:\\\\Program Files (x86)\\\\Google\\\\Chrome\\\\Application\\\\chrome.exe",
"collection_id": "0925eea5-c61f-464a-ba61-12345678",
"remote_ports": "*",
"action": "allow",
"local_ports": "1234"
}],
"Entity": "PC-01"
}]
엔드포인트 가져오기
모든 엔드포인트를 나열합니다.
매개변수
해당 사항 없음
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[{
"domain": "",
"updated_at": "2019-05-30T01:40:21.126499+00:00",
"id": "db33d864-7d58-4d85-9d2d-1a98a101995d",
"display_operating_system": "Windows 7 (SP1)",
"hostname": "ip-AC170169",
"mac_address": "01:23:45:ab:cd:ef",
"isolation_updated_at": "",
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [],
"isolation_request_status": "",
"alert_count": 72,
"investigation_count": 0,
"groups": [],
"sensors":
[{
"status": "monitored",
"sensor_version": "3.51.10",
"policy_status": "successful",
"policy_name": "POC-Lab",
"sensor_type": "hunt",
"id": "ec17f7bb-1d63-536a-b694-ca066cc2572e",
"policy_id": "d31f0192-b8e2-49ae-ae54-041376183b7f"
}],
"ip_address": "192.0.2.1",
"is_isolated": "false",
"operating_system": "Windows 6.1 Service Pack 1",
"name": "ip-AC170169",
"status_changed_at": "2019-05-30T01:40:18.200770+00:00",
"core_os": "windows",
"created_at": "2019-05-30T01:36:43.761600+00:00",
"error":
[{
"msg": "Installer failure - Execution failed for (http://192.0.2.1:5985/wsman)\\n",
"deployment_id": "90C2BAA6-B38B-4037-9A9E-7C8628E8D7D6",
"code": 1001, "ts": 1559180421.125456
}],
"machine_id": "4f1adabb-17c4-e39e-caa7-7900562d0b51"
}]
헌트 파일
실행 중인 파일을 검색합니다.
매개변수
| 매개변수 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| 엔드포인트 핵심 OS | 문자열 | windows | 운영체제 (예: Windows, Linux, Mac)를 선택하여 엔드포인트 목록을 필터링합니다. 참고: 동일한 운영체제에서 실행되는 엔드포인트에 대해서만 하나의 조사를 만들 수 있습니다. |
| MD5 해시 | 문자열 | 해당 사항 없음 | 이 조사의 고급 구성입니다. MD5 해시를 쉼표로 구분하여 입력하세요. |
| SHA1 해시 | 문자열 | 해당 사항 없음 | 이 조사의 고급 구성입니다. SHA-1 해시를 쉼표로 구분하여 입력합니다. |
| SHA256 해시 | 문자열 | 해당 사항 없음 | 이 조사의 고급 구성입니다. SHA256 해시를 쉼표로 구분하여 입력하세요. |
| 디렉터리 | 문자열 | 해당 사항 없음 | 시작 디렉터리 경로입니다. 예: C:\windows\system32 |
| 파일 찾기 | 문자열 | 해당 사항 없음 | 검색할 파일 이름을 입력합니다. 정규 표현식을 입력하여 검색 결과를 좁힙니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- 호스트 이름
- IP 주소
작업 결과
항목 보강
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| meta_data | JSON 결과에 존재하는 경우에 반환 |
| file_path | JSON 결과에 존재하는 경우에 반환 |
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[{
"meta_data":
{ "hashes":
{ "sha256": "4705ba6793dc93c1bbe2a9e790e9e22778d217531b1750471206fd5c52bbd2b5",
"md5": "6383522c180badc4e1d5c30a5c4f4913",
"sha1": "62a30e96459b694f7b22d730c460a65cd2ebaaca"
},
"file_name_timestamps":
{ "accessed": 1468675289.0711532,
"entry_modified": 0,
"modified": 1468675289.0711532,
"created": 1468675404.0330572
},
"file_attributes": 38,
"file_size": 174
},
"file_path": "C:\\\\Program Files\\\\desktop.ini"
},
{
"meta_data":
{ "hashes":
{ "sha256": "44fe5eebd80e46f903d68c07bcf06d187a3698bf3953bc58bb578465e2e0fe6c",
"md5": "6bd5fb46283aa48e638bef47510c47da",
"sha1": "c38d46ec6c9bc8baece4a459b617f44d10af973c"
},
"file_name_timestamps":
{
"accessed": 1468675289.0024028,
"entry_modified": 0,
"modified": 1468675289.0024028,
"created": 1468675404.0111823
},
"file_attributes": 38,
"file_size": 645
},
"file_path": "C:\\\\Program Files\\\\Common Files\\\\microsoft shared\\\\Stationery\\\\Desktop.ini"
}]
IP 추적
네트워크 연결을 검색합니다.
매개변수
| 매개변수 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| 엔드포인트 핵심 OS | 문자열 | windows | 운영체제 (예: Windows, Linux, Mac)를 선택하여 엔드포인트 목록을 필터링합니다. 참고: 동일한 운영체제에서 실행되는 엔드포인트에 대해서만 하나의 조사를 만들 수 있습니다. |
| 원격 IP 주소 | 문자열 | 해당 사항 없음 | 원격 IP 주소(쉼표로 구분) |
| 로컬 IP 주소 | 문자열 | 해당 사항 없음 | 쉼표로 구분 |
| 주 | 문자열 | 해당 사항 없음 | 반환할 상태를 입력합니다. 예: ANY |
| 프로토콜 | 문자열 | 해당 사항 없음 | 예: ANY, UDP, TCP |
| 네트워크 포트 | 문자열 | 해당 사항 없음 | 해당 사항 없음 |
| 네트워크 리모컨 | 문자열 | 해당 사항 없음 | 네트워크 원격 또는 로컬입니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- 호스트 이름
- IP 주소
작업 결과
항목 보강
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| parent_name | JSON 결과에 존재하는 경우에 반환 |
| 도메인 | JSON 결과에 존재하는 경우에 반환 |
| exe | JSON 결과에 존재하는 경우에 반환 |
| name | JSON 결과에 존재하는 경우에 반환 |
| has_unbacked_execute_memory | JSON 결과에 존재하는 경우에 반환 |
| pid | JSON 결과에 존재하는 경우에 반환 |
| up_time | JSON 결과에 존재하는 경우에 반환 |
| is_sensor | JSON 결과에 존재하는 경우에 반환 |
| cmdline | JSON 결과에 존재하는 경우에 반환 |
| parent_exe | JSON 결과에 존재하는 경우에 반환 |
| unbacked_execute_byte_count | JSON 결과에 존재하는 경우에 반환 |
| create_time | JSON 결과에 존재하는 경우에 반환 |
| 사용자 | JSON 결과에 존재하는 경우에 반환 |
| sid | JSON 결과에 존재하는 경우에 반환 |
| threads | JSON 결과에 존재하는 경우에 반환 |
| ppid | JSON 결과에 존재하는 경우에 반환 |
| unbacked_execute_region_count | JSON 결과에 존재하는 경우에 반환 |
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[{
"parent_name": "System Idle Process",
"domain": "NT AUTHORITY",
"exe": "",
"name": "System",
"has_unbacked_execute_memory": false,
"pid": 4,
"up_time": 2384701,
"is_sensor": false,
"cmdline": "",
"parent_exe": "",
"unbacked_execute_byte_count": 0,
"create_time": 1559179903,
"user": "SYSTEM",
"sid": "S-1-5-18",
"threads":
[{
"thread_id": 8
}, {
"thread_id": 12,
"up_time": 13206038203,
"create_time": -11644473599
}, {
"thread_id": 16,
"up_time": 13206038203,
"create_time": -11644473599
}],
"ppid": 0,
"unbacked_execute_region_count": 0
}]
헌팅 프로세스
실행 중인 프로세스를 검색합니다.
매개변수
| 매개변수 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| 엔드포인트 핵심 OS | 문자열 | windows | 운영체제 (예: Windows, Linux 또는 Mac)을 입력하여 엔드포인트 목록을 필터링합니다. 참고: 동일한 운영체제에서 실행되는 엔드포인트에 대해서만 단일 조사를 만들 수 있습니다. |
| MD5 해시 | 문자열 | 해당 사항 없음 | 이 조사의 고급 구성입니다. MD5 해시를 쉼표로 구분하여 입력하세요. |
| SHA1 해시 | 문자열 | 해당 사항 없음 | 이 조사의 고급 구성입니다. SHA-1 해시를 쉼표로 구분하여 입력합니다. |
| SHA256 해시 | 문자열 | 해당 사항 없음 | 이 조사의 고급 구성입니다. SHA256 해시를 쉼표로 구분하여 입력하세요. |
| 프로세스 이름 | 문자열 | 해당 사항 없음 | 이 조사의 고급 구성입니다. 프로세스 이름(예: iss. exe)을 입력하세요.* |
실행
이 작업은 다음 항목에서 실행됩니다.
- 호스트 이름
- IP 주소
작업 결과
항목 보강
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| parent_name | JSON 결과에 존재하는 경우에 반환 |
| 도메인 | JSON 결과에 존재하는 경우에 반환 |
| exe | JSON 결과에 존재하는 경우에 반환 |
| name | JSON 결과에 존재하는 경우에 반환 |
| has_unbacked_execute_memory | JSON 결과에 존재하는 경우에 반환 |
| pid | JSON 결과에 존재하는 경우에 반환 |
| up_time | JSON 결과에 존재하는 경우에 반환 |
| is_sensor | JSON 결과에 존재하는 경우에 반환 |
| cmdline | JSON 결과에 존재하는 경우에 반환 |
| parent_exe | JSON 결과에 존재하는 경우에 반환 |
| unbacked_execute_byte_count | JSON 결과에 존재하는 경우에 반환 |
| create_time | JSON 결과에 존재하는 경우에 반환 |
| 사용자 | JSON 결과에 존재하는 경우에 반환 |
| sid | JSON 결과에 존재하는 경우에 반환 |
| threads | JSON 결과에 존재하는 경우에 반환 |
| ppid | JSON 결과에 존재하는 경우에 반환 |
| unbacked_execute_region_count | JSON 결과에 존재하는 경우에 반환 |
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[{
"parent_name": "System Idle Process",
"domain": "NT AUTHORITY",
"exe": "",
"name": "System",
"has_unbacked_execute_memory": false,
"pid": 4,
"up_time": 2384701,
"is_sensor": false,
"cmdline": "",
"parent_exe": "",
"unbacked_execute_byte_count": 0,
"create_time": 1559179903,
"user": "SYSTEM",
"sid": "S-1-5-18",
"threads":
[{
"thread_id": 8
},{
"thread_id": 12,
"up_time": 13206038203,
"create_time": -11644473599
},{
"thread_id": 16,
"up_time": 13206038203,
"create_time": -11644473599
}],
"ppid": 0,
"unbacked_execute_region_count": 0
}]
Hunt Registry
레지스트리 키 또는 값 이름을 검색합니다.
매개변수
| 매개변수 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| Hive | 문자열 | 전체 | HKEY_CLASSES_ROOT, HKEY_CURRENT_CONFIG, HKEY_USERS, HKEY_LOCAL_MACHINE, ALL 중 하나입니다. |
| 키 | 문자열 | 해당 사항 없음 | 레지스트리 키 또는 값 이름입니다. |
| 최소 크기 | 문자열 | 해당 사항 없음 | 최소 바이트 크기입니다. |
| 최대 크기 | 문자열 | 해당 사항 없음 | 최대 바이트 크기입니다. |
| 엔드포인트 핵심 OS | 문자열 | windows | 운영체제 (예: Windows, Linux 또는 Mac)을 입력하여 엔드포인트 목록을 필터링합니다. 참고: 동일한 운영체제에서 실행되는 엔드포인트에 대해서만 단일 조사를 만들 수 있습니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- 호스트 이름
- IP 주소
작업 결과
항목 보강
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| parent_name | JSON 결과에 존재하는 경우에 반환 |
| 도메인 | JSON 결과에 존재하는 경우에 반환 |
| exe | JSON 결과에 존재하는 경우에 반환 |
| name | JSON 결과에 존재하는 경우에 반환 |
| up_time | JSON 결과에 존재하는 경우에 반환 |
| is_sensor | JSON 결과에 존재하는 경우에 반환 |
| cmdline | JSON 결과에 존재하는 경우에 반환 |
| parent_exe | JSON 결과에 존재하는 경우에 반환 |
| unbacked_execute_byte_count | JSON 결과에 존재하는 경우에 반환 |
| create_time | JSON 결과에 존재하는 경우에 반환 |
| 사용자 | JSON 결과에 존재하는 경우에 반환 |
| sid | JSON 결과에 존재하는 경우에 반환 |
| threads | JSON 결과에 존재하는 경우에 반환 |
| ppid | JSON 결과에 존재하는 경우에 반환 |
| unbacked_execute_region_count | JSON 결과에 존재하는 경우에 반환 |
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[{
"parent_name": "System Idle Process",
"domain": "NT AUTHORITY",
"exe": "",
"name": "System",
"has_unbacked_execute_memory": false,
"pid": 4,
"up_time": 2384701,
"is_sensor": false,
"cmdline": "",
"parent_exe": "",
"unbacked_execute_byte_count": 0,
"create_time": 1559179903,
"user": "SYSTEM",
"sid": "S-1-5-18",
"threads":
[{
"thread_id": 8
},{
"thread_id": 12,
"up_time": 13206038203,
"create_time": -11644473599
}, {
"thread_id": 16,
"up_time": 13206038203,
"create_time": -11644473599
}],
"ppid": 0,
"unbacked_execute_region_count": 0
}]
사용자 검색
로그인한 사용자를 네트워크에서 검색합니다.
매개변수
| 매개변수 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| 엔드포인트 핵심 OS | 문자열 | windows | 운영체제 (예: Windows, Linux 또는 Mac)을 입력하여 엔드포인트 목록을 필터링합니다. 참고: 동일한 운영체제에서 실행되는 엔드포인트에 대해서만 단일 조사를 만들 수 있습니다. |
| 사용자 이름 찾기 | 문자열 | 해당 사항 없음 | 이 조사의 고급 구성입니다. 사용자 이름을 입력하고 여러 항목은 세미콜론으로 구분합니다. |
| 도메인 이름 | 문자열 | 해당 사항 없음 | 이 조사의 고급 구성입니다. 도메인 이름을 입력합니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- 호스트 이름
- IP 주소
작업 결과
항목 보강
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| parent_name | JSON 결과에 존재하는 경우에 반환 |
| 도메인 | JSON 결과에 존재하는 경우에 반환 |
| exe | JSON 결과에 존재하는 경우에 반환 |
| name | JSON 결과에 존재하는 경우에 반환 |
| has_unbacked_execute_memory | JSON 결과에 존재하는 경우에 반환 |
| pid | JSON 결과에 존재하는 경우에 반환 |
| up_time | JSON 결과에 존재하는 경우에 반환 |
| is_sensor | JSON 결과에 존재하는 경우에 반환 |
| cmdline | JSON 결과에 존재하는 경우에 반환 |
| parent_exe | JSON 결과에 존재하는 경우에 반환 |
| unbacked_execute_byte_count | JSON 결과에 존재하는 경우에 반환 |
| create_time | JSON 결과에 존재하는 경우에 반환 |
| 사용자 | JSON 결과에 존재하는 경우에 반환 |
| sid | JSON 결과에 존재하는 경우에 반환 |
| threads | JSON 결과에 존재하는 경우에 반환 |
| ppid | JSON 결과에 존재하는 경우에 반환 |
| unbacked_execute_region_count | JSON 결과에 존재하는 경우에 반환 |
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[{
"parent_name": "System Idle Process",
"domain": "NT AUTHORITY",
"exe": "",
"name": "System",
"has_unbacked_execute_memory": false,
"pid": 4,
"up_time": 2384701,
"is_sensor": false,
"Cmdline":"",
"parent_exe": "",
"unbacked_execute_byte_count": 0,
"create_time": 1559179903,
"user": "SYSTEM",
"sid": "S-1-5-18",
"threads":
[{
"thread_id": 8
}, {
"thread_id": 12,
"up_time": 13206038203,
"create_time": -11644473599
}, {
"thread_id": 16,
"up_time": 13206038203,
"create_time": -11644473599
}],
"ppid": 0,
"unbacked_execute_region_count": 0
}]
프로세스 종료
특정 Endgame 엔드포인트에서 프로세스를 종료합니다.
매개변수
| 매개변수 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| 프로세스 이름 | 문자열 | 해당 사항 없음 | 프로세스 이름을 입력합니다. |
| PID | 문자열 | 해당 사항 없음 | 프로세스 ID를 입력합니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- 호스트 이름
- IP 주소
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
네트워크 설문조사
특정 Endgame 엔드포인트에서 연결, DNS 캐시, NetBIOS, ARP, 라우팅 테이블에 관한 정보를 가져옵니다.
매개변수
| 매개변수 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| 반환할 최대 항목 수 | 문자열 | 50 | 반환할 자동 실행 수를 지정합니다. |
| 경로 항목 정보 포함 | 체크박스 | 선택됨 | 경로 항목에 관한 정보를 가져오도록 지정합니다. |
| Net Bios 정보 포함 | 체크박스 | 선택됨 | Net Bios에 관한 정보를 가져오도록 지정합니다. |
| DNS 캐시 정보 포함 | 체크박스 | 선택됨 | DNS 캐시에 관한 정보를 가져오도록 지정합니다. |
| ARP 테이블 정보 포함 | 체크박스 | 선택됨 | ARP 테이블에 관한 정보를 가져오도록 지정합니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- 호스트 이름
- IP 주소
작업 결과
항목 보강
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| 연결 | JSON 결과에 존재하는 경우에 반환 |
| netbios_info | JSON 결과에 존재하는 경우에 반환 |
| arp_table | JSON 결과에 존재하는 경우에 반환 |
| route_table | JSON 결과에 존재하는 경우에 반환 |
| dns_cache | JSON 결과에 존재하는 경우에 반환 |
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[{
"EntityResult":
{
"connections":
[{
"connection_type": "SOCK_STREAM",
"collection_id": "50e74bd2-1cd4-412c-a7fc-24cf1456e883",
"exe": "C:\\\\Windows\\\\System32\\\\test.exe",
"connection_status": "LISTEN",
"name": "test.exe",
"family": "ipv4",
"local_port": 111,
"remote_port": 0,
"pid": 700,
"remote_address": "0.0.0.0",
"create_time": 1583314664,
"connection_timestamp": 1583314664.0117714,
"local_address": "0.0.0.0",
"protocol": "tcp",
"hashes":
{
"sha256": "5d00bbeb147e0c838a622fc42c543b2913d57eaca4e69d9a37ed61e98c819347", "md5": "8497852ed44aff902d502015792d315d",
"sha1": "800a4c2e524fc392c45748eae1691fa01d24ea4c"
},
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
}],
"netbios_info":
[{
"comment": "",
"name": "PC-01",
"version_major": 10,
"netbios_neighbor_type": 8392747,
"platform": "WINDOWS NT",
"version_minor": 0
}],
"arp_table":
[{
"connection_type": "SOCK_STREAM",
"collection_id": "50e74bd2-1cd4-412c-a7fc-24cf1456e883",
"exe": "C:\\\\Windows\\\\System32\\\\test.exe",
"connection_status": "LISTEN",
"name": "test.exe",
"family": "ipv4",
"local_port": 111,
"remote_port": 0,
"pid": 700,
"remote_address": "0.0.0.0",
"create_time": 1583314664,
"connection_timestamp": 1583314664.0117714,
"local_address": "0.0.0.0",
"protocol": "tcp",
"hashes": {"sha256": "5d00bbeb147e0c838a622fc42c543b2913d57eaca4e69d9a37ed61e98c819347", "md5": "8497852ed44aff902d502015792d315d",
"sha1": "800a4c2e524fc392c45748eae1691fa01d24ea4c"},
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
}],
"route_table":
[{
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"family": "ipv4",
"destination": "0.0.0.0",
"netmask": "0.0.0.0",
"collection_id": "50e74bd2-1cd4-412c-a7fc-24cf1456e883",
"interface_name": "Ethernet0",
"gateway": "1.1.1.1"
}],
"dns_cache":
[{
"name": "test.ms",
"dns_record_type": "A",
"ttl": 0,
"collection_id": "50e74bd2-1cd4-412c-a7fc-24cf1456e883",
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"query_error": 9701
}]
},
"Entity": "PC-01"
}]
핑
Endgame 서버 연결을 테스트합니다.
매개변수
해당 사항 없음
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
프로세스 설문조사
특정 Endgame 엔드포인트에서 실행 중인 프로세스에 관한 정보를 가져옵니다.
매개변수
| 매개변수 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| 반환할 최대 항목 수 | 문자열 | 50 | 반환할 항목 수를 지정합니다. |
| 파일 없는 공격 감지 (Windows만 해당) | 체크박스 | 선택 해제 | 파일 없는 공격을 감지하도록 지정합니다. Windows만 해당 |
| MalwareScore로 멀웨어 감지 (Windows만 해당) | 체크박스 | 선택 해제 | MalwareScore로 멀웨어 프로세스를 감지하도록 지정합니다. Windows만 해당 |
| 프로세스 스레드 수집 | 체크박스 | 선택 해제 | 응답에 프로세스 스레드 수에 관한 정보를 포함하도록 지정합니다. |
| 의심스러운 프로세스만 반환 | 체크박스 | 선택됨 | 엔드포인트에서 의심스러운 프로세스만 반환하도록 지정합니다. Endgame 정의에 따르면 의심스러운 프로세스는 지원되지 않는 실행 파일 프로세스입니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- 호스트 이름
- IP 주소
작업 결과
항목 보강
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| 도메인 | JSON 결과에 존재하는 경우에 반환 |
| name_suspicious | JSON 결과에 존재하는 경우에 반환 |
| pid | JSON 결과에 존재하는 경우에 반환 |
| name_uncommon_path | JSON 결과에 존재하는 경우에 반환 |
| repeat_offender | JSON 결과에 존재하는 경우에 반환 |
| cmdline | JSON 결과에 존재하는 경우에 반환 |
| create_time | JSON 결과에 존재하는 경우에 반환 |
| parent_name | JSON 결과에 존재하는 경우에 반환 |
| has_unbacked_execute_memory | JSON 결과에 존재하는 경우에 반환 |
| sid | JSON 결과에 존재하는 경우에 반환 |
| ppid | JSON 결과에 존재하는 경우에 반환 |
| up_time | JSON 결과에 존재하는 경우에 반환 |
| unbacked_execute_region_count | JSON 결과에 존재하는 경우에 반환 |
| is_sensor | JSON 결과에 존재하는 경우에 반환 |
| threads | JSON 결과에 존재하는 경우에 반환 |
| 사용자 | JSON 결과에 존재하는 경우에 반환 |
| collection_id | JSON 결과에 존재하는 경우에 반환 |
| parent_exe | JSON 결과에 존재하는 경우에 반환 |
| exe | JSON 결과에 존재하는 경우에 반환 |
| name | JSON 결과에 존재하는 경우에 반환 |
| unbacked_execute_byte_count | JSON 결과에 존재하는 경우에 반환 |
| machine_id | JSON 결과에 존재하는 경우에 반환 |
| unbacked_execute_region_count | JSON 결과에 존재하는 경우에 반환 |
| tty_device_minor_number | JSON 결과에 존재하는 경우에 반환 |
| uid | JSON 결과에 존재하는 경우에 반환 |
| name_suspicious | JSON 결과에 존재하는 경우에 반환 |
| phys_memory_bytes | JSON 결과에 존재하는 경우에 반환 |
| pid | JSON 결과에 존재하는 경우에 반환 |
| env_variables | JSON 결과에 존재하는 경우에 반환 |
| repeat_offender | JSON 결과에 존재하는 경우에 반환 |
| cmdline | JSON 결과에 존재하는 경우에 반환 |
| create_time | JSON 결과에 존재하는 경우에 반환 |
| tty_device_major_number | JSON 결과에 존재하는 경우에 반환 |
| parent_name | JSON 결과에 존재하는 경우에 반환 |
| 그룹 | JSON 결과에 존재하는 경우에 반환 |
| cpu_percent | JSON 결과에 존재하는 경우에 반환 |
| has_unbacked_execute_memory | JSON 결과에 존재하는 경우에 반환 |
| gid | JSON 결과에 존재하는 경우에 반환 |
| sha256 | JSON 결과에 존재하는 경우에 반환 |
| cwd | JSON 결과에 존재하는 경우에 반환 |
| exe | JSON 결과에 존재하는 경우에 반환 |
| up_time | JSON 결과에 존재하는 경우에 반환 |
| short_name | JSON 결과에 존재하는 경우에 반환 |
| tty_device_name | JSON 결과에 존재하는 경우에 반환 |
| is_sensor | JSON 결과에 존재하는 경우에 반환 |
| sha1 | JSON 결과에 존재하는 경우에 반환 |
| threads | JSON 결과에 존재하는 경우에 반환 |
| name_uncommon_path | JSON 결과에 존재하는 경우에 반환 |
| collection_id | JSON 결과에 존재하는 경우에 반환 |
| md5 | JSON 결과에 존재하는 경우에 반환 |
| argv_list | JSON 결과에 존재하는 경우에 반환 |
| num_threads | JSON 결과에 존재하는 경우에 반환 |
| 사용자 | JSON 결과에 존재하는 경우에 반환 |
| virt_memory_bytes | JSON 결과에 존재하는 경우에 반환 |
| name | JSON 결과에 존재하는 경우에 반환 |
| session_id | JSON 결과에 존재하는 경우에 반환 |
| memory_percent | JSON 결과에 존재하는 경우에 반환 |
| machine_id | JSON 결과에 존재하는 경우에 반환 |
| unbacked_execute_byte_count | JSON 결과에 존재하는 경우에 반환 |
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[{
"EntityResult":
[{
"domain": "NT AUTHORITY",
"name_suspicious": false,
"pid": 4,
"name_uncommon_path": false,
"repeat_offender": false,
"cmdline": "",
"create_time": 1583314654,
"parent_name": "System Idle Process",
"has_unbacked_execute_memory": false,
"sid": "S-1-5-18",
"ppid": 0,
"up_time": 342643,
"unbacked_execute_region_count": 0,
"is_sensor": false,
"threads":
[{ "thread_id": 12,
"up_time": 13228130896,
"create_time": -11644473599
},
{
"thread_id": 16,
"up_time": 13228130896,
"create_time": -11644473599
}],
"user": "SYSTEM",
"collection_id": "ac1fb296-db5a-4426-b32e-292e4a50188d",
"parent_exe": "",
"exe": "",
"name": "System",
"unbacked_execute_byte_count": 0,
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
}],
"Entity": "PC-01"
},
{
"EntityResult":
[{
"unbacked_execute_region_count": 0,
"tty_device_minor_number": 0,
"uid": 0,
"name_suspicious": false,
"phys_memory_bytes": 8900608,
"pid": 1,
"env_variables":
[ "HOME=/",
"init=/sbin/init",
"NETWORK_SKIP_ENSLAVED=",
"recovery=",
"TERM=linux",
"drop_caps=",
"BOOT_IMAGE=/vmlinuz-4.15.0-88-generic",
"PATH=/sbin:/usr/sbin:/bin:/usr/bin",
"PWD=/", "rootmnt=/root" ],
"repeat_offender": false,
"cmdline": "/sbin/init maybe-ubiquity",
"create_time": 1583632302,
"tty_device_major_number": 0,
"parent_name": "",
"group": "root",
"cpu_percent": 0,
"has_unbacked_execute_memory": false,
"gid": 0,
"sha256": "3a14ff4b18505543eda4dccb054aa5860478a95ed0cac76da392f3472da3ad67",
"cwd": "/",
"exe": "/lib/systemd/systemd",
"up_time": 24942,
"short_name": "systemd",
"tty_device_name": "",
"is_sensor": false,
"sha1": "e016f80b87101a74b52d15ce2726560a6e128b60",
"threads": [{"thread_id": 1}],
"name_uncommon_path": false,
"collection_id": "bcb6b33a-0ffb-4e72-818a-1731024dfd79",
"md5": "ca563cf817f03ed7d01a6462818a5791",
"argv_list": ["/sbin/init", "maybe-ubiquity"],
"num_threads": 1,
"ppid": 0,
"virt_memory_bytes": 79818752,
"name": "systemd",
"session_id": 1,
"memory_percent": 0.21517109870910645,
"parent_exe": "",
"unbacked_execute_byte_count": 0,
"machine_id": "5ae8ddd9-9339-ae4b-ccf7-5ed68f38b3a9",
"user": "root"
}],
"Entity": "PC-202"
}]
이동식 미디어 설문조사 (Windows만 해당)
특정 Endgame 엔드포인트에서 이동식 미디어에 관한 정보를 가져옵니다.
매개변수
| 매개변수 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| 반환할 최대 항목 수 | 문자열 | 50 | 반환할 항목 수를 지정합니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- 호스트 이름
- IP 주소
작업 결과
항목 보강
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| name | JSON 결과에 존재하는 경우에 반환 |
| is_storage_device | JSON 결과에 존재하는 경우에 반환 |
| vendor_id | JSON 결과에 존재하는 경우에 반환 |
| collection_id | JSON 결과에 존재하는 경우에 반환 |
| last_connect_time | JSON 결과에 존재하는 경우에 반환 |
| serial_number | JSON 결과에 존재하는 경우에 반환 |
| machine_id | JSON 결과에 존재하는 경우에 반환 |
| is_connected | JSON 결과에 존재하는 경우에 반환 |
| product_id | JSON 결과에 존재하는 경우에 반환 |
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[{
"EntityResult":
[{ "name": "USB Composite Device",
"is_storage_device": false,
"vendor_id": "0E0F",
"collection_id": "fbe61b16-e6b2-4595-8409-abf4ce15fa85",
"last_connect_time": 1552596043.0610971,
"serial_number": "6&35D1F50B&0&1",
"machine_id": "a4c05d5a-7ebc-c3ab-1beb-f1fe517768d8",
"is_connected": false,
"product_id": "0003"
}],
"Entity": "PC-01"
}]
소프트웨어 설문조사 (Windows만 해당)
특정 Endgame 엔드포인트에 설치된 소프트웨어에 관한 정보를 가져옵니다.
매개변수
| 매개변수 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| 반환할 최대 항목 수 | 문자열 | 50 | 반환할 항목 수를 지정합니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- 호스트 이름
- IP 주소
작업 결과
항목 보강
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| 게시자 | JSON 결과에 존재하는 경우에 반환 |
| machine_id | JSON 결과에 존재하는 경우에 반환 |
| 패키지 | JSON 결과에 존재하는 경우에 반환 |
| install_date | JSON 결과에 존재하는 경우에 반환 |
| version | JSON 결과에 존재하는 경우에 반환 |
| collection_id | JSON 결과에 존재하는 경우에 반환 |
| installed_for | JSON 결과에 존재하는 경우에 반환 |
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[{
"EntityResult":
[{
"publisher": "John Doe",
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"package": "Test",
"install_date": "20191008",
"version": "18.06",
"collection_id": "fc079e17-8a2e-40d9-94c9-b974e5534e58",
"installed_for": "allUsers"
}],
"Entity": "PC-01"
}]
시스템 설문조사
메모리 사용량, DNS, OS 등 단일 엔드게임 엔드포인트에 관한 시스템 정보를 가져옵니다.
매개변수
| 매개변수 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| 반환할 최대 항목 수 | 문자열 | 50 | 반환할 항목 수를 지정합니다. |
| 보안 제품 정보 포함 (Windows만 해당) | 체크박스 | 선택됨 | 엔드포인트에 설치된 보안 제품에 관한 정보를 가져오도록 지정합니다 (Windows만 해당). |
| 패치 정보 포함 (Windows만 해당) | 체크박스 | 선택됨 | 패치에 관한 정보를 가져오도록 지정합니다 (Windows만 해당). |
| 디스크 정보 포함 | 체크박스 | 선택됨 | 디스크에 관한 정보를 가져오도록 지정합니다. |
| 네트워크 인터페이스 정보 포함 | 체크박스 | 선택됨 | 네트워크 인터페이스에 관한 정보를 가져오도록 지정합니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- 호스트 이름
- IP 주소
작업 결과
항목 보강
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| patches_info | JSON 결과에 존재하는 경우에 반환 |
| Disks_info | JSON 결과에 존재하는 경우에 반환 |
| network_interfaces | JSON 결과에 존재하는 경우에 반환 |
| Os_info | JSON 결과에 존재하는 경우에 반환 |
| installed_security_products | JSON 결과에 존재하는 경우에 반환 |
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[{
"EntityResult":
{
"patches_info":
[{
"collection_id": "f7d a62bb-318d-40c1-a490-85979c0c9ede",
"installed_on": "2/3/2018",
"hotfix_id": "KB4049065",
"machine_id": "870499c3-d6bf-8edd-972d-f2f6621dd971"
}],
"Disks_info":
[{
"disk_id": "\\\\Device\\\\HarddiskVolume2",
"fstype": "NTFS",
"disk_total": 15579738112,
"disk_free": 1219571712,
"collection_id": "a27ebace-32ec-4257-ab4f-7da49f02a9d4",
"device": "\\\\Device\\\\HarddiskVolume2",
"path": "C:\\\\",
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
}],
"network_interfaces":
[{
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"mac_address": "01:23:45:ab:cd:ef",
"ipv4_addresses": ["1.1.1.1"],
"ipv6_addresses": ["1111::1111:1111:1111:1111"],
"collection_id": "a27ebace-32ec-4257-ab4f-7da49f02a9d4",
"smp_interface": true,
"interface_name": "Ethernet0"
}],
"Os_info":
[{
"memory":
{ "ram_free": 1240039424,
"page_percent_used": 36.89334358507761,
"page_total": 2818101248,
"ram_percent_used": 42.24349594504104,
"ram_total": 2147012608,
"ram_used": 906973184,
"page_used": 1039691776,
"page_free": 1778409472
},
"doc_type": "collection",
"domain": "PC-01.test.com",
"endpoint":
{ "status": "unmonitored",
"ad_distinguished_name":
"CN=PC_01,OU=TESTOU,OU=Organization,DC=test,DC=com",
"ad_hostname": "test.com",
"operating_system": "Windows 10.0 ",
"name": "PC-01",
"display_operating_system": "Windows 10 (v1511)",
"hostname": "PC-01",
"updated_at": "2020-03-08T08:27:22.919880+00:00",
"mac_address": "01:23:45:ab:cd:ef",
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"ip_address": "1.1.1.1",
"id": "b23c8a14-69e0-4966-b78a-c9fba4fdd934"
},
"investigation_id": "85cff906-8b39-4a37-aa05-84950c9b2a02",
"hostname": "PC-01",
"bulk_task_id": null,
"original_machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"os_version":
{
"os_minor": 0,
"os_is_server": false,
"os_major": 10,
"os_build_number": 10586,
"os_service_pack": ""
},
"correlation_id": "7e17de5a-abcb-4de0-a510-7ca79bfdc345",
"architecture": "x64",
"sensor_info":
{
"malware_feature_version": "3.0.0",
"sensor_build_time": "1581375786",
"sensor_commit_sha": "80af56b6b295de785e502d82f39deac34973b2dd",
"sensor_build_number": 48,
"sensor_version": "3.53.9"
},
"time":
{
"tz_observes_dst": true,
"tz_currently_in_dst": false,
"tz_name": "Pacific Standard Time",
"tz_offset_minutes": 480
},
"os_type": "windows",
"ad_info":
{
"distinguished_name": "CN=PC-01,OU=TESTOU,OU=Organization,DC=test,DC=com",
"domain_hostname": "test.com"
},
"origination_task_id": "d3d67012-cfb1-47d0-8ec9-bf7ffb68a019"
}],
"installed_security_products":
[{
"security_product_type": "AntiVirus",
"collection_id": "a27ebace-32ec-4257-ab4f-7da49f02a9d4",
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"enabled": false, "name": "Windows Defender"
}]
},
"Entity": "PC-01"
}]
사용자 세션 설문조사
특정 Endgame 엔드포인트의 활성 사용자 세션에 관한 정보를 가져옵니다.
매개변수
| 매개변수 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| 반환할 최대 항목 수 | 문자열 | 50 | 반환할 항목 수를 지정합니다. |
실행
- 호스트 이름
- IP 주소
작업 결과
항목 보강
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| 사용자 이름 | JSON 결과에 존재하는 경우에 반환 |
| 셸 | JSON 결과에 존재하는 경우에 반환 |
| uid | JSON 결과에 존재하는 경우에 반환 |
| 시작됨 | JSON 결과에 존재하는 경우에 반환 |
| 호스트 이름 | JSON 결과에 존재하는 경우에 반환 |
| host_ip | JSON 결과에 존재하는 경우에 반환 |
| session_id | JSON 결과에 존재하는 경우에 반환 |
| session_count | JSON 결과에 존재하는 경우에 반환 |
| 터미널 | JSON 결과에 존재하는 경우에 반환 |
| 종료됨 | JSON 결과에 존재하는 경우에 반환 |
| gid | JSON 결과에 존재하는 경우에 반환 |
| collection_id | JSON 결과에 존재하는 경우에 반환 |
| machine_id | JSON 결과에 존재하는 경우에 반환 |
| 시작됨 | JSON 결과에 존재하는 경우에 반환 |
| password_last_set | JSON 결과에 존재하는 경우에 반환 |
| logon_type | JSON 결과에 존재하는 경우에 반환 |
| sid | JSON 결과에 존재하는 경우에 반환 |
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[{
"EntityResult":
[{
"username": "endgame",
"shell": "/opt/endgame/bin/console",
"uid": 1000,
"started": 1582554802.55514,
"hostname": "",
"host_ip": "",
"session_id": 887,
"session_count": 1,
"terminal": "tty1",
"ended": 0,
"gid": 1000,
"collection_id": "1aebade8-9f7b-4237-8c43-2aed8729511e",
"machine_id": "827255f4-53a2-1823-cac0-7c0f7730ca26"
}],
"Entity": "PC-01"
}, {
"EntityResult":
[{
"username": "example",
"domain": "3B",
"started": 1580205134.001,
"session_count": 1,
"ended": 0,
"password_last_set": 0,
"logon_type": "interactive",
"sid": "",
"collection_id": "88b876b1-5063-40a8-b40e-440df5eb8952",
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
}],
"Entity": "PC-02"
}
커넥터
Google SecOps에서 커넥터를 구성하는 방법에 대한 자세한 내용은 커넥터 구성을 참고하세요.
Endgame Connector
다음 매개변수를 사용하여 커넥터를 구성합니다.
| 매개변수 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| DeviceProductField | 문자열 | device_product | 기기 제품을 확인하는 데 사용되는 필드 이름입니다. |
| EventClassId | 문자열 | event_name | 이벤트 이름 (하위 유형)을 결정하는 데 사용되는 필드 이름 |
| PythonProcessTimeout | 문자열 | 30 | 현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도 (초) |
| API 루트 | 문자열 | 해당 사항 없음 | 해당 사항 없음 |
| 사용자 이름 | 문자열 | 해당 사항 없음 | 해당 사항 없음 |
| 비밀번호 | 비밀번호 | 해당 사항 없음 | 해당 사항 없음 |
| SSL 확인 | 체크박스 | 선택 해제 | 해당 사항 없음 |
| 최대 이전 일수 | 문자열 | 해당 사항 없음 | 해당 사항 없음 |
| 환경 필드 이름 | 문자열 | 해당 사항 없음 | 정의된 경우 커넥터는 지정된 이벤트 필드에서 환경을 추출합니다. 정규 표현식 패턴 필드를 사용하여 필드 데이터를 조작하여 특정 문자열을 추출할 수 있습니다. |
| 알림 수 제한 | 문자열 | 해당 사항 없음 | 해당 사항 없음 |
| 프록시 서버 주소 | 문자열 | 해당 사항 없음 | 사용할 프록시 서버의 주소입니다. |
| 프록시 사용자 이름 | 문자열 | 해당 사항 없음 | 인증할 프록시 사용자 이름입니다. |
| 프록시 비밀번호 | 비밀번호 | 해당 사항 없음 | 인증할 프록시 비밀번호입니다. |
커넥터 규칙
커넥터가 프록시를 지원합니다.
커넥터가 동적 목록을 지원합니다.
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.