Endgame
Versão da integração: 9.0
Integre o Endgame com o Google Security Operations
Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.
Ações
Enriquecer entidades
Enriqueça as entidades de anfitriões e IPs do Google SecOps com base nas informações do Endgame.
Parâmetros
N/A
Exemplos de utilização
A ação pode ser usada nos manuais de procedimentos que investigam a atividade em dispositivos. Se o dispositivo tiver o agente do Endgame instalado, a ação extrai informações do Endgame no dispositivo para enriquecer as entidades do Google SecOps.
É apresentado em
Esta ação é executada nas seguintes entidades:
- Anfitrião
- Endereço IP
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| Endgame_Domain | Sempre |
| Endgame_endpoint_id | Sempre |
| Endgame_hostname | Sempre |
| Endgame_sensors_status | Sempre |
| Endgame_sensors_id | Sempre |
| Endgame_sensors_status | Sempre |
| Endgame_sensors_id | Sempre |
| Endgame_policy_status | Sempre |
| Endgame_policy_name | Sempre |
| Endgame_policy_id | Sempre |
| Endgame_is_isolated | Sempre |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"data": [
{
"domain": "InstallerInitiated",
"updated_at": "2019-11-01T05:42:08.149079+00:00",
"id": "1682418d-02ff-43cd-a730-bcae8215a514",
"display_operating_system": "CentOS 7.6",
"hostname": "example",
"mac_address": "01:23:45:ab:cd:ef",
"upgrade_status": "",
"base_image": false,
"isolation_updated_at": null,
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [
{
"id": "a0927aeb-915a-466d-a5eb-5d7b6f9217c5",
"name": "BLUE TEAM"
},
{
"id": "bede2f24-593c-45e4-9863-9c2438f0f163",
"name": "SOC"
},
{
"id": "fc2dfcc8-9329-4f33-86a2-877bfb27575e",
"name": "CORE ENV"
}
],
"isolation_request_status": null,
"alert_count": 0,
"investigation_count": 0,
"groups": [
{
"is_dynamic": false,
"count": 4,
"id": "c1af3cd6-2638-4144-842d-adc9cfb67fb9",
"name": "SOC"
}
],
"sensors": [
{
"status": "monitored",
"sensor_version": "3.52.12",
"policy_status": "successful",
"policy_name": "Lab (Detect-Only)",
"sensor_type": "hunt",
"id": "fbb87923-a833-5581-a160-7f4f85a21bd0",
"policy_id": "a1d72bce-1f61-4ba8-bcd4-dfa97148335f"
}
],
"ip_address": "192.0.2.1",
"is_isolated": false,
"operating_system": "Linux 3.10.0-957.27.2.el7.x86_64",
"name": "example",
"status_changed_at": "2020-01-07T08:15:11.865854+00:00",
"core_os": "linux",
"created_at": "2019-03-19T05:07:50.598837+00:00",
"error": null,
"machine_id": "827255f4-53a2-1823-cac0-7c0f7730ca26"
},
{
"domain": "InstallerInitiated",
"updated_at": "2019-11-01T05:42:09.150756+00:00",
"id": "12c3530d-657f-4ccd-835e-6df9affeed3d",
"display_operating_system": "Ubuntu 18.04.3",
"hostname": "example",
"mac_address": "01:23:45:ab:cd:ef",
"upgrade_status": "",
"base_image": false,
"isolation_updated_at": null,
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [],
"isolation_request_status": null,
"alert_count": 0,
"investigation_count": 0,
"groups": [
{
"is_dynamic": false,
"count": 4,
"id": "c1af3cd6-2638-4144-842d-adc9cfb67fb9",
"name": "SOC"
}
],
"sensors": [
{
"status": "monitored",
"sensor_version": "3.52.12",
"policy_status": "successful",
"policy_name": "Lab (Detect-Only)",
"sensor_type": "hunt",
"id": "dc2e35cc-0c87-5a60-8fc8-de23ef747d02",
"policy_id": "a1d72bce-1f61-4ba8-bcd4-dfa97148335f"
}
],
"ip_address": "192.0.2.1",
"is_isolated": false,
"operating_system": "Linux 4.15.0-72-generic",
"name": "example",
"status_changed_at": "2020-01-07T08:15:16.875375+00:00",
"core_os": "linux",
"created_at": "2019-09-20T21:34:51.966863+00:00",
"error": null,
"machine_id": "5ae8ddd9-9339-ae4b-ccf7-5ed68f38b3a9"
}
],
"metadata": {
"count": 38,
"previous_url": null,
"timestamp": "2020-01-07T18:09:43.765744",
"next": null,
"per_page": 50,
"next_url": null,
"transaction_id": "569cdc38-8c7a-4b93-af99-aaf907dc8dd6",
"previous": null
}
}
Listar investigações
Listar investigações do Endgame.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | Descrição |
|---|---|---|---|
| SO | String | Solaris, Windows, MacOS e Linux | Especifique para que SO quer listar investigações. O parâmetro pode assumir vários valores como uma string separada por vírgulas. |
| Obtenha investigações das últimas X horas | Int | N/A | Devolve investigações criadas para o período especificado em horas. |
| Max Investigation to Return | Int | N/A | Especifique quantas investigações quer consultar. |
Exemplos de utilização
As investigações são usadas para procurar diferentes objetos dos pontos finais, por exemplo, processos, endereços IP e ficheiros. Esta ação permite que o utilizador liste as investigações. Os analistas podem usar esta ação para garantir que todas as investigações necessárias estão a ser realizadas no sistema.
É apresentado em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"data": [
{
"created_by_chat": false,
"name": "Example User + 2020-01-08T13:47:51.334336_utc",
"core_os": "windows",
"created_at": "2020-01-08T13:47:51.340497+00:00",
"task_completion": {
"completed_tasks": 1,
"total_tasks": 1
},
"archived": false,
"created_by": {
"username": "admin",
"last_name": "User",
"is_active": true,
"is_editable": true,
"is_ldap": false,
"is_removable": false,
"timezone": null,
"id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"first_name": "Example",
"last_viewed_alert": "2020-01-07T09:24:22.925000",
"is_sso": false,
"is_superuser": true,
"role": {
"role": "Admin",
"id": "37e9e54e-0bb8-5058-9bd4-50a0d0fbea35",
"permissions": {
"endpoints.scan": true,
"sensor.admin.view": true,
"sensor.admin.update": true,
"endpoints.delete": true,
"endpoints.respond": true,
"search.search": true,
"sensor.admin.create": true,
"alerts.admin.forwardalerts": true,
"endpoints.tag": true,
"user.delete": true,
"endpoints.deploy": true,
"user.update": true,
"search.save": true,
"investigation.create": true,
"endpoints.view": true,
"user.view": true,
"sensor.admin.download": true,
"alerts.view": true,
"alerts.update": true,
"search.delete": true,
"sensor.admin.delete": true,
"endpoints.uninstall": true,
"investigation.view": true,
"admin": true,
"investigation.update": true,
"endpoints.changeconfiguration": true,
"user.create": true
}
},
"type": "Local",
"email": null
},
"updated_at": "2020-01-08T13:47:51.379966+00:00",
"created_by_user_display_name": "Example User",
"canceled_by_user_id": null,
"version": 2,
"endpoint_count": 1,
"assigned_to": {
"username": "admin",
"last_name": "User",
"is_active": true,
"is_editable": true,
"is_ldap": false,
"is_removable": false,
"timezone": null,
"id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"first_name": "Example",
"last_viewed_alert": "2020-01-07T09:24:22.925000",
"is_sso": false,
"is_superuser": true,
"role": {
"role": "Admin",
"id": "37e9e54e-0bb8-5058-9bd4-50a0d0fbea35",
"permissions": {
"endpoints.scan": true,
"sensor.admin.view": true,
"sensor.admin.update": true,
"endpoints.delete": true,
"endpoints.respond": true,
"search.search": true,
"sensor.admin.create": true,
"alerts.admin.forwardalerts": true,
"endpoints.tag": true,
"user.delete": true,
"endpoints.deploy": true,
"user.update": true,
"search.save": true,
"investigation.create": true,
"endpoints.view": true,
"user.view": true,
"sensor.admin.download": true,
"alerts.view": true,
"alerts.update": true,
"search.delete": true,
"sensor.admin.delete": true,
"endpoints.uninstall": true,
"investigation.view": true,
"admin": true,
"investigation.update": true,
"endpoints.changeconfiguration": true,
"user.create": true
}
},
"type": "Local",
"email": null
},
"id": "e0ad7613-daf6-435f-98f6-ce40eae01acc",
"canceled_by_user_display_name": null,
"user_display_name": "Example User",
"hunt_count": 1,
"is_canceled": false
}
],
"metadata": {
"count": 46,
"previous_url": null,
"timestamp": "2020-01-08T16:02:09.251511",
"next": 2,
"per_page": 1,
"next_url": "/api/v1/investigations/?per_page=1&page=2",
"previous": null
}
}
Aceda aos detalhes da investigação
Receber informações sobre uma investigação específica do Endgame.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | Descrição |
|---|---|---|---|
| ID da investigação | String | N/A | Especifique o ID da investigação do Endgame a pesquisar. |
Exemplos de utilização
As investigações são usadas para procurar diferentes objetos dos pontos finais, por exemplo, processos, endereços IP e ficheiros. Esta ação permite ao utilizador obter mais informações sobre investigações específicas. Os analistas podem usar esta ação para garantir que todas as tarefas necessárias foram realizadas no sistema.
É apresentado em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"data": {
"tasks": [
"6500673c-d246-41a3-882d-d3a339f28497"
],
"user_display_name": "Example User",
"task_types": [
"Process Survey"
],
"task_completion": {
"completed_tasks": 1,
"total_tasks": 1
},
"updated_at": "2020-01-06T13:30:33.851816+00:00",
"created_by_user_display_name": "Example User",
"id": "54caeedc-d6b0-4ca0-8f64-8798d1c34d54",
"task_completions_by_type": {
"Process Survey": {
"completed_tasks": 1,
"task_type_id": "2fbf0c36-5160-5c31-99ec-0fa5880c6bd1",
"total_tasks": 1
}
},
"archived": false,
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"is_canceled": false,
"created_by": {
"username": "admin",
"last_name": "User",
"is_active": true,
"is_editable": true,
"is_ldap": false,
"is_removable": false,
"timezone": null,
"id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"first_name": "Example",
"last_viewed_alert": "2020-01-06T09:27:04.097000",
"is_sso": false,
"is_superuser": true,
"role": {
"role": "Admin",
"id": "37e9e54e-0bb8-5058-9bd4-50a0d0fbea35",
"permissions": {
"endpoints.scan": true,
"sensor.admin.view": true,
"sensor.admin.update": true,
"endpoints.delete": true,
"endpoints.respond": true,
"search.search": true,
"sensor.admin.create": true,
"alerts.admin.forwardalerts": true,
"endpoints.tag": true,
"user.delete": true,
"endpoints.deploy": true,
"user.update": true,
"search.save": true,
"investigation.create": true,
"endpoints.view": true,
"user.view": true,
"sensor.admin.download": true,
"alerts.view": true,
"alerts.update": true,
"search.delete": true,
"sensor.admin.delete": true,
"endpoints.uninstall": true,
"investigation.view": true,
"admin": true,
"investigation.update": true,
"endpoints.changeconfiguration": true,
"user.create": true
}
},
"type": "Local",
"email": null
},
"hunt_count": 1,
"canceled_by_user_id": null,
"version": 2,
"endpoint_count": 1,
"canceled_by_user_display_name": null,
"created_by_user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"created_by_chat": false,
"sensors": [
"8eef6873-6db7-58ab-a1ca-68dc19b54117"
],
"name": "Example User + 2020-01-06T13:30:33.808543_utc",
"core_os": "windows",
"created_at": "2020-01-06T13:30:33.813747+00:00",
"assigned_to": {
"username": "admin",
"last_name": "User",
"is_active": true,
"is_editable": true,
"is_ldap": false,
"is_removable": false,
"timezone": null,
"id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"first_name": "Example",
"last_viewed_alert": "2020-01-06T09:27:04.097000",
"is_sso": false,
"is_superuser": true,
"role": {
"role": "Admin",
"id": "37e9e54e-0bb8-5058-9bd4-50a0d0fbea35",
"permissions": {
"endpoints.scan": true,
"sensor.admin.view": true,
"sensor.admin.update": true,
"endpoints.delete": true,
"endpoints.respond": true,
"search.search": true,
"sensor.admin.create": true,
"alerts.admin.forwardalerts": true,
"endpoints.tag": true,
"user.delete": true,
"endpoints.deploy": true,
"user.update": true,
"search.save": true,
"investigation.create": true,
"endpoints.view": true,
"user.view": true,
"sensor.admin.download": true,
"alerts.view": true,
"alerts.update": true,
"search.delete": true,
"sensor.admin.delete": true,
"endpoints.uninstall": true,
"investigation.view": true,
"admin": true,
"investigation.update": true,
"endpoints.changeconfiguration": true,
"user.create": true
}
},
"type": "Local",
"email": null
},
"endpoints": [
"b23c8a14-69e0-4966-b78a-c9fba4fdd934"
]
},
"metadata": {
"timestamp": "2020-01-06T14:00:53.716517"
}
}
Obter configuração de isolamento do anfitrião
Obtenha a configuração de isolamento do anfitrião definida no Endgame.
Parâmetros
N/A
Exemplos de utilização
Esta ação é usada para obter informações sobre a configuração de isolamento do anfitrião. Esta configuração permite que os anfitriões isolados se liguem aos endereços IP aí indicados. Os analistas podem usar esta ação para verificar se todos os endereços IP necessários estão na configuração de isolamento do anfitrião.
É apresentado em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"data": [
{
"id": "47999eeb-f076-5aca-a7cc-56bf7ac2b647",
"comments": [
{
"comment": "Testing API",
"entity_id": "47999eeb-f076-5aca-a7cc-56bf7ac2b647",
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"entity_type": "whitelisted_ip",
"created_at": "2020-01-07T15:59:56Z",
"updated_at": "2020-01-07T15:59:56Z",
"id": 547,
"activity_type": "comment"
}
],
"addr": "192.0.2.1/30"
},
{
"id": "6ab5575c-718e-5e24-bd4d-77e0694ad6fc",
"comments": [
{
"comment": "Testing API",
"entity_id": "6ab5575c-718e-5e24-bd4d-77e0694ad6fc",
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"entity_type": "whitelisted_ip",
"created_at": "2020-01-07T15:58:29Z",
"updated_at": "2020-01-07T15:58:29Z",
"id": 545,
"activity_type": "comment"
}
],
"addr": "192.0.2.11/32"
},
{
"id": "72bdf5d2-4cc6-5ccf-9787-a539fae9c517",
"comments": [
{
"comment": "CIDR Test",
"entity_id": "72bdf5d2-4cc6-5ccf-9787-a539fae9c517",
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"entity_type": "whitelisted_ip",
"created_at": "2020-01-07T15:58:04Z",
"updated_at": "2020-01-07T15:58:04Z",
"id": 543,
"activity_type": "comment"
}
],
"addr": "198.51.100.1/32"
},
{
"id": "5aa89c8f-a535-5876-840c-af33a7ec1419",
"comments": [
{
"comment": "Testing API",
"entity_id": "5aa89c8f-a535-5876-840c-af33a7ec1419",
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"entity_type": "whitelisted_ip",
"created_at": "2020-01-07T15:57:24Z",
"updated_at": "2020-01-07T15:57:24Z",
"id": 541,
"activity_type": "comment"
}
],
"addr": "198.51.100.10"
},
{
"id": "06461575-700b-596d-8662-7ea0aff28e9c",
"comments": [
{
"comment": "Test Isolation",
"entity_id": "06461575-700b-596d-8662-7ea0aff28e9c",
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"entity_type": "whitelisted_ip",
"created_at": "2020-01-07T15:55:21Z",
"updated_at": "2020-01-07T15:55:21Z",
"id": 539,
"activity_type": "comment"
}
],
"addr": "203.0.113.1"
}
],
"metadata": {
"count": 5,
"previous_url": null,
"timestamp": "2020-01-07T16:00:19.754687",
"next": null,
"per_page": 10,
"next_url": null,
"previous": null
}
}
Adicione a sub-rede de IP à configuração de isolamento do anfitrião
Adicione uma sub-rede de IP à configuração de isolamento do anfitrião definida no Endgame.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | Descrição |
|---|---|---|---|
| Sub-rede IP | String | N/A | Introduza a sub-rede IPv4 que quer adicionar à configuração de isolamento do anfitrião. |
| Descrição | String | N/A | Introduza a descrição da sub-rede IP. |
| Crie estatísticas | Caixa de verificação | desselecionada | Se estiver ativada, cria uma estatística após a execução bem-sucedida desta ação. |
Exemplos de utilização
Esta ação é usada para obter informações sobre a configuração de isolamento do anfitrião. Esta configuração permite que os anfitriões isolados se liguem às sub-redes IP aí indicadas. Os analistas podem usar esta ação para adicionar sub-redes IP necessárias à configuração de isolamento do anfitrião.
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Estatísticas
Se foi adicionada uma sub-rede IP à configuração de isolamento do anfitrião através do Endgame, crie uma estatística para o indicar.
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Remova a sub-rede de IP da configuração de isolamento do anfitrião
Remova uma sub-rede de IP da configuração de isolamento do anfitrião definida no Endgame.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | Descrição |
|---|---|---|---|
| Sub-rede IP | String | N/A | Introduza a sub-rede IPv4 que quer adicionar à configuração de isolamento do anfitrião. |
| Crie estatísticas | Caixa de verificação | desselecionada | Se estiver ativada, cria uma estatística após a execução bem-sucedida desta ação. |
Exemplos de utilização
Esta ação é usada para obter informações sobre a configuração de isolamento do anfitrião. Esta configuração permite que os anfitriões isolados se liguem às sub-redes IP aí indicadas. Os analistas podem usar esta ação para remover sub-redes IP que já não são necessárias da configuração de isolamento do anfitrião.
É apresentado em
Esta ação é executada em todas as entidades.
Resultados da ação
Estatísticas
Se uma sub-rede IP tiver sido removida da configuração de isolamento do anfitrião através do Endgame, crie uma estatística para o indicar.
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Recolha o Autoruns (apenas para Windows)
Recolha execuções automáticas do ponto final do Endgame.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | Descrição |
|---|---|---|---|
| Máximo de artigos a devolver | Número inteiro | 1000 | Especifique o número de execuções automáticas a devolver. |
| Categoria "Tudo" | Caixa de verificação | Marcado | Se estiver ativada, pesquisa todas as categorias de execução automática. |
| Categoria "Fornecedor de rede" | Caixa de verificação | Desmarcado | Se estiver ativada, pesquise a categoria de execução automática "Fornecedor de rede". |
| Categoria "Office" | Caixa de verificação | Desmarcado | Se estiver ativada, pesquise a categoria de execução automática "Office". |
| Categoria "Condutor" | Caixa de verificação | Desmarcado | Se estiver ativada, pesquise a categoria de execução automática "Driver". |
| Categoria "App Init" | Caixa de verificação | Desmarcado | Se estiver ativada, pesquise a categoria de execução automática "App Init". |
| Categoria "Winlogon" | Caixa de verificação | Desmarcado | Se estiver ativada, pesquise a categoria de execução automática "Winlogon". |
| Categoria "Monitor de impressão" | Caixa de verificação | Desmarcado | Se estiver ativada, procure a categoria de execução automática "Print Monitor". |
| Categoria "Facilidade de acesso" | Caixa de verificação | Desmarcado | Se estiver ativada, procure a categoria de execução automática "Facilidade de acesso". |
| Categoria "WMI" | Caixa de verificação | Desmarcado | Se estiver ativada, pesquise a categoria de execução automática "WMI". |
| Categoria "Fornecedor de LSA" | Caixa de verificação | Desmarcado | Se estiver ativada, pesquise a categoria de execução automática "LSA Provider". |
| Categoria "Serviço" | Caixa de verificação | Desmarcado | Se estiver ativada, pesquise a categoria de execução automática "Serviço". |
| Categoria "Bits" | Caixa de verificação | Desmarcado | Se estiver ativada, pesquise a categoria de execução automática "Bits". |
| Categoria "Known dll" | Caixa de verificação | Desmarcado | Se estiver ativada, pesquise a categoria de execução automática "Known dll". |
| Categoria "Fornecedor de impressão" | Caixa de verificação | Desmarcado | Se estiver ativada, pesquise a categoria de execução automática "Fornecedor de impressão". |
| Categoria "Roubo de imagem" | Caixa de verificação | Desmarcado | Se estiver ativada, pesquise a categoria de execução automática "Roubo de imagem". |
| Categoria "Pasta de arranque" | Caixa de verificação | Desmarcado | Se estiver ativada, pesquise a categoria de execução automática "Startup Folder". |
| Categoria "Internet Explorer" | Caixa de verificação | Desmarcado | Se estiver ativada, procure a categoria de execução automática "Internet Explorer". |
| Categoria "Codec" | Caixa de verificação | Desmarcado | Se estiver ativada, pesquise a categoria de execução automática "Codec". |
| Categoria "Início de sessão" | Caixa de verificação | Desmarcado | Se estiver ativada, pesquise a categoria de execução automática "Logon". |
| Categoria "Roubo de ordem de pesquisa" | Caixa de verificação | Desmarcado | Se estiver ativada, pesquise a categoria de execução automática "Search Order Hijack". |
| Categoria "Fornecedor Winsock" | Caixa de verificação | Desmarcado | Se estiver ativada, pesquise a categoria de execução automática "Winsock Provider". |
| Categoria "Boot Execute" | Caixa de verificação | Desmarcado | Se estiver ativada, pesquise a categoria de execução automática "Boot Execute". |
| Categoria "Phantom dll" | Caixa de verificação | Desmarcado | Se estiver ativada, pesquise a categoria de execução automática "Phantom dll". |
| Categoria "Com Hijack" | Caixa de verificação | Desmarcado | Se estiver ativada, pesquise a categoria de execução automática "Com Hijack". |
| Categoria "Explorador" | Caixa de verificação | Desmarcado | Se estiver ativada, pesquise a categoria de execução automática "Explorer". |
| Categoria "Tarefa agendada" | Caixa de verificação | Desmarcado | Se estiver ativada, pesquise a categoria de execução automática "Tarefa agendada". |
| Incluir todos os metadados | Caixa de verificação | Marcado | Se estiver ativada, fornece todos os dados disponíveis. |
| Inclua metadados de classificação de software malicioso | Caixa de verificação | Desmarcado | Se estiver ativada, fornece informações sobre o MalwareScore. |
| Inclua metadados do Authenticode | Caixa de verificação | Desmarcado | Se estiver ativada, fornece informações do signatário. |
| Inclua o hash MD5 | Caixa de verificação | Desmarcado | Se estiver ativada, fornece o hash MD5 na resposta. |
| Inclua o hash SHA-1 | Caixa de verificação | Desmarcado | Se estiver ativada, fornece o hash SHA-1 na resposta. |
| Inclua o hash SHA-256 | Caixa de verificação | Desmarcado | Se estiver ativada, fornece o hash SHA-256 na resposta. |
Exemplos de utilização
Esta ação pode ser usada para recolher informações sobre as execuções automáticas no ponto final. Estes dados podem ajudar os analistas a realizar processos de triagem e remediação.
É apresentado em
Esta ação é executada nas seguintes entidades:
- Anfitrião
- Endereço IP
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"data": {
"count": 1,
"per_page": 50,
"previous": null,
"tasks": [
{
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"data": {
"category_option": {
"category_network_provider": true,
"category_office": false,
"category_driver": false,
"category_app_init": false,
"category_winlogon": false,
"category_print_monitor": false,
"category_ease_of_access": false,
"category_wmi": false,
"category_lsa_provider": false,
"category_service": false,
"category_bits": false,
"category_known_dll": false,
"category_print_provider": false,
"category_image_hijack": false,
"category_startup_folder": false,
"category_internet_explorer": false,
"category_codec": false,
"category_logon": false,
"category_all": false,
"category_search_order_hijack": false,
"category_winsock_provider": false,
"category_boot_execute": false,
"category_phantom_dll": false,
"category_com_hijack": false,
"category_explorer": false,
"category_scheduled_task": false
},
"metadata_option": {
"metadata_all": true,
"metadata_malware_classification": false,
"metadata_sha1": false,
"metadata_sha256": false,
"metadata_authenticode": false,
"metadata_md5": false
}
},
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"metadata": {
"sensor_id": "8eef6873-6db7-58ab-a1ca-68dc19b54117",
"investigation_id": "0b043f77-531f-4109-93b1-e01019ad0980",
"task_id": "e667b0c3-39de-4862-9baf-d6697db79721",
"echo": "",
"endpoint_id": "b23c8a14-69e0-4966-b78a-c9fba4fdd934",
"destination_plugin": "autoruns",
"key": "collectAutoRunsRequest",
"semantic_version": "3.52.\\d+",
"collection_id": "2393f424-bf57-40af-81e6-91b95acf5409"
}
}
],
"next": null
},
"metadata": {
"timestamp": "2020-01-08T13:15:37.238341"
}
}
Isole o anfitrião
Isolar o ponto final do Endgame. Esta ação só é compatível com sistemas Windows e macOS.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | Descrição |
|---|---|---|---|
| Crie estatísticas | Caixa de verificação | Desmarcado | Se estiver ativada, cria uma estatística após a execução bem-sucedida desta ação. |
Exemplos de utilização
Esta ação é usada para obter informações sobre a configuração de isolamento do anfitrião. Esta configuração permite que os anfitriões isolados se liguem às sub-redes IP aí indicadas. Os analistas podem usar esta ação para adicionar sub-redes IP necessárias à configuração de isolamento do anfitrião.
É apresentado em
Esta ação é executada nas seguintes entidades:
- Anfitrião
- Endereço IP
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
Se o ponto final tiver sido isolado através do agente do Endgame, crie uma estatística para indicar esta situação.
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"data": {
"valid": true,
"bulk_task_id": "a6ccc2f7-39a7-42e7-b646-41b281316b1d",
"error_messages": []
},
"metadata": {
"timestamp": "2020-01-08T15:09:22.474963"
}
}
Unisolate Host
Anule o isolamento de um ponto final do Endgame. Esta ação só é compatível com sistemas Windows e macOS.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | Descrição |
|---|---|---|---|
| Crie estatísticas | Caixa de verificação | Desmarcado | Se estiver ativada, cria uma estatística após a execução bem-sucedida desta ação. |
É apresentado em
Esta ação é executada nas seguintes entidades:
- Anfitrião
- Endereço IP
Resultados da ação
Estatísticas
Se o ponto final tiver sido desisolado através do agente do Endgame, crie uma estatística para indicar esta situação.
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"data": {
"domain": "InstallerInitiated",
"updated_at": "2020-01-08T08:16:26.063394+00:00",
"id": "b23c8a14-69e0-4966-b78a-c9fba4fdd934",
"display_operating_system": "Windows 10 (v1511)",
"hostname": "example",
"mac_address": "01:23:45:ab:cd:ef",
"upgrade_status": "",
"base_image": false,
"isolation_updated_at": "2020-01-08T15:09:24.665367+00:00",
"status": "monitored",
"ad_distinguished_name": "CN=EXAMPLE,CN=Computers,DC=example,DC=com",
"ad_hostname": "example.com",
"tags": [],
"isolation_request_status": null,
"alert_count": 0,
"groups": [
{
"is_dynamic": false,
"count": 2,
"id": "d9de26c9-ee63-4d38-9997-7418bd13c45e",
"name": "Demo: APT28"
}
],
"sensors": [
{
"status": "monitored",
"sensor_version": "3.52.12",
"policy_status": "successful",
"policy_name": "Lab (Detect-Only with Streaming)",
"sensor_type": "hunt",
"id": "8eef6873-6db7-58ab-a1ca-68dc19b54117",
"policy_id": "07b7a44f-25f3-4e5c-977b-2915de8160c5"
}
],
"ip_address": "192.0.2.3",
"is_isolated": false,
"operating_system": "Windows 10.0",
"name": "example",
"status_changed_at": "2020-01-08T12:30:48.704802+00:00",
"core_os": "windows",
"created_at": "2019-11-01T06:31:32.519640+00:00",
"error": null,
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
},
"metadata": {
"timestamp": "2020-01-08T15:16:34.303701"
}
}
Transferir ficheiro
Transfira um ficheiro de um ponto final específico do Endgame.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | Descrição |
|---|---|---|---|
| Caminho completo do ficheiro | String | N/A | Se estiver ativada, cria uma estatística após a execução bem-sucedida desta ação. |
| Caminho completo da pasta de transferências | String | N/A | Introduza o caminho para a pasta onde quer armazenar este ficheiro. |
| Hash SHA-256 esperado | String | N/A | Introduza o hash SHA-256 esperado. |
Exemplos de utilização
Pode usar esta ação para aceder aos ficheiros a partir de pontos finais. Por vezes, os ficheiros devem ser processados manualmente, e esta atividade ajuda os utilizadores a acederem aos ficheiros necessários.
É apresentado em
Esta ação é executada nas seguintes entidades:
- Anfitrião
- Endereço IP
Resultados da ação
Estatísticas
Se o ponto final tiver sido desisolado através do agente Endgame, crie uma estatística para indicar esta situação.
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
Se o estado for success, o resultado JSON é o seguinte:
{
"data": {
"status": "success",
"doc_type": "collection",
"endpoint": {
"domain": "InstallerInitiated",
"updated_at": "2019-11-01T05:41:10.150817+00:00",
"id": "a3cdc174-3af0-400a-85c3-bbb1435a6b61",
"display_operating_system": "Ubuntu 18.04.1",
"hostname": "example",
"mac_address": "01:23:45:ab:cd:ef",
"base_image": false,
"isolation_updated_at": null,
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [
{
"id": "fc2dfcc8-9329-4f33-86a2-877bfb27575e",
"name": "CORE ENV"
}
],
"isolation_request_status": null,
"upgrade_status": "",
"groups": [
{
"is_dynamic": false,
"count": 1,
"id": "e453d4f6-95c9-4dc5-bc41-2f4cae423e19",
"name": "Demo: Bad Admin"
}
],
"sensors": [
{
"status": "A",
"sensor_version": "3.52.12",
"sensor_type": "hunt",
"id": "c7347a4b-3e71-5514-980f-90bdbab758cf"
}
],
"ip_address": "192.0.2.1",
"is_isolated": false,
"operating_system": "Linux 4.15.0-29-generic",
"name": "example",
"status_changed_at": "2020-01-07T08:16:46.895105+00:00",
"core_os": "linux",
"created_at": "2019-03-19T04:25:06.953312+00:00",
"error": null,
"machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d"
},
"task_id": "0854ae75-47ca-438a-8731-615defac44ac",
"family": "response",
"data": {
"results": [
{
"size": 1731,
"endpoint": {
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"operating_system": "Linux 4.15.0-29-generic",
"name": "example",
"display_operating_system": "Ubuntu 18.04.1",
"hostname": "example",
"updated_at": "2020-01-07T08:16:44Z",
"mac_address": "01:23:45:ab:cd:ef",
"ip_address": "192.0.2.1",
"id": "a3cdc174-3af0-400a-85c3-bbb1435a6b61"
},
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"investigation_id": null,
"filepath": "/home/a-arobinson/Downloads/bad_admin.sh",
"bulk_task_id": null,
"created_by": "a-arobinson",
"file_uuid": "4c45cc36-b6ca-412a-ae0b-ed214a9c7187",
"correlation_id": "13dfca7b-9e75-4115-be93-e6684dbfc7c8",
"user": {
"username": "admin",
"first_name": "Example",
"last_name": "User",
"id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1"
},
"chunk_size": 26214400,
"existing_path": "/home/a-arobinson/Downloads/bad_admin.sh",
"sha256": "8066b309db13bae560c15c35f42247a0f778786f0056d326ff3e6dffd1eac4f8",
"origination_task_id": "0854ae75-47ca-438a-8731-615defac44ac",
"md5": "6441b8f58feddb5a5f6fcd81c117ecb8"
}
]
},
"created_at": "2020-01-07T11:28:02.826397Z",
"os_type": "linux",
"machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d",
"type": "downloadFileResponse",
"id": "d6fb3bf3-afea-44e0-8472-389f4e7e0002"
},
"metadata": {
"count": 1,
"previous_url": null,
"timestamp": "2020-01-07T11:41:56.750788",
"next": null,
"per_page": 50,
"next_url": null,
"previous": null
}
}
Se o estado for failure, o resultado JSON é o seguinte:
{
"data": {
"status": "failure",
"doc_type": "collection",
"endpoint": {
"domain": "InstallerInitiated",
"updated_at": "2019-11-01T05:42:09.150756+00:00",
"id": "12c3530d-657f-4ccd-835e-6df9affeed3d",
"display_operating_system": "Ubuntu 18.04.3",
"hostname": "example",
"mac_address": "01:23:45:ab:cd:ef",
"base_image": false,
"isolation_updated_at": null,
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [],
"isolation_request_status": null,
"upgrade_status": "",
"groups": [
{
"is_dynamic": false,
"count": 4,
"id": "c1af3cd6-2638-4144-842d-adc9cfb67fb9",
"name": "SOC"
}
],
"sensors": [
{
"status": "A",
"sensor_version": "3.52.12",
"sensor_type": "hunt",
"id": "dc2e35cc-0c87-5a60-8fc8-de23ef747d02"
}
],
"ip_address": "192.0.2.1",
"is_isolated": false,
"operating_system": "Linux 4.15.0-72-generic",
"name": "example",
"status_changed_at": "2020-01-19T11:05:16.765186+00:00",
"core_os": "linux",
"created_at": "2019-09-20T21:34:51.966863+00:00",
"error": null,
"machine_id": "5ae8ddd9-9339-ae4b-ccf7-5ed68f38b3a9"
},
"task_id": "85148460-c868-4fe5-a3e6-0d90784fadd1",
"family": "response",
"data": {
"results": [
{
"endpoint": {
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"operating_system": "Linux 4.15.0-72-generic",
"name": "example",
"display_operating_system": "Ubuntu 18.04.3",
"hostname": "example",
"updated_at": "2020-01-16T14:04:22Z",
"mac_address": "01:23:45:ab:cd:ef",
"ip_address": "192.0.2.1",
"id": "12c3530d-657f-4ccd-835e-6df9affeed3d"
},
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"investigation_id": null,
"expected_sha256": "123",
"bulk_task_id": null,
"correlation_id": "a7dc04c8-932c-4056-9477-8095b1fa15d8",
"user": {
"username": "admin",
"first_name": "Example",
"last_name": "User",
"id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1"
},
"chunk_size": 26214400,
"existing_path": "/home/example/Downloads/bad_admin.sh",
"origination_task_id": "85148460-c868-4fe5-a3e6-0d90784fadd1"
}
]
},
"created_at": "2020-01-19T12:19:57Z",
"os_type": "linux",
"machine_id": "5ae8ddd9-9339-ae4b-ccf7-5ed68f38b3a9",
"type": "downloadFileResponse",
"id": "8eb6b538-d480-4210-92fb-df08a3a4dfb9"
},
"metadata": {
"count": 1,
"previous_url": null,
"timestamp": "2020-01-19T12:23:23.623961",
"next": null,
"per_page": 50,
"next_url": null,
"previous": null
}
}
Eliminar ficheiro
Elimine um ficheiro de um ponto final do Endgame.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | Descrição |
|---|---|---|---|
| Caminho do ficheiro | String | N/A | Introduza o caminho para o ficheiro. |
Exemplos de utilização
Esta ação é usada para eliminar ficheiros do ponto final. Por exemplo, pode ser usado quando foi encontrado software malicioso e um analista o quer remover.
É apresentado em
Esta ação é executada nas seguintes entidades:
- Anfitrião
- Endereço IP
Resultados da ação
Estatísticas
Se o ponto final tiver sido desisolado através do agente Endgame, crie uma estatística para indicar esta situação.
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
(status = success)
{
"data": [
{
"status": "success",
"doc_type": "collection",
"endpoint": {
"domain": "InstallerInitiated",
"updated_at": "2019-11-01T05:41:10.150817+00:00",
"id": "a3cdc174-3af0-400a-85c3-bbb1435a6b61",
"display_operating_system": "Ubuntu 18.04.1",
"hostname": "08203s-lubu1804",
"mac_address": "01:23:45:ab:cd:ef",
"upgrade_status": "",
"base_image": false,
"isolation_updated_at": null,
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [
{
"id": "fc2dfcc8-9329-4f33-86a2-877bfb27575e",
"name": "CORE ENV"
}
],
"isolation_request_status": null,
"groups": [
{
"is_dynamic": false,
"count": 1,
"id": "e453d4f6-95c9-4dc5-bc41-2f4cae423e19",
"name": "Demo: Bad Admin"
}
],
"sensors": [
{
"status": "monitored",
"sensor_version": "3.52.12",
"policy_status": "successful",
"policy_name": "Lab (Detect-Only with Streaming)",
"sensor_type": "hunt",
"id": "c7347a4b-3e71-5514-980f-90bdbab758cf",
"policy_id": "07b7a44f-25f3-4e5c-977b-2915de8160c5"
}
],
"ip_address": "192.0.2.1",
"is_isolated": false,
"operating_system": "Linux 4.15.0-29-generic",
"name": "08203s-lubu1804",
"status_changed_at": "2020-01-20T07:25:02.633331+00:00",
"core_os": "linux",
"created_at": "2019-03-19T04:25:06.953312+00:00",
"error": null,
"machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d"
},
"task_id": "bfb82b8d-71a0-4e5f-9cfe-bd573ea32b25",
"family": "response",
"created_at": "2020-01-20T07:31:37Z",
"local_msg": "Success",
"system_msg": null,
"system_code": null,
"local_code": 0,
"os_type": "linux",
"machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d",
"type": "deleteFileResponse",
"id": "eb50fe9c-1059-42d4-9f5f-52e5af4ae64d"
}
],
"metadata": {
"count": 1,
"previous_url": null,
"timestamp": "2020-01-20T07:32:04.425044",
"next": null,
"per_page": 50,
"next_url": null,
"previous": null
}
}
(status = failure) local_msg e system_msg vão ser usados.
{
"data": [
{
"status": "failure",
"doc_type": "collection",
"endpoint": {
"domain": "InstallerInitiated",
"updated_at": "2019-11-01T05:41:10.150817+00:00",
"id": "a3cdc174-3af0-400a-85c3-bbb1435a6b61",
"display_operating_system": "Ubuntu 18.04.1",
"hostname": "08203s-lubu1804",
"mac_address": "01:23:45:ab:cd:ef",
"upgrade_status": "",
"base_image": false,
"isolation_updated_at": null,
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [
{
"id": "fc2dfcc8-9329-4f33-86a2-877bfb27575e",
"name": "CORE ENV"
}
],
"isolation_request_status": null,
"groups": [
{
"is_dynamic": false,
"count": 1,
"id": "e453d4f6-95c9-4dc5-bc41-2f4cae423e19",
"name": "Demo: Bad Admin"
}
],
"sensors": [
{
"status": "monitored",
"sensor_version": "3.52.12",
"policy_status": "successful",
"policy_name": "Lab (Detect-Only with Streaming)",
"sensor_type": "hunt",
"id": "c7347a4b-3e71-5514-980f-90bdbab758cf",
"policy_id": "07b7a44f-25f3-4e5c-977b-2915de8160c5"
}
],
"ip_address": "192.0.2.1",
"is_isolated": false,
"operating_system": "Linux 4.15.0-29-generic",
"name": "08203s-lubu1804",
"status_changed_at": "2020-01-07T08:16:46.895105+00:00",
"core_os": "linux",
"created_at": "2019-03-19T04:25:06.953312+00:00",
"error": null,
"machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d"
},
"task_id": "5da277fe-503d-468a-822b-8801d9671cde",
"family": "response",
"created_at": "2020-01-07T13:10:50Z",
"local_msg": "Not found",
"system_msg": null,
"system_code": null,
"local_code": -7,
"os_type": "linux",
"machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d",
"type": "deleteFileResponse",
"id": "6f3e6148-6801-4cb8-8a5d-25f75ea93555"
}
],
"metadata": {
"count": 1,
"previous_url": null,
"timestamp": "2020-01-07T13:16:18.834163",
"next": null,
"per_page": 5,
"next_url": null,
"previous": null
}
}
Inquérito de condutores (apenas para Windows)
Obtenha as informações sobre os controladores a partir de um ponto final específico do Endgame.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | Descrição |
|---|---|---|---|
| Máximo de artigos a devolver | String | 50 | Especifique quantos artigos quer devolver. |
É apresentado em
Esta ação é executada nas seguintes entidades:
- Nome do anfitrião
- Endereço IP
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| driver_basename | Devolve se existir no resultado JSON |
| driver_filename | Devolve se existir no resultado JSON |
| date_modified | Devolve se existir no resultado JSON |
| driver_file_version | Devolve se existir no resultado JSON |
| driver_load_address | Devolve se existir no resultado JSON |
| collection_id | Devolve se existir no resultado JSON |
| hashes | Devolve se existir no resultado JSON |
| machine_id | Devolve se existir no resultado JSON |
| driver_product_version | Devolve se existir no resultado JSON |
| driver_description | Devolve se existir no resultado JSON |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[{
"EntityResult":
[{ "driver_basename": "test.exe",
"driver_filename": "C:\\\\Windows\\\\system32\\\\test.exe",
"date_modified": 1446189483.0185645,
"driver_file_version": "10.0.10586.0 (th2_release.151029-1700)",
"driver_load_address": "12345678",
"collection_id": "a9925cf1-6d4c-4bea-b13d-12345678",
"hashes": {
"sha256": "9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08",
"md5": "098f6bcd4621d373cade4e832627b4f6",
"sha1": "a94a8fe5ccb19ba61c4c0873d391e987982fbbd3"
},
"machine_id": "5dc677fd-6b47-7df9-f7f4-12345678",
"driver_product_version": "10.0.10586.0",
"driver_description": "Test"
}],
"Entity": "PC-01"
}]
Inquérito sobre a firewall (apenas para Windows)
Obtenha informações sobre as regras de firewall num ponto final do Endgame específico.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | Descrição |
|---|---|---|---|
| Máximo de artigos a devolver | String | 50 | Especifique quantos artigos quer devolver. |
É apresentado em
Esta ação é executada nas seguintes entidades:
- Nome do anfitrião
- Endereço IP
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| direção | Devolve se existir no resultado JSON |
| machine_id | Devolve se existir no resultado JSON |
| descrição | Devolve se existir no resultado JSON |
| remote_addresses | Devolve se existir no resultado JSON |
| protocol_number | Devolve se existir no resultado JSON |
| ativada | Devolve se existir no resultado JSON |
| edge_traversal | Devolve se existir no resultado JSON |
| perfis | Devolve se existir no resultado JSON |
| interface_types | Devolve se existir no resultado JSON |
| rule_name | Devolve se existir no resultado JSON |
| icmp_and_type_codes | Devolve se existir no resultado JSON |
| local_addresses | Devolve se existir no resultado JSON |
| application_name | Devolve se existir no resultado JSON |
| collection_id | Devolve se existir no resultado JSON |
| remote_ports | Devolve se existir no resultado JSON |
| ação | Devolve se existir no resultado JSON |
| local_ports | Devolve se existir no resultado JSON |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[{
"EntityResult":
[{
"direction": "in",
"machine_id": "870499c3-d6bf-8edd-972d-12345678",
"description": "Inbound rule for Google Chrome to allow mDNS traffic.",
"remote_addresses": "*",
"protocol_number": 17,
"enabled": true,
"edge_traversal": false,
"profiles":
["domain", "public", "private"],
"interface_types": "All",
"rule_name": "Google Chrome (mDNS-In)",
"icmp_and_type_codes": "",
"local_addresses": "*",
"application_name": "C:\\\\Program Files (x86)\\\\Google\\\\Chrome\\\\Application\\\\chrome.exe",
"collection_id": "0925eea5-c61f-464a-ba61-12345678",
"remote_ports": "*",
"action": "allow",
"local_ports": "1234"
}],
"Entity": "PC-01"
}]
Get Endpoints
Apresentar todos os pontos finais.
Parâmetros
N/A
É apresentado em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[{
"domain": "",
"updated_at": "2019-05-30T01:40:21.126499+00:00",
"id": "db33d864-7d58-4d85-9d2d-1a98a101995d",
"display_operating_system": "Windows 7 (SP1)",
"hostname": "ip-AC170169",
"mac_address": "01:23:45:ab:cd:ef",
"isolation_updated_at": "",
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [],
"isolation_request_status": "",
"alert_count": 72,
"investigation_count": 0,
"groups": [],
"sensors":
[{
"status": "monitored",
"sensor_version": "3.51.10",
"policy_status": "successful",
"policy_name": "POC-Lab",
"sensor_type": "hunt",
"id": "ec17f7bb-1d63-536a-b694-ca066cc2572e",
"policy_id": "d31f0192-b8e2-49ae-ae54-041376183b7f"
}],
"ip_address": "192.0.2.1",
"is_isolated": "false",
"operating_system": "Windows 6.1 Service Pack 1",
"name": "ip-AC170169",
"status_changed_at": "2019-05-30T01:40:18.200770+00:00",
"core_os": "windows",
"created_at": "2019-05-30T01:36:43.761600+00:00",
"error":
[{
"msg": "Installer failure - Execution failed for (http://192.0.2.1:5985/wsman)\\n",
"deployment_id": "90C2BAA6-B38B-4037-9A9E-7C8628E8D7D6",
"code": 1001, "ts": 1559180421.125456
}],
"machine_id": "4f1adabb-17c4-e39e-caa7-7900562d0b51"
}]
Ficheiro de caça
Pesquisa ficheiros em execução.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | Descrição |
|---|---|---|---|
| Endpoints Core OS | String | janelas | Selecione um sistema operativo (por exemplo, Windows, Linux ou Mac) para filtrar a lista de pontos finais. Nota: só pode criar uma única investigação para endpoints que sejam executados no mesmo sistema operativo. |
| Hashes MD5 | String | N/A | CONFIGURAÇÃO AVANÇADA para esta caça. Introduza hashes MD5, separados por vírgulas. |
| Hashes SHA1 | String | N/A | CONFIGURAÇÃO AVANÇADA para esta caça. Introduza hashes SHA-1 separados por vírgulas. |
| Hashes SHA256 | String | N/A | CONFIGURAÇÃO AVANÇADA para esta caça. Introduza hashes SHA256, separados por vírgulas. |
| Diretório | String | N/A | O caminho do diretório inicial. Exemplo: C:\windows\system32 |
| Encontre ficheiros | String | N/A | Introduza os nomes dos ficheiros a pesquisar. Introduza uma expressão regular para restringir os resultados da pesquisa. |
É apresentado em
Esta ação é executada nas seguintes entidades:
- Nome do anfitrião
- Endereço IP
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| meta_data | Devolve se existir no resultado JSON |
| file_path | Devolve se existir no resultado JSON |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[{
"meta_data":
{ "hashes":
{ "sha256": "4705ba6793dc93c1bbe2a9e790e9e22778d217531b1750471206fd5c52bbd2b5",
"md5": "6383522c180badc4e1d5c30a5c4f4913",
"sha1": "62a30e96459b694f7b22d730c460a65cd2ebaaca"
},
"file_name_timestamps":
{ "accessed": 1468675289.0711532,
"entry_modified": 0,
"modified": 1468675289.0711532,
"created": 1468675404.0330572
},
"file_attributes": 38,
"file_size": 174
},
"file_path": "C:\\\\Program Files\\\\desktop.ini"
},
{
"meta_data":
{ "hashes":
{ "sha256": "44fe5eebd80e46f903d68c07bcf06d187a3698bf3953bc58bb578465e2e0fe6c",
"md5": "6bd5fb46283aa48e638bef47510c47da",
"sha1": "c38d46ec6c9bc8baece4a459b617f44d10af973c"
},
"file_name_timestamps":
{
"accessed": 1468675289.0024028,
"entry_modified": 0,
"modified": 1468675289.0024028,
"created": 1468675404.0111823
},
"file_attributes": 38,
"file_size": 645
},
"file_path": "C:\\\\Program Files\\\\Common Files\\\\microsoft shared\\\\Stationery\\\\Desktop.ini"
}]
IP de investigação
Procura ligações de rede.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | Descrição |
|---|---|---|---|
| Endpoints Core OS | String | janelas | Selecione um sistema operativo (por exemplo, Windows, Linux ou Mac) para filtrar a lista de pontos finais. Nota: só pode criar uma única investigação para endpoints que sejam executados no mesmo sistema operativo. |
| Endereço IP remoto | String | N/A | Endereço IP remoto – separado por vírgula |
| Endereço IP local | String | N/A | separados por vírgulas |
| Estado | String | N/A | Introduza o estado para regressar. Exemplo: ANY |
| Protocolo | String | N/A | Exemplo: ANY, UDP, TCP |
| Porta de rede | String | N/A | N/A |
| Comando de rede | String | N/A | Rede remota ou local. |
É apresentado em
Esta ação é executada nas seguintes entidades:
- Nome do anfitrião
- Endereço IP
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| parent_name | Devolve se existir no resultado JSON |
| domínio | Devolve se existir no resultado JSON |
| exe | Devolve se existir no resultado JSON |
| nome | Devolve se existir no resultado JSON |
| has_unbacked_execute_memory | Devolve se existir no resultado JSON |
| pid | Devolve se existir no resultado JSON |
| up_time | Devolve se existir no resultado JSON |
| is_sensor | Devolve se existir no resultado JSON |
| cmdline | Devolve se existir no resultado JSON |
| parent_exe | Devolve se existir no resultado JSON |
| unbacked_execute_byte_count | Devolve se existir no resultado JSON |
| create_time | Devolve se existir no resultado JSON |
| utilizador | Devolve se existir no resultado JSON |
| sid | Devolve se existir no resultado JSON |
| discussões | Devolve se existir no resultado JSON |
| ppid | Devolve se existir no resultado JSON |
| unbacked_execute_region_count | Devolve se existir no resultado JSON |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[{
"parent_name": "System Idle Process",
"domain": "NT AUTHORITY",
"exe": "",
"name": "System",
"has_unbacked_execute_memory": false,
"pid": 4,
"up_time": 2384701,
"is_sensor": false,
"cmdline": "",
"parent_exe": "",
"unbacked_execute_byte_count": 0,
"create_time": 1559179903,
"user": "SYSTEM",
"sid": "S-1-5-18",
"threads":
[{
"thread_id": 8
}, {
"thread_id": 12,
"up_time": 13206038203,
"create_time": -11644473599
}, {
"thread_id": 16,
"up_time": 13206038203,
"create_time": -11644473599
}],
"ppid": 0,
"unbacked_execute_region_count": 0
}]
Processo de procura
Pesquisas de processos em execução.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | Descrição |
|---|---|---|---|
| Endpoints Core OS | String | janelas | Selecione um sistema operativo (ou seja, Windows, Linux ou Mac) para filtrar a lista de pontos finais. Nota: só pode criar uma única investigação para os endpoints que são executados no mesmo sistema operativo. |
| Hashes MD5 | String | N/A | CONFIGURAÇÃO AVANÇADA para esta caça. Introduza hashes MD5, separados por vírgulas. |
| Hashes SHA1 | String | N/A | CONFIGURAÇÃO AVANÇADA para esta caça. Introduza hashes SHA-1 separados por vírgulas. |
| Hashes SHA256 | String | N/A | CONFIGURAÇÃO AVANÇADA para esta caça. Introduza hashes SHA256, separados por vírgulas. |
| Nome do processo | String | N/A | CONFIGURAÇÃO AVANÇADA para esta caça. Introduza o nome do processo, por exemplo, iss.exe* |
É apresentado em
Esta ação é executada nas seguintes entidades:
- Nome do anfitrião
- Endereço IP
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| parent_name | Devolve se existir no resultado JSON |
| domínio | Devolve se existir no resultado JSON |
| exe | Devolve se existir no resultado JSON |
| nome | Devolve se existir no resultado JSON |
| has_unbacked_execute_memory | Devolve se existir no resultado JSON |
| pid | Devolve se existir no resultado JSON |
| up_time | Devolve se existir no resultado JSON |
| is_sensor | Devolve se existir no resultado JSON |
| cmdline | Devolve se existir no resultado JSON |
| parent_exe | Devolve se existir no resultado JSON |
| unbacked_execute_byte_count | Devolve se existir no resultado JSON |
| create_time | Devolve se existir no resultado JSON |
| utilizador | Devolve se existir no resultado JSON |
| sid | Devolve se existir no resultado JSON |
| discussões | Devolve se existir no resultado JSON |
| ppid | Devolve se existir no resultado JSON |
| unbacked_execute_region_count | Devolve se existir no resultado JSON |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[{
"parent_name": "System Idle Process",
"domain": "NT AUTHORITY",
"exe": "",
"name": "System",
"has_unbacked_execute_memory": false,
"pid": 4,
"up_time": 2384701,
"is_sensor": false,
"cmdline": "",
"parent_exe": "",
"unbacked_execute_byte_count": 0,
"create_time": 1559179903,
"user": "SYSTEM",
"sid": "S-1-5-18",
"threads":
[{
"thread_id": 8
},{
"thread_id": 12,
"up_time": 13206038203,
"create_time": -11644473599
},{
"thread_id": 16,
"up_time": 13206038203,
"create_time": -11644473599
}],
"ppid": 0,
"unbacked_execute_region_count": 0
}]
Registo de caça
Pesquisa uma chave de registo ou um nome de valor.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | Descrição |
|---|---|---|---|
| Colmeia | String | TUDO | Uma das seguintes opções: HKEY_CLASSES_ROOT, HKEY_CURRENT_CONFIG, HKEY_USERS, HKEY_LOCAL_MACHINE, ALL. |
| Chaves | String | N/A | Nome da chave ou do valor da base de dados de registo. |
| Tamanho mínimo | String | N/A | Tamanho mínimo em bytes. |
| Tamanho máximo | String | N/A | Tamanho máximo em bytes. |
| Endpoints Core OS | String | janelas | Selecione um sistema operativo (ou seja, Windows, Linux ou Mac) para filtrar a lista de pontos finais. Nota: só pode criar uma única investigação para os endpoints que são executados no mesmo sistema operativo. |
É apresentado em
Esta ação é executada nas seguintes entidades:
- Nome do anfitrião
- Endereço IP
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| parent_name | Devolve se existir no resultado JSON |
| domínio | Devolve se existir no resultado JSON |
| exe | Devolve se existir no resultado JSON |
| nome | Devolve se existir no resultado JSON |
| up_time | Devolve se existir no resultado JSON |
| is_sensor | Devolve se existir no resultado JSON |
| cmdline | Devolve se existir no resultado JSON |
| parent_exe | Devolve se existir no resultado JSON |
| unbacked_execute_byte_count | Devolve se existir no resultado JSON |
| create_time | Devolve se existir no resultado JSON |
| utilizador | Devolve se existir no resultado JSON |
| sid | Devolve se existir no resultado JSON |
| discussões | Devolve se existir no resultado JSON |
| ppid | Devolve se existir no resultado JSON |
| unbacked_execute_region_count | Devolve se existir no resultado JSON |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[{
"parent_name": "System Idle Process",
"domain": "NT AUTHORITY",
"exe": "",
"name": "System",
"has_unbacked_execute_memory": false,
"pid": 4,
"up_time": 2384701,
"is_sensor": false,
"cmdline": "",
"parent_exe": "",
"unbacked_execute_byte_count": 0,
"create_time": 1559179903,
"user": "SYSTEM",
"sid": "S-1-5-18",
"threads":
[{
"thread_id": 8
},{
"thread_id": 12,
"up_time": 13206038203,
"create_time": -11644473599
}, {
"thread_id": 16,
"up_time": 13206038203,
"create_time": -11644473599
}],
"ppid": 0,
"unbacked_execute_region_count": 0
}]
Utilizador de caça
Pesquisa utilizadores com sessão iniciada na rede.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | Descrição |
|---|---|---|---|
| Endpoints Core OS | String | janelas | Selecione um sistema operativo (ou seja, Windows, Linux ou Mac) para filtrar a lista de pontos finais. Nota: só pode criar uma única investigação para os endpoints que são executados no mesmo sistema operativo. |
| Encontre o nome de utilizador | String | N/A | CONFIGURAÇÃO AVANÇADA para esta caça. Introduza os nomes de utilizador. Separe várias entradas com um ponto e vírgula. |
| Nome do Domínio | String | N/A | CONFIGURAÇÃO AVANÇADA para esta caça. Introduza o nome do domínio. |
É apresentado em
Esta ação é executada nas seguintes entidades:
- Nome do anfitrião
- Endereço IP
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| parent_name | Devolve se existir no resultado JSON |
| domínio | Devolve se existir no resultado JSON |
| exe | Devolve se existir no resultado JSON |
| nome | Devolve se existir no resultado JSON |
| has_unbacked_execute_memory | Devolve se existir no resultado JSON |
| pid | Devolve se existir no resultado JSON |
| up_time | Devolve se existir no resultado JSON |
| is_sensor | Devolve se existir no resultado JSON |
| cmdline | Devolve se existir no resultado JSON |
| parent_exe | Devolve se existir no resultado JSON |
| unbacked_execute_byte_count | Devolve se existir no resultado JSON |
| create_time | Devolve se existir no resultado JSON |
| utilizador | Devolve se existir no resultado JSON |
| sid | Devolve se existir no resultado JSON |
| discussões | Devolve se existir no resultado JSON |
| ppid | Devolve se existir no resultado JSON |
| unbacked_execute_region_count | Devolve se existir no resultado JSON |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[{
"parent_name": "System Idle Process",
"domain": "NT AUTHORITY",
"exe": "",
"name": "System",
"has_unbacked_execute_memory": false,
"pid": 4,
"up_time": 2384701,
"is_sensor": false,
"Cmdline":"",
"parent_exe": "",
"unbacked_execute_byte_count": 0,
"create_time": 1559179903,
"user": "SYSTEM",
"sid": "S-1-5-18",
"threads":
[{
"thread_id": 8
}, {
"thread_id": 12,
"up_time": 13206038203,
"create_time": -11644473599
}, {
"thread_id": 16,
"up_time": 13206038203,
"create_time": -11644473599
}],
"ppid": 0,
"unbacked_execute_region_count": 0
}]
Terminar processo
Terminar um processo num ponto final do Endgame específico.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | Descrição |
|---|---|---|---|
| Nome do processo | String | N/A | Introduza o nome do processo |
| PID | String | N/A | Introduza o ID do processo. |
É apresentado em
Esta ação é executada nas seguintes entidades:
- Nome do anfitrião
- Endereço IP
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Inquérito de rede
Obter informações sobre ligações, cache DNS, NetBIOS, ARP e tabelas de rotas de um ponto final do Endgame específico.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | Descrição |
|---|---|---|---|
| Máximo de artigos a devolver | String | 50 | Especifique quantos autoruns devem ser devolvidos. |
| Inclua informações de entradas de rotas | Caixa de verificação | Marcado | Especifique para receber informações sobre as entradas de trajeto. |
| Inclua informações do Net Bios | Caixa de verificação | Marcado | Especifique para receber informações sobre o Net Bios. |
| Inclua informações da cache DNS | Caixa de verificação | Marcado | Especifique para obter informações sobre a cache DNS. |
| Inclua informações da tabela ARP | Caixa de verificação | Marcado | Especifique para receber informações sobre a tabela ARP. |
É apresentado em
Esta ação é executada nas seguintes entidades:
- Nome do anfitrião
- Endereço IP
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| ligações | Devolve se existir no resultado JSON |
| netbios_info | Devolve se existir no resultado JSON |
| arp_table | Devolve se existir no resultado JSON |
| route_table | Devolve se existir no resultado JSON |
| dns_cache | Devolve se existir no resultado JSON |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[{
"EntityResult":
{
"connections":
[{
"connection_type": "SOCK_STREAM",
"collection_id": "50e74bd2-1cd4-412c-a7fc-24cf1456e883",
"exe": "C:\\\\Windows\\\\System32\\\\test.exe",
"connection_status": "LISTEN",
"name": "test.exe",
"family": "ipv4",
"local_port": 111,
"remote_port": 0,
"pid": 700,
"remote_address": "0.0.0.0",
"create_time": 1583314664,
"connection_timestamp": 1583314664.0117714,
"local_address": "0.0.0.0",
"protocol": "tcp",
"hashes":
{
"sha256": "5d00bbeb147e0c838a622fc42c543b2913d57eaca4e69d9a37ed61e98c819347", "md5": "8497852ed44aff902d502015792d315d",
"sha1": "800a4c2e524fc392c45748eae1691fa01d24ea4c"
},
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
}],
"netbios_info":
[{
"comment": "",
"name": "PC-01",
"version_major": 10,
"netbios_neighbor_type": 8392747,
"platform": "WINDOWS NT",
"version_minor": 0
}],
"arp_table":
[{
"connection_type": "SOCK_STREAM",
"collection_id": "50e74bd2-1cd4-412c-a7fc-24cf1456e883",
"exe": "C:\\\\Windows\\\\System32\\\\test.exe",
"connection_status": "LISTEN",
"name": "test.exe",
"family": "ipv4",
"local_port": 111,
"remote_port": 0,
"pid": 700,
"remote_address": "0.0.0.0",
"create_time": 1583314664,
"connection_timestamp": 1583314664.0117714,
"local_address": "0.0.0.0",
"protocol": "tcp",
"hashes": {"sha256": "5d00bbeb147e0c838a622fc42c543b2913d57eaca4e69d9a37ed61e98c819347", "md5": "8497852ed44aff902d502015792d315d",
"sha1": "800a4c2e524fc392c45748eae1691fa01d24ea4c"},
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
}],
"route_table":
[{
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"family": "ipv4",
"destination": "0.0.0.0",
"netmask": "0.0.0.0",
"collection_id": "50e74bd2-1cd4-412c-a7fc-24cf1456e883",
"interface_name": "Ethernet0",
"gateway": "1.1.1.1"
}],
"dns_cache":
[{
"name": "test.ms",
"dns_record_type": "A",
"ttl": 0,
"collection_id": "50e74bd2-1cd4-412c-a7fc-24cf1456e883",
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"query_error": 9701
}]
},
"Entity": "PC-01"
}]
Tchim-tchim
Teste a conetividade ao servidor do Endgame.
Parâmetros
N/A
É apresentado em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Processar inquérito
Obtenha informações sobre a execução de processos num ponto final do Endgame específico.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | Descrição |
|---|---|---|---|
| Máximo de artigos a devolver | String | 50 | Especifique quantos artigos quer devolver. |
| Detete ataques sem ficheiros (apenas para Windows) | Caixa de verificação | Desmarcado | Especifique para detetar ataques sem ficheiros. Apenas Windows. |
| Detete software malicioso com o MalwareScore (apenas para Windows) | Caixa de verificação | Desmarcado | Especifique a deteção de processos de software malicioso com o MalwareScore. Apenas Windows. |
| Recolha discussões de processos | Caixa de verificação | Desmarcado | Especifique que quer incluir informações sobre a quantidade de threads de processos na resposta. |
| Devolver apenas processos suspeitos | Caixa de verificação | Marcado | Especifique que apenas devem ser devolvidos processos suspeitos do ponto final. Pela definição do Endgame: os processos suspeitos são processos executáveis não suportados. |
É apresentado em
Esta ação é executada nas seguintes entidades:
- Nome do anfitrião
- Endereço IP
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| domínio | Devolve se existir no resultado JSON |
| name_suspicious | Devolve se existir no resultado JSON |
| pid | Devolve se existir no resultado JSON |
| name_uncommon_path | Devolve se existir no resultado JSON |
| repeat_offender | Devolve se existir no resultado JSON |
| cmdline | Devolve se existir no resultado JSON |
| create_time | Devolve se existir no resultado JSON |
| parent_name | Devolve se existir no resultado JSON |
| has_unbacked_execute_memory | Devolve se existir no resultado JSON |
| sid | Devolve se existir no resultado JSON |
| ppid | Devolve se existir no resultado JSON |
| up_time | Devolve se existir no resultado JSON |
| unbacked_execute_region_count | Devolve se existir no resultado JSON |
| is_sensor | Devolve se existir no resultado JSON |
| discussões | Devolve se existir no resultado JSON |
| utilizador | Devolve se existir no resultado JSON |
| collection_id | Devolve se existir no resultado JSON |
| parent_exe | Devolve se existir no resultado JSON |
| exe | Devolve se existir no resultado JSON |
| nome | Devolve se existir no resultado JSON |
| unbacked_execute_byte_count | Devolve se existir no resultado JSON |
| machine_id | Devolve se existir no resultado JSON |
| unbacked_execute_region_count | Devolve se existir no resultado JSON |
| tty_device_minor_number | Devolve se existir no resultado JSON |
| uid | Devolve se existir no resultado JSON |
| name_suspicious | Devolve se existir no resultado JSON |
| phys_memory_bytes | Devolve se existir no resultado JSON |
| pid | Devolve se existir no resultado JSON |
| env_variables | Devolve se existir no resultado JSON |
| repeat_offender | Devolve se existir no resultado JSON |
| cmdline | Devolve se existir no resultado JSON |
| create_time | Devolve se existir no resultado JSON |
| tty_device_major_number | Devolve se existir no resultado JSON |
| parent_name | Devolve se existir no resultado JSON |
| grupo | Devolve se existir no resultado JSON |
| cpu_percent | Devolve se existir no resultado JSON |
| has_unbacked_execute_memory | Devolve se existir no resultado JSON |
| gid | Devolve se existir no resultado JSON |
| sha256 | Devolve se existir no resultado JSON |
| cwd | Devolve se existir no resultado JSON |
| exe | Devolve se existir no resultado JSON |
| up_time | Devolve se existir no resultado JSON |
| short_name | Devolve se existir no resultado JSON |
| tty_device_name | Devolve se existir no resultado JSON |
| is_sensor | Devolve se existir no resultado JSON |
| sha1 | Devolve se existir no resultado JSON |
| discussões | Devolve se existir no resultado JSON |
| name_uncommon_path | Devolve se existir no resultado JSON |
| collection_id | Devolve se existir no resultado JSON |
| md5 | Devolve se existir no resultado JSON |
| argv_list | Devolve se existir no resultado JSON |
| num_threads | Devolve se existir no resultado JSON |
| utilizador | Devolve se existir no resultado JSON |
| virt_memory_bytes | Devolve se existir no resultado JSON |
| nome | Devolve se existir no resultado JSON |
| session_id | Devolve se existir no resultado JSON |
| memory_percent | Devolve se existir no resultado JSON |
| machine_id | Devolve se existir no resultado JSON |
| unbacked_execute_byte_count | Devolve se existir no resultado JSON |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[{
"EntityResult":
[{
"domain": "NT AUTHORITY",
"name_suspicious": false,
"pid": 4,
"name_uncommon_path": false,
"repeat_offender": false,
"cmdline": "",
"create_time": 1583314654,
"parent_name": "System Idle Process",
"has_unbacked_execute_memory": false,
"sid": "S-1-5-18",
"ppid": 0,
"up_time": 342643,
"unbacked_execute_region_count": 0,
"is_sensor": false,
"threads":
[{ "thread_id": 12,
"up_time": 13228130896,
"create_time": -11644473599
},
{
"thread_id": 16,
"up_time": 13228130896,
"create_time": -11644473599
}],
"user": "SYSTEM",
"collection_id": "ac1fb296-db5a-4426-b32e-292e4a50188d",
"parent_exe": "",
"exe": "",
"name": "System",
"unbacked_execute_byte_count": 0,
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
}],
"Entity": "PC-01"
},
{
"EntityResult":
[{
"unbacked_execute_region_count": 0,
"tty_device_minor_number": 0,
"uid": 0,
"name_suspicious": false,
"phys_memory_bytes": 8900608,
"pid": 1,
"env_variables":
[ "HOME=/",
"init=/sbin/init",
"NETWORK_SKIP_ENSLAVED=",
"recovery=",
"TERM=linux",
"drop_caps=",
"BOOT_IMAGE=/vmlinuz-4.15.0-88-generic",
"PATH=/sbin:/usr/sbin:/bin:/usr/bin",
"PWD=/", "rootmnt=/root" ],
"repeat_offender": false,
"cmdline": "/sbin/init maybe-ubiquity",
"create_time": 1583632302,
"tty_device_major_number": 0,
"parent_name": "",
"group": "root",
"cpu_percent": 0,
"has_unbacked_execute_memory": false,
"gid": 0,
"sha256": "3a14ff4b18505543eda4dccb054aa5860478a95ed0cac76da392f3472da3ad67",
"cwd": "/",
"exe": "/lib/systemd/systemd",
"up_time": 24942,
"short_name": "systemd",
"tty_device_name": "",
"is_sensor": false,
"sha1": "e016f80b87101a74b52d15ce2726560a6e128b60",
"threads": [{"thread_id": 1}],
"name_uncommon_path": false,
"collection_id": "bcb6b33a-0ffb-4e72-818a-1731024dfd79",
"md5": "ca563cf817f03ed7d01a6462818a5791",
"argv_list": ["/sbin/init", "maybe-ubiquity"],
"num_threads": 1,
"ppid": 0,
"virt_memory_bytes": 79818752,
"name": "systemd",
"session_id": 1,
"memory_percent": 0.21517109870910645,
"parent_exe": "",
"unbacked_execute_byte_count": 0,
"machine_id": "5ae8ddd9-9339-ae4b-ccf7-5ed68f38b3a9",
"user": "root"
}],
"Entity": "PC-202"
}]
Inquérito sobre suportes amovíveis (apenas para Windows)
DGet information about removable media from a specific Endgame endpoint.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | Descrição |
|---|---|---|---|
| Máximo de artigos a devolver | String | 50 | Especifique quantos artigos quer devolver. |
É apresentado em
Esta ação é executada nas seguintes entidades:
- Nome do anfitrião
- Endereço IP
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| nome | Devolve se existir no resultado JSON |
| is_storage_device | Devolve se existir no resultado JSON |
| vendor_id | Devolve se existir no resultado JSON |
| collection_id | Devolve se existir no resultado JSON |
| last_connect_time | Devolve se existir no resultado JSON |
| serial_number | Devolve se existir no resultado JSON |
| machine_id | Devolve se existir no resultado JSON |
| is_connected | Devolve se existir no resultado JSON |
| product_id | Devolve se existir no resultado JSON |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[{
"EntityResult":
[{ "name": "USB Composite Device",
"is_storage_device": false,
"vendor_id": "0E0F",
"collection_id": "fbe61b16-e6b2-4595-8409-abf4ce15fa85",
"last_connect_time": 1552596043.0610971,
"serial_number": "6&35D1F50B&0&1",
"machine_id": "a4c05d5a-7ebc-c3ab-1beb-f1fe517768d8",
"is_connected": false,
"product_id": "0003"
}],
"Entity": "PC-01"
}]
Inquérito de software (apenas para Windows)
Receber informações sobre um software instalado num ponto final do Endgame específico.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | Descrição |
|---|---|---|---|
| Máximo de artigos a devolver | String | 50 | Especifique quantos artigos quer devolver. |
É apresentado em
Esta ação é executada nas seguintes entidades:
- Nome do anfitrião
- Endereço IP
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| editora | Devolve se existir no resultado JSON |
| machine_id | Devolve se existir no resultado JSON |
| pacote | Devolve se existir no resultado JSON |
| install_date | Devolve se existir no resultado JSON |
| versão | Devolve se existir no resultado JSON |
| collection_id | Devolve se existir no resultado JSON |
| installed_for | Devolve se existir no resultado JSON |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[{
"EntityResult":
[{
"publisher": "John Doe",
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"package": "Test",
"install_date": "20191008",
"version": "18.06",
"collection_id": "fc079e17-8a2e-40d9-94c9-b974e5534e58",
"installed_for": "allUsers"
}],
"Entity": "PC-01"
}]
Inquérito do sistema
Obtenha informações do sistema num único ponto final de jogo, como a utilização de memória, o DNS e o SO.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | Descrição |
|---|---|---|---|
| Máximo de artigos a devolver | String | 50 | Especifique quantos artigos quer devolver. |
| Inclua informações de produtos de segurança (apenas no Windows) | Caixa de verificação | Marcado | Especifique para receber informações sobre os produtos de segurança instalados no ponto final (apenas no Windows). |
| Inclua informações sobre patches (apenas para Windows) | Caixa de verificação | Marcado | Especifique para receber informações sobre patches (apenas no Windows). |
| Inclua informações do disco | Caixa de verificação | Marcado | Especifique para receber informações sobre os discos. |
| Inclua informações da interface de rede | Caixa de verificação | Marcado | Especifique para receber informações sobre interfaces de rede. |
É apresentado em
Esta ação é executada nas seguintes entidades:
- Nome do anfitrião
- Endereço IP
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| patches_info | Devolve se existir no resultado JSON |
| Disks_info | Devolve se existir no resultado JSON |
| network_interfaces | Devolve se existir no resultado JSON |
| Os_info | Devolve se existir no resultado JSON |
| installed_security_products | Devolve se existir no resultado JSON |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[{
"EntityResult":
{
"patches_info":
[{
"collection_id": "f7d a62bb-318d-40c1-a490-85979c0c9ede",
"installed_on": "2/3/2018",
"hotfix_id": "KB4049065",
"machine_id": "870499c3-d6bf-8edd-972d-f2f6621dd971"
}],
"Disks_info":
[{
"disk_id": "\\\\Device\\\\HarddiskVolume2",
"fstype": "NTFS",
"disk_total": 15579738112,
"disk_free": 1219571712,
"collection_id": "a27ebace-32ec-4257-ab4f-7da49f02a9d4",
"device": "\\\\Device\\\\HarddiskVolume2",
"path": "C:\\\\",
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
}],
"network_interfaces":
[{
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"mac_address": "01:23:45:ab:cd:ef",
"ipv4_addresses": ["1.1.1.1"],
"ipv6_addresses": ["1111::1111:1111:1111:1111"],
"collection_id": "a27ebace-32ec-4257-ab4f-7da49f02a9d4",
"smp_interface": true,
"interface_name": "Ethernet0"
}],
"Os_info":
[{
"memory":
{ "ram_free": 1240039424,
"page_percent_used": 36.89334358507761,
"page_total": 2818101248,
"ram_percent_used": 42.24349594504104,
"ram_total": 2147012608,
"ram_used": 906973184,
"page_used": 1039691776,
"page_free": 1778409472
},
"doc_type": "collection",
"domain": "PC-01.test.com",
"endpoint":
{ "status": "unmonitored",
"ad_distinguished_name":
"CN=PC_01,OU=TESTOU,OU=Organization,DC=test,DC=com",
"ad_hostname": "test.com",
"operating_system": "Windows 10.0 ",
"name": "PC-01",
"display_operating_system": "Windows 10 (v1511)",
"hostname": "PC-01",
"updated_at": "2020-03-08T08:27:22.919880+00:00",
"mac_address": "01:23:45:ab:cd:ef",
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"ip_address": "1.1.1.1",
"id": "b23c8a14-69e0-4966-b78a-c9fba4fdd934"
},
"investigation_id": "85cff906-8b39-4a37-aa05-84950c9b2a02",
"hostname": "PC-01",
"bulk_task_id": null,
"original_machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"os_version":
{
"os_minor": 0,
"os_is_server": false,
"os_major": 10,
"os_build_number": 10586,
"os_service_pack": ""
},
"correlation_id": "7e17de5a-abcb-4de0-a510-7ca79bfdc345",
"architecture": "x64",
"sensor_info":
{
"malware_feature_version": "3.0.0",
"sensor_build_time": "1581375786",
"sensor_commit_sha": "80af56b6b295de785e502d82f39deac34973b2dd",
"sensor_build_number": 48,
"sensor_version": "3.53.9"
},
"time":
{
"tz_observes_dst": true,
"tz_currently_in_dst": false,
"tz_name": "Pacific Standard Time",
"tz_offset_minutes": 480
},
"os_type": "windows",
"ad_info":
{
"distinguished_name": "CN=PC-01,OU=TESTOU,OU=Organization,DC=test,DC=com",
"domain_hostname": "test.com"
},
"origination_task_id": "d3d67012-cfb1-47d0-8ec9-bf7ffb68a019"
}],
"installed_security_products":
[{
"security_product_type": "AntiVirus",
"collection_id": "a27ebace-32ec-4257-ab4f-7da49f02a9d4",
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"enabled": false, "name": "Windows Defender"
}]
},
"Entity": "PC-01"
}]
Inquérito sobre sessões de utilizadores
Obtenha informações sobre sessões de utilizadores ativos num ponto final do Endgame específico.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | Descrição |
|---|---|---|---|
| Máximo de artigos a devolver | String | 50 | Especifique quantos artigos quer devolver. |
É apresentado em
- Nome do anfitrião
- Endereço IP
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| nome de utilizador | Devolve se existir no resultado JSON |
| shell | Devolve se existir no resultado JSON |
| uid | Devolve se existir no resultado JSON |
| iniciada | Devolve se existir no resultado JSON |
| hostname | Devolve se existir no resultado JSON |
| host_ip | Devolve se existir no resultado JSON |
| session_id | Devolve se existir no resultado JSON |
| session_count | Devolve se existir no resultado JSON |
| terminal | Devolve se existir no resultado JSON |
| terminou | Devolve se existir no resultado JSON |
| gid | Devolve se existir no resultado JSON |
| collection_id | Devolve se existir no resultado JSON |
| machine_id | Devolve se existir no resultado JSON |
| iniciada | Devolve se existir no resultado JSON |
| password_last_set | Devolve se existir no resultado JSON |
| logon_type | Devolve se existir no resultado JSON |
| sid | Devolve se existir no resultado JSON |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[{
"EntityResult":
[{
"username": "endgame",
"shell": "/opt/endgame/bin/console",
"uid": 1000,
"started": 1582554802.55514,
"hostname": "",
"host_ip": "",
"session_id": 887,
"session_count": 1,
"terminal": "tty1",
"ended": 0,
"gid": 1000,
"collection_id": "1aebade8-9f7b-4237-8c43-2aed8729511e",
"machine_id": "827255f4-53a2-1823-cac0-7c0f7730ca26"
}],
"Entity": "PC-01"
}, {
"EntityResult":
[{
"username": "example",
"domain": "3B",
"started": 1580205134.001,
"session_count": 1,
"ended": 0,
"password_last_set": 0,
"logon_type": "interactive",
"sid": "",
"collection_id": "88b876b1-5063-40a8-b40e-440df5eb8952",
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
}],
"Entity": "PC-02"
}
Conetores
Para ver instruções detalhadas sobre como configurar um conetor no Google SecOps, consulte o artigo Configurar o conetor.
Conetor Endgame
Use os seguintes parâmetros para configurar o conector:
| Parâmetro | Tipo | Valor predefinido | Descrição |
|---|---|---|---|
| DeviceProductField | String | device_product | O nome do campo usado para determinar o produto do dispositivo. |
| EventClassId | String | event_name | O nome do campo usado para determinar o nome do evento (subtipo) |
| PythonProcessTimeout | String | 30 | O limite de tempo (em segundos) para o processo Python que executa o script atual |
| Raiz da API | String | N/A | N/A |
| Nome de utilizador | String | N/A | N/A |
| Palavra-passe | Palavra-passe | N/A | N/A |
| Validar SSL | Caixa de verificação | Desmarcado | N/A |
| Máximo de dias para trás | String | N/A | N/A |
| Nome do campo do ambiente | String | N/A | Se estiver definido, o conetor extrai o ambiente do campo do evento especificado. Pode manipular os dados dos campos através do campo de padrão de expressão regular para extrair uma string específica. |
| Limite da quantidade de alertas | String | N/A | N/A |
| Endereço do servidor proxy | String | N/A | O endereço do servidor proxy a usar. |
| Nome de utilizador do proxy | String | N/A | O nome de utilizador do proxy para autenticação. |
| Palavra-passe do proxy | Palavra-passe | N/A | A palavra-passe do proxy para autenticação. |
Regras de conector
O conetor suporta proxy.
O conetor suporta a lista dinâmica.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.