Endgame
Versão da integração: 9.0
Integrar o Endgame ao Google Security Operations
Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Ações
Enriquecer entidades
Enriqueça entidades de host e IP do Google SecOps com base nas informações do Endgame.
Parâmetros
N/A
Casos de uso
A ação pode ser usada nos playbooks que investigam atividades em dispositivos. Se o dispositivo tiver o agente do Endgame instalado, a ação vai extrair informações do Endgame no dispositivo para enriquecer as entidades do Google SecOps.
Data de execução
Essa ação é executada nas seguintes entidades:
- Host
- Endereço IP
Resultados da ação
Enriquecimento de entidade
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| Endgame_Domain | Sempre |
| Endgame_endpoint_id | Sempre |
| Endgame_hostname | Sempre |
| Endgame_sensors_status | Sempre |
| Endgame_sensors_id | Sempre |
| Endgame_sensors_status | Sempre |
| Endgame_sensors_id | Sempre |
| Endgame_policy_status | Sempre |
| Endgame_policy_name | Sempre |
| Endgame_policy_id | Sempre |
| Endgame_is_isolated | Sempre |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"data": [
{
"domain": "InstallerInitiated",
"updated_at": "2019-11-01T05:42:08.149079+00:00",
"id": "1682418d-02ff-43cd-a730-bcae8215a514",
"display_operating_system": "CentOS 7.6",
"hostname": "example",
"mac_address": "01:23:45:ab:cd:ef",
"upgrade_status": "",
"base_image": false,
"isolation_updated_at": null,
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [
{
"id": "a0927aeb-915a-466d-a5eb-5d7b6f9217c5",
"name": "BLUE TEAM"
},
{
"id": "bede2f24-593c-45e4-9863-9c2438f0f163",
"name": "SOC"
},
{
"id": "fc2dfcc8-9329-4f33-86a2-877bfb27575e",
"name": "CORE ENV"
}
],
"isolation_request_status": null,
"alert_count": 0,
"investigation_count": 0,
"groups": [
{
"is_dynamic": false,
"count": 4,
"id": "c1af3cd6-2638-4144-842d-adc9cfb67fb9",
"name": "SOC"
}
],
"sensors": [
{
"status": "monitored",
"sensor_version": "3.52.12",
"policy_status": "successful",
"policy_name": "Lab (Detect-Only)",
"sensor_type": "hunt",
"id": "fbb87923-a833-5581-a160-7f4f85a21bd0",
"policy_id": "a1d72bce-1f61-4ba8-bcd4-dfa97148335f"
}
],
"ip_address": "192.0.2.1",
"is_isolated": false,
"operating_system": "Linux 3.10.0-957.27.2.el7.x86_64",
"name": "example",
"status_changed_at": "2020-01-07T08:15:11.865854+00:00",
"core_os": "linux",
"created_at": "2019-03-19T05:07:50.598837+00:00",
"error": null,
"machine_id": "827255f4-53a2-1823-cac0-7c0f7730ca26"
},
{
"domain": "InstallerInitiated",
"updated_at": "2019-11-01T05:42:09.150756+00:00",
"id": "12c3530d-657f-4ccd-835e-6df9affeed3d",
"display_operating_system": "Ubuntu 18.04.3",
"hostname": "example",
"mac_address": "01:23:45:ab:cd:ef",
"upgrade_status": "",
"base_image": false,
"isolation_updated_at": null,
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [],
"isolation_request_status": null,
"alert_count": 0,
"investigation_count": 0,
"groups": [
{
"is_dynamic": false,
"count": 4,
"id": "c1af3cd6-2638-4144-842d-adc9cfb67fb9",
"name": "SOC"
}
],
"sensors": [
{
"status": "monitored",
"sensor_version": "3.52.12",
"policy_status": "successful",
"policy_name": "Lab (Detect-Only)",
"sensor_type": "hunt",
"id": "dc2e35cc-0c87-5a60-8fc8-de23ef747d02",
"policy_id": "a1d72bce-1f61-4ba8-bcd4-dfa97148335f"
}
],
"ip_address": "192.0.2.1",
"is_isolated": false,
"operating_system": "Linux 4.15.0-72-generic",
"name": "example",
"status_changed_at": "2020-01-07T08:15:16.875375+00:00",
"core_os": "linux",
"created_at": "2019-09-20T21:34:51.966863+00:00",
"error": null,
"machine_id": "5ae8ddd9-9339-ae4b-ccf7-5ed68f38b3a9"
}
],
"metadata": {
"count": 38,
"previous_url": null,
"timestamp": "2020-01-07T18:09:43.765744",
"next": null,
"per_page": 50,
"next_url": null,
"transaction_id": "569cdc38-8c7a-4b93-af99-aaf907dc8dd6",
"previous": null
}
}
Listar investigações
Lista investigações do Endgame.
Parâmetros
| Parâmetro | Tipo | Valor padrão | Descrição |
|---|---|---|---|
| SO | String | Solaris,Windows,MacOs,Linux | Especifique para qual SO você quer listar as investigações. O parâmetro pode receber vários valores como uma string separada por vírgulas. |
| Extrair investigações das últimas X horas | Int | N/A | Retorna as investigações criadas para o período especificado em horas. |
| Número máximo de investigações a serem retornadas | Int | N/A | Especifique quantas investigações você quer consultar. |
Casos de uso
As investigações são usadas para procurar diferentes objetos dos endpoints, por exemplo, processos, endereços IP e arquivos. Essa ação permite que o usuário liste investigações. Os analistas podem usar essa ação para garantir que todas as investigações necessárias estejam sendo realizadas no sistema.
Data de execução
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"data": [
{
"created_by_chat": false,
"name": "Example User + 2020-01-08T13:47:51.334336_utc",
"core_os": "windows",
"created_at": "2020-01-08T13:47:51.340497+00:00",
"task_completion": {
"completed_tasks": 1,
"total_tasks": 1
},
"archived": false,
"created_by": {
"username": "admin",
"last_name": "User",
"is_active": true,
"is_editable": true,
"is_ldap": false,
"is_removable": false,
"timezone": null,
"id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"first_name": "Example",
"last_viewed_alert": "2020-01-07T09:24:22.925000",
"is_sso": false,
"is_superuser": true,
"role": {
"role": "Admin",
"id": "37e9e54e-0bb8-5058-9bd4-50a0d0fbea35",
"permissions": {
"endpoints.scan": true,
"sensor.admin.view": true,
"sensor.admin.update": true,
"endpoints.delete": true,
"endpoints.respond": true,
"search.search": true,
"sensor.admin.create": true,
"alerts.admin.forwardalerts": true,
"endpoints.tag": true,
"user.delete": true,
"endpoints.deploy": true,
"user.update": true,
"search.save": true,
"investigation.create": true,
"endpoints.view": true,
"user.view": true,
"sensor.admin.download": true,
"alerts.view": true,
"alerts.update": true,
"search.delete": true,
"sensor.admin.delete": true,
"endpoints.uninstall": true,
"investigation.view": true,
"admin": true,
"investigation.update": true,
"endpoints.changeconfiguration": true,
"user.create": true
}
},
"type": "Local",
"email": null
},
"updated_at": "2020-01-08T13:47:51.379966+00:00",
"created_by_user_display_name": "Example User",
"canceled_by_user_id": null,
"version": 2,
"endpoint_count": 1,
"assigned_to": {
"username": "admin",
"last_name": "User",
"is_active": true,
"is_editable": true,
"is_ldap": false,
"is_removable": false,
"timezone": null,
"id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"first_name": "Example",
"last_viewed_alert": "2020-01-07T09:24:22.925000",
"is_sso": false,
"is_superuser": true,
"role": {
"role": "Admin",
"id": "37e9e54e-0bb8-5058-9bd4-50a0d0fbea35",
"permissions": {
"endpoints.scan": true,
"sensor.admin.view": true,
"sensor.admin.update": true,
"endpoints.delete": true,
"endpoints.respond": true,
"search.search": true,
"sensor.admin.create": true,
"alerts.admin.forwardalerts": true,
"endpoints.tag": true,
"user.delete": true,
"endpoints.deploy": true,
"user.update": true,
"search.save": true,
"investigation.create": true,
"endpoints.view": true,
"user.view": true,
"sensor.admin.download": true,
"alerts.view": true,
"alerts.update": true,
"search.delete": true,
"sensor.admin.delete": true,
"endpoints.uninstall": true,
"investigation.view": true,
"admin": true,
"investigation.update": true,
"endpoints.changeconfiguration": true,
"user.create": true
}
},
"type": "Local",
"email": null
},
"id": "e0ad7613-daf6-435f-98f6-ce40eae01acc",
"canceled_by_user_display_name": null,
"user_display_name": "Example User",
"hunt_count": 1,
"is_canceled": false
}
],
"metadata": {
"count": 46,
"previous_url": null,
"timestamp": "2020-01-08T16:02:09.251511",
"next": 2,
"per_page": 1,
"next_url": "/api/v1/investigations/?per_page=1&page=2",
"previous": null
}
}
Receber detalhes da investigação
Receba informações sobre uma investigação específica do Endgame.
Parâmetros
| Parâmetro | Tipo | Valor padrão | Descrição |
|---|---|---|---|
| ID da investigação | String | N/A | Especifique o ID da investigação do Endgame a ser pesquisado. |
Casos de uso
As investigações são usadas para procurar diferentes objetos dos endpoints, por exemplo, processos, endereços IP e arquivos. Assim, o usuário pode receber mais informações sobre investigações específicas. Os analistas podem usar essa ação para garantir que todas as tarefas necessárias foram realizadas no sistema.
Data de execução
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"data": {
"tasks": [
"6500673c-d246-41a3-882d-d3a339f28497"
],
"user_display_name": "Example User",
"task_types": [
"Process Survey"
],
"task_completion": {
"completed_tasks": 1,
"total_tasks": 1
},
"updated_at": "2020-01-06T13:30:33.851816+00:00",
"created_by_user_display_name": "Example User",
"id": "54caeedc-d6b0-4ca0-8f64-8798d1c34d54",
"task_completions_by_type": {
"Process Survey": {
"completed_tasks": 1,
"task_type_id": "2fbf0c36-5160-5c31-99ec-0fa5880c6bd1",
"total_tasks": 1
}
},
"archived": false,
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"is_canceled": false,
"created_by": {
"username": "admin",
"last_name": "User",
"is_active": true,
"is_editable": true,
"is_ldap": false,
"is_removable": false,
"timezone": null,
"id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"first_name": "Example",
"last_viewed_alert": "2020-01-06T09:27:04.097000",
"is_sso": false,
"is_superuser": true,
"role": {
"role": "Admin",
"id": "37e9e54e-0bb8-5058-9bd4-50a0d0fbea35",
"permissions": {
"endpoints.scan": true,
"sensor.admin.view": true,
"sensor.admin.update": true,
"endpoints.delete": true,
"endpoints.respond": true,
"search.search": true,
"sensor.admin.create": true,
"alerts.admin.forwardalerts": true,
"endpoints.tag": true,
"user.delete": true,
"endpoints.deploy": true,
"user.update": true,
"search.save": true,
"investigation.create": true,
"endpoints.view": true,
"user.view": true,
"sensor.admin.download": true,
"alerts.view": true,
"alerts.update": true,
"search.delete": true,
"sensor.admin.delete": true,
"endpoints.uninstall": true,
"investigation.view": true,
"admin": true,
"investigation.update": true,
"endpoints.changeconfiguration": true,
"user.create": true
}
},
"type": "Local",
"email": null
},
"hunt_count": 1,
"canceled_by_user_id": null,
"version": 2,
"endpoint_count": 1,
"canceled_by_user_display_name": null,
"created_by_user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"created_by_chat": false,
"sensors": [
"8eef6873-6db7-58ab-a1ca-68dc19b54117"
],
"name": "Example User + 2020-01-06T13:30:33.808543_utc",
"core_os": "windows",
"created_at": "2020-01-06T13:30:33.813747+00:00",
"assigned_to": {
"username": "admin",
"last_name": "User",
"is_active": true,
"is_editable": true,
"is_ldap": false,
"is_removable": false,
"timezone": null,
"id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"first_name": "Example",
"last_viewed_alert": "2020-01-06T09:27:04.097000",
"is_sso": false,
"is_superuser": true,
"role": {
"role": "Admin",
"id": "37e9e54e-0bb8-5058-9bd4-50a0d0fbea35",
"permissions": {
"endpoints.scan": true,
"sensor.admin.view": true,
"sensor.admin.update": true,
"endpoints.delete": true,
"endpoints.respond": true,
"search.search": true,
"sensor.admin.create": true,
"alerts.admin.forwardalerts": true,
"endpoints.tag": true,
"user.delete": true,
"endpoints.deploy": true,
"user.update": true,
"search.save": true,
"investigation.create": true,
"endpoints.view": true,
"user.view": true,
"sensor.admin.download": true,
"alerts.view": true,
"alerts.update": true,
"search.delete": true,
"sensor.admin.delete": true,
"endpoints.uninstall": true,
"investigation.view": true,
"admin": true,
"investigation.update": true,
"endpoints.changeconfiguration": true,
"user.create": true
}
},
"type": "Local",
"email": null
},
"endpoints": [
"b23c8a14-69e0-4966-b78a-c9fba4fdd934"
]
},
"metadata": {
"timestamp": "2020-01-06T14:00:53.716517"
}
}
Acessar configuração de isolamento do host
Recebe a configuração de isolamento de host definida no Endgame.
Parâmetros
N/A
Casos de uso
Essa ação é usada para receber informações sobre a configuração de isolamento do host. Essa configuração permite que hosts isolados se conectem aos endereços IP listados. Os analistas podem usar essa ação para verificar se todos os endereços IP necessários estão na configuração de isolamento do host.
Data de execução
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"data": [
{
"id": "47999eeb-f076-5aca-a7cc-56bf7ac2b647",
"comments": [
{
"comment": "Testing API",
"entity_id": "47999eeb-f076-5aca-a7cc-56bf7ac2b647",
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"entity_type": "whitelisted_ip",
"created_at": "2020-01-07T15:59:56Z",
"updated_at": "2020-01-07T15:59:56Z",
"id": 547,
"activity_type": "comment"
}
],
"addr": "192.0.2.1/30"
},
{
"id": "6ab5575c-718e-5e24-bd4d-77e0694ad6fc",
"comments": [
{
"comment": "Testing API",
"entity_id": "6ab5575c-718e-5e24-bd4d-77e0694ad6fc",
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"entity_type": "whitelisted_ip",
"created_at": "2020-01-07T15:58:29Z",
"updated_at": "2020-01-07T15:58:29Z",
"id": 545,
"activity_type": "comment"
}
],
"addr": "192.0.2.11/32"
},
{
"id": "72bdf5d2-4cc6-5ccf-9787-a539fae9c517",
"comments": [
{
"comment": "CIDR Test",
"entity_id": "72bdf5d2-4cc6-5ccf-9787-a539fae9c517",
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"entity_type": "whitelisted_ip",
"created_at": "2020-01-07T15:58:04Z",
"updated_at": "2020-01-07T15:58:04Z",
"id": 543,
"activity_type": "comment"
}
],
"addr": "198.51.100.1/32"
},
{
"id": "5aa89c8f-a535-5876-840c-af33a7ec1419",
"comments": [
{
"comment": "Testing API",
"entity_id": "5aa89c8f-a535-5876-840c-af33a7ec1419",
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"entity_type": "whitelisted_ip",
"created_at": "2020-01-07T15:57:24Z",
"updated_at": "2020-01-07T15:57:24Z",
"id": 541,
"activity_type": "comment"
}
],
"addr": "198.51.100.10"
},
{
"id": "06461575-700b-596d-8662-7ea0aff28e9c",
"comments": [
{
"comment": "Test Isolation",
"entity_id": "06461575-700b-596d-8662-7ea0aff28e9c",
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"entity_type": "whitelisted_ip",
"created_at": "2020-01-07T15:55:21Z",
"updated_at": "2020-01-07T15:55:21Z",
"id": 539,
"activity_type": "comment"
}
],
"addr": "203.0.113.1"
}
],
"metadata": {
"count": 5,
"previous_url": null,
"timestamp": "2020-01-07T16:00:19.754687",
"next": null,
"per_page": 10,
"next_url": null,
"previous": null
}
}
Adicionar sub-rede IP à configuração de isolamento do host
Adicione uma sub-rede IP à configuração de isolamento de host definida no Endgame.
Parâmetros
| Parâmetro | Tipo | Valor padrão | Descrição |
|---|---|---|---|
| Sub-rede IP | String | N/A | Insira a sub-rede IPv4 que você quer adicionar à configuração de isolamento de host. |
| Descrição | String | N/A | Insira a descrição da sub-rede IP. |
| Criar insight | Caixa de seleção | não marcada | Se ativada, cria um insight após a execução bem-sucedida dessa ação. |
Casos de uso
Essa ação é usada para receber informações sobre a configuração de isolamento do host. Essa configuração permite que hosts isolados se conectem às sub-redes IP listadas ali. Os analistas podem usar essa ação para adicionar as sub-redes IP necessárias à configuração de isolamento do host.
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Insights
Se uma sub-rede IP foi adicionada à configuração de isolamento do host usando o Endgame, crie um insight para indicar isso.
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Remover sub-rede IP da configuração de isolamento do host
Remova uma sub-rede IP da configuração de isolamento de host definida no Endgame.
Parâmetros
| Parâmetro | Tipo | Valor padrão | Descrição |
|---|---|---|---|
| Sub-rede IP | String | N/A | Insira a sub-rede IPv4 que você quer adicionar à configuração de isolamento de host. |
| Criar insight | Caixa de seleção | não marcada | Se ativada, cria um insight após a execução bem-sucedida dessa ação. |
Casos de uso
Essa ação é usada para receber informações sobre a configuração de isolamento do host. Essa configuração permite que hosts isolados se conectem às sub-redes IP listadas ali. Os analistas podem usar essa ação para remover sub-redes IP que não são mais necessárias da configuração de isolamento do host.
Data de execução
Essa ação é executada em todas as entidades.
Resultados da ação
Insights
Se uma sub-rede IP foi removida da configuração de isolamento do host usando o Endgame, crie um insight para indicar isso.
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Coletar Autoruns (somente no Windows)
Colete as execuções automáticas do endpoint do Endgame.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | Descrição |
|---|---|---|---|
| Número máximo de itens a serem retornados | Número inteiro | 1000 | Especifique quantas execuções automáticas retornar. |
| Categoria "Todas" | Caixa de seleção | Selecionado | Se ativado, pesquisa todas as categorias de execução automática. |
| Categoria "Operadora de rede" | Caixa de seleção | Desmarcado | Se ativada, pesquise a categoria de execução automática "Provedor de rede". |
| Categoria "Office" | Caixa de seleção | Desmarcado | Se estiver ativada, pesquise a categoria de execução automática "Office". |
| Categoria "Motorista" | Caixa de seleção | Desmarcado | Se ativada, pesquise a categoria de execução automática "Driver". |
| Categoria "Inicialização do app" | Caixa de seleção | Desmarcado | Se ativada, pesquise a categoria de execução automática "Inicialização de app". |
| Categoria "Winlogon" | Caixa de seleção | Desmarcado | Se ativada, pesquise a categoria de execução automática "Winlogon". |
| Categoria "Print Monitor" | Caixa de seleção | Desmarcado | Se estiver ativada, pesquise a categoria de execução automática "Print Monitor". |
| Categoria "Facilidade de acesso" | Caixa de seleção | Desmarcado | Se ativada, pesquise a categoria de execução automática "Facilidade de acesso". |
| Categoria "WMI" | Caixa de seleção | Desmarcado | Se ativada, pesquise a categoria de execução automática "WMI". |
| Categoria "Provedor de LSA" | Caixa de seleção | Desmarcado | Se estiver ativada, pesquise a categoria de execução automática "Provedor de LSA". |
| Categoria "Serviço" | Caixa de seleção | Desmarcado | Se ativada, pesquise a categoria de execução automática "Serviço". |
| Categoria "Bits" | Caixa de seleção | Desmarcado | Se estiver ativada, pesquise a categoria de execução automática "Bits". |
| Categoria "DLL conhecida" | Caixa de seleção | Desmarcado | Se estiver ativada, pesquise a categoria de execução automática "Known dll". |
| Categoria "Print Provider" | Caixa de seleção | Desmarcado | Se estiver ativada, pesquise a categoria de execução automática "Print Provider". |
| Categoria "Image Hijack" | Caixa de seleção | Desmarcado | Se ativada, pesquise a categoria de execução automática "Image Hijack". |
| Categoria "Pasta de inicialização" | Caixa de seleção | Desmarcado | Se ativada, pesquise a categoria de execução automática "Pasta de inicialização". |
| Categoria "Internet Explorer" | Caixa de seleção | Desmarcado | Se estiver ativada, pesquise a categoria de execução automática do "Internet Explorer". |
| Categoria "Codec" | Caixa de seleção | Desmarcado | Se ativada, pesquise a categoria de execução automática "Codec". |
| Categoria "Logon" | Caixa de seleção | Desmarcado | Se estiver ativada, pesquise a categoria de execução automática "Logon". |
| Categoria "Sequestro de ordem de pesquisa" | Caixa de seleção | Desmarcado | Se estiver ativada, pesquise a categoria de execução automática "Sequestro da ordem de pesquisa". |
| Categoria "Winsock Provider" | Caixa de seleção | Desmarcado | Se estiver ativada, pesquise a categoria de execução automática "Winsock Provider". |
| Categoria "Execução de inicialização" | Caixa de seleção | Desmarcado | Se ativada, pesquise a categoria de execução automática "Boot Execute". |
| Categoria "Phantom dll" | Caixa de seleção | Desmarcado | Se ativada, pesquise a categoria de execução automática "Phantom dll". |
| Categoria "Com Hijack" | Caixa de seleção | Desmarcado | Se estiver ativada, pesquise a categoria de execução automática "Com Hijack". |
| Categoria "Explorer" | Caixa de seleção | Desmarcado | Se estiver ativada, pesquise a categoria de execução automática "Explorer". |
| Categoria "Tarefa agendada" | Caixa de seleção | Desmarcado | Se ativada, pesquise a categoria de execução automática "Tarefa programada". |
| Incluir todos os metadados | Caixa de seleção | Selecionado | Se ativada, fornece todos os dados disponíveis. |
| Incluir metadados de classificação de malware | Caixa de seleção | Desmarcado | Se ativado, fornece informações sobre o MalwareScore. |
| Incluir metadados do Authenticode | Caixa de seleção | Desmarcado | Se ativado, fornece informações do signatário. |
| Incluir hash MD5 | Caixa de seleção | Desmarcado | Se ativado, fornece o hash MD5 na resposta. |
| Incluir hash SHA-1 | Caixa de seleção | Desmarcado | Se ativado, fornece o hash SHA-1 na resposta. |
| Incluir hash SHA-256 | Caixa de seleção | Desmarcado | Se ativado, fornece o hash SHA-256 na resposta. |
Casos de uso
Essa ação pode ser usada para coletar informações sobre execuções automáticas no endpoint. Esses dados podem ajudar os analistas a realizar processos de triagem e correção.
Data de execução
Essa ação é executada nas seguintes entidades:
- Host
- Endereço IP
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"data": {
"count": 1,
"per_page": 50,
"previous": null,
"tasks": [
{
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"data": {
"category_option": {
"category_network_provider": true,
"category_office": false,
"category_driver": false,
"category_app_init": false,
"category_winlogon": false,
"category_print_monitor": false,
"category_ease_of_access": false,
"category_wmi": false,
"category_lsa_provider": false,
"category_service": false,
"category_bits": false,
"category_known_dll": false,
"category_print_provider": false,
"category_image_hijack": false,
"category_startup_folder": false,
"category_internet_explorer": false,
"category_codec": false,
"category_logon": false,
"category_all": false,
"category_search_order_hijack": false,
"category_winsock_provider": false,
"category_boot_execute": false,
"category_phantom_dll": false,
"category_com_hijack": false,
"category_explorer": false,
"category_scheduled_task": false
},
"metadata_option": {
"metadata_all": true,
"metadata_malware_classification": false,
"metadata_sha1": false,
"metadata_sha256": false,
"metadata_authenticode": false,
"metadata_md5": false
}
},
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"metadata": {
"sensor_id": "8eef6873-6db7-58ab-a1ca-68dc19b54117",
"investigation_id": "0b043f77-531f-4109-93b1-e01019ad0980",
"task_id": "e667b0c3-39de-4862-9baf-d6697db79721",
"echo": "",
"endpoint_id": "b23c8a14-69e0-4966-b78a-c9fba4fdd934",
"destination_plugin": "autoruns",
"key": "collectAutoRunsRequest",
"semantic_version": "3.52.\\d+",
"collection_id": "2393f424-bf57-40af-81e6-91b95acf5409"
}
}
],
"next": null
},
"metadata": {
"timestamp": "2020-01-08T13:15:37.238341"
}
}
Isolar host
Isolar o endpoint do Endgame. Essa ação só é compatível com sistemas Windows e macOS.
Parâmetros
| Parâmetro | Tipo | Valor padrão | Descrição |
|---|---|---|---|
| Criar insight | Caixa de seleção | Desmarcado | Se ativada, cria um insight após a execução bem-sucedida dessa ação. |
Casos de uso
Essa ação é usada para receber informações sobre a configuração de isolamento do host. Essa configuração permite que hosts isolados se conectem às sub-redes IP listadas ali. Os analistas podem usar essa ação para adicionar as sub-redes IP necessárias à configuração de isolamento do host.
Data de execução
Essa ação é executada nas seguintes entidades:
- Host
- Endereço IP
Resultados da ação
Enriquecimento de entidade
N/A
Insights
Se o endpoint foi isolado usando o agente do Endgame, crie um insight para indicar isso.
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"data": {
"valid": true,
"bulk_task_id": "a6ccc2f7-39a7-42e7-b646-41b281316b1d",
"error_messages": []
},
"metadata": {
"timestamp": "2020-01-08T15:09:22.474963"
}
}
Unisolate Host
Remove o isolamento de um endpoint do Endgame. Essa ação só é compatível com sistemas Windows e macOS.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | Descrição |
|---|---|---|---|
| Criar insight | Caixa de seleção | Desmarcado | Se ativada, cria um insight após a execução bem-sucedida dessa ação. |
Data de execução
Essa ação é executada nas seguintes entidades:
- Host
- Endereço IP
Resultados da ação
Insights
Se o isolamento do endpoint foi desfeito usando o agente do Endgame, crie um insight para indicar isso.
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"data": {
"domain": "InstallerInitiated",
"updated_at": "2020-01-08T08:16:26.063394+00:00",
"id": "b23c8a14-69e0-4966-b78a-c9fba4fdd934",
"display_operating_system": "Windows 10 (v1511)",
"hostname": "example",
"mac_address": "01:23:45:ab:cd:ef",
"upgrade_status": "",
"base_image": false,
"isolation_updated_at": "2020-01-08T15:09:24.665367+00:00",
"status": "monitored",
"ad_distinguished_name": "CN=EXAMPLE,CN=Computers,DC=example,DC=com",
"ad_hostname": "example.com",
"tags": [],
"isolation_request_status": null,
"alert_count": 0,
"groups": [
{
"is_dynamic": false,
"count": 2,
"id": "d9de26c9-ee63-4d38-9997-7418bd13c45e",
"name": "Demo: APT28"
}
],
"sensors": [
{
"status": "monitored",
"sensor_version": "3.52.12",
"policy_status": "successful",
"policy_name": "Lab (Detect-Only with Streaming)",
"sensor_type": "hunt",
"id": "8eef6873-6db7-58ab-a1ca-68dc19b54117",
"policy_id": "07b7a44f-25f3-4e5c-977b-2915de8160c5"
}
],
"ip_address": "192.0.2.3",
"is_isolated": false,
"operating_system": "Windows 10.0",
"name": "example",
"status_changed_at": "2020-01-08T12:30:48.704802+00:00",
"core_os": "windows",
"created_at": "2019-11-01T06:31:32.519640+00:00",
"error": null,
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
},
"metadata": {
"timestamp": "2020-01-08T15:16:34.303701"
}
}
Baixar o arquivo
Baixe um arquivo de um endpoint específico do Endgame.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | Descrição |
|---|---|---|---|
| Caminho completo do arquivo | String | N/A | Se ativada, cria um insight após a execução bem-sucedida dessa ação. |
| Caminho completo da pasta de downloads | String | N/A | Insira o caminho da pasta em que você quer armazenar o arquivo. |
| Hash SHA-256 esperado | String | N/A | Insira o hash SHA-256 esperado. |
Casos de uso
Você pode usar essa ação para acessar os arquivos dos endpoints. Às vezes, os arquivos precisam ser processados manualmente, e essa atividade ajuda os usuários a acessar os arquivos necessários.
Data de execução
Essa ação é executada nas seguintes entidades:
- Host
- Endereço IP
Resultados da ação
Insights
Se o endpoint foi isolado usando o agente do Endgame, crie um insight para indicar isso.
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
Se o status for success, o resultado JSON será o seguinte:
{
"data": {
"status": "success",
"doc_type": "collection",
"endpoint": {
"domain": "InstallerInitiated",
"updated_at": "2019-11-01T05:41:10.150817+00:00",
"id": "a3cdc174-3af0-400a-85c3-bbb1435a6b61",
"display_operating_system": "Ubuntu 18.04.1",
"hostname": "example",
"mac_address": "01:23:45:ab:cd:ef",
"base_image": false,
"isolation_updated_at": null,
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [
{
"id": "fc2dfcc8-9329-4f33-86a2-877bfb27575e",
"name": "CORE ENV"
}
],
"isolation_request_status": null,
"upgrade_status": "",
"groups": [
{
"is_dynamic": false,
"count": 1,
"id": "e453d4f6-95c9-4dc5-bc41-2f4cae423e19",
"name": "Demo: Bad Admin"
}
],
"sensors": [
{
"status": "A",
"sensor_version": "3.52.12",
"sensor_type": "hunt",
"id": "c7347a4b-3e71-5514-980f-90bdbab758cf"
}
],
"ip_address": "192.0.2.1",
"is_isolated": false,
"operating_system": "Linux 4.15.0-29-generic",
"name": "example",
"status_changed_at": "2020-01-07T08:16:46.895105+00:00",
"core_os": "linux",
"created_at": "2019-03-19T04:25:06.953312+00:00",
"error": null,
"machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d"
},
"task_id": "0854ae75-47ca-438a-8731-615defac44ac",
"family": "response",
"data": {
"results": [
{
"size": 1731,
"endpoint": {
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"operating_system": "Linux 4.15.0-29-generic",
"name": "example",
"display_operating_system": "Ubuntu 18.04.1",
"hostname": "example",
"updated_at": "2020-01-07T08:16:44Z",
"mac_address": "01:23:45:ab:cd:ef",
"ip_address": "192.0.2.1",
"id": "a3cdc174-3af0-400a-85c3-bbb1435a6b61"
},
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"investigation_id": null,
"filepath": "/home/a-arobinson/Downloads/bad_admin.sh",
"bulk_task_id": null,
"created_by": "a-arobinson",
"file_uuid": "4c45cc36-b6ca-412a-ae0b-ed214a9c7187",
"correlation_id": "13dfca7b-9e75-4115-be93-e6684dbfc7c8",
"user": {
"username": "admin",
"first_name": "Example",
"last_name": "User",
"id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1"
},
"chunk_size": 26214400,
"existing_path": "/home/a-arobinson/Downloads/bad_admin.sh",
"sha256": "8066b309db13bae560c15c35f42247a0f778786f0056d326ff3e6dffd1eac4f8",
"origination_task_id": "0854ae75-47ca-438a-8731-615defac44ac",
"md5": "6441b8f58feddb5a5f6fcd81c117ecb8"
}
]
},
"created_at": "2020-01-07T11:28:02.826397Z",
"os_type": "linux",
"machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d",
"type": "downloadFileResponse",
"id": "d6fb3bf3-afea-44e0-8472-389f4e7e0002"
},
"metadata": {
"count": 1,
"previous_url": null,
"timestamp": "2020-01-07T11:41:56.750788",
"next": null,
"per_page": 50,
"next_url": null,
"previous": null
}
}
Se o status for failure, o resultado JSON será assim:
{
"data": {
"status": "failure",
"doc_type": "collection",
"endpoint": {
"domain": "InstallerInitiated",
"updated_at": "2019-11-01T05:42:09.150756+00:00",
"id": "12c3530d-657f-4ccd-835e-6df9affeed3d",
"display_operating_system": "Ubuntu 18.04.3",
"hostname": "example",
"mac_address": "01:23:45:ab:cd:ef",
"base_image": false,
"isolation_updated_at": null,
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [],
"isolation_request_status": null,
"upgrade_status": "",
"groups": [
{
"is_dynamic": false,
"count": 4,
"id": "c1af3cd6-2638-4144-842d-adc9cfb67fb9",
"name": "SOC"
}
],
"sensors": [
{
"status": "A",
"sensor_version": "3.52.12",
"sensor_type": "hunt",
"id": "dc2e35cc-0c87-5a60-8fc8-de23ef747d02"
}
],
"ip_address": "192.0.2.1",
"is_isolated": false,
"operating_system": "Linux 4.15.0-72-generic",
"name": "example",
"status_changed_at": "2020-01-19T11:05:16.765186+00:00",
"core_os": "linux",
"created_at": "2019-09-20T21:34:51.966863+00:00",
"error": null,
"machine_id": "5ae8ddd9-9339-ae4b-ccf7-5ed68f38b3a9"
},
"task_id": "85148460-c868-4fe5-a3e6-0d90784fadd1",
"family": "response",
"data": {
"results": [
{
"endpoint": {
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"operating_system": "Linux 4.15.0-72-generic",
"name": "example",
"display_operating_system": "Ubuntu 18.04.3",
"hostname": "example",
"updated_at": "2020-01-16T14:04:22Z",
"mac_address": "01:23:45:ab:cd:ef",
"ip_address": "192.0.2.1",
"id": "12c3530d-657f-4ccd-835e-6df9affeed3d"
},
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"investigation_id": null,
"expected_sha256": "123",
"bulk_task_id": null,
"correlation_id": "a7dc04c8-932c-4056-9477-8095b1fa15d8",
"user": {
"username": "admin",
"first_name": "Example",
"last_name": "User",
"id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1"
},
"chunk_size": 26214400,
"existing_path": "/home/example/Downloads/bad_admin.sh",
"origination_task_id": "85148460-c868-4fe5-a3e6-0d90784fadd1"
}
]
},
"created_at": "2020-01-19T12:19:57Z",
"os_type": "linux",
"machine_id": "5ae8ddd9-9339-ae4b-ccf7-5ed68f38b3a9",
"type": "downloadFileResponse",
"id": "8eb6b538-d480-4210-92fb-df08a3a4dfb9"
},
"metadata": {
"count": 1,
"previous_url": null,
"timestamp": "2020-01-19T12:23:23.623961",
"next": null,
"per_page": 50,
"next_url": null,
"previous": null
}
}
Excluir arquivo
Exclui um arquivo de um endpoint do Endgame.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | Descrição |
|---|---|---|---|
| Caminho do arquivo | String | N/A | Insira o caminho do arquivo. |
Casos de uso
Essa ação é usada para excluir arquivos do endpoint. Por exemplo, ele pode ser usado quando um malware é encontrado e um analista quer removê-lo.
Data de execução
Essa ação é executada nas seguintes entidades:
- Host
- Endereço IP
Resultados da ação
Insights
Se o endpoint foi isolado usando o agente do Endgame, crie um insight para indicar isso.
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
(status = success)
{
"data": [
{
"status": "success",
"doc_type": "collection",
"endpoint": {
"domain": "InstallerInitiated",
"updated_at": "2019-11-01T05:41:10.150817+00:00",
"id": "a3cdc174-3af0-400a-85c3-bbb1435a6b61",
"display_operating_system": "Ubuntu 18.04.1",
"hostname": "08203s-lubu1804",
"mac_address": "01:23:45:ab:cd:ef",
"upgrade_status": "",
"base_image": false,
"isolation_updated_at": null,
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [
{
"id": "fc2dfcc8-9329-4f33-86a2-877bfb27575e",
"name": "CORE ENV"
}
],
"isolation_request_status": null,
"groups": [
{
"is_dynamic": false,
"count": 1,
"id": "e453d4f6-95c9-4dc5-bc41-2f4cae423e19",
"name": "Demo: Bad Admin"
}
],
"sensors": [
{
"status": "monitored",
"sensor_version": "3.52.12",
"policy_status": "successful",
"policy_name": "Lab (Detect-Only with Streaming)",
"sensor_type": "hunt",
"id": "c7347a4b-3e71-5514-980f-90bdbab758cf",
"policy_id": "07b7a44f-25f3-4e5c-977b-2915de8160c5"
}
],
"ip_address": "192.0.2.1",
"is_isolated": false,
"operating_system": "Linux 4.15.0-29-generic",
"name": "08203s-lubu1804",
"status_changed_at": "2020-01-20T07:25:02.633331+00:00",
"core_os": "linux",
"created_at": "2019-03-19T04:25:06.953312+00:00",
"error": null,
"machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d"
},
"task_id": "bfb82b8d-71a0-4e5f-9cfe-bd573ea32b25",
"family": "response",
"created_at": "2020-01-20T07:31:37Z",
"local_msg": "Success",
"system_msg": null,
"system_code": null,
"local_code": 0,
"os_type": "linux",
"machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d",
"type": "deleteFileResponse",
"id": "eb50fe9c-1059-42d4-9f5f-52e5af4ae64d"
}
],
"metadata": {
"count": 1,
"previous_url": null,
"timestamp": "2020-01-20T07:32:04.425044",
"next": null,
"per_page": 50,
"next_url": null,
"previous": null
}
}
(status = failure) local_msg e system_msg serão usados.
{
"data": [
{
"status": "failure",
"doc_type": "collection",
"endpoint": {
"domain": "InstallerInitiated",
"updated_at": "2019-11-01T05:41:10.150817+00:00",
"id": "a3cdc174-3af0-400a-85c3-bbb1435a6b61",
"display_operating_system": "Ubuntu 18.04.1",
"hostname": "08203s-lubu1804",
"mac_address": "01:23:45:ab:cd:ef",
"upgrade_status": "",
"base_image": false,
"isolation_updated_at": null,
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [
{
"id": "fc2dfcc8-9329-4f33-86a2-877bfb27575e",
"name": "CORE ENV"
}
],
"isolation_request_status": null,
"groups": [
{
"is_dynamic": false,
"count": 1,
"id": "e453d4f6-95c9-4dc5-bc41-2f4cae423e19",
"name": "Demo: Bad Admin"
}
],
"sensors": [
{
"status": "monitored",
"sensor_version": "3.52.12",
"policy_status": "successful",
"policy_name": "Lab (Detect-Only with Streaming)",
"sensor_type": "hunt",
"id": "c7347a4b-3e71-5514-980f-90bdbab758cf",
"policy_id": "07b7a44f-25f3-4e5c-977b-2915de8160c5"
}
],
"ip_address": "192.0.2.1",
"is_isolated": false,
"operating_system": "Linux 4.15.0-29-generic",
"name": "08203s-lubu1804",
"status_changed_at": "2020-01-07T08:16:46.895105+00:00",
"core_os": "linux",
"created_at": "2019-03-19T04:25:06.953312+00:00",
"error": null,
"machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d"
},
"task_id": "5da277fe-503d-468a-822b-8801d9671cde",
"family": "response",
"created_at": "2020-01-07T13:10:50Z",
"local_msg": "Not found",
"system_msg": null,
"system_code": null,
"local_code": -7,
"os_type": "linux",
"machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d",
"type": "deleteFileResponse",
"id": "6f3e6148-6801-4cb8-8a5d-25f75ea93555"
}
],
"metadata": {
"count": 1,
"previous_url": null,
"timestamp": "2020-01-07T13:16:18.834163",
"next": null,
"per_page": 5,
"next_url": null,
"previous": null
}
}
Pesquisa sobre motoristas (somente no Windows)
Receba informações sobre drivers de um endpoint específico do Endgame.
Parâmetros
| Parâmetro | Tipo | Valor padrão | Descrição |
|---|---|---|---|
| Número máximo de itens a serem retornados | String | 50 | Especifique quantos itens serão retornados. |
Data de execução
Essa ação é executada nas seguintes entidades:
- Nome do host
- Endereço IP
Resultados da ação
Enriquecimento de entidade
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| driver_basename | Retorna se ele existe no resultado JSON |
| driver_filename | Retorna se ele existe no resultado JSON |
| date_modified | Retorna se ele existe no resultado JSON |
| driver_file_version | Retorna se ele existe no resultado JSON |
| driver_load_address | Retorna se ele existe no resultado JSON |
| collection_id | Retorna se ele existe no resultado JSON |
| hashes | Retorna se ele existe no resultado JSON |
| machine_id | Retorna se ele existe no resultado JSON |
| driver_product_version | Retorna se ele existe no resultado JSON |
| driver_description | Retorna se ele existe no resultado JSON |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[{
"EntityResult":
[{ "driver_basename": "test.exe",
"driver_filename": "C:\\\\Windows\\\\system32\\\\test.exe",
"date_modified": 1446189483.0185645,
"driver_file_version": "10.0.10586.0 (th2_release.151029-1700)",
"driver_load_address": "12345678",
"collection_id": "a9925cf1-6d4c-4bea-b13d-12345678",
"hashes": {
"sha256": "9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08",
"md5": "098f6bcd4621d373cade4e832627b4f6",
"sha1": "a94a8fe5ccb19ba61c4c0873d391e987982fbbd3"
},
"machine_id": "5dc677fd-6b47-7df9-f7f4-12345678",
"driver_product_version": "10.0.10586.0",
"driver_description": "Test"
}],
"Entity": "PC-01"
}]
Pesquisa sobre firewall (somente no Windows)
Receba informações sobre as regras de firewall em um endpoint específico do Endgame.
Parâmetros
| Parâmetro | Tipo | Valor padrão | Descrição |
|---|---|---|---|
| Número máximo de itens a serem retornados | String | 50 | Especifique quantos itens serão retornados. |
Data de execução
Essa ação é executada nas seguintes entidades:
- Nome do host
- Endereço IP
Resultados da ação
Enriquecimento de entidade
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| direção | Retorna se ele existe no resultado JSON |
| machine_id | Retorna se ele existe no resultado JSON |
| descrição | Retorna se ele existe no resultado JSON |
| remote_addresses | Retorna se ele existe no resultado JSON |
| protocol_number | Retorna se ele existe no resultado JSON |
| ativado | Retorna se ele existe no resultado JSON |
| edge_traversal | Retorna se ele existe no resultado JSON |
| perfis | Retorna se ele existe no resultado JSON |
| interface_types | Retorna se ele existe no resultado JSON |
| rule_name | Retorna se ele existe no resultado JSON |
| icmp_and_type_codes | Retorna se ele existe no resultado JSON |
| local_addresses | Retorna se ele existe no resultado JSON |
| application_name | Retorna se ele existe no resultado JSON |
| collection_id | Retorna se ele existe no resultado JSON |
| remote_ports | Retorna se ele existe no resultado JSON |
| ação | Retorna se ele existe no resultado JSON |
| local_ports | Retorna se ele existe no resultado JSON |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[{
"EntityResult":
[{
"direction": "in",
"machine_id": "870499c3-d6bf-8edd-972d-12345678",
"description": "Inbound rule for Google Chrome to allow mDNS traffic.",
"remote_addresses": "*",
"protocol_number": 17,
"enabled": true,
"edge_traversal": false,
"profiles":
["domain", "public", "private"],
"interface_types": "All",
"rule_name": "Google Chrome (mDNS-In)",
"icmp_and_type_codes": "",
"local_addresses": "*",
"application_name": "C:\\\\Program Files (x86)\\\\Google\\\\Chrome\\\\Application\\\\chrome.exe",
"collection_id": "0925eea5-c61f-464a-ba61-12345678",
"remote_ports": "*",
"action": "allow",
"local_ports": "1234"
}],
"Entity": "PC-01"
}]
Acessar endpoints
Liste todos os endpoints.
Parâmetros
N/A
Data de execução
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[{
"domain": "",
"updated_at": "2019-05-30T01:40:21.126499+00:00",
"id": "db33d864-7d58-4d85-9d2d-1a98a101995d",
"display_operating_system": "Windows 7 (SP1)",
"hostname": "ip-AC170169",
"mac_address": "01:23:45:ab:cd:ef",
"isolation_updated_at": "",
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [],
"isolation_request_status": "",
"alert_count": 72,
"investigation_count": 0,
"groups": [],
"sensors":
[{
"status": "monitored",
"sensor_version": "3.51.10",
"policy_status": "successful",
"policy_name": "POC-Lab",
"sensor_type": "hunt",
"id": "ec17f7bb-1d63-536a-b694-ca066cc2572e",
"policy_id": "d31f0192-b8e2-49ae-ae54-041376183b7f"
}],
"ip_address": "192.0.2.1",
"is_isolated": "false",
"operating_system": "Windows 6.1 Service Pack 1",
"name": "ip-AC170169",
"status_changed_at": "2019-05-30T01:40:18.200770+00:00",
"core_os": "windows",
"created_at": "2019-05-30T01:36:43.761600+00:00",
"error":
[{
"msg": "Installer failure - Execution failed for (http://192.0.2.1:5985/wsman)\\n",
"deployment_id": "90C2BAA6-B38B-4037-9A9E-7C8628E8D7D6",
"code": 1001, "ts": 1559180421.125456
}],
"machine_id": "4f1adabb-17c4-e39e-caa7-7900562d0b51"
}]
Arquivo de identificação
Pesquisa arquivos em execução.
Parâmetros
| Parâmetro | Tipo | Valor padrão | Descrição |
|---|---|---|---|
| Endpoints do Core OS | String | janelas | Selecione um sistema operacional (por exemplo, Windows, Linux ou Mac) para filtrar a lista de endpoints. Observação: só é possível criar uma investigação para endpoints que executam o mesmo sistema operacional. |
| Hashes MD5 | String | N/A | CONFIGURAÇÃO AVANÇADA para esta busca. Insira os hashes MD5 separados por vírgula. |
| Hashes SHA1 | String | N/A | CONFIGURAÇÃO AVANÇADA para esta busca. Insira os hashes SHA-1 separados por vírgula. |
| Hashes SHA256 | String | N/A | CONFIGURAÇÃO AVANÇADA para esta busca. Insira os hashes SHA256 separados por vírgula. |
| Diretório | String | N/A | O caminho do diretório inicial. Exemplo: C:\windows\system32 |
| Encontrar arquivo | String | N/A | Insira os nomes dos arquivos que você quer pesquisar. Insira uma expressão regular para restringir os resultados da pesquisa. |
Data de execução
Essa ação é executada nas seguintes entidades:
- Nome do host
- Endereço IP
Resultados da ação
Enriquecimento de entidade
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| meta_data | Retorna se ele existe no resultado JSON |
| file_path | Retorna se ele existe no resultado JSON |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[{
"meta_data":
{ "hashes":
{ "sha256": "4705ba6793dc93c1bbe2a9e790e9e22778d217531b1750471206fd5c52bbd2b5",
"md5": "6383522c180badc4e1d5c30a5c4f4913",
"sha1": "62a30e96459b694f7b22d730c460a65cd2ebaaca"
},
"file_name_timestamps":
{ "accessed": 1468675289.0711532,
"entry_modified": 0,
"modified": 1468675289.0711532,
"created": 1468675404.0330572
},
"file_attributes": 38,
"file_size": 174
},
"file_path": "C:\\\\Program Files\\\\desktop.ini"
},
{
"meta_data":
{ "hashes":
{ "sha256": "44fe5eebd80e46f903d68c07bcf06d187a3698bf3953bc58bb578465e2e0fe6c",
"md5": "6bd5fb46283aa48e638bef47510c47da",
"sha1": "c38d46ec6c9bc8baece4a459b617f44d10af973c"
},
"file_name_timestamps":
{
"accessed": 1468675289.0024028,
"entry_modified": 0,
"modified": 1468675289.0024028,
"created": 1468675404.0111823
},
"file_attributes": 38,
"file_size": 645
},
"file_path": "C:\\\\Program Files\\\\Common Files\\\\microsoft shared\\\\Stationery\\\\Desktop.ini"
}]
Caçar IP
Pesquisa conexões de rede.
Parâmetros
| Parâmetro | Tipo | Valor padrão | Descrição |
|---|---|---|---|
| Endpoints do Core OS | String | janelas | Selecione um sistema operacional (por exemplo, Windows, Linux ou Mac) para filtrar a lista de endpoints. Observação: só é possível criar uma investigação para endpoints que executam o mesmo sistema operacional. |
| Endereço IP remoto | String | N/A | endereço IP remoto, separado por vírgula |
| Endereço IP local | String | N/A | separados por vírgula |
| Estado | String | N/A | Insira o estado para retornar. Exemplo: ANY |
| Protocolo | String | N/A | Exemplo: ANY, UDP, TCP |
| Porta de rede | String | N/A | N/A |
| Controle remoto de rede | String | N/A | Rede remota ou local. |
Data de execução
Essa ação é executada nas seguintes entidades:
- Nome do host
- Endereço IP
Resultados da ação
Enriquecimento de entidade
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| parent_name | Retorna se ele existe no resultado JSON |
| domínio | Retorna se ele existe no resultado JSON |
| exe | Retorna se ele existe no resultado JSON |
| nome | Retorna se ele existe no resultado JSON |
| has_unbacked_execute_memory | Retorna se ele existe no resultado JSON |
| pid | Retorna se ele existe no resultado JSON |
| up_time | Retorna se ele existe no resultado JSON |
| is_sensor | Retorna se ele existe no resultado JSON |
| cmdline | Retorna se ele existe no resultado JSON |
| parent_exe | Retorna se ele existe no resultado JSON |
| unbacked_execute_byte_count | Retorna se ele existe no resultado JSON |
| create_time | Retorna se ele existe no resultado JSON |
| usuário | Retorna se ele existe no resultado JSON |
| sid | Retorna se ele existe no resultado JSON |
| threads | Retorna se ele existe no resultado JSON |
| ppid | Retorna se ele existe no resultado JSON |
| unbacked_execute_region_count | Retorna se ele existe no resultado JSON |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[{
"parent_name": "System Idle Process",
"domain": "NT AUTHORITY",
"exe": "",
"name": "System",
"has_unbacked_execute_memory": false,
"pid": 4,
"up_time": 2384701,
"is_sensor": false,
"cmdline": "",
"parent_exe": "",
"unbacked_execute_byte_count": 0,
"create_time": 1559179903,
"user": "SYSTEM",
"sid": "S-1-5-18",
"threads":
[{
"thread_id": 8
}, {
"thread_id": 12,
"up_time": 13206038203,
"create_time": -11644473599
}, {
"thread_id": 16,
"up_time": 13206038203,
"create_time": -11644473599
}],
"ppid": 0,
"unbacked_execute_region_count": 0
}]
Processo de caça
Pesquisa processos em execução.
Parâmetros
| Parâmetro | Tipo | Valor padrão | Descrição |
|---|---|---|---|
| Endpoints do Core OS | String | janelas | Selecione um sistema operacional (por exemplo, Windows, Linux ou Mac) para filtrar a lista de endpoints. Observação: só é possível criar uma investigação para endpoints que executam o mesmo sistema operacional. |
| Hashes MD5 | String | N/A | CONFIGURAÇÃO AVANÇADA para esta busca. Insira os hashes MD5 separados por vírgula. |
| Hashes SHA1 | String | N/A | CONFIGURAÇÃO AVANÇADA para esta busca. Insira os hashes SHA-1 separados por vírgula. |
| Hashes SHA256 | String | N/A | CONFIGURAÇÃO AVANÇADA para esta busca. Insira os hashes SHA256 separados por vírgula. |
| Nome do processo | String | N/A | CONFIGURAÇÃO AVANÇADA para esta busca. Insira o nome do processo, por exemplo, iss.exe* |
Data de execução
Essa ação é executada nas seguintes entidades:
- Nome do host
- Endereço IP
Resultados da ação
Enriquecimento de entidade
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| parent_name | Retorna se ele existe no resultado JSON |
| domínio | Retorna se ele existe no resultado JSON |
| exe | Retorna se ele existe no resultado JSON |
| nome | Retorna se ele existe no resultado JSON |
| has_unbacked_execute_memory | Retorna se ele existe no resultado JSON |
| pid | Retorna se ele existe no resultado JSON |
| up_time | Retorna se ele existe no resultado JSON |
| is_sensor | Retorna se ele existe no resultado JSON |
| cmdline | Retorna se ele existe no resultado JSON |
| parent_exe | Retorna se ele existe no resultado JSON |
| unbacked_execute_byte_count | Retorna se ele existe no resultado JSON |
| create_time | Retorna se ele existe no resultado JSON |
| usuário | Retorna se ele existe no resultado JSON |
| sid | Retorna se ele existe no resultado JSON |
| threads | Retorna se ele existe no resultado JSON |
| ppid | Retorna se ele existe no resultado JSON |
| unbacked_execute_region_count | Retorna se ele existe no resultado JSON |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[{
"parent_name": "System Idle Process",
"domain": "NT AUTHORITY",
"exe": "",
"name": "System",
"has_unbacked_execute_memory": false,
"pid": 4,
"up_time": 2384701,
"is_sensor": false,
"cmdline": "",
"parent_exe": "",
"unbacked_execute_byte_count": 0,
"create_time": 1559179903,
"user": "SYSTEM",
"sid": "S-1-5-18",
"threads":
[{
"thread_id": 8
},{
"thread_id": 12,
"up_time": 13206038203,
"create_time": -11644473599
},{
"thread_id": 16,
"up_time": 13206038203,
"create_time": -11644473599
}],
"ppid": 0,
"unbacked_execute_region_count": 0
}]
Registro de caça
Pesquisa uma chave ou um nome de valor do registro.
Parâmetros
| Parâmetro | Tipo | Valor padrão | Descrição |
|---|---|---|---|
| Hive | String | TODOS | Uma das seguintes opções: HKEY_CLASSES_ROOT, HKEY_CURRENT_CONFIG, HKEY_USERS, HKEY_LOCAL_MACHINE, ALL. |
| Chaves | String | N/A | Chave de registro ou nome do valor. |
| Tamanho mínimo | String | N/A | Tamanho mínimo em bytes. |
| Tamanho máximo | String | N/A | Tamanho máximo em bytes. |
| Endpoints do Core OS | String | janelas | Selecione um sistema operacional (por exemplo, Windows, Linux ou Mac) para filtrar a lista de endpoints. Observação: só é possível criar uma investigação para endpoints que executam o mesmo sistema operacional. |
Data de execução
Essa ação é executada nas seguintes entidades:
- Nome do host
- Endereço IP
Resultados da ação
Enriquecimento de entidade
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| parent_name | Retorna se ele existe no resultado JSON |
| domínio | Retorna se ele existe no resultado JSON |
| exe | Retorna se ele existe no resultado JSON |
| nome | Retorna se ele existe no resultado JSON |
| up_time | Retorna se ele existe no resultado JSON |
| is_sensor | Retorna se ele existe no resultado JSON |
| cmdline | Retorna se ele existe no resultado JSON |
| parent_exe | Retorna se ele existe no resultado JSON |
| unbacked_execute_byte_count | Retorna se ele existe no resultado JSON |
| create_time | Retorna se ele existe no resultado JSON |
| usuário | Retorna se ele existe no resultado JSON |
| sid | Retorna se ele existe no resultado JSON |
| threads | Retorna se ele existe no resultado JSON |
| ppid | Retorna se ele existe no resultado JSON |
| unbacked_execute_region_count | Retorna se ele existe no resultado JSON |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[{
"parent_name": "System Idle Process",
"domain": "NT AUTHORITY",
"exe": "",
"name": "System",
"has_unbacked_execute_memory": false,
"pid": 4,
"up_time": 2384701,
"is_sensor": false,
"cmdline": "",
"parent_exe": "",
"unbacked_execute_byte_count": 0,
"create_time": 1559179903,
"user": "SYSTEM",
"sid": "S-1-5-18",
"threads":
[{
"thread_id": 8
},{
"thread_id": 12,
"up_time": 13206038203,
"create_time": -11644473599
}, {
"thread_id": 16,
"up_time": 13206038203,
"create_time": -11644473599
}],
"ppid": 0,
"unbacked_execute_region_count": 0
}]
Usuário do Hunt
Pesquisa usuários conectados na rede.
Parâmetros
| Parâmetro | Tipo | Valor padrão | Descrição |
|---|---|---|---|
| Endpoints do Core OS | String | janelas | Selecione um sistema operacional (por exemplo, Windows, Linux ou Mac) para filtrar a lista de endpoints. Observação: só é possível criar uma investigação para endpoints que executam o mesmo sistema operacional. |
| Encontrar nome de usuário | String | N/A | CONFIGURAÇÃO AVANÇADA para esta busca. Insira os nomes de usuário, separando várias entradas com ponto e vírgula. |
| Nome de domínio | String | N/A | CONFIGURAÇÃO AVANÇADA para esta busca. Insira o nome de domínio. |
Data de execução
Essa ação é executada nas seguintes entidades:
- Nome do host
- Endereço IP
Resultados da ação
Enriquecimento de entidade
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| parent_name | Retorna se ele existe no resultado JSON |
| domínio | Retorna se ele existe no resultado JSON |
| exe | Retorna se ele existe no resultado JSON |
| nome | Retorna se ele existe no resultado JSON |
| has_unbacked_execute_memory | Retorna se ele existe no resultado JSON |
| pid | Retorna se ele existe no resultado JSON |
| up_time | Retorna se ele existe no resultado JSON |
| is_sensor | Retorna se ele existe no resultado JSON |
| cmdline | Retorna se ele existe no resultado JSON |
| parent_exe | Retorna se ele existe no resultado JSON |
| unbacked_execute_byte_count | Retorna se ele existe no resultado JSON |
| create_time | Retorna se ele existe no resultado JSON |
| usuário | Retorna se ele existe no resultado JSON |
| sid | Retorna se ele existe no resultado JSON |
| threads | Retorna se ele existe no resultado JSON |
| ppid | Retorna se ele existe no resultado JSON |
| unbacked_execute_region_count | Retorna se ele existe no resultado JSON |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[{
"parent_name": "System Idle Process",
"domain": "NT AUTHORITY",
"exe": "",
"name": "System",
"has_unbacked_execute_memory": false,
"pid": 4,
"up_time": 2384701,
"is_sensor": false,
"Cmdline":"",
"parent_exe": "",
"unbacked_execute_byte_count": 0,
"create_time": 1559179903,
"user": "SYSTEM",
"sid": "S-1-5-18",
"threads":
[{
"thread_id": 8
}, {
"thread_id": 12,
"up_time": 13206038203,
"create_time": -11644473599
}, {
"thread_id": 16,
"up_time": 13206038203,
"create_time": -11644473599
}],
"ppid": 0,
"unbacked_execute_region_count": 0
}]
Encerrar processo
Encerra um processo em um endpoint específico do Endgame.
Parâmetros
| Parâmetro | Tipo | Valor padrão | Descrição |
|---|---|---|---|
| Nome do processo | String | N/A | Insira o nome do processo |
| PID | String | N/A | Insira o ID do processo. |
Data de execução
Essa ação é executada nas seguintes entidades:
- Nome do host
- Endereço IP
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Pesquisa de rede
Receba informações sobre conexões, cache de DNS, NetBIOS, ARP e tabelas de rotas de um endpoint específico do Endgame.
Parâmetros
| Parâmetro | Tipo | Valor padrão | Descrição |
|---|---|---|---|
| Número máximo de itens a serem retornados | String | 50 | Especifique quantas execuções automáticas serão retornadas. |
| Incluir informações de entradas de rotas | Caixa de seleção | Selecionado | Especifique para receber informações sobre as entradas de rota. |
| Incluir informações do Net Bios | Caixa de seleção | Selecionado | Especifique para receber informações sobre o Net Bios. |
| Incluir informações do cache de DNS | Caixa de seleção | Selecionado | Especifique para receber informações sobre o cache de DNS. |
| Incluir informações da tabela ARP | Caixa de seleção | Selecionado | Especifique para receber informações sobre a tabela ARP. |
Data de execução
Essa ação é executada nas seguintes entidades:
- Nome do host
- Endereço IP
Resultados da ação
Enriquecimento de entidade
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| conexões | Retorna se ele existe no resultado JSON |
| netbios_info | Retorna se ele existe no resultado JSON |
| arp_table | Retorna se ele existe no resultado JSON |
| route_table | Retorna se ele existe no resultado JSON |
| dns_cache | Retorna se ele existe no resultado JSON |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[{
"EntityResult":
{
"connections":
[{
"connection_type": "SOCK_STREAM",
"collection_id": "50e74bd2-1cd4-412c-a7fc-24cf1456e883",
"exe": "C:\\\\Windows\\\\System32\\\\test.exe",
"connection_status": "LISTEN",
"name": "test.exe",
"family": "ipv4",
"local_port": 111,
"remote_port": 0,
"pid": 700,
"remote_address": "0.0.0.0",
"create_time": 1583314664,
"connection_timestamp": 1583314664.0117714,
"local_address": "0.0.0.0",
"protocol": "tcp",
"hashes":
{
"sha256": "5d00bbeb147e0c838a622fc42c543b2913d57eaca4e69d9a37ed61e98c819347", "md5": "8497852ed44aff902d502015792d315d",
"sha1": "800a4c2e524fc392c45748eae1691fa01d24ea4c"
},
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
}],
"netbios_info":
[{
"comment": "",
"name": "PC-01",
"version_major": 10,
"netbios_neighbor_type": 8392747,
"platform": "WINDOWS NT",
"version_minor": 0
}],
"arp_table":
[{
"connection_type": "SOCK_STREAM",
"collection_id": "50e74bd2-1cd4-412c-a7fc-24cf1456e883",
"exe": "C:\\\\Windows\\\\System32\\\\test.exe",
"connection_status": "LISTEN",
"name": "test.exe",
"family": "ipv4",
"local_port": 111,
"remote_port": 0,
"pid": 700,
"remote_address": "0.0.0.0",
"create_time": 1583314664,
"connection_timestamp": 1583314664.0117714,
"local_address": "0.0.0.0",
"protocol": "tcp",
"hashes": {"sha256": "5d00bbeb147e0c838a622fc42c543b2913d57eaca4e69d9a37ed61e98c819347", "md5": "8497852ed44aff902d502015792d315d",
"sha1": "800a4c2e524fc392c45748eae1691fa01d24ea4c"},
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
}],
"route_table":
[{
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"family": "ipv4",
"destination": "0.0.0.0",
"netmask": "0.0.0.0",
"collection_id": "50e74bd2-1cd4-412c-a7fc-24cf1456e883",
"interface_name": "Ethernet0",
"gateway": "1.1.1.1"
}],
"dns_cache":
[{
"name": "test.ms",
"dns_record_type": "A",
"ttl": 0,
"collection_id": "50e74bd2-1cd4-412c-a7fc-24cf1456e883",
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"query_error": 9701
}]
},
"Entity": "PC-01"
}]
Ping
Teste a conectividade com o servidor do Endgame.
Parâmetros
N/A
Data de execução
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Pesquisa de processo
Receba informações sobre processos em execução em um endpoint específico do Endgame.
Parâmetros
| Parâmetro | Tipo | Valor padrão | Descrição |
|---|---|---|---|
| Número máximo de itens a serem retornados | String | 50 | Especifique quantos itens serão retornados. |
| Detectar ataques sem arquivo (somente no Windows) | Caixa de seleção | Desmarcado | Especifique para detectar ataques sem arquivo. Somente no Windows. |
| Detectar malware com o MalwareScore (somente para Windows) | Caixa de seleção | Desmarcado | Especifica a detecção de processos de malware com o MalwareScore. Somente no Windows. |
| Coletar linhas de execução de processos | Caixa de seleção | Desmarcado | Especifique para incluir informações sobre a quantidade de linhas de execução do processo na resposta. |
| Retornar apenas processos suspeitos | Caixa de seleção | Selecionado | Especifique para retornar apenas processos suspeitos do endpoint. De acordo com a definição do Endgame, processos suspeitos são executáveis sem suporte. |
Data de execução
Essa ação é executada nas seguintes entidades:
- Nome do host
- Endereço IP
Resultados da ação
Enriquecimento de entidade
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| domínio | Retorna se ele existe no resultado JSON |
| name_suspicious | Retorna se ele existe no resultado JSON |
| pid | Retorna se ele existe no resultado JSON |
| name_uncommon_path | Retorna se ele existe no resultado JSON |
| repeat_offender | Retorna se ele existe no resultado JSON |
| cmdline | Retorna se ele existe no resultado JSON |
| create_time | Retorna se ele existe no resultado JSON |
| parent_name | Retorna se ele existe no resultado JSON |
| has_unbacked_execute_memory | Retorna se ele existe no resultado JSON |
| sid | Retorna se ele existe no resultado JSON |
| ppid | Retorna se ele existe no resultado JSON |
| up_time | Retorna se ele existe no resultado JSON |
| unbacked_execute_region_count | Retorna se ele existe no resultado JSON |
| is_sensor | Retorna se ele existe no resultado JSON |
| threads | Retorna se ele existe no resultado JSON |
| usuário | Retorna se ele existe no resultado JSON |
| collection_id | Retorna se ele existe no resultado JSON |
| parent_exe | Retorna se ele existe no resultado JSON |
| exe | Retorna se ele existe no resultado JSON |
| nome | Retorna se ele existe no resultado JSON |
| unbacked_execute_byte_count | Retorna se ele existe no resultado JSON |
| machine_id | Retorna se ele existe no resultado JSON |
| unbacked_execute_region_count | Retorna se ele existe no resultado JSON |
| tty_device_minor_number | Retorna se ele existe no resultado JSON |
| uid | Retorna se ele existe no resultado JSON |
| name_suspicious | Retorna se ele existe no resultado JSON |
| phys_memory_bytes | Retorna se ele existe no resultado JSON |
| pid | Retorna se ele existe no resultado JSON |
| env_variables | Retorna se ele existe no resultado JSON |
| repeat_offender | Retorna se ele existe no resultado JSON |
| cmdline | Retorna se ele existe no resultado JSON |
| create_time | Retorna se ele existe no resultado JSON |
| tty_device_major_number | Retorna se ele existe no resultado JSON |
| parent_name | Retorna se ele existe no resultado JSON |
| grupo | Retorna se ele existe no resultado JSON |
| cpu_percent | Retorna se ele existe no resultado JSON |
| has_unbacked_execute_memory | Retorna se ele existe no resultado JSON |
| gid | Retorna se ele existe no resultado JSON |
| sha256 | Retorna se ele existe no resultado JSON |
| cwd | Retorna se ele existe no resultado JSON |
| exe | Retorna se ele existe no resultado JSON |
| up_time | Retorna se ele existe no resultado JSON |
| short_name | Retorna se ele existe no resultado JSON |
| tty_device_name | Retorna se ele existe no resultado JSON |
| is_sensor | Retorna se ele existe no resultado JSON |
| sha1 | Retorna se ele existe no resultado JSON |
| threads | Retorna se ele existe no resultado JSON |
| name_uncommon_path | Retorna se ele existe no resultado JSON |
| collection_id | Retorna se ele existe no resultado JSON |
| md5 | Retorna se ele existe no resultado JSON |
| argv_list | Retorna se ele existe no resultado JSON |
| num_threads | Retorna se ele existe no resultado JSON |
| usuário | Retorna se ele existe no resultado JSON |
| virt_memory_bytes | Retorna se ele existe no resultado JSON |
| nome | Retorna se ele existe no resultado JSON |
| session_id | Retorna se ele existe no resultado JSON |
| memory_percent | Retorna se ele existe no resultado JSON |
| machine_id | Retorna se ele existe no resultado JSON |
| unbacked_execute_byte_count | Retorna se ele existe no resultado JSON |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[{
"EntityResult":
[{
"domain": "NT AUTHORITY",
"name_suspicious": false,
"pid": 4,
"name_uncommon_path": false,
"repeat_offender": false,
"cmdline": "",
"create_time": 1583314654,
"parent_name": "System Idle Process",
"has_unbacked_execute_memory": false,
"sid": "S-1-5-18",
"ppid": 0,
"up_time": 342643,
"unbacked_execute_region_count": 0,
"is_sensor": false,
"threads":
[{ "thread_id": 12,
"up_time": 13228130896,
"create_time": -11644473599
},
{
"thread_id": 16,
"up_time": 13228130896,
"create_time": -11644473599
}],
"user": "SYSTEM",
"collection_id": "ac1fb296-db5a-4426-b32e-292e4a50188d",
"parent_exe": "",
"exe": "",
"name": "System",
"unbacked_execute_byte_count": 0,
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
}],
"Entity": "PC-01"
},
{
"EntityResult":
[{
"unbacked_execute_region_count": 0,
"tty_device_minor_number": 0,
"uid": 0,
"name_suspicious": false,
"phys_memory_bytes": 8900608,
"pid": 1,
"env_variables":
[ "HOME=/",
"init=/sbin/init",
"NETWORK_SKIP_ENSLAVED=",
"recovery=",
"TERM=linux",
"drop_caps=",
"BOOT_IMAGE=/vmlinuz-4.15.0-88-generic",
"PATH=/sbin:/usr/sbin:/bin:/usr/bin",
"PWD=/", "rootmnt=/root" ],
"repeat_offender": false,
"cmdline": "/sbin/init maybe-ubiquity",
"create_time": 1583632302,
"tty_device_major_number": 0,
"parent_name": "",
"group": "root",
"cpu_percent": 0,
"has_unbacked_execute_memory": false,
"gid": 0,
"sha256": "3a14ff4b18505543eda4dccb054aa5860478a95ed0cac76da392f3472da3ad67",
"cwd": "/",
"exe": "/lib/systemd/systemd",
"up_time": 24942,
"short_name": "systemd",
"tty_device_name": "",
"is_sensor": false,
"sha1": "e016f80b87101a74b52d15ce2726560a6e128b60",
"threads": [{"thread_id": 1}],
"name_uncommon_path": false,
"collection_id": "bcb6b33a-0ffb-4e72-818a-1731024dfd79",
"md5": "ca563cf817f03ed7d01a6462818a5791",
"argv_list": ["/sbin/init", "maybe-ubiquity"],
"num_threads": 1,
"ppid": 0,
"virt_memory_bytes": 79818752,
"name": "systemd",
"session_id": 1,
"memory_percent": 0.21517109870910645,
"parent_exe": "",
"unbacked_execute_byte_count": 0,
"machine_id": "5ae8ddd9-9339-ae4b-ccf7-5ed68f38b3a9",
"user": "root"
}],
"Entity": "PC-202"
}]
Pesquisa sobre mídia removível (somente Windows)
DReceba informações sobre mídia removível de um endpoint específico do Endgame.
Parâmetros
| Parâmetro | Tipo | Valor padrão | Descrição |
|---|---|---|---|
| Número máximo de itens a serem retornados | String | 50 | Especifique quantos itens serão retornados. |
Data de execução
Essa ação é executada nas seguintes entidades:
- Nome do host
- Endereço IP
Resultados da ação
Enriquecimento de entidade
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| nome | Retorna se ele existe no resultado JSON |
| is_storage_device | Retorna se ele existe no resultado JSON |
| vendor_id | Retorna se ele existe no resultado JSON |
| collection_id | Retorna se ele existe no resultado JSON |
| last_connect_time | Retorna se ele existe no resultado JSON |
| serial_number | Retorna se ele existe no resultado JSON |
| machine_id | Retorna se ele existe no resultado JSON |
| is_connected | Retorna se ele existe no resultado JSON |
| product_id | Retorna se ele existe no resultado JSON |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[{
"EntityResult":
[{ "name": "USB Composite Device",
"is_storage_device": false,
"vendor_id": "0E0F",
"collection_id": "fbe61b16-e6b2-4595-8409-abf4ce15fa85",
"last_connect_time": 1552596043.0610971,
"serial_number": "6&35D1F50B&0&1",
"machine_id": "a4c05d5a-7ebc-c3ab-1beb-f1fe517768d8",
"is_connected": false,
"product_id": "0003"
}],
"Entity": "PC-01"
}]
Pesquisa sobre software (somente para Windows)
Receba informações sobre um software instalado em um endpoint específico do Endgame.
Parâmetros
| Parâmetro | Tipo | Valor padrão | Descrição |
|---|---|---|---|
| Número máximo de itens a serem retornados | String | 50 | Especifique quantos itens serão retornados. |
Data de execução
Essa ação é executada nas seguintes entidades:
- Nome do host
- Endereço IP
Resultados da ação
Enriquecimento de entidade
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| editor | Retorna se ele existe no resultado JSON |
| machine_id | Retorna se ele existe no resultado JSON |
| pacote | Retorna se ele existe no resultado JSON |
| install_date | Retorna se ele existe no resultado JSON |
| version | Retorna se ele existe no resultado JSON |
| collection_id | Retorna se ele existe no resultado JSON |
| installed_for | Retorna se ele existe no resultado JSON |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[{
"EntityResult":
[{
"publisher": "John Doe",
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"package": "Test",
"install_date": "20191008",
"version": "18.06",
"collection_id": "fc079e17-8a2e-40d9-94c9-b974e5534e58",
"installed_for": "allUsers"
}],
"Entity": "PC-01"
}]
Pesquisa do sistema
Receba informações do sistema em um único endpoint de endgame, como uso de memória, DNS e SO.
Parâmetros
| Parâmetro | Tipo | Valor padrão | Descrição |
|---|---|---|---|
| Número máximo de itens a serem retornados | String | 50 | Especifique quantos itens serão retornados. |
| Incluir informações sobre o produto de segurança (somente Windows) | Caixa de seleção | Selecionado | Especifica para receber informações sobre os produtos de segurança instalados no endpoint (somente Windows). |
| Incluir informações de patch (somente Windows) | Caixa de seleção | Selecionado | Especifique para receber informações sobre patches (somente Windows). |
| Incluir informações do disco | Caixa de seleção | Selecionado | Especifique para receber informações sobre discos. |
| Incluir informações da interface de rede | Caixa de seleção | Selecionado | Especifique para receber informações sobre interfaces de rede. |
Data de execução
Essa ação é executada nas seguintes entidades:
- Nome do host
- Endereço IP
Resultados da ação
Enriquecimento de entidade
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| patches_info | Retorna se ele existe no resultado JSON |
| Disks_info | Retorna se ele existe no resultado JSON |
| network_interfaces | Retorna se ele existe no resultado JSON |
| Os_info | Retorna se ele existe no resultado JSON |
| installed_security_products | Retorna se ele existe no resultado JSON |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[{
"EntityResult":
{
"patches_info":
[{
"collection_id": "f7d a62bb-318d-40c1-a490-85979c0c9ede",
"installed_on": "2/3/2018",
"hotfix_id": "KB4049065",
"machine_id": "870499c3-d6bf-8edd-972d-f2f6621dd971"
}],
"Disks_info":
[{
"disk_id": "\\\\Device\\\\HarddiskVolume2",
"fstype": "NTFS",
"disk_total": 15579738112,
"disk_free": 1219571712,
"collection_id": "a27ebace-32ec-4257-ab4f-7da49f02a9d4",
"device": "\\\\Device\\\\HarddiskVolume2",
"path": "C:\\\\",
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
}],
"network_interfaces":
[{
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"mac_address": "01:23:45:ab:cd:ef",
"ipv4_addresses": ["1.1.1.1"],
"ipv6_addresses": ["1111::1111:1111:1111:1111"],
"collection_id": "a27ebace-32ec-4257-ab4f-7da49f02a9d4",
"smp_interface": true,
"interface_name": "Ethernet0"
}],
"Os_info":
[{
"memory":
{ "ram_free": 1240039424,
"page_percent_used": 36.89334358507761,
"page_total": 2818101248,
"ram_percent_used": 42.24349594504104,
"ram_total": 2147012608,
"ram_used": 906973184,
"page_used": 1039691776,
"page_free": 1778409472
},
"doc_type": "collection",
"domain": "PC-01.test.com",
"endpoint":
{ "status": "unmonitored",
"ad_distinguished_name":
"CN=PC_01,OU=TESTOU,OU=Organization,DC=test,DC=com",
"ad_hostname": "test.com",
"operating_system": "Windows 10.0 ",
"name": "PC-01",
"display_operating_system": "Windows 10 (v1511)",
"hostname": "PC-01",
"updated_at": "2020-03-08T08:27:22.919880+00:00",
"mac_address": "01:23:45:ab:cd:ef",
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"ip_address": "1.1.1.1",
"id": "b23c8a14-69e0-4966-b78a-c9fba4fdd934"
},
"investigation_id": "85cff906-8b39-4a37-aa05-84950c9b2a02",
"hostname": "PC-01",
"bulk_task_id": null,
"original_machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"os_version":
{
"os_minor": 0,
"os_is_server": false,
"os_major": 10,
"os_build_number": 10586,
"os_service_pack": ""
},
"correlation_id": "7e17de5a-abcb-4de0-a510-7ca79bfdc345",
"architecture": "x64",
"sensor_info":
{
"malware_feature_version": "3.0.0",
"sensor_build_time": "1581375786",
"sensor_commit_sha": "80af56b6b295de785e502d82f39deac34973b2dd",
"sensor_build_number": 48,
"sensor_version": "3.53.9"
},
"time":
{
"tz_observes_dst": true,
"tz_currently_in_dst": false,
"tz_name": "Pacific Standard Time",
"tz_offset_minutes": 480
},
"os_type": "windows",
"ad_info":
{
"distinguished_name": "CN=PC-01,OU=TESTOU,OU=Organization,DC=test,DC=com",
"domain_hostname": "test.com"
},
"origination_task_id": "d3d67012-cfb1-47d0-8ec9-bf7ffb68a019"
}],
"installed_security_products":
[{
"security_product_type": "AntiVirus",
"collection_id": "a27ebace-32ec-4257-ab4f-7da49f02a9d4",
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"enabled": false, "name": "Windows Defender"
}]
},
"Entity": "PC-01"
}]
Pesquisa sobre sessões de usuário
Recebe informações sobre sessões de usuários ativos em um endpoint específico do Endgame.
Parâmetros
| Parâmetro | Tipo | Valor padrão | Descrição |
|---|---|---|---|
| Número máximo de itens a serem retornados | String | 50 | Especifique quantos itens serão retornados. |
Data de execução
- Nome do host
- Endereço IP
Resultados da ação
Enriquecimento de entidade
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| nome de usuário | Retorna se ele existe no resultado JSON |
| shell | Retorna se ele existe no resultado JSON |
| uid | Retorna se ele existe no resultado JSON |
| iniciada | Retorna se ele existe no resultado JSON |
| nome do host | Retorna se ele existe no resultado JSON |
| host_ip | Retorna se ele existe no resultado JSON |
| session_id | Retorna se ele existe no resultado JSON |
| session_count | Retorna se ele existe no resultado JSON |
| terminal | Retorna se ele existe no resultado JSON |
| encerrado | Retorna se ele existe no resultado JSON |
| gid | Retorna se ele existe no resultado JSON |
| collection_id | Retorna se ele existe no resultado JSON |
| machine_id | Retorna se ele existe no resultado JSON |
| iniciada | Retorna se ele existe no resultado JSON |
| password_last_set | Retorna se ele existe no resultado JSON |
| logon_type | Retorna se ele existe no resultado JSON |
| sid | Retorna se ele existe no resultado JSON |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[{
"EntityResult":
[{
"username": "endgame",
"shell": "/opt/endgame/bin/console",
"uid": 1000,
"started": 1582554802.55514,
"hostname": "",
"host_ip": "",
"session_id": 887,
"session_count": 1,
"terminal": "tty1",
"ended": 0,
"gid": 1000,
"collection_id": "1aebade8-9f7b-4237-8c43-2aed8729511e",
"machine_id": "827255f4-53a2-1823-cac0-7c0f7730ca26"
}],
"Entity": "PC-01"
}, {
"EntityResult":
[{
"username": "example",
"domain": "3B",
"started": 1580205134.001,
"session_count": 1,
"ended": 0,
"password_last_set": 0,
"logon_type": "interactive",
"sid": "",
"collection_id": "88b876b1-5063-40a8-b40e-440df5eb8952",
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
}],
"Entity": "PC-02"
}
Conectores
Para instruções detalhadas sobre como configurar um conector no Google SecOps, consulte Configurar o conector.
Conector do Endgame
Use os seguintes parâmetros para configurar o conector:
| Parâmetro | Tipo | Valor padrão | Descrição |
|---|---|---|---|
| DeviceProductField | String | device_product | O nome do campo usado para determinar o produto do dispositivo. |
| EventClassId | String | event_name | O nome do campo usado para determinar o nome do evento (subtipo). |
| PythonProcessTimeout | String | 30 | O limite de tempo (em segundos) para o processo Python que executa o script atual. |
| Raiz da API | String | N/A | N/A |
| Nome de usuário | String | N/A | N/A |
| Senha | Senha | N/A | N/A |
| Verificar SSL | Caixa de seleção | Desmarcado | N/A |
| Número máximo de dias para retroceder | String | N/A | N/A |
| Nome do campo de ambiente | String | N/A | Se definido, o conector extrai o ambiente do campo de evento especificado. É possível manipular os dados do campo usando o campo "Padrão de expressão regular" para extrair uma string específica. |
| Limite de contagem de alertas | String | N/A | N/A |
| Endereço do servidor proxy | String | N/A | O endereço do servidor proxy a ser usado. |
| Nome de usuário do proxy | String | N/A | O nome de usuário do proxy para autenticação. |
| Senha do proxy | Senha | N/A | A senha do proxy para autenticação. |
Regras do conector
O conector é compatível com proxy.
O conector é compatível com a lista dinâmica.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.