Endgame
集成版本:9.0
将 Endgame 与 Google Security Operations 集成
有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成。
操作
丰富实体
根据 Endgame 中的信息丰富 Google SecOps 主机和 IP 实体。
参数
不适用
使用场景
该操作可用于调查设备上活动的 playbook。如果设备安装了 Endgame 代理,则该操作会提取设备上的 Endgame 信息,以丰富 Google SecOps 实体。
运行于
此操作适用于以下实体:
- 主机
- IP 地址
操作结果
实体丰富化
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| Endgame_Domain | 始终 |
| Endgame_endpoint_id | 始终 |
| Endgame_hostname | 始终 |
| Endgame_sensors_status | 始终 |
| Endgame_sensors_id | 始终 |
| Endgame_sensors_status | 始终 |
| Endgame_sensors_id | 始终 |
| Endgame_policy_status | 始终 |
| Endgame_policy_name | 始终 |
| Endgame_policy_id | 始终 |
| Endgame_is_isolated | 始终 |
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"data": [
{
"domain": "InstallerInitiated",
"updated_at": "2019-11-01T05:42:08.149079+00:00",
"id": "1682418d-02ff-43cd-a730-bcae8215a514",
"display_operating_system": "CentOS 7.6",
"hostname": "example",
"mac_address": "01:23:45:ab:cd:ef",
"upgrade_status": "",
"base_image": false,
"isolation_updated_at": null,
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [
{
"id": "a0927aeb-915a-466d-a5eb-5d7b6f9217c5",
"name": "BLUE TEAM"
},
{
"id": "bede2f24-593c-45e4-9863-9c2438f0f163",
"name": "SOC"
},
{
"id": "fc2dfcc8-9329-4f33-86a2-877bfb27575e",
"name": "CORE ENV"
}
],
"isolation_request_status": null,
"alert_count": 0,
"investigation_count": 0,
"groups": [
{
"is_dynamic": false,
"count": 4,
"id": "c1af3cd6-2638-4144-842d-adc9cfb67fb9",
"name": "SOC"
}
],
"sensors": [
{
"status": "monitored",
"sensor_version": "3.52.12",
"policy_status": "successful",
"policy_name": "Lab (Detect-Only)",
"sensor_type": "hunt",
"id": "fbb87923-a833-5581-a160-7f4f85a21bd0",
"policy_id": "a1d72bce-1f61-4ba8-bcd4-dfa97148335f"
}
],
"ip_address": "192.0.2.1",
"is_isolated": false,
"operating_system": "Linux 3.10.0-957.27.2.el7.x86_64",
"name": "example",
"status_changed_at": "2020-01-07T08:15:11.865854+00:00",
"core_os": "linux",
"created_at": "2019-03-19T05:07:50.598837+00:00",
"error": null,
"machine_id": "827255f4-53a2-1823-cac0-7c0f7730ca26"
},
{
"domain": "InstallerInitiated",
"updated_at": "2019-11-01T05:42:09.150756+00:00",
"id": "12c3530d-657f-4ccd-835e-6df9affeed3d",
"display_operating_system": "Ubuntu 18.04.3",
"hostname": "example",
"mac_address": "01:23:45:ab:cd:ef",
"upgrade_status": "",
"base_image": false,
"isolation_updated_at": null,
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [],
"isolation_request_status": null,
"alert_count": 0,
"investigation_count": 0,
"groups": [
{
"is_dynamic": false,
"count": 4,
"id": "c1af3cd6-2638-4144-842d-adc9cfb67fb9",
"name": "SOC"
}
],
"sensors": [
{
"status": "monitored",
"sensor_version": "3.52.12",
"policy_status": "successful",
"policy_name": "Lab (Detect-Only)",
"sensor_type": "hunt",
"id": "dc2e35cc-0c87-5a60-8fc8-de23ef747d02",
"policy_id": "a1d72bce-1f61-4ba8-bcd4-dfa97148335f"
}
],
"ip_address": "192.0.2.1",
"is_isolated": false,
"operating_system": "Linux 4.15.0-72-generic",
"name": "example",
"status_changed_at": "2020-01-07T08:15:16.875375+00:00",
"core_os": "linux",
"created_at": "2019-09-20T21:34:51.966863+00:00",
"error": null,
"machine_id": "5ae8ddd9-9339-ae4b-ccf7-5ed68f38b3a9"
}
],
"metadata": {
"count": 38,
"previous_url": null,
"timestamp": "2020-01-07T18:09:43.765744",
"next": null,
"per_page": 50,
"next_url": null,
"transaction_id": "569cdc38-8c7a-4b93-af99-aaf907dc8dd6",
"previous": null
}
}
列出调查
列出 Endgame 调查。
参数
| 参数 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| 操作系统 | 字符串 | Solaris、Windows、MacOs、Linux | 指定要列出哪些操作系统的调查。参数可以采用以英文逗号分隔的字符串形式的多个值。 |
| 提取过去 X 小时的调查 | 整数 | 不适用 | 返回在指定时间范围内(以小时为单位)创建的调查。 |
| 返回的调查数量上限 | 整数 | 不适用 | 指定要查询的调查数量。 |
使用场景
调查用于搜寻端点的不同对象,例如进程、IP 地址和文件。此操作允许用户列出调查。分析师可以使用此操作来确保系统正在执行所有必需的调查。
运行于
此操作会在所有实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"data": [
{
"created_by_chat": false,
"name": "Example User + 2020-01-08T13:47:51.334336_utc",
"core_os": "windows",
"created_at": "2020-01-08T13:47:51.340497+00:00",
"task_completion": {
"completed_tasks": 1,
"total_tasks": 1
},
"archived": false,
"created_by": {
"username": "admin",
"last_name": "User",
"is_active": true,
"is_editable": true,
"is_ldap": false,
"is_removable": false,
"timezone": null,
"id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"first_name": "Example",
"last_viewed_alert": "2020-01-07T09:24:22.925000",
"is_sso": false,
"is_superuser": true,
"role": {
"role": "Admin",
"id": "37e9e54e-0bb8-5058-9bd4-50a0d0fbea35",
"permissions": {
"endpoints.scan": true,
"sensor.admin.view": true,
"sensor.admin.update": true,
"endpoints.delete": true,
"endpoints.respond": true,
"search.search": true,
"sensor.admin.create": true,
"alerts.admin.forwardalerts": true,
"endpoints.tag": true,
"user.delete": true,
"endpoints.deploy": true,
"user.update": true,
"search.save": true,
"investigation.create": true,
"endpoints.view": true,
"user.view": true,
"sensor.admin.download": true,
"alerts.view": true,
"alerts.update": true,
"search.delete": true,
"sensor.admin.delete": true,
"endpoints.uninstall": true,
"investigation.view": true,
"admin": true,
"investigation.update": true,
"endpoints.changeconfiguration": true,
"user.create": true
}
},
"type": "Local",
"email": null
},
"updated_at": "2020-01-08T13:47:51.379966+00:00",
"created_by_user_display_name": "Example User",
"canceled_by_user_id": null,
"version": 2,
"endpoint_count": 1,
"assigned_to": {
"username": "admin",
"last_name": "User",
"is_active": true,
"is_editable": true,
"is_ldap": false,
"is_removable": false,
"timezone": null,
"id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"first_name": "Example",
"last_viewed_alert": "2020-01-07T09:24:22.925000",
"is_sso": false,
"is_superuser": true,
"role": {
"role": "Admin",
"id": "37e9e54e-0bb8-5058-9bd4-50a0d0fbea35",
"permissions": {
"endpoints.scan": true,
"sensor.admin.view": true,
"sensor.admin.update": true,
"endpoints.delete": true,
"endpoints.respond": true,
"search.search": true,
"sensor.admin.create": true,
"alerts.admin.forwardalerts": true,
"endpoints.tag": true,
"user.delete": true,
"endpoints.deploy": true,
"user.update": true,
"search.save": true,
"investigation.create": true,
"endpoints.view": true,
"user.view": true,
"sensor.admin.download": true,
"alerts.view": true,
"alerts.update": true,
"search.delete": true,
"sensor.admin.delete": true,
"endpoints.uninstall": true,
"investigation.view": true,
"admin": true,
"investigation.update": true,
"endpoints.changeconfiguration": true,
"user.create": true
}
},
"type": "Local",
"email": null
},
"id": "e0ad7613-daf6-435f-98f6-ce40eae01acc",
"canceled_by_user_display_name": null,
"user_display_name": "Example User",
"hunt_count": 1,
"is_canceled": false
}
],
"metadata": {
"count": 46,
"previous_url": null,
"timestamp": "2020-01-08T16:02:09.251511",
"next": 2,
"per_page": 1,
"next_url": "/api/v1/investigations/?per_page=1&page=2",
"previous": null
}
}
获取调查详情
获取有关特定 Endgame 调查的信息。
参数
| 参数 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| 调查 ID | 字符串 | 不适用 | 指定要搜索的 Endgame 调查 ID。 |
使用场景
调查用于搜寻端点的不同对象,例如进程、IP 地址和文件。此操作可让用户获取有关特定调查的更多信息。分析师可以使用此操作来确保系统上已执行所有必需的任务。
运行于
此操作会在所有实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"data": {
"tasks": [
"6500673c-d246-41a3-882d-d3a339f28497"
],
"user_display_name": "Example User",
"task_types": [
"Process Survey"
],
"task_completion": {
"completed_tasks": 1,
"total_tasks": 1
},
"updated_at": "2020-01-06T13:30:33.851816+00:00",
"created_by_user_display_name": "Example User",
"id": "54caeedc-d6b0-4ca0-8f64-8798d1c34d54",
"task_completions_by_type": {
"Process Survey": {
"completed_tasks": 1,
"task_type_id": "2fbf0c36-5160-5c31-99ec-0fa5880c6bd1",
"total_tasks": 1
}
},
"archived": false,
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"is_canceled": false,
"created_by": {
"username": "admin",
"last_name": "User",
"is_active": true,
"is_editable": true,
"is_ldap": false,
"is_removable": false,
"timezone": null,
"id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"first_name": "Example",
"last_viewed_alert": "2020-01-06T09:27:04.097000",
"is_sso": false,
"is_superuser": true,
"role": {
"role": "Admin",
"id": "37e9e54e-0bb8-5058-9bd4-50a0d0fbea35",
"permissions": {
"endpoints.scan": true,
"sensor.admin.view": true,
"sensor.admin.update": true,
"endpoints.delete": true,
"endpoints.respond": true,
"search.search": true,
"sensor.admin.create": true,
"alerts.admin.forwardalerts": true,
"endpoints.tag": true,
"user.delete": true,
"endpoints.deploy": true,
"user.update": true,
"search.save": true,
"investigation.create": true,
"endpoints.view": true,
"user.view": true,
"sensor.admin.download": true,
"alerts.view": true,
"alerts.update": true,
"search.delete": true,
"sensor.admin.delete": true,
"endpoints.uninstall": true,
"investigation.view": true,
"admin": true,
"investigation.update": true,
"endpoints.changeconfiguration": true,
"user.create": true
}
},
"type": "Local",
"email": null
},
"hunt_count": 1,
"canceled_by_user_id": null,
"version": 2,
"endpoint_count": 1,
"canceled_by_user_display_name": null,
"created_by_user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"created_by_chat": false,
"sensors": [
"8eef6873-6db7-58ab-a1ca-68dc19b54117"
],
"name": "Example User + 2020-01-06T13:30:33.808543_utc",
"core_os": "windows",
"created_at": "2020-01-06T13:30:33.813747+00:00",
"assigned_to": {
"username": "admin",
"last_name": "User",
"is_active": true,
"is_editable": true,
"is_ldap": false,
"is_removable": false,
"timezone": null,
"id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"first_name": "Example",
"last_viewed_alert": "2020-01-06T09:27:04.097000",
"is_sso": false,
"is_superuser": true,
"role": {
"role": "Admin",
"id": "37e9e54e-0bb8-5058-9bd4-50a0d0fbea35",
"permissions": {
"endpoints.scan": true,
"sensor.admin.view": true,
"sensor.admin.update": true,
"endpoints.delete": true,
"endpoints.respond": true,
"search.search": true,
"sensor.admin.create": true,
"alerts.admin.forwardalerts": true,
"endpoints.tag": true,
"user.delete": true,
"endpoints.deploy": true,
"user.update": true,
"search.save": true,
"investigation.create": true,
"endpoints.view": true,
"user.view": true,
"sensor.admin.download": true,
"alerts.view": true,
"alerts.update": true,
"search.delete": true,
"sensor.admin.delete": true,
"endpoints.uninstall": true,
"investigation.view": true,
"admin": true,
"investigation.update": true,
"endpoints.changeconfiguration": true,
"user.create": true
}
},
"type": "Local",
"email": null
},
"endpoints": [
"b23c8a14-69e0-4966-b78a-c9fba4fdd934"
]
},
"metadata": {
"timestamp": "2020-01-06T14:00:53.716517"
}
}
获取主机隔离配置
获取 Endgame 中定义的主机隔离配置。
参数
不适用
使用场景
此操作用于获取有关主机隔离配置的信息。此配置允许隔离的主机连接到其中列出的 IP 地址。分析师可以使用此操作来验证所有必需的 IP 地址是否都在主机隔离配置中。
运行于
此操作会在所有实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"data": [
{
"id": "47999eeb-f076-5aca-a7cc-56bf7ac2b647",
"comments": [
{
"comment": "Testing API",
"entity_id": "47999eeb-f076-5aca-a7cc-56bf7ac2b647",
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"entity_type": "whitelisted_ip",
"created_at": "2020-01-07T15:59:56Z",
"updated_at": "2020-01-07T15:59:56Z",
"id": 547,
"activity_type": "comment"
}
],
"addr": "192.0.2.1/30"
},
{
"id": "6ab5575c-718e-5e24-bd4d-77e0694ad6fc",
"comments": [
{
"comment": "Testing API",
"entity_id": "6ab5575c-718e-5e24-bd4d-77e0694ad6fc",
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"entity_type": "whitelisted_ip",
"created_at": "2020-01-07T15:58:29Z",
"updated_at": "2020-01-07T15:58:29Z",
"id": 545,
"activity_type": "comment"
}
],
"addr": "192.0.2.11/32"
},
{
"id": "72bdf5d2-4cc6-5ccf-9787-a539fae9c517",
"comments": [
{
"comment": "CIDR Test",
"entity_id": "72bdf5d2-4cc6-5ccf-9787-a539fae9c517",
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"entity_type": "whitelisted_ip",
"created_at": "2020-01-07T15:58:04Z",
"updated_at": "2020-01-07T15:58:04Z",
"id": 543,
"activity_type": "comment"
}
],
"addr": "198.51.100.1/32"
},
{
"id": "5aa89c8f-a535-5876-840c-af33a7ec1419",
"comments": [
{
"comment": "Testing API",
"entity_id": "5aa89c8f-a535-5876-840c-af33a7ec1419",
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"entity_type": "whitelisted_ip",
"created_at": "2020-01-07T15:57:24Z",
"updated_at": "2020-01-07T15:57:24Z",
"id": 541,
"activity_type": "comment"
}
],
"addr": "198.51.100.10"
},
{
"id": "06461575-700b-596d-8662-7ea0aff28e9c",
"comments": [
{
"comment": "Test Isolation",
"entity_id": "06461575-700b-596d-8662-7ea0aff28e9c",
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"entity_type": "whitelisted_ip",
"created_at": "2020-01-07T15:55:21Z",
"updated_at": "2020-01-07T15:55:21Z",
"id": 539,
"activity_type": "comment"
}
],
"addr": "203.0.113.1"
}
],
"metadata": {
"count": 5,
"previous_url": null,
"timestamp": "2020-01-07T16:00:19.754687",
"next": null,
"per_page": 10,
"next_url": null,
"previous": null
}
}
向主机隔离配置添加 IP 子网
向 Endgame 中定义的主机隔离配置添加 IP 子网。
参数
| 参数 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| IP 子网 | 字符串 | 不适用 | 输入要添加到主机隔离配置的 IPv4 子网。 |
| 说明 | 字符串 | 不适用 | 输入 IP 子网的说明。 |
| 创建分析数据 | 复选框 | 未勾选 | 如果启用,则在成功执行此操作后创建分析数据。 |
使用场景
此操作用于获取有关主机隔离配置的信息。此配置允许隔离的主机连接到其中列出的 IP 子网。分析师可以使用此操作将所需的 IP 子网添加到主机隔离配置中。
运行于
此操作会在所有实体上运行。
操作执行结果
数据分析
如果使用 Endgame 将 IP 子网添加到了主机隔离配置中,则创建一条信息来指明这一点。
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
从主机隔离配置中移除 IP 子网
从 Endgame 中定义的主机隔离配置中移除 IP 子网。
参数
| 参数 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| IP 子网 | 字符串 | 不适用 | 输入要添加到主机隔离配置的 IPv4 子网。 |
| 创建分析数据 | 复选框 | 未勾选 | 如果启用,则在成功执行此操作后创建分析数据。 |
使用场景
此操作用于获取有关主机隔离配置的信息。此配置允许隔离的主机连接到其中列出的 IP 子网。分析师可以使用此操作从主机隔离配置中移除不再需要的 IP 子网。
运行于
此操作会在所有实体上运行。
操作结果
数据分析
如果使用 Endgame 从主机隔离配置中移除了某个 IP 子网,则创建一条数据洞见来指明这一点。
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
收集 Autoruns(仅限 Windows)
从 Endgame 端点收集自动运行。
参数
| 参数显示名称 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| 要返回的最大商品数 | 整数 | 1000 | 指定要返回的自动运行次数。 |
| 类别“全部” | 复选框 | 勾选 | 如果已启用,则搜索所有自动运行类别。 |
| 类别“影音平台提供商” | 复选框 | 尚未核查 | 如果已启用,则搜索“网络提供商”自动运行类别。 |
| “办公”类别 | 复选框 | 尚未核查 | 如果已启用,则搜索“Office”自动运行类别。 |
| 类别“Driver” | 复选框 | 尚未核查 | 如果已启用,请搜索“驱动程序”自动运行类别。 |
| 类别“应用初始化” | 复选框 | 尚未核查 | 如果已启用,则搜索“应用初始化”自动运行类别。 |
| 类别“Winlogon” | 复选框 | 尚未核查 | 如果已启用,则搜索“Winlogon”自动运行类别。 |
| 类别“打印监控器” | 复选框 | 尚未核查 | 如果已启用,请搜索“打印监控器”自动运行类别。 |
| “无障碍”类别 | 复选框 | 尚未核查 | 如果已启用,请搜索“无障碍”自动运行类别。 |
| 类别“WMI” | 复选框 | 尚未核查 | 如果已启用,请搜索“WMI”自动运行类别。 |
| 类别“LSA 提供商” | 复选框 | 尚未核查 | 如果已启用,请搜索“LSA Provider”自动运行类别。 |
| 类别“服务” | 复选框 | 尚未核查 | 如果已启用,请搜索“服务”自动运行类别。 |
| “Bit”类别 | 复选框 | 尚未核查 | 如果已启用,请搜索“位”自动运行类别。 |
| 类别“已知 DLL” | 复选框 | 尚未核查 | 如果已启用,请搜索“已知 DLL”自动运行类别。 |
| 类别“Print Provider” | 复选框 | 尚未核查 | 如果已启用,请搜索“打印提供程序”自动运行类别。 |
| 类别“图片劫持” | 复选框 | 尚未核查 | 如果已启用,则搜索“Image Hijack”自动运行类别。 |
| 类别“启动文件夹” | 复选框 | 尚未核查 | 如果已启用,则搜索“启动文件夹”自动运行类别。 |
| 类别“Internet Explorer” | 复选框 | 尚未核查 | 如果已启用,请搜索“Internet Explorer”自动运行类别。 |
| 类别“编解码器” | 复选框 | 尚未核查 | 如果已启用,请搜索“编解码器”自动运行类别。 |
| 类别“登录” | 复选框 | 尚未核查 | 如果已启用,请搜索“登录”自动运行类别。 |
| 类别“搜索顺序劫持” | 复选框 | 尚未核查 | 如果已启用,请搜索“Search Order Hijack”自动运行类别。 |
| 类别“Winsock 提供程序” | 复选框 | 尚未核查 | 如果已启用,请搜索“Winsock Provider”自动运行类别。 |
| 类别“启动执行” | 复选框 | 尚未核查 | 如果已启用,则搜索“启动执行”自动运行类别。 |
| 类别“Phantom dll” | 复选框 | 尚未核查 | 如果已启用,请搜索“Phantom dll”自动运行类别。 |
| “Com Hijack”类别 | 复选框 | 尚未核查 | 如果已启用,请搜索“Com Hijack”自动运行类别。 |
| 类别“Explorer” | 复选框 | 尚未核查 | 如果已启用,请搜索“Explorer”自动运行类别。 |
| 类别“计划任务” | 复选框 | 尚未核查 | 如果已启用,则搜索“预定任务”自动运行类别。 |
| 包含所有元数据 | 复选框 | 勾选 | 如果启用,则提供所有可用数据。 |
| 包含恶意软件分类元数据 | 复选框 | 尚未核查 | 如果启用,则提供有关 MalwareScore 的信息。 |
| 包含 Authenticode 元数据 | 复选框 | 尚未核查 | 如果已启用,则提供签名者信息。 |
| 包含 MD5 哈希 | 复选框 | 尚未核查 | 如果启用,则在响应中提供 MD5 哈希。 |
| 包含 SHA-1 哈希 | 复选框 | 尚未核查 | 如果启用,则在响应中提供 SHA-1 哈希。 |
| 包含 SHA-256 哈希 | 复选框 | 尚未核查 | 如果启用,则在响应中提供 SHA-256 哈希。 |
使用场景
此操作可用于收集有关端点上自动运行的信息。这些数据可帮助分析师执行初步诊断和补救流程。
运行于
此操作适用于以下实体:
- 主机
- IP 地址
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"data": {
"count": 1,
"per_page": 50,
"previous": null,
"tasks": [
{
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"data": {
"category_option": {
"category_network_provider": true,
"category_office": false,
"category_driver": false,
"category_app_init": false,
"category_winlogon": false,
"category_print_monitor": false,
"category_ease_of_access": false,
"category_wmi": false,
"category_lsa_provider": false,
"category_service": false,
"category_bits": false,
"category_known_dll": false,
"category_print_provider": false,
"category_image_hijack": false,
"category_startup_folder": false,
"category_internet_explorer": false,
"category_codec": false,
"category_logon": false,
"category_all": false,
"category_search_order_hijack": false,
"category_winsock_provider": false,
"category_boot_execute": false,
"category_phantom_dll": false,
"category_com_hijack": false,
"category_explorer": false,
"category_scheduled_task": false
},
"metadata_option": {
"metadata_all": true,
"metadata_malware_classification": false,
"metadata_sha1": false,
"metadata_sha256": false,
"metadata_authenticode": false,
"metadata_md5": false
}
},
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"metadata": {
"sensor_id": "8eef6873-6db7-58ab-a1ca-68dc19b54117",
"investigation_id": "0b043f77-531f-4109-93b1-e01019ad0980",
"task_id": "e667b0c3-39de-4862-9baf-d6697db79721",
"echo": "",
"endpoint_id": "b23c8a14-69e0-4966-b78a-c9fba4fdd934",
"destination_plugin": "autoruns",
"key": "collectAutoRunsRequest",
"semantic_version": "3.52.\\d+",
"collection_id": "2393f424-bf57-40af-81e6-91b95acf5409"
}
}
],
"next": null
},
"metadata": {
"timestamp": "2020-01-08T13:15:37.238341"
}
}
隔离主机
隔离 Endgame 端点。此操作仅支持 Windows 和 macOS 系统。
参数
| 参数 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| 创建分析数据 | 复选框 | 尚未核查 | 如果启用,则在成功执行此操作后创建数据洞见。 |
使用场景
此操作用于获取有关主机隔离配置的信息。此配置允许隔离的主机连接到其中列出的 IP 子网。分析师可以使用此操作将所需的 IP 子网添加到主机隔离配置中。
运行于
此操作适用于以下实体:
- 主机
- IP 地址
操作结果
实体丰富化
不适用
数据分析
如果端点是使用 Endgame 代理隔离的,请创建一条数据洞见来指明这一点。
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"data": {
"valid": true,
"bulk_task_id": "a6ccc2f7-39a7-42e7-b646-41b281316b1d",
"error_messages": []
},
"metadata": {
"timestamp": "2020-01-08T15:09:22.474963"
}
}
Unisolate Host
取消隔离 Endgame 端点。此操作仅支持 Windows 和 macOS 系统。
参数
| 参数显示名称 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| 创建分析数据 | 复选框 | 尚未核查 | 如果启用,则在成功执行此操作后创建数据洞见。 |
运行于
此操作适用于以下实体:
- 主机
- IP 地址
操作执行结果
数据分析
如果端点是使用 Endgame 代理取消隔离的,则创建一条数据洞见来指示这一点。
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"data": {
"domain": "InstallerInitiated",
"updated_at": "2020-01-08T08:16:26.063394+00:00",
"id": "b23c8a14-69e0-4966-b78a-c9fba4fdd934",
"display_operating_system": "Windows 10 (v1511)",
"hostname": "example",
"mac_address": "01:23:45:ab:cd:ef",
"upgrade_status": "",
"base_image": false,
"isolation_updated_at": "2020-01-08T15:09:24.665367+00:00",
"status": "monitored",
"ad_distinguished_name": "CN=EXAMPLE,CN=Computers,DC=example,DC=com",
"ad_hostname": "example.com",
"tags": [],
"isolation_request_status": null,
"alert_count": 0,
"groups": [
{
"is_dynamic": false,
"count": 2,
"id": "d9de26c9-ee63-4d38-9997-7418bd13c45e",
"name": "Demo: APT28"
}
],
"sensors": [
{
"status": "monitored",
"sensor_version": "3.52.12",
"policy_status": "successful",
"policy_name": "Lab (Detect-Only with Streaming)",
"sensor_type": "hunt",
"id": "8eef6873-6db7-58ab-a1ca-68dc19b54117",
"policy_id": "07b7a44f-25f3-4e5c-977b-2915de8160c5"
}
],
"ip_address": "192.0.2.3",
"is_isolated": false,
"operating_system": "Windows 10.0",
"name": "example",
"status_changed_at": "2020-01-08T12:30:48.704802+00:00",
"core_os": "windows",
"created_at": "2019-11-01T06:31:32.519640+00:00",
"error": null,
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
},
"metadata": {
"timestamp": "2020-01-08T15:16:34.303701"
}
}
下载文件
从特定 Endgame 端点下载文件。
参数
| 参数显示名称 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| 完整文件路径 | 字符串 | 不适用 | 如果启用,则在成功执行此操作后创建数据洞见。 |
| 完整下载文件夹路径 | 字符串 | 不适用 | 输入要用于存储此文件的文件夹的路径。 |
| 预期 SHA-256 哈希 | 字符串 | 不适用 | 输入预期 SHA-256 哈希值。 |
使用场景
您可以使用此操作从端点访问文件。有时需要手动处理文件,而此 activity 可帮助用户访问所需的文件。
运行于
此操作适用于以下实体:
- 主机
- IP 地址
操作结果
数据分析
如果端点是使用 Endgame 代理取消隔离的,则创建一条信息来指明这一点。
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
如果状态为 success,则 JSON 结果如下所示:
{
"data": {
"status": "success",
"doc_type": "collection",
"endpoint": {
"domain": "InstallerInitiated",
"updated_at": "2019-11-01T05:41:10.150817+00:00",
"id": "a3cdc174-3af0-400a-85c3-bbb1435a6b61",
"display_operating_system": "Ubuntu 18.04.1",
"hostname": "example",
"mac_address": "01:23:45:ab:cd:ef",
"base_image": false,
"isolation_updated_at": null,
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [
{
"id": "fc2dfcc8-9329-4f33-86a2-877bfb27575e",
"name": "CORE ENV"
}
],
"isolation_request_status": null,
"upgrade_status": "",
"groups": [
{
"is_dynamic": false,
"count": 1,
"id": "e453d4f6-95c9-4dc5-bc41-2f4cae423e19",
"name": "Demo: Bad Admin"
}
],
"sensors": [
{
"status": "A",
"sensor_version": "3.52.12",
"sensor_type": "hunt",
"id": "c7347a4b-3e71-5514-980f-90bdbab758cf"
}
],
"ip_address": "192.0.2.1",
"is_isolated": false,
"operating_system": "Linux 4.15.0-29-generic",
"name": "example",
"status_changed_at": "2020-01-07T08:16:46.895105+00:00",
"core_os": "linux",
"created_at": "2019-03-19T04:25:06.953312+00:00",
"error": null,
"machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d"
},
"task_id": "0854ae75-47ca-438a-8731-615defac44ac",
"family": "response",
"data": {
"results": [
{
"size": 1731,
"endpoint": {
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"operating_system": "Linux 4.15.0-29-generic",
"name": "example",
"display_operating_system": "Ubuntu 18.04.1",
"hostname": "example",
"updated_at": "2020-01-07T08:16:44Z",
"mac_address": "01:23:45:ab:cd:ef",
"ip_address": "192.0.2.1",
"id": "a3cdc174-3af0-400a-85c3-bbb1435a6b61"
},
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"investigation_id": null,
"filepath": "/home/a-arobinson/Downloads/bad_admin.sh",
"bulk_task_id": null,
"created_by": "a-arobinson",
"file_uuid": "4c45cc36-b6ca-412a-ae0b-ed214a9c7187",
"correlation_id": "13dfca7b-9e75-4115-be93-e6684dbfc7c8",
"user": {
"username": "admin",
"first_name": "Example",
"last_name": "User",
"id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1"
},
"chunk_size": 26214400,
"existing_path": "/home/a-arobinson/Downloads/bad_admin.sh",
"sha256": "8066b309db13bae560c15c35f42247a0f778786f0056d326ff3e6dffd1eac4f8",
"origination_task_id": "0854ae75-47ca-438a-8731-615defac44ac",
"md5": "6441b8f58feddb5a5f6fcd81c117ecb8"
}
]
},
"created_at": "2020-01-07T11:28:02.826397Z",
"os_type": "linux",
"machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d",
"type": "downloadFileResponse",
"id": "d6fb3bf3-afea-44e0-8472-389f4e7e0002"
},
"metadata": {
"count": 1,
"previous_url": null,
"timestamp": "2020-01-07T11:41:56.750788",
"next": null,
"per_page": 50,
"next_url": null,
"previous": null
}
}
如果状态为 failure,则 JSON 结果如下所示:
{
"data": {
"status": "failure",
"doc_type": "collection",
"endpoint": {
"domain": "InstallerInitiated",
"updated_at": "2019-11-01T05:42:09.150756+00:00",
"id": "12c3530d-657f-4ccd-835e-6df9affeed3d",
"display_operating_system": "Ubuntu 18.04.3",
"hostname": "example",
"mac_address": "01:23:45:ab:cd:ef",
"base_image": false,
"isolation_updated_at": null,
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [],
"isolation_request_status": null,
"upgrade_status": "",
"groups": [
{
"is_dynamic": false,
"count": 4,
"id": "c1af3cd6-2638-4144-842d-adc9cfb67fb9",
"name": "SOC"
}
],
"sensors": [
{
"status": "A",
"sensor_version": "3.52.12",
"sensor_type": "hunt",
"id": "dc2e35cc-0c87-5a60-8fc8-de23ef747d02"
}
],
"ip_address": "192.0.2.1",
"is_isolated": false,
"operating_system": "Linux 4.15.0-72-generic",
"name": "example",
"status_changed_at": "2020-01-19T11:05:16.765186+00:00",
"core_os": "linux",
"created_at": "2019-09-20T21:34:51.966863+00:00",
"error": null,
"machine_id": "5ae8ddd9-9339-ae4b-ccf7-5ed68f38b3a9"
},
"task_id": "85148460-c868-4fe5-a3e6-0d90784fadd1",
"family": "response",
"data": {
"results": [
{
"endpoint": {
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"operating_system": "Linux 4.15.0-72-generic",
"name": "example",
"display_operating_system": "Ubuntu 18.04.3",
"hostname": "example",
"updated_at": "2020-01-16T14:04:22Z",
"mac_address": "01:23:45:ab:cd:ef",
"ip_address": "192.0.2.1",
"id": "12c3530d-657f-4ccd-835e-6df9affeed3d"
},
"user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
"account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
"investigation_id": null,
"expected_sha256": "123",
"bulk_task_id": null,
"correlation_id": "a7dc04c8-932c-4056-9477-8095b1fa15d8",
"user": {
"username": "admin",
"first_name": "Example",
"last_name": "User",
"id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1"
},
"chunk_size": 26214400,
"existing_path": "/home/example/Downloads/bad_admin.sh",
"origination_task_id": "85148460-c868-4fe5-a3e6-0d90784fadd1"
}
]
},
"created_at": "2020-01-19T12:19:57Z",
"os_type": "linux",
"machine_id": "5ae8ddd9-9339-ae4b-ccf7-5ed68f38b3a9",
"type": "downloadFileResponse",
"id": "8eb6b538-d480-4210-92fb-df08a3a4dfb9"
},
"metadata": {
"count": 1,
"previous_url": null,
"timestamp": "2020-01-19T12:23:23.623961",
"next": null,
"per_page": 50,
"next_url": null,
"previous": null
}
}
删除文件
从 Endgame 端点中删除文件。
参数
| 参数显示名称 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| 文件路径 | 字符串 | 不适用 | 输入文件的路径。 |
使用场景
此操作用于从端点中删除文件。例如,当发现恶意软件且分析师想要将其移除时,可以使用此命令。
运行于
此操作适用于以下实体:
- 主机
- IP 地址
操作结果
数据分析
如果端点是使用 Endgame 代理取消隔离的,则创建一条信息来指明这一点。
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
(status = success)
{
"data": [
{
"status": "success",
"doc_type": "collection",
"endpoint": {
"domain": "InstallerInitiated",
"updated_at": "2019-11-01T05:41:10.150817+00:00",
"id": "a3cdc174-3af0-400a-85c3-bbb1435a6b61",
"display_operating_system": "Ubuntu 18.04.1",
"hostname": "08203s-lubu1804",
"mac_address": "01:23:45:ab:cd:ef",
"upgrade_status": "",
"base_image": false,
"isolation_updated_at": null,
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [
{
"id": "fc2dfcc8-9329-4f33-86a2-877bfb27575e",
"name": "CORE ENV"
}
],
"isolation_request_status": null,
"groups": [
{
"is_dynamic": false,
"count": 1,
"id": "e453d4f6-95c9-4dc5-bc41-2f4cae423e19",
"name": "Demo: Bad Admin"
}
],
"sensors": [
{
"status": "monitored",
"sensor_version": "3.52.12",
"policy_status": "successful",
"policy_name": "Lab (Detect-Only with Streaming)",
"sensor_type": "hunt",
"id": "c7347a4b-3e71-5514-980f-90bdbab758cf",
"policy_id": "07b7a44f-25f3-4e5c-977b-2915de8160c5"
}
],
"ip_address": "192.0.2.1",
"is_isolated": false,
"operating_system": "Linux 4.15.0-29-generic",
"name": "08203s-lubu1804",
"status_changed_at": "2020-01-20T07:25:02.633331+00:00",
"core_os": "linux",
"created_at": "2019-03-19T04:25:06.953312+00:00",
"error": null,
"machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d"
},
"task_id": "bfb82b8d-71a0-4e5f-9cfe-bd573ea32b25",
"family": "response",
"created_at": "2020-01-20T07:31:37Z",
"local_msg": "Success",
"system_msg": null,
"system_code": null,
"local_code": 0,
"os_type": "linux",
"machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d",
"type": "deleteFileResponse",
"id": "eb50fe9c-1059-42d4-9f5f-52e5af4ae64d"
}
],
"metadata": {
"count": 1,
"previous_url": null,
"timestamp": "2020-01-20T07:32:04.425044",
"next": null,
"per_page": 50,
"next_url": null,
"previous": null
}
}
(状态 = 失败)将使用 local_msg 和 system_msg。
{
"data": [
{
"status": "failure",
"doc_type": "collection",
"endpoint": {
"domain": "InstallerInitiated",
"updated_at": "2019-11-01T05:41:10.150817+00:00",
"id": "a3cdc174-3af0-400a-85c3-bbb1435a6b61",
"display_operating_system": "Ubuntu 18.04.1",
"hostname": "08203s-lubu1804",
"mac_address": "01:23:45:ab:cd:ef",
"upgrade_status": "",
"base_image": false,
"isolation_updated_at": null,
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [
{
"id": "fc2dfcc8-9329-4f33-86a2-877bfb27575e",
"name": "CORE ENV"
}
],
"isolation_request_status": null,
"groups": [
{
"is_dynamic": false,
"count": 1,
"id": "e453d4f6-95c9-4dc5-bc41-2f4cae423e19",
"name": "Demo: Bad Admin"
}
],
"sensors": [
{
"status": "monitored",
"sensor_version": "3.52.12",
"policy_status": "successful",
"policy_name": "Lab (Detect-Only with Streaming)",
"sensor_type": "hunt",
"id": "c7347a4b-3e71-5514-980f-90bdbab758cf",
"policy_id": "07b7a44f-25f3-4e5c-977b-2915de8160c5"
}
],
"ip_address": "192.0.2.1",
"is_isolated": false,
"operating_system": "Linux 4.15.0-29-generic",
"name": "08203s-lubu1804",
"status_changed_at": "2020-01-07T08:16:46.895105+00:00",
"core_os": "linux",
"created_at": "2019-03-19T04:25:06.953312+00:00",
"error": null,
"machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d"
},
"task_id": "5da277fe-503d-468a-822b-8801d9671cde",
"family": "response",
"created_at": "2020-01-07T13:10:50Z",
"local_msg": "Not found",
"system_msg": null,
"system_code": null,
"local_code": -7,
"os_type": "linux",
"machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d",
"type": "deleteFileResponse",
"id": "6f3e6148-6801-4cb8-8a5d-25f75ea93555"
}
],
"metadata": {
"count": 1,
"previous_url": null,
"timestamp": "2020-01-07T13:16:18.834163",
"next": null,
"per_page": 5,
"next_url": null,
"previous": null
}
}
驱动程序调查(仅限 Windows)
获取特定 Endgame 端点中驱动程序的相关信息。
参数
| 参数 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| 要返回的最大商品数 | 字符串 | 50 | 指定要返回的项数。 |
运行于
此操作适用于以下实体:
- 主机名
- IP 地址
操作结果
实体丰富化
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| driver_basename | 返回 JSON 结果中是否存在相应值 |
| driver_filename | 返回 JSON 结果中是否存在相应值 |
| date_modified | 返回 JSON 结果中是否存在相应值 |
| driver_file_version | 返回 JSON 结果中是否存在相应值 |
| driver_load_address | 返回 JSON 结果中是否存在相应值 |
| collection_id | 返回 JSON 结果中是否存在相应值 |
| hashes | 返回 JSON 结果中是否存在相应值 |
| machine_id | 返回 JSON 结果中是否存在相应值 |
| driver_product_version | 返回 JSON 结果中是否存在相应值 |
| driver_description | 返回 JSON 结果中是否存在相应值 |
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[{
"EntityResult":
[{ "driver_basename": "test.exe",
"driver_filename": "C:\\\\Windows\\\\system32\\\\test.exe",
"date_modified": 1446189483.0185645,
"driver_file_version": "10.0.10586.0 (th2_release.151029-1700)",
"driver_load_address": "12345678",
"collection_id": "a9925cf1-6d4c-4bea-b13d-12345678",
"hashes": {
"sha256": "9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08",
"md5": "098f6bcd4621d373cade4e832627b4f6",
"sha1": "a94a8fe5ccb19ba61c4c0873d391e987982fbbd3"
},
"machine_id": "5dc677fd-6b47-7df9-f7f4-12345678",
"driver_product_version": "10.0.10586.0",
"driver_description": "Test"
}],
"Entity": "PC-01"
}]
防火墙调查问卷(仅限 Windows)
获取有关特定 Endgame 端点上防火墙规则的信息。
参数
| 参数 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| 要返回的最大商品数 | 字符串 | 50 | 指定要返回的项数。 |
运行于
此操作适用于以下实体:
- 主机名
- IP 地址
操作结果
实体丰富化
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| 方向 | 返回 JSON 结果中是否存在相应值 |
| machine_id | 返回 JSON 结果中是否存在相应值 |
| 说明 | 返回 JSON 结果中是否存在相应值 |
| remote_addresses | 返回 JSON 结果中是否存在相应值 |
| protocol_number | 返回 JSON 结果中是否存在相应值 |
| 已启用 | 返回 JSON 结果中是否存在相应值 |
| edge_traversal | 返回 JSON 结果中是否存在相应值 |
| 配置文件 | 返回 JSON 结果中是否存在相应值 |
| interface_types | 返回 JSON 结果中是否存在相应值 |
| rule_name | 返回 JSON 结果中是否存在相应值 |
| icmp_and_type_codes | 返回 JSON 结果中是否存在相应值 |
| local_addresses | 返回 JSON 结果中是否存在相应值 |
| application_name | 返回 JSON 结果中是否存在相应值 |
| collection_id | 返回 JSON 结果中是否存在相应值 |
| remote_ports | 返回 JSON 结果中是否存在相应值 |
| 操作 | 返回 JSON 结果中是否存在相应值 |
| local_ports | 返回 JSON 结果中是否存在相应值 |
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[{
"EntityResult":
[{
"direction": "in",
"machine_id": "870499c3-d6bf-8edd-972d-12345678",
"description": "Inbound rule for Google Chrome to allow mDNS traffic.",
"remote_addresses": "*",
"protocol_number": 17,
"enabled": true,
"edge_traversal": false,
"profiles":
["domain", "public", "private"],
"interface_types": "All",
"rule_name": "Google Chrome (mDNS-In)",
"icmp_and_type_codes": "",
"local_addresses": "*",
"application_name": "C:\\\\Program Files (x86)\\\\Google\\\\Chrome\\\\Application\\\\chrome.exe",
"collection_id": "0925eea5-c61f-464a-ba61-12345678",
"remote_ports": "*",
"action": "allow",
"local_ports": "1234"
}],
"Entity": "PC-01"
}]
获取端点
列出所有端点。
参数
不适用
运行于
此操作会在所有实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[{
"domain": "",
"updated_at": "2019-05-30T01:40:21.126499+00:00",
"id": "db33d864-7d58-4d85-9d2d-1a98a101995d",
"display_operating_system": "Windows 7 (SP1)",
"hostname": "ip-AC170169",
"mac_address": "01:23:45:ab:cd:ef",
"isolation_updated_at": "",
"status": "monitored",
"ad_distinguished_name": "",
"ad_hostname": "",
"tags": [],
"isolation_request_status": "",
"alert_count": 72,
"investigation_count": 0,
"groups": [],
"sensors":
[{
"status": "monitored",
"sensor_version": "3.51.10",
"policy_status": "successful",
"policy_name": "POC-Lab",
"sensor_type": "hunt",
"id": "ec17f7bb-1d63-536a-b694-ca066cc2572e",
"policy_id": "d31f0192-b8e2-49ae-ae54-041376183b7f"
}],
"ip_address": "192.0.2.1",
"is_isolated": "false",
"operating_system": "Windows 6.1 Service Pack 1",
"name": "ip-AC170169",
"status_changed_at": "2019-05-30T01:40:18.200770+00:00",
"core_os": "windows",
"created_at": "2019-05-30T01:36:43.761600+00:00",
"error":
[{
"msg": "Installer failure - Execution failed for (http://192.0.2.1:5985/wsman)\\n",
"deployment_id": "90C2BAA6-B38B-4037-9A9E-7C8628E8D7D6",
"code": 1001, "ts": 1559180421.125456
}],
"machine_id": "4f1adabb-17c4-e39e-caa7-7900562d0b51"
}]
Hunt 文件
搜索正在运行的文件。
参数
| 参数 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| 端点核心操作系统 | 字符串 | 窗口 | 选择一个操作系统(例如 Windows、Linux 或 Mac)以过滤“端点”列表。注意:您只能为运行在同一操作系统上的端点创建一次调查。 |
| MD5 哈希 | 字符串 | 不适用 | 相应搜索的高级配置。输入 MD5 哈希值,并用英文逗号分隔。 |
| SHA1 哈希值 | 字符串 | 不适用 | 相应搜索的高级配置。输入 SHA-1 哈希值,并用英文逗号分隔。 |
| SHA256 哈希 | 字符串 | 不适用 | 相应搜索的高级配置。输入 SHA256 哈希,并用英文逗号分隔。 |
| 目录 | 字符串 | 不适用 | 起始目录路径示例:C:\windows\system32 |
| 查找文件 | 字符串 | 不适用 | 输入要搜索的文件名。输入正则表达式以缩小搜索结果范围。 |
运行于
此操作适用于以下实体:
- 主机名
- IP 地址
操作结果
实体丰富化
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| meta_data | 返回 JSON 结果中是否存在相应值 |
| file_path | 返回 JSON 结果中是否存在相应值 |
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[{
"meta_data":
{ "hashes":
{ "sha256": "4705ba6793dc93c1bbe2a9e790e9e22778d217531b1750471206fd5c52bbd2b5",
"md5": "6383522c180badc4e1d5c30a5c4f4913",
"sha1": "62a30e96459b694f7b22d730c460a65cd2ebaaca"
},
"file_name_timestamps":
{ "accessed": 1468675289.0711532,
"entry_modified": 0,
"modified": 1468675289.0711532,
"created": 1468675404.0330572
},
"file_attributes": 38,
"file_size": 174
},
"file_path": "C:\\\\Program Files\\\\desktop.ini"
},
{
"meta_data":
{ "hashes":
{ "sha256": "44fe5eebd80e46f903d68c07bcf06d187a3698bf3953bc58bb578465e2e0fe6c",
"md5": "6bd5fb46283aa48e638bef47510c47da",
"sha1": "c38d46ec6c9bc8baece4a459b617f44d10af973c"
},
"file_name_timestamps":
{
"accessed": 1468675289.0024028,
"entry_modified": 0,
"modified": 1468675289.0024028,
"created": 1468675404.0111823
},
"file_attributes": 38,
"file_size": 645
},
"file_path": "C:\\\\Program Files\\\\Common Files\\\\microsoft shared\\\\Stationery\\\\Desktop.ini"
}]
搜寻 IP
搜索网络连接。
参数
| 参数 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| 端点核心操作系统 | 字符串 | 窗口 | 选择一个操作系统(例如 Windows、Linux 或 Mac)以过滤“端点”列表。注意:您只能为运行在同一操作系统上的端点创建一次调查。 |
| 远程 IP 地址 | 字符串 | 不适用 | 远程 IP 地址 - 以英文逗号分隔 |
| 本地 IP 地址 | 字符串 | 不适用 | 以英文逗号分隔 |
| 州 | 字符串 | 不适用 | 输入要返回的状态。示例:ANY |
| 协议 | 字符串 | 不适用 | 示例:ANY、UDP、TCP |
| 网络端口 | 字符串 | 不适用 | 不适用 |
| 网络遥控器 | 字符串 | 不适用 | 网络远程或本地。 |
运行于
此操作适用于以下实体:
- 主机名
- IP 地址
操作结果
实体丰富化
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| parent_name | 返回 JSON 结果中是否存在相应值 |
| 域名 | 返回 JSON 结果中是否存在相应值 |
| exe | 返回 JSON 结果中是否存在相应值 |
| name | 返回 JSON 结果中是否存在相应值 |
| has_unbacked_execute_memory | 返回 JSON 结果中是否存在相应值 |
| pid | 返回 JSON 结果中是否存在相应值 |
| up_time | 返回 JSON 结果中是否存在相应值 |
| is_sensor | 返回 JSON 结果中是否存在相应值 |
| cmdline | 返回 JSON 结果中是否存在相应值 |
| parent_exe | 返回 JSON 结果中是否存在相应值 |
| unbacked_execute_byte_count | 返回 JSON 结果中是否存在相应值 |
| create_time | 返回 JSON 结果中是否存在相应值 |
| 用户 | 返回 JSON 结果中是否存在相应值 |
| sid | 返回 JSON 结果中是否存在相应值 |
| threads | 返回 JSON 结果中是否存在相应值 |
| ppid | 返回 JSON 结果中是否存在相应值 |
| unbacked_execute_region_count | 返回 JSON 结果中是否存在相应值 |
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[{
"parent_name": "System Idle Process",
"domain": "NT AUTHORITY",
"exe": "",
"name": "System",
"has_unbacked_execute_memory": false,
"pid": 4,
"up_time": 2384701,
"is_sensor": false,
"cmdline": "",
"parent_exe": "",
"unbacked_execute_byte_count": 0,
"create_time": 1559179903,
"user": "SYSTEM",
"sid": "S-1-5-18",
"threads":
[{
"thread_id": 8
}, {
"thread_id": 12,
"up_time": 13206038203,
"create_time": -11644473599
}, {
"thread_id": 16,
"up_time": 13206038203,
"create_time": -11644473599
}],
"ppid": 0,
"unbacked_execute_region_count": 0
}]
搜寻流程
搜索正在运行的进程。
参数
| 参数 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| 端点核心操作系统 | 字符串 | 窗口 | 选择操作系统(即Windows、Linux 或 Mac)来过滤“端点”列表。注意:您只能为运行在同一操作系统上的端点创建一次调查。 |
| MD5 哈希 | 字符串 | 不适用 | 相应搜索的高级配置。输入 MD5 哈希值,并用英文逗号分隔。 |
| SHA1 哈希值 | 字符串 | 不适用 | 相应搜索的高级配置。输入 SHA-1 哈希值,并以英文逗号分隔。 |
| SHA256 哈希 | 字符串 | 不适用 | 相应搜索的高级配置。输入 SHA256 哈希,并以英文逗号分隔。 |
| 进程名称 | 字符串 | 不适用 | 相应搜索的高级配置。输入进程名称,例如 iss.exe* |
运行于
此操作适用于以下实体:
- 主机名
- IP 地址
操作结果
实体丰富化
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| parent_name | 返回 JSON 结果中是否存在相应值 |
| 域名 | 返回 JSON 结果中是否存在相应值 |
| exe | 返回 JSON 结果中是否存在相应值 |
| name | 返回 JSON 结果中是否存在相应值 |
| has_unbacked_execute_memory | 返回 JSON 结果中是否存在相应值 |
| pid | 返回 JSON 结果中是否存在相应值 |
| up_time | 返回 JSON 结果中是否存在相应值 |
| is_sensor | 返回 JSON 结果中是否存在相应值 |
| cmdline | 返回 JSON 结果中是否存在相应值 |
| parent_exe | 返回 JSON 结果中是否存在相应值 |
| unbacked_execute_byte_count | 返回 JSON 结果中是否存在相应值 |
| create_time | 返回 JSON 结果中是否存在相应值 |
| 用户 | 返回 JSON 结果中是否存在相应值 |
| sid | 返回 JSON 结果中是否存在相应值 |
| threads | 返回 JSON 结果中是否存在相应值 |
| ppid | 返回 JSON 结果中是否存在相应值 |
| unbacked_execute_region_count | 返回 JSON 结果中是否存在相应值 |
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[{
"parent_name": "System Idle Process",
"domain": "NT AUTHORITY",
"exe": "",
"name": "System",
"has_unbacked_execute_memory": false,
"pid": 4,
"up_time": 2384701,
"is_sensor": false,
"cmdline": "",
"parent_exe": "",
"unbacked_execute_byte_count": 0,
"create_time": 1559179903,
"user": "SYSTEM",
"sid": "S-1-5-18",
"threads":
[{
"thread_id": 8
},{
"thread_id": 12,
"up_time": 13206038203,
"create_time": -11644473599
},{
"thread_id": 16,
"up_time": 13206038203,
"create_time": -11644473599
}],
"ppid": 0,
"unbacked_execute_region_count": 0
}]
Hunt Registry
搜索注册表项或值名称。
参数
| 参数 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| Hive | 字符串 | 全部 | 以下值之一:HKEY_CLASSES_ROOT、HKEY_CURRENT_CONFIG、HKEY_USERS、HKEY_LOCAL_MACHINE、ALL。 |
| 键 | 字符串 | 不适用 | 注册表项或值名称。 |
| 大小下限 | 字符串 | 不适用 | 最小字节大小。 |
| 大小上限 | 字符串 | 不适用 | 最大字节大小。 |
| 端点核心操作系统 | 字符串 | 窗口 | 选择操作系统(即Windows、Linux 或 Mac)来过滤“端点”列表。注意:您只能为运行在同一操作系统上的端点创建一次调查。 |
运行于
此操作适用于以下实体:
- 主机名
- IP 地址
操作结果
实体丰富化
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| parent_name | 返回 JSON 结果中是否存在相应值 |
| 域名 | 返回 JSON 结果中是否存在相应值 |
| exe | 返回 JSON 结果中是否存在相应值 |
| name | 返回 JSON 结果中是否存在相应值 |
| up_time | 返回 JSON 结果中是否存在相应值 |
| is_sensor | 返回 JSON 结果中是否存在相应值 |
| cmdline | 返回 JSON 结果中是否存在相应值 |
| parent_exe | 返回 JSON 结果中是否存在相应值 |
| unbacked_execute_byte_count | 返回 JSON 结果中是否存在相应值 |
| create_time | 返回 JSON 结果中是否存在相应值 |
| 用户 | 返回 JSON 结果中是否存在相应值 |
| sid | 返回 JSON 结果中是否存在相应值 |
| threads | 返回 JSON 结果中是否存在相应值 |
| ppid | 返回 JSON 结果中是否存在相应值 |
| unbacked_execute_region_count | 返回 JSON 结果中是否存在相应值 |
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[{
"parent_name": "System Idle Process",
"domain": "NT AUTHORITY",
"exe": "",
"name": "System",
"has_unbacked_execute_memory": false,
"pid": 4,
"up_time": 2384701,
"is_sensor": false,
"cmdline": "",
"parent_exe": "",
"unbacked_execute_byte_count": 0,
"create_time": 1559179903,
"user": "SYSTEM",
"sid": "S-1-5-18",
"threads":
[{
"thread_id": 8
},{
"thread_id": 12,
"up_time": 13206038203,
"create_time": -11644473599
}, {
"thread_id": 16,
"up_time": 13206038203,
"create_time": -11644473599
}],
"ppid": 0,
"unbacked_execute_region_count": 0
}]
搜索用户
在网络中搜索已登录的用户。
参数
| 参数 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| 端点核心操作系统 | 字符串 | 窗口 | 选择操作系统(即Windows、Linux 或 Mac)来过滤“端点”列表。注意:您只能为运行在同一操作系统上的端点创建一次调查。 |
| 查找用户名 | 字符串 | 不适用 | 相应搜索的高级配置。输入用户名,多个用户名之间以英文分号分隔。 |
| 域名 | 字符串 | 不适用 | 相应搜索的高级配置。输入域名。 |
运行于
此操作适用于以下实体:
- 主机名
- IP 地址
操作结果
实体丰富化
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| parent_name | 返回 JSON 结果中是否存在相应值 |
| 域名 | 返回 JSON 结果中是否存在相应值 |
| exe | 返回 JSON 结果中是否存在相应值 |
| name | 返回 JSON 结果中是否存在相应值 |
| has_unbacked_execute_memory | 返回 JSON 结果中是否存在相应值 |
| pid | 返回 JSON 结果中是否存在相应值 |
| up_time | 返回 JSON 结果中是否存在相应值 |
| is_sensor | 返回 JSON 结果中是否存在相应值 |
| cmdline | 返回 JSON 结果中是否存在相应值 |
| parent_exe | 返回 JSON 结果中是否存在相应值 |
| unbacked_execute_byte_count | 返回 JSON 结果中是否存在相应值 |
| create_time | 返回 JSON 结果中是否存在相应值 |
| 用户 | 返回 JSON 结果中是否存在相应值 |
| sid | 返回 JSON 结果中是否存在相应值 |
| threads | 返回 JSON 结果中是否存在相应值 |
| ppid | 返回 JSON 结果中是否存在相应值 |
| unbacked_execute_region_count | 返回 JSON 结果中是否存在相应值 |
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[{
"parent_name": "System Idle Process",
"domain": "NT AUTHORITY",
"exe": "",
"name": "System",
"has_unbacked_execute_memory": false,
"pid": 4,
"up_time": 2384701,
"is_sensor": false,
"Cmdline":"",
"parent_exe": "",
"unbacked_execute_byte_count": 0,
"create_time": 1559179903,
"user": "SYSTEM",
"sid": "S-1-5-18",
"threads":
[{
"thread_id": 8
}, {
"thread_id": 12,
"up_time": 13206038203,
"create_time": -11644473599
}, {
"thread_id": 16,
"up_time": 13206038203,
"create_time": -11644473599
}],
"ppid": 0,
"unbacked_execute_region_count": 0
}]
终止进程
终止特定 Endgame 端点中的进程。
参数
| 参数 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| 进程名称 | 字符串 | 不适用 | 输入进程名称 |
| PID | 字符串 | 不适用 | 输入进程的 ID。 |
运行于
此操作适用于以下实体:
- 主机名
- IP 地址
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
网络调查
从特定 Endgame 端点获取有关连接、DNS 缓存、NetBIOS、ARP 和路由表的信息。
参数
| 参数 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| 要返回的最大商品数 | 字符串 | 50 | 指定要返回的自动运行次数。 |
| 包含路线条目信息 | 复选框 | 勾选 | 指定以获取有关路由条目的信息。 |
| 包含 Net Bios 信息 | 复选框 | 勾选 | 指定以获取有关 Net Bios 的信息。 |
| 包含 DNS 缓存信息 | 复选框 | 勾选 | 指定获取有关 DNS 缓存的信息。 |
| 包含 ARP 表信息 | 复选框 | 勾选 | 指定获取有关 ARP 表的信息。 |
运行于
此操作适用于以下实体:
- 主机名
- IP 地址
操作结果
实体丰富化
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| 连接数 | 返回 JSON 结果中是否存在相应值 |
| netbios_info | 返回 JSON 结果中是否存在相应值 |
| arp_table | 返回 JSON 结果中是否存在相应值 |
| route_table | 返回 JSON 结果中是否存在相应值 |
| dns_cache | 返回 JSON 结果中是否存在相应值 |
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[{
"EntityResult":
{
"connections":
[{
"connection_type": "SOCK_STREAM",
"collection_id": "50e74bd2-1cd4-412c-a7fc-24cf1456e883",
"exe": "C:\\\\Windows\\\\System32\\\\test.exe",
"connection_status": "LISTEN",
"name": "test.exe",
"family": "ipv4",
"local_port": 111,
"remote_port": 0,
"pid": 700,
"remote_address": "0.0.0.0",
"create_time": 1583314664,
"connection_timestamp": 1583314664.0117714,
"local_address": "0.0.0.0",
"protocol": "tcp",
"hashes":
{
"sha256": "5d00bbeb147e0c838a622fc42c543b2913d57eaca4e69d9a37ed61e98c819347", "md5": "8497852ed44aff902d502015792d315d",
"sha1": "800a4c2e524fc392c45748eae1691fa01d24ea4c"
},
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
}],
"netbios_info":
[{
"comment": "",
"name": "PC-01",
"version_major": 10,
"netbios_neighbor_type": 8392747,
"platform": "WINDOWS NT",
"version_minor": 0
}],
"arp_table":
[{
"connection_type": "SOCK_STREAM",
"collection_id": "50e74bd2-1cd4-412c-a7fc-24cf1456e883",
"exe": "C:\\\\Windows\\\\System32\\\\test.exe",
"connection_status": "LISTEN",
"name": "test.exe",
"family": "ipv4",
"local_port": 111,
"remote_port": 0,
"pid": 700,
"remote_address": "0.0.0.0",
"create_time": 1583314664,
"connection_timestamp": 1583314664.0117714,
"local_address": "0.0.0.0",
"protocol": "tcp",
"hashes": {"sha256": "5d00bbeb147e0c838a622fc42c543b2913d57eaca4e69d9a37ed61e98c819347", "md5": "8497852ed44aff902d502015792d315d",
"sha1": "800a4c2e524fc392c45748eae1691fa01d24ea4c"},
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
}],
"route_table":
[{
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"family": "ipv4",
"destination": "0.0.0.0",
"netmask": "0.0.0.0",
"collection_id": "50e74bd2-1cd4-412c-a7fc-24cf1456e883",
"interface_name": "Ethernet0",
"gateway": "1.1.1.1"
}],
"dns_cache":
[{
"name": "test.ms",
"dns_record_type": "A",
"ttl": 0,
"collection_id": "50e74bd2-1cd4-412c-a7fc-24cf1456e883",
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"query_error": 9701
}]
},
"Entity": "PC-01"
}]
Ping
测试与 Endgame 服务器的连接。
参数
不适用
运行于
此操作会在所有实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
流程调查问卷
获取有关特定 Endgame 端点上正在运行的进程的信息。
参数
| 参数 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| 要返回的最大商品数 | 字符串 | 50 | 指定要返回的项数。 |
| 检测无文件攻击(仅限 Windows) | 复选框 | 尚未核查 | 指定用于检测无文件攻击。仅限 Windows。 |
| 使用 MalwareScore 检测恶意软件(仅限 Windows) | 复选框 | 尚未核查 | 指定使用 MalwareScore 检测恶意软件进程。仅限 Windows。 |
| 收集进程线程 | 复选框 | 尚未核查 | 指定在响应中包含有关进程线程数量的信息。 |
| 仅返回可疑进程 | 复选框 | 勾选 | 指定仅返回端点中的可疑进程。根据 Endgame 的定义:可疑进程是指没有后台支持的可执行进程。 |
运行于
此操作适用于以下实体:
- 主机名
- IP 地址
操作结果
实体丰富化
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| 域名 | 返回 JSON 结果中是否存在相应值 |
| name_suspicious | 返回 JSON 结果中是否存在相应值 |
| pid | 返回 JSON 结果中是否存在相应值 |
| name_uncommon_path | 返回 JSON 结果中是否存在相应值 |
| repeat_offender | 返回 JSON 结果中是否存在相应值 |
| cmdline | 返回 JSON 结果中是否存在相应值 |
| create_time | 返回 JSON 结果中是否存在相应值 |
| parent_name | 返回 JSON 结果中是否存在相应值 |
| has_unbacked_execute_memory | 返回 JSON 结果中是否存在相应值 |
| sid | 返回 JSON 结果中是否存在相应值 |
| ppid | 返回 JSON 结果中是否存在相应值 |
| up_time | 返回 JSON 结果中是否存在相应值 |
| unbacked_execute_region_count | 返回 JSON 结果中是否存在相应值 |
| is_sensor | 返回 JSON 结果中是否存在相应值 |
| threads | 返回 JSON 结果中是否存在相应值 |
| 用户 | 返回 JSON 结果中是否存在相应值 |
| collection_id | 返回 JSON 结果中是否存在相应值 |
| parent_exe | 返回 JSON 结果中是否存在相应值 |
| exe | 返回 JSON 结果中是否存在相应值 |
| name | 返回 JSON 结果中是否存在相应值 |
| unbacked_execute_byte_count | 返回 JSON 结果中是否存在相应值 |
| machine_id | 返回 JSON 结果中是否存在相应值 |
| unbacked_execute_region_count | 返回 JSON 结果中是否存在相应值 |
| tty_device_minor_number | 返回 JSON 结果中是否存在相应值 |
| uid | 返回 JSON 结果中是否存在相应值 |
| name_suspicious | 返回 JSON 结果中是否存在相应值 |
| phys_memory_bytes | 返回 JSON 结果中是否存在相应值 |
| pid | 返回 JSON 结果中是否存在相应值 |
| env_variables | 返回 JSON 结果中是否存在相应值 |
| repeat_offender | 返回 JSON 结果中是否存在相应值 |
| cmdline | 返回 JSON 结果中是否存在相应值 |
| create_time | 返回 JSON 结果中是否存在相应值 |
| tty_device_major_number | 返回 JSON 结果中是否存在相应值 |
| parent_name | 返回 JSON 结果中是否存在相应值 |
| 群组 | 返回 JSON 结果中是否存在相应值 |
| cpu_percent | 返回 JSON 结果中是否存在相应值 |
| has_unbacked_execute_memory | 返回 JSON 结果中是否存在相应值 |
| GID | 返回 JSON 结果中是否存在相应值 |
| sha256 | 返回 JSON 结果中是否存在相应值 |
| cwd | 返回 JSON 结果中是否存在相应值 |
| exe | 返回 JSON 结果中是否存在相应值 |
| up_time | 返回 JSON 结果中是否存在相应值 |
| short_name | 返回 JSON 结果中是否存在相应值 |
| tty_device_name | 返回 JSON 结果中是否存在相应值 |
| is_sensor | 返回 JSON 结果中是否存在相应值 |
| sha1 | 返回 JSON 结果中是否存在相应值 |
| threads | 返回 JSON 结果中是否存在相应值 |
| name_uncommon_path | 返回 JSON 结果中是否存在相应值 |
| collection_id | 返回 JSON 结果中是否存在相应值 |
| md5 | 返回 JSON 结果中是否存在相应值 |
| argv_list | 返回 JSON 结果中是否存在相应值 |
| num_threads | 返回 JSON 结果中是否存在相应值 |
| 用户 | 返回 JSON 结果中是否存在相应值 |
| virt_memory_bytes | 返回 JSON 结果中是否存在相应值 |
| name | 返回 JSON 结果中是否存在相应值 |
| session_id | 返回 JSON 结果中是否存在相应值 |
| memory_percent | 返回 JSON 结果中是否存在相应值 |
| machine_id | 返回 JSON 结果中是否存在相应值 |
| unbacked_execute_byte_count | 返回 JSON 结果中是否存在相应值 |
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[{
"EntityResult":
[{
"domain": "NT AUTHORITY",
"name_suspicious": false,
"pid": 4,
"name_uncommon_path": false,
"repeat_offender": false,
"cmdline": "",
"create_time": 1583314654,
"parent_name": "System Idle Process",
"has_unbacked_execute_memory": false,
"sid": "S-1-5-18",
"ppid": 0,
"up_time": 342643,
"unbacked_execute_region_count": 0,
"is_sensor": false,
"threads":
[{ "thread_id": 12,
"up_time": 13228130896,
"create_time": -11644473599
},
{
"thread_id": 16,
"up_time": 13228130896,
"create_time": -11644473599
}],
"user": "SYSTEM",
"collection_id": "ac1fb296-db5a-4426-b32e-292e4a50188d",
"parent_exe": "",
"exe": "",
"name": "System",
"unbacked_execute_byte_count": 0,
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
}],
"Entity": "PC-01"
},
{
"EntityResult":
[{
"unbacked_execute_region_count": 0,
"tty_device_minor_number": 0,
"uid": 0,
"name_suspicious": false,
"phys_memory_bytes": 8900608,
"pid": 1,
"env_variables":
[ "HOME=/",
"init=/sbin/init",
"NETWORK_SKIP_ENSLAVED=",
"recovery=",
"TERM=linux",
"drop_caps=",
"BOOT_IMAGE=/vmlinuz-4.15.0-88-generic",
"PATH=/sbin:/usr/sbin:/bin:/usr/bin",
"PWD=/", "rootmnt=/root" ],
"repeat_offender": false,
"cmdline": "/sbin/init maybe-ubiquity",
"create_time": 1583632302,
"tty_device_major_number": 0,
"parent_name": "",
"group": "root",
"cpu_percent": 0,
"has_unbacked_execute_memory": false,
"gid": 0,
"sha256": "3a14ff4b18505543eda4dccb054aa5860478a95ed0cac76da392f3472da3ad67",
"cwd": "/",
"exe": "/lib/systemd/systemd",
"up_time": 24942,
"short_name": "systemd",
"tty_device_name": "",
"is_sensor": false,
"sha1": "e016f80b87101a74b52d15ce2726560a6e128b60",
"threads": [{"thread_id": 1}],
"name_uncommon_path": false,
"collection_id": "bcb6b33a-0ffb-4e72-818a-1731024dfd79",
"md5": "ca563cf817f03ed7d01a6462818a5791",
"argv_list": ["/sbin/init", "maybe-ubiquity"],
"num_threads": 1,
"ppid": 0,
"virt_memory_bytes": 79818752,
"name": "systemd",
"session_id": 1,
"memory_percent": 0.21517109870910645,
"parent_exe": "",
"unbacked_execute_byte_count": 0,
"machine_id": "5ae8ddd9-9339-ae4b-ccf7-5ed68f38b3a9",
"user": "root"
}],
"Entity": "PC-202"
}]
可移动媒体调查(仅限 Windows)
从特定 Endgame 端点获取有关可移动媒体的信息。
参数
| 参数 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| 要返回的最大商品数 | 字符串 | 50 | 指定要返回的项数。 |
运行于
此操作适用于以下实体:
- 主机名
- IP 地址
操作结果
实体丰富化
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| name | 返回 JSON 结果中是否存在相应值 |
| is_storage_device | 返回 JSON 结果中是否存在相应值 |
| vendor_id | 返回 JSON 结果中是否存在相应值 |
| collection_id | 返回 JSON 结果中是否存在相应值 |
| last_connect_time | 返回 JSON 结果中是否存在相应值 |
| serial_number | 返回 JSON 结果中是否存在相应值 |
| machine_id | 返回 JSON 结果中是否存在相应值 |
| is_connected | 返回 JSON 结果中是否存在相应值 |
| product_id | 返回 JSON 结果中是否存在相应值 |
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[{
"EntityResult":
[{ "name": "USB Composite Device",
"is_storage_device": false,
"vendor_id": "0E0F",
"collection_id": "fbe61b16-e6b2-4595-8409-abf4ce15fa85",
"last_connect_time": 1552596043.0610971,
"serial_number": "6&35D1F50B&0&1",
"machine_id": "a4c05d5a-7ebc-c3ab-1beb-f1fe517768d8",
"is_connected": false,
"product_id": "0003"
}],
"Entity": "PC-01"
}]
软件调查(仅限 Windows)
获取有关特定 Endgame 端点上安装的软件的信息。
参数
| 参数 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| 要返回的最大商品数 | 字符串 | 50 | 指定要返回的项数。 |
运行于
此操作适用于以下实体:
- 主机名
- IP 地址
操作结果
实体丰富化
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| 发布方 | 返回 JSON 结果中是否存在相应值 |
| machine_id | 返回 JSON 结果中是否存在相应值 |
| 软件包 | 返回 JSON 结果中是否存在相应值 |
| install_date | 返回 JSON 结果中是否存在相应值 |
| 版本 | 返回 JSON 结果中是否存在相应值 |
| collection_id | 返回 JSON 结果中是否存在相应值 |
| installed_for | 返回 JSON 结果中是否存在相应值 |
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[{
"EntityResult":
[{
"publisher": "John Doe",
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"package": "Test",
"install_date": "20191008",
"version": "18.06",
"collection_id": "fc079e17-8a2e-40d9-94c9-b974e5534e58",
"installed_for": "allUsers"
}],
"Entity": "PC-01"
}]
系统调查
获取单个 Endgame 端点上的系统信息,例如内存使用情况、DNS 和操作系统。
参数
| 参数 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| 要返回的最大商品数 | 字符串 | 50 | 指定要返回的项数。 |
| 包含安全产品信息(仅限 Windows) | 复选框 | 勾选 | 指定获取有关端点上安装的安全产品的信息(仅限 Windows)。 |
| 包含补丁信息(仅限 Windows) | 复选框 | 勾选 | 指定获取有关补丁的信息(仅限 Windows)。 |
| 包含磁盘信息 | 复选框 | 勾选 | 指定获取有关磁盘的信息。 |
| 包含网络接口信息 | 复选框 | 勾选 | 指定以获取有关网络接口的信息。 |
运行于
此操作适用于以下实体:
- 主机名
- IP 地址
操作结果
实体丰富化
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| patches_info | 返回 JSON 结果中是否存在相应值 |
| Disks_info | 返回 JSON 结果中是否存在相应值 |
| network_interfaces | 返回 JSON 结果中是否存在相应值 |
| Os_info | 返回 JSON 结果中是否存在相应值 |
| installed_security_products | 返回 JSON 结果中是否存在相应值 |
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[{
"EntityResult":
{
"patches_info":
[{
"collection_id": "f7d a62bb-318d-40c1-a490-85979c0c9ede",
"installed_on": "2/3/2018",
"hotfix_id": "KB4049065",
"machine_id": "870499c3-d6bf-8edd-972d-f2f6621dd971"
}],
"Disks_info":
[{
"disk_id": "\\\\Device\\\\HarddiskVolume2",
"fstype": "NTFS",
"disk_total": 15579738112,
"disk_free": 1219571712,
"collection_id": "a27ebace-32ec-4257-ab4f-7da49f02a9d4",
"device": "\\\\Device\\\\HarddiskVolume2",
"path": "C:\\\\",
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
}],
"network_interfaces":
[{
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"mac_address": "01:23:45:ab:cd:ef",
"ipv4_addresses": ["1.1.1.1"],
"ipv6_addresses": ["1111::1111:1111:1111:1111"],
"collection_id": "a27ebace-32ec-4257-ab4f-7da49f02a9d4",
"smp_interface": true,
"interface_name": "Ethernet0"
}],
"Os_info":
[{
"memory":
{ "ram_free": 1240039424,
"page_percent_used": 36.89334358507761,
"page_total": 2818101248,
"ram_percent_used": 42.24349594504104,
"ram_total": 2147012608,
"ram_used": 906973184,
"page_used": 1039691776,
"page_free": 1778409472
},
"doc_type": "collection",
"domain": "PC-01.test.com",
"endpoint":
{ "status": "unmonitored",
"ad_distinguished_name":
"CN=PC_01,OU=TESTOU,OU=Organization,DC=test,DC=com",
"ad_hostname": "test.com",
"operating_system": "Windows 10.0 ",
"name": "PC-01",
"display_operating_system": "Windows 10 (v1511)",
"hostname": "PC-01",
"updated_at": "2020-03-08T08:27:22.919880+00:00",
"mac_address": "01:23:45:ab:cd:ef",
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"ip_address": "1.1.1.1",
"id": "b23c8a14-69e0-4966-b78a-c9fba4fdd934"
},
"investigation_id": "85cff906-8b39-4a37-aa05-84950c9b2a02",
"hostname": "PC-01",
"bulk_task_id": null,
"original_machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"os_version":
{
"os_minor": 0,
"os_is_server": false,
"os_major": 10,
"os_build_number": 10586,
"os_service_pack": ""
},
"correlation_id": "7e17de5a-abcb-4de0-a510-7ca79bfdc345",
"architecture": "x64",
"sensor_info":
{
"malware_feature_version": "3.0.0",
"sensor_build_time": "1581375786",
"sensor_commit_sha": "80af56b6b295de785e502d82f39deac34973b2dd",
"sensor_build_number": 48,
"sensor_version": "3.53.9"
},
"time":
{
"tz_observes_dst": true,
"tz_currently_in_dst": false,
"tz_name": "Pacific Standard Time",
"tz_offset_minutes": 480
},
"os_type": "windows",
"ad_info":
{
"distinguished_name": "CN=PC-01,OU=TESTOU,OU=Organization,DC=test,DC=com",
"domain_hostname": "test.com"
},
"origination_task_id": "d3d67012-cfb1-47d0-8ec9-bf7ffb68a019"
}],
"installed_security_products":
[{
"security_product_type": "AntiVirus",
"collection_id": "a27ebace-32ec-4257-ab4f-7da49f02a9d4",
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
"enabled": false, "name": "Windows Defender"
}]
},
"Entity": "PC-01"
}]
用户会话调查
获取有关特定 Endgame 端点上活跃用户会话的信息。
参数
| 参数 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| 要返回的最大商品数 | 字符串 | 50 | 指定要返回的项数。 |
运行于
- 主机名
- IP 地址
操作结果
实体丰富化
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| 用户名 | 返回 JSON 结果中是否存在相应值 |
| shell | 返回 JSON 结果中是否存在相应值 |
| uid | 返回 JSON 结果中是否存在相应值 |
| 已开始 | 返回 JSON 结果中是否存在相应值 |
| 主机名 | 返回 JSON 结果中是否存在相应值 |
| host_ip | 返回 JSON 结果中是否存在相应值 |
| session_id | 返回 JSON 结果中是否存在相应值 |
| session_count | 返回 JSON 结果中是否存在相应值 |
| 终端 | 返回 JSON 结果中是否存在相应值 |
| 已结束 | 返回 JSON 结果中是否存在相应值 |
| GID | 返回 JSON 结果中是否存在相应值 |
| collection_id | 返回 JSON 结果中是否存在相应值 |
| machine_id | 返回 JSON 结果中是否存在相应值 |
| 已开始 | 返回 JSON 结果中是否存在相应值 |
| password_last_set | 返回 JSON 结果中是否存在相应值 |
| logon_type | 返回 JSON 结果中是否存在相应值 |
| sid | 返回 JSON 结果中是否存在相应值 |
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[{
"EntityResult":
[{
"username": "endgame",
"shell": "/opt/endgame/bin/console",
"uid": 1000,
"started": 1582554802.55514,
"hostname": "",
"host_ip": "",
"session_id": 887,
"session_count": 1,
"terminal": "tty1",
"ended": 0,
"gid": 1000,
"collection_id": "1aebade8-9f7b-4237-8c43-2aed8729511e",
"machine_id": "827255f4-53a2-1823-cac0-7c0f7730ca26"
}],
"Entity": "PC-01"
}, {
"EntityResult":
[{
"username": "example",
"domain": "3B",
"started": 1580205134.001,
"session_count": 1,
"ended": 0,
"password_last_set": 0,
"logon_type": "interactive",
"sid": "",
"collection_id": "88b876b1-5063-40a8-b40e-440df5eb8952",
"machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
}],
"Entity": "PC-02"
}
连接器
有关如何在 Google SecOps 中配置连接器的详细说明,请参阅配置连接器。
Endgame Connector
使用以下参数配置连接器:
| 参数 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| DeviceProductField | 字符串 | device_product | 用于确定设备产品的字段名称。 |
| EventClassId | 字符串 | event_name | 用于确定活动名称(子类型)的字段名称 |
| PythonProcessTimeout | 字符串 | 30 | 运行当前脚本的 Python 进程的超时限制(以秒为单位) |
| API 根 | 字符串 | 不适用 | 不适用 |
| 用户名 | 字符串 | 不适用 | 不适用 |
| 密码 | 密码 | 不适用 | 不适用 |
| 验证 SSL | 复选框 | 尚未核查 | 不适用 |
| 回溯的天数上限 | 字符串 | 不适用 | 不适用 |
| 环境字段名称 | 字符串 | 不适用 | 如果已定义,连接器会从指定的事件字段中提取环境。您可以使用正则表达式模式字段来处理字段数据,以提取特定字符串。 |
| 提醒数量上限 | 字符串 | 不适用 | 不适用 |
| 代理服务器地址 | 字符串 | 不适用 | 要使用的代理服务器的地址。 |
| 代理用户名 | 字符串 | 不适用 | 用于进行身份验证的代理用户名。 |
| 代理密码 | 密码 | 不适用 | 用于进行身份验证的代理密码。 |
连接器规则
连接器支持代理。
连接器支持动态列表。
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。