本頁面由 Cloud Translation API 翻譯而成。

終局之戰

整合版本：9.0

將 Endgame 與 Google Security Operations 整合

如需在 Google SecOps 中設定整合功能的詳細操作說明，請參閱「設定整合功能」。

動作

充實實體

根據 Endgame 的資訊，擴充 Google SecOps 主機和 IP 實體。

參數

不適用

用途

這項動作可用於調查裝置活動的劇本。如果裝置已安裝 Endgame 代理程式，這項動作會擷取裝置上的 Endgame 資訊，以擴充 Google SecOps 實體。

執行日期

這項動作會對下列實體執行：

主機
IP 位址

動作結果

實體充實

補充資料欄位名稱	邏輯 - 應用時機
Endgame_Domain	一律
Endgame_endpoint_id	一律
Endgame_hostname	一律
Endgame_sensors_status	一律
Endgame_sensors_id	一律
Endgame_sensors_status	一律
Endgame_sensors_id	一律
Endgame_policy_status	一律
Endgame_policy_name	一律
Endgame_policy_id	一律
Endgame_is_isolated	一律

指令碼結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

JSON 結果

{
  "data": [
      {
          "domain": "InstallerInitiated",
          "updated_at": "2019-11-01T05:42:08.149079+00:00",
          "id": "1682418d-02ff-43cd-a730-bcae8215a514",
          "display_operating_system": "CentOS 7.6",
          "hostname": "example",
          "mac_address": "01:23:45:ab:cd:ef",
          "upgrade_status": "",
          "base_image": false,
          "isolation_updated_at": null,
          "status": "monitored",
          "ad_distinguished_name": "",
          "ad_hostname": "",
          "tags": [
              {
                  "id": "a0927aeb-915a-466d-a5eb-5d7b6f9217c5",
                  "name": "BLUE TEAM"
              },
              {
                  "id": "bede2f24-593c-45e4-9863-9c2438f0f163",
                  "name": "SOC"
              },
              {
                  "id": "fc2dfcc8-9329-4f33-86a2-877bfb27575e",
                  "name": "CORE ENV"
              }
          ],
          "isolation_request_status": null,
          "alert_count": 0,
          "investigation_count": 0,
          "groups": [
              {
                  "is_dynamic": false,
                  "count": 4,
                  "id": "c1af3cd6-2638-4144-842d-adc9cfb67fb9",
                  "name": "SOC"
              }
          ],
          "sensors": [
              {
                  "status": "monitored",
                  "sensor_version": "3.52.12",
                  "policy_status": "successful",
                  "policy_name": "Lab (Detect-Only)",
                  "sensor_type": "hunt",
                  "id": "fbb87923-a833-5581-a160-7f4f85a21bd0",
                  "policy_id": "a1d72bce-1f61-4ba8-bcd4-dfa97148335f"
              }
          ],
          "ip_address": "192.0.2.1",
          "is_isolated": false,
          "operating_system": "Linux 3.10.0-957.27.2.el7.x86_64",
          "name": "example",
          "status_changed_at": "2020-01-07T08:15:11.865854+00:00",
          "core_os": "linux",
          "created_at": "2019-03-19T05:07:50.598837+00:00",
          "error": null,
          "machine_id": "827255f4-53a2-1823-cac0-7c0f7730ca26"
      },
      {
          "domain": "InstallerInitiated",
          "updated_at": "2019-11-01T05:42:09.150756+00:00",
          "id": "12c3530d-657f-4ccd-835e-6df9affeed3d",
          "display_operating_system": "Ubuntu 18.04.3",
          "hostname": "example",
          "mac_address": "01:23:45:ab:cd:ef",
          "upgrade_status": "",
          "base_image": false,
          "isolation_updated_at": null,
          "status": "monitored",
          "ad_distinguished_name": "",
          "ad_hostname": "",
          "tags": [],
          "isolation_request_status": null,
          "alert_count": 0,
          "investigation_count": 0,
          "groups": [
              {
                  "is_dynamic": false,
                  "count": 4,
                  "id": "c1af3cd6-2638-4144-842d-adc9cfb67fb9",
                  "name": "SOC"
              }
          ],
          "sensors": [
              {
                  "status": "monitored",
                  "sensor_version": "3.52.12",
                  "policy_status": "successful",
                  "policy_name": "Lab (Detect-Only)",
                  "sensor_type": "hunt",
                  "id": "dc2e35cc-0c87-5a60-8fc8-de23ef747d02",
                  "policy_id": "a1d72bce-1f61-4ba8-bcd4-dfa97148335f"
              }
          ],
          "ip_address": "192.0.2.1",
          "is_isolated": false,
          "operating_system": "Linux 4.15.0-72-generic",
          "name": "example",
          "status_changed_at": "2020-01-07T08:15:16.875375+00:00",
          "core_os": "linux",
          "created_at": "2019-09-20T21:34:51.966863+00:00",
          "error": null,
          "machine_id": "5ae8ddd9-9339-ae4b-ccf7-5ed68f38b3a9"
      }
  ],
  "metadata": {
      "count": 38,
      "previous_url": null,
      "timestamp": "2020-01-07T18:09:43.765744",
      "next": null,
      "per_page": 50,
      "next_url": null,
      "transaction_id": "569cdc38-8c7a-4b93-af99-aaf907dc8dd6",
      "previous": null
  }
}

可列出調查

列出 Endgame 調查。

參數

參數	類型	預設值	說明
作業系統	字串	Solaris、Windows、MacOS、Linux	指定要列出調查記錄的作業系統。參數可以採用以半形逗號分隔的多個值。
擷取過去 X 小時的調查	整數值	不適用	傳回在指定時間範圍內 (以小時為單位) 建立的調查。
要傳回的調查數量上限	整數值	不適用	指定要查詢的調查數量。

用途

調查可用於搜尋端點的不同物件，例如程序、IP 位址和檔案。這項操作可讓使用者列出調查。分析師可使用這項動作，確保系統執行所有必要調查。

執行日期

這項操作會對所有實體執行。

動作結果

指令碼結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

JSON 結果

{
  "data": [
      {
          "created_by_chat": false,
          "name": "Example User + 2020-01-08T13:47:51.334336_utc",
          "core_os": "windows",
          "created_at": "2020-01-08T13:47:51.340497+00:00",
          "task_completion": {
              "completed_tasks": 1,
              "total_tasks": 1
          },
          "archived": false,
          "created_by": {
              "username": "admin",
              "last_name": "User",
              "is_active": true,
              "is_editable": true,
              "is_ldap": false,
              "is_removable": false,
              "timezone": null,
              "id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
              "first_name": "Example",
              "last_viewed_alert": "2020-01-07T09:24:22.925000",
              "is_sso": false,
              "is_superuser": true,
              "role": {
                  "role": "Admin",
                  "id": "37e9e54e-0bb8-5058-9bd4-50a0d0fbea35",
                  "permissions": {
                      "endpoints.scan": true,
                      "sensor.admin.view": true,
                      "sensor.admin.update": true,
                      "endpoints.delete": true,
                      "endpoints.respond": true,
                      "search.search": true,
                      "sensor.admin.create": true,
                      "alerts.admin.forwardalerts": true,
                      "endpoints.tag": true,
                      "user.delete": true,
                      "endpoints.deploy": true,
                      "user.update": true,
                      "search.save": true,
                      "investigation.create": true,
                      "endpoints.view": true,
                      "user.view": true,
                      "sensor.admin.download": true,
                      "alerts.view": true,
                      "alerts.update": true,
                      "search.delete": true,
                      "sensor.admin.delete": true,
                      "endpoints.uninstall": true,
                      "investigation.view": true,
                      "admin": true,
                      "investigation.update": true,
                      "endpoints.changeconfiguration": true,
                      "user.create": true
                  }
              },
              "type": "Local",
              "email": null
          },
          "updated_at": "2020-01-08T13:47:51.379966+00:00",
          "created_by_user_display_name": "Example User",
          "canceled_by_user_id": null,
          "version": 2,
          "endpoint_count": 1,
          "assigned_to": {
              "username": "admin",
              "last_name": "User",
              "is_active": true,
              "is_editable": true,
              "is_ldap": false,
              "is_removable": false,
              "timezone": null,
              "id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
              "first_name": "Example",
              "last_viewed_alert": "2020-01-07T09:24:22.925000",
              "is_sso": false,
              "is_superuser": true,
              "role": {
                  "role": "Admin",
                  "id": "37e9e54e-0bb8-5058-9bd4-50a0d0fbea35",
                  "permissions": {
                      "endpoints.scan": true,
                      "sensor.admin.view": true,
                      "sensor.admin.update": true,
                      "endpoints.delete": true,
                      "endpoints.respond": true,
                      "search.search": true,
                      "sensor.admin.create": true,
                      "alerts.admin.forwardalerts": true,
                      "endpoints.tag": true,
                      "user.delete": true,
                      "endpoints.deploy": true,
                      "user.update": true,
                      "search.save": true,
                      "investigation.create": true,
                      "endpoints.view": true,
                      "user.view": true,
                      "sensor.admin.download": true,
                      "alerts.view": true,
                      "alerts.update": true,
                      "search.delete": true,
                      "sensor.admin.delete": true,
                      "endpoints.uninstall": true,
                      "investigation.view": true,
                      "admin": true,
                      "investigation.update": true,
                      "endpoints.changeconfiguration": true,
                      "user.create": true
                  }
              },
              "type": "Local",
              "email": null
          },
          "id": "e0ad7613-daf6-435f-98f6-ce40eae01acc",
          "canceled_by_user_display_name": null,
          "user_display_name": "Example User",
          "hunt_count": 1,
          "is_canceled": false
      }
  ],
 "metadata": {
      "count": 46,
      "previous_url": null,
      "timestamp": "2020-01-08T16:02:09.251511",
      "next": 2,
      "per_page": 1,
      "next_url": "/api/v1/investigations/?per_page=1&page=2",
      "previous": null
  }
}

取得調查詳細資料

取得特定 Endgame 調查的相關資訊。

參數

參數	類型	預設值	說明
調查 ID	字串	不適用	指定要搜尋的 Endgame 調查 ID。

用途

調查可用於搜尋端點的不同物件，例如程序、IP 位址和檔案。使用者可透過這項操作，取得特定調查的詳細資訊。分析師可使用這項動作，確保系統已執行所有必要工作。

執行日期

這項操作會對所有實體執行。

動作執行結果

指令碼結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

JSON 結果

{
    "data": {
        "tasks": [
            "6500673c-d246-41a3-882d-d3a339f28497"
        ],
        "user_display_name": "Example User",
        "task_types": [
            "Process Survey"
        ],
        "task_completion": {
            "completed_tasks": 1,
            "total_tasks": 1
        },
        "updated_at": "2020-01-06T13:30:33.851816+00:00",
        "created_by_user_display_name": "Example User",
        "id": "54caeedc-d6b0-4ca0-8f64-8798d1c34d54",
        "task_completions_by_type": {
            "Process Survey": {
                "completed_tasks": 1,
                "task_type_id": "2fbf0c36-5160-5c31-99ec-0fa5880c6bd1",
                "total_tasks": 1
            }
        },
        "archived": false,
        "user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
        "is_canceled": false,
        "created_by": {
            "username": "admin",
            "last_name": "User",
            "is_active": true,
            "is_editable": true,
            "is_ldap": false,
            "is_removable": false,
            "timezone": null,
            "id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
            "first_name": "Example",
            "last_viewed_alert": "2020-01-06T09:27:04.097000",
            "is_sso": false,
            "is_superuser": true,
            "role": {
                "role": "Admin",
                "id": "37e9e54e-0bb8-5058-9bd4-50a0d0fbea35",
                "permissions": {
                    "endpoints.scan": true,
                    "sensor.admin.view": true,
                    "sensor.admin.update": true,
                    "endpoints.delete": true,
                    "endpoints.respond": true,
                    "search.search": true,
                    "sensor.admin.create": true,
                    "alerts.admin.forwardalerts": true,
                    "endpoints.tag": true,
                    "user.delete": true,
                    "endpoints.deploy": true,
                    "user.update": true,
                    "search.save": true,
                    "investigation.create": true,
                    "endpoints.view": true,
                    "user.view": true,
                    "sensor.admin.download": true,
                    "alerts.view": true,
                    "alerts.update": true,
                    "search.delete": true,
                    "sensor.admin.delete": true,
                    "endpoints.uninstall": true,
                    "investigation.view": true,
                    "admin": true,
                    "investigation.update": true,
                    "endpoints.changeconfiguration": true,
                    "user.create": true
                }
            },
            "type": "Local",
            "email": null
        },
        "hunt_count": 1,
        "canceled_by_user_id": null,
        "version": 2,
        "endpoint_count": 1,
        "canceled_by_user_display_name": null,
        "created_by_user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
        "account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
        "created_by_chat": false,
        "sensors": [
            "8eef6873-6db7-58ab-a1ca-68dc19b54117"
        ],
        "name": "Example User + 2020-01-06T13:30:33.808543_utc",
        "core_os": "windows",
        "created_at": "2020-01-06T13:30:33.813747+00:00",
        "assigned_to": {
            "username": "admin",
            "last_name": "User",
            "is_active": true,
            "is_editable": true,
            "is_ldap": false,
            "is_removable": false,
            "timezone": null,
            "id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
            "first_name": "Example",
            "last_viewed_alert": "2020-01-06T09:27:04.097000",
            "is_sso": false,
            "is_superuser": true,
            "role": {
                "role": "Admin",
                "id": "37e9e54e-0bb8-5058-9bd4-50a0d0fbea35",
                "permissions": {
                    "endpoints.scan": true,
                    "sensor.admin.view": true,
                    "sensor.admin.update": true,
                    "endpoints.delete": true,
                    "endpoints.respond": true,
                    "search.search": true,
                    "sensor.admin.create": true,
                    "alerts.admin.forwardalerts": true,
                    "endpoints.tag": true,
                    "user.delete": true,
                    "endpoints.deploy": true,
                    "user.update": true,
                    "search.save": true,
                    "investigation.create": true,
                    "endpoints.view": true,
                    "user.view": true,
                    "sensor.admin.download": true,
                    "alerts.view": true,
                    "alerts.update": true,
                    "search.delete": true,
                    "sensor.admin.delete": true,
                    "endpoints.uninstall": true,
                    "investigation.view": true,
                    "admin": true,
                    "investigation.update": true,
                    "endpoints.changeconfiguration": true,
                    "user.create": true
                }
            },
            "type": "Local",
            "email": null
        },
 "endpoints": [
            "b23c8a14-69e0-4966-b78a-c9fba4fdd934"
        ]
    },
    "metadata": {
        "timestamp": "2020-01-06T14:00:53.716517"
    }
}

取得主機隔離設定

取得 Endgame 中定義的主機隔離設定。

參數

不適用

用途

這項動作用於取得主機隔離設定的相關資訊。這個設定可讓隔離主機連線至列出的 IP 位址。分析師可使用這項動作，確認所有必要 IP 位址都在主機隔離設定中。

執行日期

這項操作會對所有實體執行。

動作結果

指令碼結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

JSON 結果

{
  "data": [
      {
          "id": "47999eeb-f076-5aca-a7cc-56bf7ac2b647",
          "comments": [
              {
                  "comment": "Testing API",
                  "entity_id": "47999eeb-f076-5aca-a7cc-56bf7ac2b647",
                  "user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
                  "account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
                  "entity_type": "whitelisted_ip",
                  "created_at": "2020-01-07T15:59:56Z",
                  "updated_at": "2020-01-07T15:59:56Z",
                  "id": 547,
                  "activity_type": "comment"
              }
          ],
          "addr": "192.0.2.1/30"
      },
      {
          "id": "6ab5575c-718e-5e24-bd4d-77e0694ad6fc",
          "comments": [
              {
                  "comment": "Testing API",
                  "entity_id": "6ab5575c-718e-5e24-bd4d-77e0694ad6fc",
                  "user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
                  "account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
                  "entity_type": "whitelisted_ip",
                  "created_at": "2020-01-07T15:58:29Z",
                  "updated_at": "2020-01-07T15:58:29Z",
                  "id": 545,
                  "activity_type": "comment"
              }
          ],
          "addr": "192.0.2.11/32"
      },
      {
          "id": "72bdf5d2-4cc6-5ccf-9787-a539fae9c517",
  "comments": [
              {
                  "comment": "CIDR Test",
                  "entity_id": "72bdf5d2-4cc6-5ccf-9787-a539fae9c517",
                  "user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
                  "account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
                  "entity_type": "whitelisted_ip",
                  "created_at": "2020-01-07T15:58:04Z",
                  "updated_at": "2020-01-07T15:58:04Z",
                  "id": 543,
                  "activity_type": "comment"
              }
          ],
          "addr": "198.51.100.1/32"
      },
      {
          "id": "5aa89c8f-a535-5876-840c-af33a7ec1419",
          "comments": [
              {
                  "comment": "Testing API",
                  "entity_id": "5aa89c8f-a535-5876-840c-af33a7ec1419",
                  "user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
                  "account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
                  "entity_type": "whitelisted_ip",
                  "created_at": "2020-01-07T15:57:24Z",
                  "updated_at": "2020-01-07T15:57:24Z",
                  "id": 541,
                  "activity_type": "comment"
              }
          ],
          "addr": "198.51.100.10"
      },
      {
          "id": "06461575-700b-596d-8662-7ea0aff28e9c",
          "comments": [
              {
                  "comment": "Test Isolation",
                  "entity_id": "06461575-700b-596d-8662-7ea0aff28e9c",
                  "user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
                  "account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
                  "entity_type": "whitelisted_ip",
                  "created_at": "2020-01-07T15:55:21Z",
                  "updated_at": "2020-01-07T15:55:21Z",
                  "id": 539,
                  "activity_type": "comment"
              }
          ],
          "addr": "203.0.113.1"
      }
  ],
  "metadata": {
      "count": 5,
      "previous_url": null,
      "timestamp": "2020-01-07T16:00:19.754687",
      "next": null,
      "per_page": 10,
      "next_url": null,
      "previous": null
  }
}

將 IP 子網路新增至主機隔離設定

將 IP 子網路新增至 Endgame 中定義的主機隔離設定。

參數

參數	類型	預設值	說明
IP 子網路	字串	不適用	輸入要新增至主機隔離設定的 IPv4 子網路。
說明	字串	不適用	輸入 IP 子網路的說明。
建立洞察資料	核取方塊	未勾選	啟用後，系統會在成功執行這項動作後建立洞察資料。

用途

這項動作用於取得主機隔離設定的相關資訊。這項設定可讓隔離主機連線至所列的 IP 子網路。分析師可使用這項動作，將必要的 IP 子網路新增至主機隔離設定。

執行時間

這項操作會對所有實體執行。

動作執行結果

深入分析

如果使用 Endgame 將 IP 子網路新增至主機隔離設定，請建立洞察資料來指出這點。

指令碼結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

從主機隔離設定中移除 IP 子網路

從 Endgame 中定義的主機隔離設定移除 IP 子網路。

參數

參數	類型	預設值	說明
IP 子網路	字串	不適用	輸入要新增至主機隔離設定的 IPv4 子網路。
建立洞察資料	核取方塊	未勾選	啟用後，系統會在成功執行這項動作後建立洞察資料。

用途

這項動作用於取得主機隔離設定的相關資訊。這項設定可讓隔離主機連線至所列的 IP 子網路。分析師可使用這項動作，從主機隔離設定中移除不再需要的 IP 子網路。

執行日期

這項操作會對所有實體執行。

動作結果

深入分析

如果使用 Endgame 從主機隔離設定中移除 IP 子網路，請建立洞察資料來指出這點。

指令碼結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

收集 Autoruns (僅限 Windows)

從 Endgame 端點收集自動執行項目。

參數

參數顯示名稱	類型	預設值	說明
要傳回的項目數量上限	整數	1000	指定要傳回的自動執行次數。
「全部」類別	核取方塊	已勾選	如果啟用，請搜尋所有自動執行類別。
「網路供應商」類別	核取方塊	已取消勾選	啟用後，請搜尋「Network Provider」自動執行類別。
「Office」類別	核取方塊	已取消勾選	如果已啟用，請搜尋「Office」自動執行類別。
「駕駛人」類別	核取方塊	已取消勾選	如果已啟用，請搜尋「Driver」自動執行類別。
「應用程式初始化」類別	核取方塊	已取消勾選	如果已啟用，請搜尋「App Init」自動執行類別。
「Winlogon」類別	核取方塊	已取消勾選	如果已啟用，請搜尋「Winlogon」自動執行類別。
「列印監控」類別	核取方塊	已取消勾選	如果已啟用，請搜尋「Print Monitor」自動執行類別。
「輕鬆存取」類別	核取方塊	已取消勾選	如果已啟用，請搜尋「輕鬆存取」自動執行類別。
「WMI」類別	核取方塊	已取消勾選	如果已啟用，請搜尋「WMI」自動執行類別。
「LSA 供應商」類別	核取方塊	已取消勾選	如果已啟用，請搜尋「LSA Provider」自動執行類別。
「服務」類別	核取方塊	已取消勾選	如果已啟用，請搜尋「Service」自動執行類別。
「Bits」類別	核取方塊	已取消勾選	如果已啟用，請搜尋「位元」自動執行類別。
「已知 DLL」類別	核取方塊	已取消勾選	如果已啟用，請搜尋「Known dll」自動執行類別。
「列印服務供應商」類別	核取方塊	已取消勾選	如果已啟用，請搜尋「Print Provider」自動執行類別。
「圖片劫持」類別	核取方塊	已取消勾選	如果已啟用，請搜尋「Image Hijack」自動執行類別。
「啟動資料夾」類別	核取方塊	已取消勾選	如果已啟用，請搜尋「Startup Folder」自動執行類別。
「Internet Explorer」類別	核取方塊	已取消勾選	如果已啟用，請搜尋「Internet Explorer」自動執行類別。
「Codec」類別	核取方塊	已取消勾選	如果已啟用，請搜尋「Codec」自動執行類別。
「登入」類別	核取方塊	已取消勾選	如果已啟用，請搜尋「Logon」自動執行類別。
「搜尋順序遭劫持」類別	核取方塊	已取消勾選	如果已啟用，請搜尋「Search Order Hijack」自動執行類別。
「Winsock 服務供應商」類別	核取方塊	已取消勾選	如果已啟用，請搜尋「Winsock Provider」自動執行類別。
「Boot Execute」(開機執行) 類別	核取方塊	已取消勾選	如果已啟用，請搜尋「Boot Execute」自動執行類別。
「Phantom dll」類別	核取方塊	已取消勾選	如果已啟用，請搜尋「Phantom dll」自動執行類別。
「Com Hijack」類別	核取方塊	已取消勾選	如果已啟用，請搜尋「Com Hijack」自動執行類別。
「Explorer」類別	核取方塊	已取消勾選	如果已啟用，請搜尋「Explorer」自動執行類別。
「排定的工作」類別	核取方塊	已取消勾選	如果已啟用，請搜尋「Scheduled Task」自動執行類別。
包含所有中繼資料	核取方塊	已勾選	啟用後，系統會提供所有可用資料。
包含惡意軟體分類中繼資料	核取方塊	已取消勾選	如果啟用，會提供 MalwareScore 相關資訊。
包含 Authenticode 中繼資料	核取方塊	已取消勾選	如果啟用，系統會提供簽署者資訊。
包含 MD5 雜湊	核取方塊	已取消勾選	啟用後，會在回應中提供 MD5 雜湊。
包含 SHA-1 雜湊	核取方塊	已取消勾選	如果啟用，會在回應中提供 SHA-1 雜湊。
包含 SHA-256 雜湊	核取方塊	已取消勾選	啟用後，回應中會提供 SHA-256 雜湊值。

用途

這項動作可用於收集端點上自動執行的相關資訊。這項資料可協助分析師執行分類和補救程序。

執行日期

這項動作會對下列實體執行：

主機
IP 位址

動作結果

指令碼結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

JSON 結果

{
  "data": {
      "count": 1,
      "per_page": 50,
      "previous": null,
      "tasks": [
          {
              "user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
              "data": {
                  "category_option": {
                      "category_network_provider": true,
                      "category_office": false,
                      "category_driver": false,
                      "category_app_init": false,
                      "category_winlogon": false,
                      "category_print_monitor": false,
                      "category_ease_of_access": false,
                      "category_wmi": false,
                      "category_lsa_provider": false,
                      "category_service": false,
                      "category_bits": false,
                      "category_known_dll": false,
                      "category_print_provider": false,
                      "category_image_hijack": false,
                      "category_startup_folder": false,
                      "category_internet_explorer": false,
                      "category_codec": false,
                      "category_logon": false,
                      "category_all": false,
                      "category_search_order_hijack": false,
                      "category_winsock_provider": false,
                      "category_boot_execute": false,
                      "category_phantom_dll": false,
                      "category_com_hijack": false,
                      "category_explorer": false,
                      "category_scheduled_task": false
                  },
                  "metadata_option": {
                      "metadata_all": true,
                      "metadata_malware_classification": false,
                      "metadata_sha1": false,
                      "metadata_sha256": false,
                      "metadata_authenticode": false,
                      "metadata_md5": false
                  }
              },
              "account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
              "metadata": {
                  "sensor_id": "8eef6873-6db7-58ab-a1ca-68dc19b54117",
                  "investigation_id": "0b043f77-531f-4109-93b1-e01019ad0980",
                  "task_id": "e667b0c3-39de-4862-9baf-d6697db79721",
                  "echo": "",
                  "endpoint_id": "b23c8a14-69e0-4966-b78a-c9fba4fdd934",
                  "destination_plugin": "autoruns",
                  "key": "collectAutoRunsRequest",
                  "semantic_version": "3.52.\\d+",
                  "collection_id": "2393f424-bf57-40af-81e6-91b95acf5409"
              }
          }
      ],
      "next": null
  },
  "metadata": {
      "timestamp": "2020-01-08T13:15:37.238341"
  }
}

隔離主機

隔離 Endgame 端點。這項動作僅支援 Windows 和 macOS 系統。

參數

參數	類型	預設值	說明
建立洞察資料	核取方塊	已取消勾選	啟用後，系統會在成功執行這項動作後建立洞察資料。

用途

執行日期

這項動作會對下列實體執行：

主機
IP 位址

動作結果

實體充實

不適用

深入分析

如果端點是使用 Endgame 代理程式隔離，請建立洞察資料來指出這一點。

指令碼結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

JSON 結果

{
  "data": {
      "valid": true,
      "bulk_task_id": "a6ccc2f7-39a7-42e7-b646-41b281316b1d",
      "error_messages": []
  },
  "metadata": {
      "timestamp": "2020-01-08T15:09:22.474963"
  }
}

Unisolate Host

解除隔離 Endgame 端點。這項動作僅支援 Windows 和 macOS 系統。

參數

參數顯示名稱	類型	預設值	說明
建立洞察資料	核取方塊	已取消勾選	啟用後，系統會在成功執行這項動作後建立洞察資料。

執行日期

這項動作會對下列實體執行：

主機
IP 位址

動作執行結果

深入分析

如果端點是使用 Endgame 代理程式解除隔離，請建立洞察資料來指出這點。

指令碼結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

JSON 結果

{
  "data": {
      "domain": "InstallerInitiated",
      "updated_at": "2020-01-08T08:16:26.063394+00:00",
      "id": "b23c8a14-69e0-4966-b78a-c9fba4fdd934",
      "display_operating_system": "Windows 10 (v1511)",
      "hostname": "example",
      "mac_address": "01:23:45:ab:cd:ef",
      "upgrade_status": "",
      "base_image": false,
      "isolation_updated_at": "2020-01-08T15:09:24.665367+00:00",
      "status": "monitored",
      "ad_distinguished_name": "CN=EXAMPLE,CN=Computers,DC=example,DC=com",
      "ad_hostname": "example.com",
      "tags": [],
      "isolation_request_status": null,
      "alert_count": 0,
      "groups": [
          {
              "is_dynamic": false,
              "count": 2,
              "id": "d9de26c9-ee63-4d38-9997-7418bd13c45e",
              "name": "Demo: APT28"
          }
      ],
      "sensors": [
          {
              "status": "monitored",
              "sensor_version": "3.52.12",
              "policy_status": "successful",
              "policy_name": "Lab (Detect-Only with Streaming)",
              "sensor_type": "hunt",
              "id": "8eef6873-6db7-58ab-a1ca-68dc19b54117",
              "policy_id": "07b7a44f-25f3-4e5c-977b-2915de8160c5"
          }
      ],
      "ip_address": "192.0.2.3",
      "is_isolated": false,
      "operating_system": "Windows 10.0",
      "name": "example",
      "status_changed_at": "2020-01-08T12:30:48.704802+00:00",
      "core_os": "windows",
      "created_at": "2019-11-01T06:31:32.519640+00:00",
      "error": null,
      "machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
  },
  "metadata": {
      "timestamp": "2020-01-08T15:16:34.303701"
  }
}

下載檔案

從特定 Endgame 端點下載檔案。

參數

參數顯示名稱	類型	預設值	說明
完整檔案路徑	字串	不適用	啟用後，系統會在成功執行這項動作後建立洞察資料。
完整下載資料夾路徑	字串	不適用	輸入要儲存這個檔案的資料夾路徑。
預期 SHA-256 雜湊	字串	不適用	輸入預期的 SHA-256 雜湊。

用途

您可以使用這項動作從端點存取檔案。有時需要手動處理檔案，這項活動可協助使用者存取所需檔案。

執行日期

這項動作會對下列實體執行：

主機
IP 位址

動作結果

深入分析

如果端點是使用 Endgame 代理程式解除隔離，請建立洞察資料來指出這點。

指令碼結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

JSON 結果

如果狀態為 success，JSON 結果如下：

{
  "data": {
      "status": "success",
      "doc_type": "collection",
      "endpoint": {
          "domain": "InstallerInitiated",
          "updated_at": "2019-11-01T05:41:10.150817+00:00",
          "id": "a3cdc174-3af0-400a-85c3-bbb1435a6b61",
          "display_operating_system": "Ubuntu 18.04.1",
          "hostname": "example",
          "mac_address": "01:23:45:ab:cd:ef",
          "base_image": false,
          "isolation_updated_at": null,
          "status": "monitored",
          "ad_distinguished_name": "",
          "ad_hostname": "",
          "tags": [
              {
                  "id": "fc2dfcc8-9329-4f33-86a2-877bfb27575e",
                  "name": "CORE ENV"
              }
          ],
          "isolation_request_status": null,
          "upgrade_status": "",
          "groups": [
              {
                  "is_dynamic": false,
                  "count": 1,
                  "id": "e453d4f6-95c9-4dc5-bc41-2f4cae423e19",
                  "name": "Demo: Bad Admin"
              }
          ],
          "sensors": [
              {
                  "status": "A",
                  "sensor_version": "3.52.12",
                  "sensor_type": "hunt",
                  "id": "c7347a4b-3e71-5514-980f-90bdbab758cf"
              }
          ],
          "ip_address": "192.0.2.1",
          "is_isolated": false,
          "operating_system": "Linux 4.15.0-29-generic",
          "name": "example",
          "status_changed_at": "2020-01-07T08:16:46.895105+00:00",
          "core_os": "linux",
          "created_at": "2019-03-19T04:25:06.953312+00:00",
          "error": null,
          "machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d"
      },
      "task_id": "0854ae75-47ca-438a-8731-615defac44ac",
      "family": "response",
      "data": {
          "results": [
              {
                  "size": 1731,
                  "endpoint": {
                      "status": "monitored",
                      "ad_distinguished_name": "",
                      "ad_hostname": "",
                      "operating_system": "Linux 4.15.0-29-generic",
                      "name": "example",
                      "display_operating_system": "Ubuntu 18.04.1",
                      "hostname": "example",
                      "updated_at": "2020-01-07T08:16:44Z",
                      "mac_address": "01:23:45:ab:cd:ef",
                      "ip_address": "192.0.2.1",
                      "id": "a3cdc174-3af0-400a-85c3-bbb1435a6b61"
                  },
                  "user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
                  "account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
                  "investigation_id": null,
                  "filepath": "/home/a-arobinson/Downloads/bad_admin.sh",
                  "bulk_task_id": null,
                  "created_by": "a-arobinson",
                  "file_uuid": "4c45cc36-b6ca-412a-ae0b-ed214a9c7187",
                  "correlation_id": "13dfca7b-9e75-4115-be93-e6684dbfc7c8",
                  "user": {
                      "username": "admin",
                      "first_name": "Example",
                      "last_name": "User",
                      "id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1"
                  },
                  "chunk_size": 26214400,
                  "existing_path": "/home/a-arobinson/Downloads/bad_admin.sh",
                  "sha256": "8066b309db13bae560c15c35f42247a0f778786f0056d326ff3e6dffd1eac4f8",
                  "origination_task_id": "0854ae75-47ca-438a-8731-615defac44ac",
                  "md5": "6441b8f58feddb5a5f6fcd81c117ecb8"
              }
          ]
      },
      "created_at": "2020-01-07T11:28:02.826397Z",
      "os_type": "linux",
      "machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d",
      "type": "downloadFileResponse",
      "id": "d6fb3bf3-afea-44e0-8472-389f4e7e0002"
  },
  "metadata": {
      "count": 1,
      "previous_url": null,
      "timestamp": "2020-01-07T11:41:56.750788",
      "next": null,
      "per_page": 50,
      "next_url": null,
      "previous": null
  }
}

如果狀態為 failure，JSON 結果如下：

{
    "data": {
        "status": "failure",
        "doc_type": "collection",
        "endpoint": {
            "domain": "InstallerInitiated",
            "updated_at": "2019-11-01T05:42:09.150756+00:00",
            "id": "12c3530d-657f-4ccd-835e-6df9affeed3d",
            "display_operating_system": "Ubuntu 18.04.3",
            "hostname": "example",
            "mac_address": "01:23:45:ab:cd:ef",
            "base_image": false,
            "isolation_updated_at": null,
            "status": "monitored",
            "ad_distinguished_name": "",
            "ad_hostname": "",
            "tags": [],
            "isolation_request_status": null,
            "upgrade_status": "",
            "groups": [
                {
                    "is_dynamic": false,
                    "count": 4,
                    "id": "c1af3cd6-2638-4144-842d-adc9cfb67fb9",
                    "name": "SOC"
                }
            ],
            "sensors": [
                {
                    "status": "A",
                    "sensor_version": "3.52.12",
                    "sensor_type": "hunt",
                    "id": "dc2e35cc-0c87-5a60-8fc8-de23ef747d02"
                }
            ],
            "ip_address": "192.0.2.1",
            "is_isolated": false,
            "operating_system": "Linux 4.15.0-72-generic",
            "name": "example",
            "status_changed_at": "2020-01-19T11:05:16.765186+00:00",
            "core_os": "linux",
            "created_at": "2019-09-20T21:34:51.966863+00:00",
            "error": null,
            "machine_id": "5ae8ddd9-9339-ae4b-ccf7-5ed68f38b3a9"
        },
        "task_id": "85148460-c868-4fe5-a3e6-0d90784fadd1",
        "family": "response",
        "data": {
            "results": [
                {
                    "endpoint": {
                        "status": "monitored",
                        "ad_distinguished_name": "",
                        "ad_hostname": "",
                        "operating_system": "Linux 4.15.0-72-generic",
                        "name": "example",
                        "display_operating_system": "Ubuntu 18.04.3",
                        "hostname": "example",
                        "updated_at": "2020-01-16T14:04:22Z",
                        "mac_address": "01:23:45:ab:cd:ef",
                        "ip_address": "192.0.2.1",
                        "id": "12c3530d-657f-4ccd-835e-6df9affeed3d"
                    },
                    "user_id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1",
                    "account_id": "c374bb8a-9a98-4823-b280-68e74c170a0e",
                    "investigation_id": null,
                    "expected_sha256": "123",
                    "bulk_task_id": null,
                    "correlation_id": "a7dc04c8-932c-4056-9477-8095b1fa15d8",
                    "user": {
                        "username": "admin",
                        "first_name": "Example",
                        "last_name": "User",
                        "id": "5ed3c5d7-f450-489d-8b5f-9430b18da4c1"
                    },
                    "chunk_size": 26214400,
                    "existing_path": "/home/example/Downloads/bad_admin.sh",
                    "origination_task_id": "85148460-c868-4fe5-a3e6-0d90784fadd1"
                }
            ]
        },
        "created_at": "2020-01-19T12:19:57Z",
        "os_type": "linux",
        "machine_id": "5ae8ddd9-9339-ae4b-ccf7-5ed68f38b3a9",
        "type": "downloadFileResponse",
        "id": "8eb6b538-d480-4210-92fb-df08a3a4dfb9"
    },
    "metadata": {
        "count": 1,
        "previous_url": null,
        "timestamp": "2020-01-19T12:23:23.623961",
        "next": null,
        "per_page": 50,
        "next_url": null,
        "previous": null
    }
}

刪除檔案

從 Endgame 端點刪除檔案。

參數

參數顯示名稱	類型	預設值	說明
檔案路徑	字串	不適用	輸入檔案路徑。

用途

這項操作可用於從端點刪除檔案。舉例來說，如果發現惡意軟體，分析師可以運用這項功能移除惡意軟體。

執行日期

這項動作會對下列實體執行：

主機
IP 位址

動作結果

深入分析

如果端點是使用 Endgame 代理程式解除隔離，請建立洞察資料來指出這點。

指令碼結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

JSON 結果

(status = success)

{
    "data": [
        {
            "status": "success",
            "doc_type": "collection",
            "endpoint": {
                "domain": "InstallerInitiated",
                "updated_at": "2019-11-01T05:41:10.150817+00:00",
                "id": "a3cdc174-3af0-400a-85c3-bbb1435a6b61",
                "display_operating_system": "Ubuntu 18.04.1",
                "hostname": "08203s-lubu1804",
                "mac_address": "01:23:45:ab:cd:ef",
                "upgrade_status": "",
                "base_image": false,
                "isolation_updated_at": null,
                "status": "monitored",
                "ad_distinguished_name": "",
                "ad_hostname": "",
                "tags": [
                    {
                        "id": "fc2dfcc8-9329-4f33-86a2-877bfb27575e",
                        "name": "CORE ENV"
                    }
                ],
                "isolation_request_status": null,
                "groups": [
                    {
                        "is_dynamic": false,
                        "count": 1,
                        "id": "e453d4f6-95c9-4dc5-bc41-2f4cae423e19",
                        "name": "Demo: Bad Admin"
                    }
                ],
                "sensors": [
                    {
                        "status": "monitored",
                        "sensor_version": "3.52.12",
                        "policy_status": "successful",
                        "policy_name": "Lab (Detect-Only with Streaming)",
                        "sensor_type": "hunt",
                        "id": "c7347a4b-3e71-5514-980f-90bdbab758cf",
                        "policy_id": "07b7a44f-25f3-4e5c-977b-2915de8160c5"
                    }
                ],
                "ip_address": "192.0.2.1",
                "is_isolated": false,
                "operating_system": "Linux 4.15.0-29-generic",
                "name": "08203s-lubu1804",
                "status_changed_at": "2020-01-20T07:25:02.633331+00:00",
                "core_os": "linux",
                "created_at": "2019-03-19T04:25:06.953312+00:00",
                "error": null,
                "machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d"
            },
            "task_id": "bfb82b8d-71a0-4e5f-9cfe-bd573ea32b25",
            "family": "response",
            "created_at": "2020-01-20T07:31:37Z",
            "local_msg": "Success",
            "system_msg": null,
            "system_code": null,
            "local_code": 0,
            "os_type": "linux",
            "machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d",
            "type": "deleteFileResponse",
            "id": "eb50fe9c-1059-42d4-9f5f-52e5af4ae64d"
        }
    ],
    "metadata": {
        "count": 1,
        "previous_url": null,
        "timestamp": "2020-01-20T07:32:04.425044",
        "next": null,
        "per_page": 50,
        "next_url": null,
        "previous": null
    }
}

(status = failure) local_msg 和 system_msg 會一併使用。

{
  "data": [
      {
          "status": "failure",
          "doc_type": "collection",
          "endpoint": {
              "domain": "InstallerInitiated",
              "updated_at": "2019-11-01T05:41:10.150817+00:00",
              "id": "a3cdc174-3af0-400a-85c3-bbb1435a6b61",
              "display_operating_system": "Ubuntu 18.04.1",
              "hostname": "08203s-lubu1804",
              "mac_address": "01:23:45:ab:cd:ef",
              "upgrade_status": "",
              "base_image": false,
              "isolation_updated_at": null,
              "status": "monitored",
              "ad_distinguished_name": "",
              "ad_hostname": "",
              "tags": [
                  {
                      "id": "fc2dfcc8-9329-4f33-86a2-877bfb27575e",
                      "name": "CORE ENV"
                  }
              ],
              "isolation_request_status": null,
              "groups": [
                  {
                      "is_dynamic": false,
                      "count": 1,
                      "id": "e453d4f6-95c9-4dc5-bc41-2f4cae423e19",
                      "name": "Demo: Bad Admin"
                  }
              ],
              "sensors": [
                  {
                      "status": "monitored",
                      "sensor_version": "3.52.12",
                      "policy_status": "successful",
                      "policy_name": "Lab (Detect-Only with Streaming)",
                      "sensor_type": "hunt",
                      "id": "c7347a4b-3e71-5514-980f-90bdbab758cf",
                      "policy_id": "07b7a44f-25f3-4e5c-977b-2915de8160c5"
                  }
              ],
              "ip_address": "192.0.2.1",
              "is_isolated": false,
              "operating_system": "Linux 4.15.0-29-generic",
              "name": "08203s-lubu1804",
              "status_changed_at": "2020-01-07T08:16:46.895105+00:00",
              "core_os": "linux",
              "created_at": "2019-03-19T04:25:06.953312+00:00",
              "error": null,
              "machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d"
          },
          "task_id": "5da277fe-503d-468a-822b-8801d9671cde",
          "family": "response",
          "created_at": "2020-01-07T13:10:50Z",
          "local_msg": "Not found",
          "system_msg": null,
          "system_code": null,
          "local_code": -7,
          "os_type": "linux",
          "machine_id": "b389c979-2fb1-6a8c-63bc-5547b3c26d1d",
          "type": "deleteFileResponse",
          "id": "6f3e6148-6801-4cb8-8a5d-25f75ea93555"
      }
  ],
  "metadata": {
      "count": 1,
      "previous_url": null,
      "timestamp": "2020-01-07T13:16:18.834163",
      "next": null,
      "per_page": 5,
      "next_url": null,
      "previous": null
  }
}

駕駛人問卷調查 (僅限 Windows)

從特定 Endgame 端點取得驅動程式資訊。

參數

參數	類型	預設值	說明
要傳回的項目數量上限	字串	50	指定要傳回的項目數量。

執行日期

這項動作會對下列實體執行：

主機名稱
IP 位址

動作結果

實體充實

補充資料欄位名稱	邏輯 - 應用時機
driver_basename	如果 JSON 結果中存在該值，則傳回該值
driver_filename	如果 JSON 結果中存在該值，則傳回該值
date_modified	如果 JSON 結果中存在該值，則傳回該值
driver_file_version	如果 JSON 結果中存在該值，則傳回該值
driver_load_address	如果 JSON 結果中存在該值，則傳回該值
collection_id	如果 JSON 結果中存在該值，則傳回該值
hashes	如果 JSON 結果中存在該值，則傳回該值
machine_id	如果 JSON 結果中存在該值，則傳回該值
driver_product_version	如果 JSON 結果中存在該值，則傳回該值
driver_description	如果 JSON 結果中存在該值，則傳回該值

指令碼結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

JSON 結果

[{
   "EntityResult":
      [{ "driver_basename": "test.exe",
         "driver_filename": "C:\\\\Windows\\\\system32\\\\test.exe",
         "date_modified": 1446189483.0185645,
         "driver_file_version": "10.0.10586.0 (th2_release.151029-1700)",
         "driver_load_address": "12345678",
         "collection_id": "a9925cf1-6d4c-4bea-b13d-12345678",
         "hashes": {
                     "sha256": "9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08",
                     "md5": "098f6bcd4621d373cade4e832627b4f6",
                     "sha1": "a94a8fe5ccb19ba61c4c0873d391e987982fbbd3"
                    },
        "machine_id": "5dc677fd-6b47-7df9-f7f4-12345678",
        "driver_product_version": "10.0.10586.0",
        "driver_description": "Test"
      }],
   "Entity": "PC-01"
 }]

防火牆問卷調查 (僅限 Windows)

取得特定 Endgame 端點的防火牆規則資訊。

參數

參數	類型	預設值	說明
要傳回的項目數量上限	字串	50	指定要傳回的項目數量。

執行日期

這項動作會對下列實體執行：

主機名稱
IP 位址

動作結果

實體充實

補充資料欄位名稱	邏輯 - 應用時機
方向	如果 JSON 結果中存在該值，則傳回該值
machine_id	如果 JSON 結果中存在該值，則傳回該值
說明	如果 JSON 結果中存在該值，則傳回該值
remote_addresses	如果 JSON 結果中存在該值，則傳回該值
protocol_number	如果 JSON 結果中存在該值，則傳回該值
已啟用	如果 JSON 結果中存在該值，則傳回該值
edge_traversal	如果 JSON 結果中存在該值，則傳回該值
設定檔	如果 JSON 結果中存在該值，則傳回該值
interface_types	如果 JSON 結果中存在該值，則傳回該值
rule_name	如果 JSON 結果中存在該值，則傳回該值
icmp_and_type_codes	如果 JSON 結果中存在該值，則傳回該值
local_addresses	如果 JSON 結果中存在該值，則傳回該值
application_name	如果 JSON 結果中存在該值，則傳回該值
collection_id	如果 JSON 結果中存在該值，則傳回該值
remote_ports	如果 JSON 結果中存在該值，則傳回該值
動作	如果 JSON 結果中存在該值，則傳回該值
local_ports	如果 JSON 結果中存在該值，則傳回該值

指令碼結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

JSON 結果

[{
   "EntityResult":
      [{
         "direction": "in",
         "machine_id": "870499c3-d6bf-8edd-972d-12345678",
         "description": "Inbound rule for Google Chrome to allow mDNS traffic.",
         "remote_addresses": "*",
         "protocol_number": 17,
         "enabled": true,
         "edge_traversal": false,
         "profiles":
             ["domain", "public", "private"],
         "interface_types": "All",
         "rule_name": "Google Chrome (mDNS-In)",
         "icmp_and_type_codes": "",
         "local_addresses": "*",
         "application_name": "C:\\\\Program Files (x86)\\\\Google\\\\Chrome\\\\Application\\\\chrome.exe",
         "collection_id": "0925eea5-c61f-464a-ba61-12345678",
         "remote_ports": "*",
         "action": "allow",
         "local_ports": "1234"
      }],
   "Entity": "PC-01"
}]

取得端點

列出所有端點。

參數

不適用

執行日期

這項操作會對所有實體執行。

動作結果

指令碼結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

JSON 結果

[{
   "domain": "",
   "updated_at": "2019-05-30T01:40:21.126499+00:00",
   "id": "db33d864-7d58-4d85-9d2d-1a98a101995d",
   "display_operating_system": "Windows 7 (SP1)",
   "hostname": "ip-AC170169",
   "mac_address": "01:23:45:ab:cd:ef",
   "isolation_updated_at": "",
   "status": "monitored",
   "ad_distinguished_name": "",
   "ad_hostname": "",
   "tags": [],
   "isolation_request_status": "",
   "alert_count": 72,
   "investigation_count": 0,
   "groups": [],
   "sensors":
      [{
         "status": "monitored",
         "sensor_version": "3.51.10",
         "policy_status": "successful",
         "policy_name": "POC-Lab",
         "sensor_type": "hunt",
         "id": "ec17f7bb-1d63-536a-b694-ca066cc2572e",
         "policy_id": "d31f0192-b8e2-49ae-ae54-041376183b7f"
      }],
   "ip_address": "192.0.2.1",
   "is_isolated": "false",
   "operating_system": "Windows 6.1 Service Pack 1",
   "name": "ip-AC170169",
   "status_changed_at": "2019-05-30T01:40:18.200770+00:00",
   "core_os": "windows",
   "created_at": "2019-05-30T01:36:43.761600+00:00",
   "error":
     [{
        "msg": "Installer failure - Execution failed for (http://192.0.2.1:5985/wsman)\\n",
       "deployment_id": "90C2BAA6-B38B-4037-9A9E-7C8628E8D7D6",
       "code": 1001, "ts": 1559180421.125456
     }],
   "machine_id": "4f1adabb-17c4-e39e-caa7-7900562d0b51"
}]

Hunt File

搜尋正在執行的檔案。

參數

參數	類型	預設值	說明
Endpoints Core OS	字串	窗戶	選取作業系統 (例如 Windows、Linux 或 Mac)，篩選端點清單。注意：您只能為在相同作業系統上執行的端點建立單一調查。
MD5 雜湊	字串	不適用	這項搜尋作業的進階設定。輸入 MD5 雜湊值，並以半形逗號分隔。
SHA1 雜湊	字串	不適用	這項搜尋作業的進階設定。輸入 SHA-1 雜湊值，並以半形逗號分隔。
SHA256 雜湊	字串	不適用	這項搜尋作業的進階設定。輸入 SHA256 雜湊，並以半形逗號分隔。
目錄	字串	不適用	起始目錄路徑。範例：C:\windows\system32
尋找檔案	字串	不適用	輸入要搜尋的檔案名稱。輸入規則運算式，縮小搜尋結果範圍。

執行日期

這項動作會對下列實體執行：

主機名稱
IP 位址

動作結果

實體充實

補充資料欄位名稱	邏輯 - 應用時機
meta_data	如果 JSON 結果中存在該值，則傳回該值
file_path	如果 JSON 結果中存在該值，則傳回該值

指令碼結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

JSON 結果

[{
      "meta_data":
          {  "hashes":
                {  "sha256": "4705ba6793dc93c1bbe2a9e790e9e22778d217531b1750471206fd5c52bbd2b5",
                   "md5": "6383522c180badc4e1d5c30a5c4f4913",
                   "sha1": "62a30e96459b694f7b22d730c460a65cd2ebaaca"
                 },
             "file_name_timestamps":
                {  "accessed": 1468675289.0711532,
                   "entry_modified": 0,
                   "modified": 1468675289.0711532,
                   "created": 1468675404.0330572
                 },
             "file_attributes": 38,
             "file_size": 174
           },
      "file_path": "C:\\\\Program Files\\\\desktop.ini"
    },
  {
     "meta_data":
          {  "hashes":
                {  "sha256": "44fe5eebd80e46f903d68c07bcf06d187a3698bf3953bc58bb578465e2e0fe6c",
                   "md5": "6bd5fb46283aa48e638bef47510c47da",
                   "sha1": "c38d46ec6c9bc8baece4a459b617f44d10af973c"
                 },
             "file_name_timestamps":
                {
                   "accessed": 1468675289.0024028,
                   "entry_modified": 0,
                   "modified": 1468675289.0024028,
                   "created": 1468675404.0111823
                 },
            "file_attributes": 38,
            "file_size": 645
           },
    "file_path": "C:\\\\Program Files\\\\Common Files\\\\microsoft shared\\\\Stationery\\\\Desktop.ini"
}]

搜尋 IP

搜尋網路連線。

參數

參數	類型	預設值	說明
Endpoints Core OS	字串	窗戶	選取作業系統 (例如 Windows、Linux 或 Mac)，篩選端點清單。注意：您只能為在相同作業系統上執行的端點建立單一調查。
遠端 IP 位址	字串	不適用	遠端 IP 位址 (以半形逗號分隔)
本機 IP 位址	字串	不適用	以半形逗號分隔
狀態	字串	不適用	輸入要返回的狀態。範例：ANY
通訊協定	字串	不適用	例如：ANY、UDP、TCP
網路連接埠	字串	不適用	不適用
網路遙控器	字串	不適用	網路遠端或本機。

執行日期

這項動作會對下列實體執行：

主機名稱
IP 位址

動作結果

實體充實

補充資料欄位名稱	邏輯 - 應用時機
parent_name	如果 JSON 結果中存在該值，則傳回該值
網域	如果 JSON 結果中存在該值，則傳回該值
exe	如果 JSON 結果中存在該值，則傳回該值
名稱	如果 JSON 結果中存在該值，則傳回該值
has_unbacked_execute_memory	如果 JSON 結果中存在該值，則傳回該值
pid	如果 JSON 結果中存在該值，則傳回該值
up_time	如果 JSON 結果中存在該值，則傳回該值
is_sensor	如果 JSON 結果中存在該值，則傳回該值
cmdline	如果 JSON 結果中存在該值，則傳回該值
parent_exe	如果 JSON 結果中存在該值，則傳回該值
unbacked_execute_byte_count	如果 JSON 結果中存在該值，則傳回該值
create_time	如果 JSON 結果中存在該值，則傳回該值
使用者	如果 JSON 結果中存在該值，則傳回該值
sid	如果 JSON 結果中存在該值，則傳回該值
討論串	如果 JSON 結果中存在該值，則傳回該值
ppid	如果 JSON 結果中存在該值，則傳回該值
unbacked_execute_region_count	如果 JSON 結果中存在該值，則傳回該值

指令碼結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

JSON 結果

[{
   "parent_name": "System Idle Process",
   "domain": "NT AUTHORITY",
   "exe": "",
   "name": "System",
   "has_unbacked_execute_memory": false,
   "pid": 4,
   "up_time": 2384701,
   "is_sensor": false,
   "cmdline": "",
   "parent_exe": "",
   "unbacked_execute_byte_count": 0,
   "create_time": 1559179903,
   "user": "SYSTEM",
   "sid": "S-1-5-18",
   "threads":
     [{
        "thread_id": 8
      }, {
       "thread_id": 12,
       "up_time": 13206038203,
       "create_time": -11644473599
     }, {
       "thread_id": 16,
       "up_time": 13206038203,
       "create_time": -11644473599
      }],
   "ppid": 0,
   "unbacked_execute_region_count": 0
}]

搜尋程序

搜尋執行中的程序。

參數

參數	類型	預設值	說明
Endpoints Core OS	字串	窗戶	選取作業系統 (即 Windows、Linux 或 Mac) 來篩選端點清單。注意：您只能為在相同作業系統上執行的端點建立單一調查。
MD5 雜湊	字串	不適用	這項搜尋作業的進階設定。輸入 MD5 雜湊值，並以半形逗號分隔。
SHA1 雜湊	字串	不適用	這項搜尋作業的進階設定。輸入 SHA-1 雜湊值，並以半形逗號分隔。
SHA256 雜湊	字串	不適用	這項搜尋作業的進階設定。輸入 SHA256 雜湊，並以半形逗號分隔。
程序名稱	字串	不適用	這項搜尋作業的進階設定。輸入程序名稱，例如 iss.exe*

執行日期

這項動作會對下列實體執行：

主機名稱
IP 位址

動作結果

實體充實

補充資料欄位名稱	邏輯 - 應用時機
parent_name	如果 JSON 結果中存在該值，則傳回該值
網域	如果 JSON 結果中存在該值，則傳回該值
exe	如果 JSON 結果中存在該值，則傳回該值
名稱	如果 JSON 結果中存在該值，則傳回該值
has_unbacked_execute_memory	如果 JSON 結果中存在該值，則傳回該值
pid	如果 JSON 結果中存在該值，則傳回該值
up_time	如果 JSON 結果中存在該值，則傳回該值
is_sensor	如果 JSON 結果中存在該值，則傳回該值
cmdline	如果 JSON 結果中存在該值，則傳回該值
parent_exe	如果 JSON 結果中存在該值，則傳回該值
unbacked_execute_byte_count	如果 JSON 結果中存在該值，則傳回該值
create_time	如果 JSON 結果中存在該值，則傳回該值
使用者	如果 JSON 結果中存在該值，則傳回該值
sid	如果 JSON 結果中存在該值，則傳回該值
討論串	如果 JSON 結果中存在該值，則傳回該值
ppid	如果 JSON 結果中存在該值，則傳回該值
unbacked_execute_region_count	如果 JSON 結果中存在該值，則傳回該值

指令碼結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

JSON 結果

[{
   "parent_name": "System Idle Process",
   "domain": "NT AUTHORITY",
   "exe": "",
   "name": "System",
   "has_unbacked_execute_memory": false,
   "pid": 4,
   "up_time": 2384701,
   "is_sensor": false,
   "cmdline": "",
   "parent_exe": "",
   "unbacked_execute_byte_count": 0,
   "create_time": 1559179903,
   "user": "SYSTEM",
   "sid": "S-1-5-18",
   "threads":
      [{
         "thread_id": 8
       },{
         "thread_id": 12,
         "up_time": 13206038203,
         "create_time": -11644473599
       },{
        "thread_id": 16,
        "up_time": 13206038203,
        "create_time": -11644473599
      }],
   "ppid": 0,
   "unbacked_execute_region_count": 0
}]

狩獵登記

搜尋登錄檔機碼或值名稱。

參數

參數	類型	預設值	說明
Hive	字串	全部	下列其中一項：HKEY_CLASSES_ROOT、HKEY_CURRENT_CONFIG、HKEY_USERS、 HKEY_LOCAL_MACHINE、ALL。
金鑰	字串	不適用	登錄機碼或值名稱。
大小下限	字串	不適用	位元組大小下限。
大小上限	字串	不適用	位元組大小上限。
Endpoints Core OS	字串	窗戶	選取作業系統 (即 Windows、Linux 或 Mac) 來篩選端點清單。注意：您只能為在相同作業系統上執行的端點建立單一調查。

執行日期

這項動作會對下列實體執行：

主機名稱
IP 位址

動作結果

實體充實

補充資料欄位名稱	邏輯 - 應用時機
parent_name	如果 JSON 結果中存在該值，則傳回該值
網域	如果 JSON 結果中存在該值，則傳回該值
exe	如果 JSON 結果中存在該值，則傳回該值
名稱	如果 JSON 結果中存在該值，則傳回該值
up_time	如果 JSON 結果中存在該值，則傳回該值
is_sensor	如果 JSON 結果中存在該值，則傳回該值
cmdline	如果 JSON 結果中存在該值，則傳回該值
parent_exe	如果 JSON 結果中存在該值，則傳回該值
unbacked_execute_byte_count	如果 JSON 結果中存在該值，則傳回該值
create_time	如果 JSON 結果中存在該值，則傳回該值
使用者	如果 JSON 結果中存在該值，則傳回該值
sid	如果 JSON 結果中存在該值，則傳回該值
討論串	如果 JSON 結果中存在該值，則傳回該值
ppid	如果 JSON 結果中存在該值，則傳回該值
unbacked_execute_region_count	如果 JSON 結果中存在該值，則傳回該值

指令碼結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

JSON 結果

[{
   "parent_name": "System Idle Process",
   "domain": "NT AUTHORITY",
   "exe": "",
   "name": "System",
   "has_unbacked_execute_memory": false,
   "pid": 4,
   "up_time": 2384701,
   "is_sensor": false,
   "cmdline": "",
   "parent_exe": "",
   "unbacked_execute_byte_count": 0,
   "create_time": 1559179903,
   "user": "SYSTEM",
   "sid": "S-1-5-18",
   "threads":
      [{
          "thread_id": 8
        },{
          "thread_id": 12,
          "up_time": 13206038203,
          "create_time": -11644473599
        }, {
          "thread_id": 16,
          "up_time": 13206038203,
          "create_time": -11644473599
         }],
   "ppid": 0,
   "unbacked_execute_region_count": 0
}]

搜尋使用者

在網路上搜尋已登入的使用者。

參數

參數	類型	預設值	說明
Endpoints Core OS	字串	窗戶	選取作業系統 (即 Windows、Linux 或 Mac) 來篩選端點清單。注意：您只能為在相同作業系統上執行的端點建立單一調查。
找出使用者名稱	字串	不適用	這項搜尋作業的進階設定。輸入使用者名稱，並以半形分號分隔多個項目。
網域名稱	字串	不適用	這項搜尋作業的進階設定。輸入網域名稱。

執行日期

這項動作會對下列實體執行：

主機名稱
IP 位址

動作結果

實體充實

補充資料欄位名稱	邏輯 - 應用時機
parent_name	如果 JSON 結果中存在該值，則傳回該值
網域	如果 JSON 結果中存在該值，則傳回該值
exe	如果 JSON 結果中存在該值，則傳回該值
名稱	如果 JSON 結果中存在該值，則傳回該值
has_unbacked_execute_memory	如果 JSON 結果中存在該值，則傳回該值
pid	如果 JSON 結果中存在該值，則傳回該值
up_time	如果 JSON 結果中存在該值，則傳回該值
is_sensor	如果 JSON 結果中存在該值，則傳回該值
cmdline	如果 JSON 結果中存在該值，則傳回該值
parent_exe	如果 JSON 結果中存在該值，則傳回該值
unbacked_execute_byte_count	如果 JSON 結果中存在該值，則傳回該值
create_time	如果 JSON 結果中存在該值，則傳回該值
使用者	如果 JSON 結果中存在該值，則傳回該值
sid	如果 JSON 結果中存在該值，則傳回該值
討論串	如果 JSON 結果中存在該值，則傳回該值
ppid	如果 JSON 結果中存在該值，則傳回該值
unbacked_execute_region_count	如果 JSON 結果中存在該值，則傳回該值

指令碼結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

JSON 結果

[{
   "parent_name": "System Idle Process",
   "domain": "NT AUTHORITY",
   "exe": "",
   "name": "System",
   "has_unbacked_execute_memory": false,
   "pid": 4,
   "up_time": 2384701,
   "is_sensor": false,
   "Cmdline":"",
   "parent_exe": "",
   "unbacked_execute_byte_count": 0,
   "create_time": 1559179903,
   "user": "SYSTEM",
   "sid": "S-1-5-18",
   "threads":
     [{
        "thread_id": 8
      }, {
       "thread_id": 12,
       "up_time": 13206038203,
       "create_time": -11644473599
     }, {
       "thread_id": 16,
       "up_time": 13206038203,
       "create_time": -11644473599
    }],
  "ppid": 0,
  "unbacked_execute_region_count": 0
}]

終止程序

終止特定 Endgame 端點中的程序。

參數

參數	類型	預設值	說明
程序名稱	字串	不適用	輸入程序名稱
PID	字串	不適用	輸入程序 ID。

執行日期

這項動作會對下列實體執行：

主機名稱
IP 位址

動作結果

指令碼結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

網路調查

從特定 Endgame 端點取得連線、DNS 快取、NetBIOS、ARP 和路由表資訊。

參數

參數	類型	預設值	說明
要傳回的項目數量上限	字串	50	指定要傳回的自動執行次數。
包含路線項目資訊	核取方塊	已勾選	指定要取得路徑項目相關資訊。
包含 Net Bios 資訊	核取方塊	已勾選	指定要取得 Net Bios 的相關資訊。
包含 DNS 快取資訊	核取方塊	已勾選	指定要取得 DNS 快取相關資訊。
包含 ARP 資料表資訊	核取方塊	已勾選	指定取得 ARP 資料表的相關資訊。

執行日期

這項動作會對下列實體執行：

主機名稱
IP 位址

動作結果

實體充實

補充資料欄位名稱	邏輯 - 應用時機
連線數	如果 JSON 結果中存在該值，則傳回該值
netbios_info	如果 JSON 結果中存在該值，則傳回該值
arp_table	如果 JSON 結果中存在該值，則傳回該值
route_table	如果 JSON 結果中存在該值，則傳回該值
dns_cache	如果 JSON 結果中存在該值，則傳回該值

指令碼結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

JSON 結果

[{
  "EntityResult":
   {
    "connections":
      [{
       "connection_type": "SOCK_STREAM",
       "collection_id": "50e74bd2-1cd4-412c-a7fc-24cf1456e883",
       "exe": "C:\\\\Windows\\\\System32\\\\test.exe",
       "connection_status": "LISTEN",
       "name": "test.exe",
       "family": "ipv4",
       "local_port": 111,
       "remote_port": 0,
       "pid": 700,
       "remote_address": "0.0.0.0",
       "create_time": 1583314664,
       "connection_timestamp": 1583314664.0117714,
       "local_address": "0.0.0.0",
       "protocol": "tcp",
       "hashes":
          {
            "sha256": "5d00bbeb147e0c838a622fc42c543b2913d57eaca4e69d9a37ed61e98c819347", "md5": "8497852ed44aff902d502015792d315d",
            "sha1": "800a4c2e524fc392c45748eae1691fa01d24ea4c"
           },
       "machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
     }],
   "netbios_info":
     [{
       "comment": "",
       "name": "PC-01",
       "version_major": 10,
       "netbios_neighbor_type": 8392747,
       "platform": "WINDOWS NT",
       "version_minor": 0
     }],
   "arp_table":
     [{
       "connection_type": "SOCK_STREAM",
       "collection_id": "50e74bd2-1cd4-412c-a7fc-24cf1456e883",
       "exe": "C:\\\\Windows\\\\System32\\\\test.exe",
       "connection_status": "LISTEN",
       "name": "test.exe",
       "family": "ipv4",
       "local_port": 111,
       "remote_port": 0,
       "pid": 700,
       "remote_address": "0.0.0.0",
       "create_time": 1583314664,
       "connection_timestamp": 1583314664.0117714,
       "local_address": "0.0.0.0",
       "protocol": "tcp",
       "hashes": {"sha256": "5d00bbeb147e0c838a622fc42c543b2913d57eaca4e69d9a37ed61e98c819347", "md5": "8497852ed44aff902d502015792d315d",
                 "sha1": "800a4c2e524fc392c45748eae1691fa01d24ea4c"},
       "machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
     }],
   "route_table":
     [{
       "machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
       "family": "ipv4",
       "destination": "0.0.0.0",
       "netmask": "0.0.0.0",
       "collection_id": "50e74bd2-1cd4-412c-a7fc-24cf1456e883",
       "interface_name": "Ethernet0",
       "gateway": "1.1.1.1"
     }],
   "dns_cache":
     [{
       "name": "test.ms",
       "dns_record_type": "A",
       "ttl": 0,
       "collection_id": "50e74bd2-1cd4-412c-a7fc-24cf1456e883",
       "machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
       "query_error": 9701
      }]
    },
  "Entity": "PC-01"
}]

乒乓

測試與 Endgame 伺服器的連線。

參數

不適用

執行日期

這項操作會對所有實體執行。

動作結果

指令碼結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

流程調查

取得特定 Endgame 端點上執行中程序的相關資訊。

參數

參數	類型	預設值	說明
要傳回的項目數量上限	字串	50	指定要傳回的項目數量。
偵測無檔案攻擊 (僅限 Windows)	核取方塊	已取消勾選	指定偵測無檔案攻擊。僅適用於 Windows。
使用 MalwareScore 偵測惡意軟體 (僅限 Windows)	核取方塊	已取消勾選	指定使用 MalwareScore 偵測惡意軟體程序。僅適用於 Windows。
收集程序執行緒	核取方塊	已取消勾選	指定要在回應中加入程序執行緒數量相關資訊。
僅傳回可疑程序	核取方塊	已勾選	指定只傳回端點中的可疑程序。根據 Endgame 的定義，可疑程序是指沒有備份的可執行程序。

執行日期

這項動作會對下列實體執行：

主機名稱
IP 位址

動作結果

實體充實

補充資料欄位名稱	邏輯 - 應用時機
網域	如果 JSON 結果中存在該值，則傳回該值
name_suspicious	如果 JSON 結果中存在該值，則傳回該值
pid	如果 JSON 結果中存在該值，則傳回該值
name_uncommon_path	如果 JSON 結果中存在該值，則傳回該值
repeat_offender	如果 JSON 結果中存在該值，則傳回該值
cmdline	如果 JSON 結果中存在該值，則傳回該值
create_time	如果 JSON 結果中存在該值，則傳回該值
parent_name	如果 JSON 結果中存在該值，則傳回該值
has_unbacked_execute_memory	如果 JSON 結果中存在該值，則傳回該值
sid	如果 JSON 結果中存在該值，則傳回該值
ppid	如果 JSON 結果中存在該值，則傳回該值
up_time	如果 JSON 結果中存在該值，則傳回該值
unbacked_execute_region_count	如果 JSON 結果中存在該值，則傳回該值
is_sensor	如果 JSON 結果中存在該值，則傳回該值
討論串	如果 JSON 結果中存在該值，則傳回該值
使用者	如果 JSON 結果中存在該值，則傳回該值
collection_id	如果 JSON 結果中存在該值，則傳回該值
parent_exe	如果 JSON 結果中存在該值，則傳回該值
exe	如果 JSON 結果中存在該值，則傳回該值
名稱	如果 JSON 結果中存在該值，則傳回該值
unbacked_execute_byte_count	如果 JSON 結果中存在該值，則傳回該值
machine_id	如果 JSON 結果中存在該值，則傳回該值
unbacked_execute_region_count	如果 JSON 結果中存在該值，則傳回該值
tty_device_minor_number	如果 JSON 結果中存在該值，則傳回該值
uid	如果 JSON 結果中存在該值，則傳回該值
name_suspicious	如果 JSON 結果中存在該值，則傳回該值
phys_memory_bytes	如果 JSON 結果中存在該值，則傳回該值
pid	如果 JSON 結果中存在該值，則傳回該值
env_variables	如果 JSON 結果中存在該值，則傳回該值
repeat_offender	如果 JSON 結果中存在該值，則傳回該值
cmdline	如果 JSON 結果中存在該值，則傳回該值
create_time	如果 JSON 結果中存在該值，則傳回該值
tty_device_major_number	如果 JSON 結果中存在該值，則傳回該值
parent_name	如果 JSON 結果中存在該值，則傳回該值
群組	如果 JSON 結果中存在該值，則傳回該值
cpu_percent	如果 JSON 結果中存在該值，則傳回該值
has_unbacked_execute_memory	如果 JSON 結果中存在該值，則傳回該值
gid	如果 JSON 結果中存在該值，則傳回該值
sha256	如果 JSON 結果中存在該值，則傳回該值
cwd	如果 JSON 結果中存在該值，則傳回該值
exe	如果 JSON 結果中存在該值，則傳回該值
up_time	如果 JSON 結果中存在該值，則傳回該值
short_name	如果 JSON 結果中存在該值，則傳回該值
tty_device_name	如果 JSON 結果中存在該值，則傳回該值
is_sensor	如果 JSON 結果中存在該值，則傳回該值
sha1	如果 JSON 結果中存在該值，則傳回該值
討論串	如果 JSON 結果中存在該值，則傳回該值
name_uncommon_path	如果 JSON 結果中存在該值，則傳回該值
collection_id	如果 JSON 結果中存在該值，則傳回該值
md5	如果 JSON 結果中存在該值，則傳回該值
argv_list	如果 JSON 結果中存在該值，則傳回該值
num_threads	如果 JSON 結果中存在該值，則傳回該值
使用者	如果 JSON 結果中存在該值，則傳回該值
virt_memory_bytes	如果 JSON 結果中存在該值，則傳回該值
名稱	如果 JSON 結果中存在該值，則傳回該值
session_id	如果 JSON 結果中存在該值，則傳回該值
memory_percent	如果 JSON 結果中存在該值，則傳回該值
machine_id	如果 JSON 結果中存在該值，則傳回該值
unbacked_execute_byte_count	如果 JSON 結果中存在該值，則傳回該值

指令碼結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

JSON 結果

[{
  "EntityResult":
   [{
      "domain": "NT AUTHORITY",
      "name_suspicious": false,
      "pid": 4,
      "name_uncommon_path": false,
      "repeat_offender": false,
      "cmdline": "",
      "create_time": 1583314654,
      "parent_name": "System Idle Process",
      "has_unbacked_execute_memory": false,
      "sid": "S-1-5-18",
      "ppid": 0,
     "up_time": 342643,
     "unbacked_execute_region_count": 0,
     "is_sensor": false,
     "threads":
      [{  "thread_id": 12,
          "up_time": 13228130896,
          "create_time": -11644473599
       },
       {
          "thread_id": 16,
          "up_time": 13228130896,
          "create_time": -11644473599
       }],
     "user": "SYSTEM",
     "collection_id": "ac1fb296-db5a-4426-b32e-292e4a50188d",
     "parent_exe": "",
     "exe": "",
     "name": "System",
     "unbacked_execute_byte_count": 0,
     "machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
    }],
  "Entity": "PC-01"
 },
{
  "EntityResult":
   [{
     "unbacked_execute_region_count": 0,
     "tty_device_minor_number": 0,
     "uid": 0,
     "name_suspicious": false,
     "phys_memory_bytes": 8900608,
     "pid": 1,
     "env_variables":
       [  "HOME=/",
          "init=/sbin/init",
          "NETWORK_SKIP_ENSLAVED=",
          "recovery=",
          "TERM=linux",
          "drop_caps=",
          "BOOT_IMAGE=/vmlinuz-4.15.0-88-generic",
          "PATH=/sbin:/usr/sbin:/bin:/usr/bin",
          "PWD=/", "rootmnt=/root"  ],
    "repeat_offender": false,
    "cmdline": "/sbin/init maybe-ubiquity",
    "create_time": 1583632302,
    "tty_device_major_number": 0,
    "parent_name": "",
    "group": "root",
    "cpu_percent": 0,
    "has_unbacked_execute_memory": false,
    "gid": 0,
    "sha256": "3a14ff4b18505543eda4dccb054aa5860478a95ed0cac76da392f3472da3ad67",
    "cwd": "/",
    "exe": "/lib/systemd/systemd",
    "up_time": 24942,
    "short_name": "systemd",
    "tty_device_name": "",
    "is_sensor": false,
    "sha1": "e016f80b87101a74b52d15ce2726560a6e128b60",
    "threads": [{"thread_id": 1}],
    "name_uncommon_path": false,
    "collection_id": "bcb6b33a-0ffb-4e72-818a-1731024dfd79",
    "md5": "ca563cf817f03ed7d01a6462818a5791",
    "argv_list": ["/sbin/init", "maybe-ubiquity"],
    "num_threads": 1,
    "ppid": 0,
    "virt_memory_bytes": 79818752,
    "name": "systemd",
    "session_id": 1,
    "memory_percent": 0.21517109870910645,
    "parent_exe": "",
    "unbacked_execute_byte_count": 0,
    "machine_id": "5ae8ddd9-9339-ae4b-ccf7-5ed68f38b3a9",
    "user": "root"
  }],
 "Entity": "PC-202"
}]

卸除式媒體調查 (僅限 Windows)

從特定 Endgame 端點取得卸除式媒體的相關資訊。

參數

參數	類型	預設值	說明
要傳回的項目數量上限	字串	50	指定要傳回的項目數量。

執行日期

這項動作會對下列實體執行：

主機名稱
IP 位址

動作結果

實體充實

補充資料欄位名稱	邏輯 - 應用時機
名稱	如果 JSON 結果中存在該值，則傳回該值
is_storage_device	如果 JSON 結果中存在該值，則傳回該值
vendor_id	如果 JSON 結果中存在該值，則傳回該值
collection_id	如果 JSON 結果中存在該值，則傳回該值
last_connect_time	如果 JSON 結果中存在該值，則傳回該值
serial_number	如果 JSON 結果中存在該值，則傳回該值
machine_id	如果 JSON 結果中存在該值，則傳回該值
is_connected	如果 JSON 結果中存在該值，則傳回該值
product_id	如果 JSON 結果中存在該值，則傳回該值

指令碼結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

JSON 結果

[{
   "EntityResult":
    [{  "name": "USB Composite Device",
        "is_storage_device": false,
        "vendor_id": "0E0F",
        "collection_id": "fbe61b16-e6b2-4595-8409-abf4ce15fa85",
        "last_connect_time": 1552596043.0610971,
        "serial_number": "6&35D1F50B&0&1",
        "machine_id": "a4c05d5a-7ebc-c3ab-1beb-f1fe517768d8",
        "is_connected": false,
        "product_id": "0003"
     }],
   "Entity": "PC-01"
}]

軟體問卷調查 (僅限 Windows)

取得特定 Endgame 端點上已安裝軟體的相關資訊。

參數

參數	類型	預設值	說明
要傳回的項目數量上限	字串	50	指定要傳回的項目數量。

執行日期

這項動作會對下列實體執行：

主機名稱
IP 位址

動作結果

實體充實

補充資料欄位名稱	邏輯 - 應用時機
發布端	如果 JSON 結果中存在該值，則傳回該值
machine_id	如果 JSON 結果中存在該值，則傳回該值
套件	如果 JSON 結果中存在該值，則傳回該值
install_date	如果 JSON 結果中存在該值，則傳回該值
版本	如果 JSON 結果中存在該值，則傳回該值
collection_id	如果 JSON 結果中存在該值，則傳回該值
installed_for	如果 JSON 結果中存在該值，則傳回該值

指令碼結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

JSON 結果

[{
 "EntityResult":
   [{
      "publisher": "John Doe",
      "machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
      "package": "Test",
      "install_date": "20191008",
      "version": "18.06",
      "collection_id": "fc079e17-8a2e-40d9-94c9-b974e5534e58",
      "installed_for": "allUsers"
   }],
 "Entity": "PC-01"
}]

系統問卷調查

取得單一終端遊戲端點的系統資訊，例如記憶體用量、DNS 和 OS。

參數

參數	類型	預設值	說明
要傳回的項目數量上限	字串	50	指定要傳回的項目數量。
包含安全性產品資訊 (僅限 Windows)	核取方塊	已勾選	指定要取得端點上安裝的安全防護產品相關資訊 (僅限 Windows)。
包含修補程式資訊 (僅限 Windows)	核取方塊	已勾選	指定要取得的修補程式資訊 (僅限 Windows)。
提供磁碟資訊	核取方塊	已勾選	指定要取得磁碟的相關資訊。
包含網路介面資訊	核取方塊	已勾選	指定要取得網路介面的相關資訊。

執行日期

這項動作會對下列實體執行：

主機名稱
IP 位址

動作結果

實體充實

補充資料欄位名稱	邏輯 - 應用時機
patches_info	如果 JSON 結果中存在該值，則傳回該值
Disks_info	如果 JSON 結果中存在該值，則傳回該值
network_interfaces	如果 JSON 結果中存在該值，則傳回該值
Os_info	如果 JSON 結果中存在該值，則傳回該值
installed_security_products	如果 JSON 結果中存在該值，則傳回該值

指令碼結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

JSON 結果

[{
  "EntityResult":
   {
     "patches_info":
      [{
        "collection_id": "f7d a62bb-318d-40c1-a490-85979c0c9ede",
        "installed_on": "2/3/2018",
        "hotfix_id": "KB4049065",
        "machine_id": "870499c3-d6bf-8edd-972d-f2f6621dd971"
      }],
     "Disks_info":
      [{
        "disk_id": "\\\\Device\\\\HarddiskVolume2",
        "fstype": "NTFS",
        "disk_total": 15579738112,
        "disk_free": 1219571712,
        "collection_id": "a27ebace-32ec-4257-ab4f-7da49f02a9d4",
        "device": "\\\\Device\\\\HarddiskVolume2",
        "path": "C:\\\\",
        "machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
      }],
     "network_interfaces":
       [{
        "machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
        "mac_address": "01:23:45:ab:cd:ef",
        "ipv4_addresses": ["1.1.1.1"],
        "ipv6_addresses": ["1111::1111:1111:1111:1111"],
        "collection_id": "a27ebace-32ec-4257-ab4f-7da49f02a9d4",
        "smp_interface": true,
        "interface_name": "Ethernet0"
       }],
    "Os_info":
      [{
        "memory":
          {  "ram_free": 1240039424,
             "page_percent_used": 36.89334358507761,
             "page_total": 2818101248,
             "ram_percent_used": 42.24349594504104,
             "ram_total": 2147012608,
             "ram_used": 906973184,
             "page_used": 1039691776,
             "page_free": 1778409472
          },
        "doc_type": "collection",
        "domain": "PC-01.test.com",
        "endpoint":
          {  "status": "unmonitored",
             "ad_distinguished_name":
             "CN=PC_01,OU=TESTOU,OU=Organization,DC=test,DC=com",
             "ad_hostname": "test.com",
             "operating_system": "Windows 10.0 ",
             "name": "PC-01",
             "display_operating_system": "Windows 10 (v1511)",
             "hostname": "PC-01",
             "updated_at": "2020-03-08T08:27:22.919880+00:00",
             "mac_address": "01:23:45:ab:cd:ef",
             "machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
             "ip_address": "1.1.1.1",
             "id": "b23c8a14-69e0-4966-b78a-c9fba4fdd934"
          },
       "investigation_id": "85cff906-8b39-4a37-aa05-84950c9b2a02",
       "hostname": "PC-01",
       "bulk_task_id": null,
       "original_machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
       "os_version":
         {
            "os_minor": 0,
            "os_is_server": false,
            "os_major": 10,
            "os_build_number": 10586,
            "os_service_pack": ""
          },
      "correlation_id": "7e17de5a-abcb-4de0-a510-7ca79bfdc345",
      "architecture": "x64",
      "sensor_info":
         {
            "malware_feature_version": "3.0.0",
            "sensor_build_time": "1581375786",
            "sensor_commit_sha": "80af56b6b295de785e502d82f39deac34973b2dd",
            "sensor_build_number": 48,
            "sensor_version": "3.53.9"
          },
      "time":
        {
           "tz_observes_dst": true,
           "tz_currently_in_dst": false,
           "tz_name": "Pacific Standard Time",
           "tz_offset_minutes": 480
        },
     "os_type": "windows",
     "ad_info":
       {
           "distinguished_name": "CN=PC-01,OU=TESTOU,OU=Organization,DC=test,DC=com",
           "domain_hostname": "test.com"
        },
     "origination_task_id": "d3d67012-cfb1-47d0-8ec9-bf7ffb68a019"
    }],
 "installed_security_products":
   [{
     "security_product_type": "AntiVirus",
     "collection_id": "a27ebace-32ec-4257-ab4f-7da49f02a9d4",
     "machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8",
     "enabled": false, "name": "Windows Defender"
   }]
  },
 "Entity": "PC-01"
}]

使用者工作階段問卷調查

取得特定 Endgame 端點上活躍使用者工作階段的相關資訊。

參數

參數	類型	預設值	說明
要傳回的項目數量上限	字串	50	指定要傳回的項目數量。

執行日期

主機名稱
IP 位址

動作結果

實體充實

補充資料欄位名稱	邏輯 - 應用時機
使用者名稱	如果 JSON 結果中存在該值，則傳回該值
殼層	如果 JSON 結果中存在該值，則傳回該值
uid	如果 JSON 結果中存在該值，則傳回該值
已開始	如果 JSON 結果中存在該值，則傳回該值
主機名稱	如果 JSON 結果中存在該值，則傳回該值
host_ip	如果 JSON 結果中存在該值，則傳回該值
session_id	如果 JSON 結果中存在該值，則傳回該值
session_count	如果 JSON 結果中存在該值，則傳回該值
終端機	如果 JSON 結果中存在該值，則傳回該值
已結束	如果 JSON 結果中存在該值，則傳回該值
gid	如果 JSON 結果中存在該值，則傳回該值
collection_id	如果 JSON 結果中存在該值，則傳回該值
machine_id	如果 JSON 結果中存在該值，則傳回該值
已開始	如果 JSON 結果中存在該值，則傳回該值
password_last_set	如果 JSON 結果中存在該值，則傳回該值
logon_type	如果 JSON 結果中存在該值，則傳回該值
sid	如果 JSON 結果中存在該值，則傳回該值

指令碼結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

JSON 結果

[{
   "EntityResult":
     [{
        "username": "endgame",
        "shell": "/opt/endgame/bin/console",
        "uid": 1000,
        "started": 1582554802.55514,
        "hostname": "",
        "host_ip": "",
        "session_id": 887,
        "session_count": 1,
        "terminal": "tty1",
        "ended": 0,
        "gid": 1000,
        "collection_id": "1aebade8-9f7b-4237-8c43-2aed8729511e",
        "machine_id": "827255f4-53a2-1823-cac0-7c0f7730ca26"
     }],
   "Entity": "PC-01"
 }, {
    "EntityResult":
      [{
        "username": "example",
        "domain": "3B",
        "started": 1580205134.001,
        "session_count": 1,
        "ended": 0,
        "password_last_set": 0,
        "logon_type": "interactive",
        "sid": "",
        "collection_id": "88b876b1-5063-40a8-b40e-440df5eb8952",
        "machine_id": "5dc677fd-6b47-7df9-f7f4-d45434c8d0f8"
      }],
  "Entity": "PC-02"
}

連接器

如需在 Google SecOps 中設定連接器的詳細操作說明，請參閱設定連接器。

Endgame 連接器

請使用下列參數設定連接器：

參數	類型	預設值	說明
DeviceProductField	字串	device_product	用來判斷裝置產品的欄位名稱。
EventClassId	字串	event_name	用於判斷事件名稱 (子類型) 的欄位名稱
PythonProcessTimeout	字串	30	執行目前指令碼的 Python 程序逾時限制 (以秒為單位)
API 根層級	字串	不適用	不適用
使用者名稱	字串	不適用	不適用
密碼	密碼	不適用	不適用
驗證 SSL	核取方塊	已取消勾選	不適用
最多可回溯的天數	字串	不適用	不適用
環境欄位名稱	字串	不適用	如果已定義，連接器會從指定的事件欄位擷取環境。您可以使用規則運算式模式欄位來操控欄位資料，擷取特定字串。
快訊數量上限	字串	不適用	不適用
Proxy 伺服器位址	字串	不適用	要使用的 Proxy 伺服器位址。
Proxy 使用者名稱	字串	不適用	用於驗證的 Proxy 使用者名稱。
Proxy 密碼	密碼	不適用	用於驗證的 Proxy 密碼。

連接器規則

連接器支援 Proxy。
連接器支援動態清單。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。