GRR Rapid Response in Google SecOps einbinden
In diesem Dokument wird beschrieben, wie Sie GRR Rapid Response konfigurieren und in Google Security Operations (Google SecOps) einbinden.
Integrationsversion: 8.0
Integrationsparameter
Für die GRR Rapid Response-Integration sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
API Root |
Erforderlich. Eine Server-URL. Der Standardwert ist |
Username |
Erforderlich. Der Nutzername für den GRR Rapid Response-Server. |
Password |
Erforderlich. Das Passwort für den GRR-Server für schnelle Reaktion. |
Verify SSL |
Optional. Wenn diese Option ausgewählt ist, wird das SSL-Zertifikat bei der Verbindung zum GRR Rapid Response-Server validiert. Nicht standardmäßig ausgewählt. |
Eine Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Bei Bedarf können Sie später Änderungen vornehmen. Nachdem Sie eine Integrationsinstanz konfiguriert haben, können Sie sie in Playbooks verwenden. Weitere Informationen zum Konfigurieren und Unterstützen mehrerer Instanzen finden Sie unter Mehrere Instanzen unterstützen.
Aktionen
Weitere Informationen zu Aktionen finden Sie unter Ausstehende Aktionen über „Mein Arbeitsbereich“ bearbeiten und Manuelle Aktion ausführen.
Clientdetails abrufen
Verwenden Sie die Aktion Get Client Details (Clientdetails abrufen), um alle Clientdetails abzurufen.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Aktionseingaben
Für die Aktion Clientdetails abrufen sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Client ID |
Erforderlich. Die ID des Kunden. Für diesen Parameter können mehrere Werte als durch Kommas getrennter String angegeben werden. |
Aktionsausgaben
Die Aktion Clientdetails abrufen gibt die folgenden Ausgaben zurück:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
Tabelle „Fall-Repository“
Mit der Aktion Client-Details abrufen kann die folgende Tabelle generiert werden:
Tabellenname: GRR Clients Details (GRR-Clientdetails)
Tabellenspalten:
- Client-ID
- Moderator:in
- Version des Betriebssystems
- Labels
- Arbeitsspeichergröße
- Clientversion
- Zuerst erfasst
- Zuletzt gesehen
- Installationsdatum des Betriebssystems
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Get Client Details (Clientdetails abrufen) empfangen wird:
[
{
"HardwareInfo": {
"system_product_name": "HVM domU",
"bios_rom_size": "64 kB",
"bios_vendor": "Xen",
"system_sku_number": "Not Specified",
"system_family": "Not Specified",
"system_uuid": "UUID",
"system_manufacturer": "Xen",
"bios_release_date": "08/24/2006",
"bios_version": "4.2.amazon",
"serial_number": "UUID",
"bios_revision": "4.2"
},
"LastClock": 1535907460060247,
"Interfaces": [
{
"ifname": "lo",
"addresses": [
{
"packed_bytes": "fwAAAQ==",
"address_type": "INET"
},
{
"packed_bytes": "AAAAAAAAAAAAAAAAAAAAAQ==",
"address_type": "INET6"
}
],
"mac_address": "MAC_ADDRESS"
},
{
"ifname": "eth0",
"addresses": [
{
"packed_bytes": "rB8sWw==",
"address_type": "INET"
},
{
"packed_bytes": "/oAAAAAAAAAE1kv//h5yfg==",
"address_type": "INET6"
}
],
"mac_address": "MAC_ADDRESS"
}
],
"OS": {
"kernel": "4.4.0-1065-aws",
"install_date": 1534280169000000,
"system": "Linux",
"fqdn": "ip-192-0-2-91.example",
"machine": "x86_64",
"version": "16.4",
"release": "Ubuntu"
},
"AgentInfo": {
"client_name": "grr",
"client_description": "grr linux amd64",
"client_version": 3232,
"build_time": "2018-06-28 09:37:57"
},
"Labels": [],
"LastBootedAt": 1535292604000000,
"FirstSeenAt": 1535293827970976,
"User": [],
"Volumes": [
{
"total_allocation_units": 50808745,
"bytes_per_sector": 4096,
"sectors_per_allocation_unit": 1,
"unixvolume": {
"mount_point": "/"
},
"actual_available_allocation_units": 50027766
}
],
"LastCrashAt": null,
"LastSeenAt": 1535907460075229,
"ID": "CLIENT_ID"
}
]
Ausgabemeldungen
Die Aktion Clientdetails abrufen kann die folgenden Ausgabenachrichten zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde ausgeführt. |
Error executing action "Get Client Details". Reason: ERROR_REASON |
Die Aktion ist fehlgeschlagen. Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Get Client Details (Clientdetails abrufen) verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Details der Bedrohungssuche abrufen
Mit der Aktion Get Hunt Details (Details zur Suche abrufen) können Sie Details zur Suche abrufen.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Aktionseingaben
Für die Aktion Get Hunt Details (Details zur Suche abrufen) sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Hunt ID |
Erforderlich. Die ID einer Suche, die abgerufen werden soll. Für diesen Parameter können mehrere Werte als durch Kommas getrennter String angegeben werden. |
Aktionsausgaben
Die Aktion Get Hunt Details (Details zur Suche abrufen) gibt die folgenden Ausgaben zurück:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
Link zum Fall‑Repository
Mit der Aktion Get Hunt Details (Details zur Suche abrufen) kann der folgende Link generiert werden:
API_ROOT/#/hunts/HUNT_ID
JSON-Ergebnis
Im folgenden Beispiel sehen Sie die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Get Hunt Details (Details zur Suche abrufen) empfangen wird:
[
{
"Name": "ExampleHunt",
"Expires": 1537063517000000,
"Description": "test",
"Creator": "admin",
"IsRobot": false,
"Status": "PAUSED",
"Hunt_ID": "HUNT_ID",
"Created": 1535853917657925,
"Start_Time": 1535853917657925,
"Duration": "2w",
"Expiration time": " ",
"Crash_limit": 100,
"Client_limit": 100,
"Client_rate (clients/min)": "20.5",
"Client_Queued": "20.5",
"Client_Scheduled": "20.5",
"Client_Outstanding": "20.5",
"Client_Completed": "20.5",
"Client_with Results": "20.5",
"Results": "20.5",
"Total_CPU_Time_Used": "20.5",
"Total_Network_Traffic": "20.5",
"Flow_Name": "KeepAlive",
"Flow_Arguments": "20.5",
"Client_Rule_Set": " "
}
]
Ausgabemeldungen
Die Aktion Get Hunt Details (Details zur Suche abrufen) kann die folgenden Ausgabenachrichten zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde ausgeführt. |
Error executing action "Get Hunt Details". Reason: ERROR_REASON |
Die Aktion ist fehlgeschlagen. Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Get Hunt Details verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Clients auflisten
Mit der Aktion List Clients (Kunden auflisten) können Sie nach Kunden suchen und mit ihnen interagieren.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Aktionseingaben
Für die Aktion List Clients sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Offset |
Optional. Der Startpunkt (Offset) für die Suche nach Clients. |
Max Results To Return |
Optional. Die maximale Anzahl von Clients, die in jeder Antwort zurückgegeben werden sollen. Der Standardwert ist |
Aktionsausgaben
Die Aktion List Clients (Kunden auflisten) gibt die folgenden Ausgaben zurück:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
Tabelle „Fall-Repository“
Mit der Aktion List Clients (Kunden auflisten) kann die folgende Tabelle generiert werden:
Tabellenname: GRR Clients
Tabellenspalten:
- Client-ID
- Moderator:in
- Version des Betriebssystems
- Zuerst erfasst
- Clientversion
- Labels
- Letzte Anmeldung
- Installationsdatum des Betriebssystems
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion List Clients (Clients auflisten) empfangen wird:
[{
"Client_ID": "CLIENT_ID",
"Agent_Info":{
"Client_Name": "example",
"Client_Version": 3420}
"OS_Info":{
"System": "Linux",
"Release": "Ubuntu",
"Architecture": "x86_64",
"Installation_Time": "2020-04-09 13:44:17 UTC",
"Kernel": "4.15.0-96-generic",
"Version": "18.04"}
"Client_Last_Booted_At": "",
"Client_First_Seen_At": "2020-09-25 14:26:38 UTC",
"Client_Last_Seen": "2020-11-19 10:12:52 UTC",
"Client_Last_Clock": "2020-11-19 10:12:52 UTC",
"Memory_Size": "985.6MiB",
"Client_Labels": []
}]
Ausgabemeldungen
Die Aktion List Clients kann die folgenden Ausgabemeldungen zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde ausgeführt. |
Error executing action "List Clients". Reason: ERROR_REASON |
Die Aktion ist fehlgeschlagen. Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion List Clients aufgeführt:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Hunts auflisten
Mit der Aktion List Hunts (Jagden auflisten) können Sie Informationen zu allen verfügbaren Jagden abrufen.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Aktionseingaben
Für die Aktion List Hunts sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Creator |
Optional. Ein Nutzer, der eine Suche erstellt hat. |
Offset |
Optional. Der Startpunkt (Offset) für die Suche nach Jagden. |
Max Results To Return |
Optional. Die maximale Anzahl der Suchvorgänge, die in jeder Antwort zurückgegeben werden sollen. Der Standardwert ist |
Aktionsausgaben
Die Aktion List Hunts (Suche auflisten) gibt Folgendes aus:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
Tabelle „Fall-Repository“
Mit der Aktion List Hunts (Jagden auflisten) kann die folgende Tabelle generiert werden:
Tabellenname: Hunts
Tabellenspalten:
- Hunt-ID
- Status
- Erstellungszeit
- Startzeit
- Dauer
- Kundenlimit
- Ablaufzeit
- Creator
- Beschreibung
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion List Hunts empfangen wird:
[
{
"Hunt_Description": "Interrogate run by cron to keep host info fresh.",
"Creator": "GRRCron",
"Is_Robot": false,
"State": "STARTED",
"Creation Time": "1605690387510082",
"Start Time (initial)": "1605690387678448",
"Start Time (last)": "1605690387678448",
"Duration": " ",
"Client Limit": 0,
"Expiration Time": " ",
"Hunt_ID": "HUNT_ID",
}
]
Ausgabemeldungen
Die Aktion List Hunts kann die folgenden Ausgabenachrichten zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde ausgeführt. |
Error executing action "List Hunts". Reason: ERROR_REASON |
Die Aktion ist fehlgeschlagen. Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion List Hunts verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Gestartete Abläufe auflisten
Mit der Aktion List Launched Flows (Gestartete Abläufe auflisten) können Sie die Abläufe auflisten, die auf einem bestimmten Client gestartet wurden.
Diese Aktion wird für die folgenden Google SecOps-Entitäten ausgeführt:
IP AddressHostname
Aktionseingaben
Für die Aktion List Launched Flows sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Offset |
Optional. Der Startpunkt (Offset) für die Suche nach Abläufen. |
Max Results To Return |
Optional. Die maximale Anzahl von Abläufen, die in jeder Antwort zurückgegeben werden sollen. Der Standardwert ist |
Aktionsausgaben
Die Aktion List Launched Flows (Gestartete Flows auflisten) bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
Tabelle „Fall-Repository“
Mit der Aktion List Launched Flows (Gestartete Abläufe auflisten) kann die folgende Tabelle generiert werden:
Tabellenname: GRR Launch Flows
Tabellenspalten:
- Ablaufname
- Ablauf-ID
- Bundesland
- Erstellungszeit
- Zuletzt aktiv
- Creator
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion List Launched Flows (Gestartete Abläufe auflisten) empfangen wird:
{
"Creator": "admin",
"NestedFlow": [],
"LastActiveAt": 1535900632278975,
"Args": {
"ARGUMENTS"
},
"State": "TERMINATED",
"StartedAt": 1535900542745106,
"Flow_ID": "FLOW_ID",
"Flow_Name": "FLOW_NAME"
}
Ausgabemeldungen
Die Aktion List Launched Flows kann die folgenden Ausgabenachrichten zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde ausgeführt. |
Error executing action "List Launched Flows". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion List Launched Flows verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Ping
Verwenden Sie die Aktion Ping, um die Verbindung zu GRR Rapid Response zu testen.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Aktionseingaben
Keine.
Aktionsausgaben
Die Aktion Ping bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
Ausgabemeldungen
Die Aktion Ping kann die folgenden Ausgabenachrichten zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
Successfully connected to the GRR server with the provided
connection parameters! |
Die Aktion wurde ausgeführt. |
Failed to connect to the GRR server! Error is ERROR_REASON |
Die Aktion ist fehlgeschlagen. Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Ping aufgeführt:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Jagd starten
Mit der Aktion Start A Hunt (Suche starten) können Sie eine neu erstellte Suche starten. Standardmäßig wird allen neuen Hunts der Status PAUSED zugewiesen.
Bei GRR Rapid Response werden alle Suchen, die ihr Clientlimit erreicht haben, in den Status PAUSED versetzt. Nachdem Sie das Clientlimit entfernt haben, können Sie die Aktion Start A Hunt (Suche starten) verwenden, um pausierte Suchen neu zu starten.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Aktionseingaben
Für die Aktion Start A Hunt sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Hunt ID |
Erforderlich. Die ID der zu startenden Suche. Für diesen Parameter können mehrere Werte als durch Kommas getrennter String angegeben werden. |
Aktionsausgaben
Die Aktion Start A Hunt (Suche starten) bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Im folgenden Beispiel sehen Sie die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Start A Hunt empfangen wird:
[{ "Hunt_ID": "HUNT_ID", "State": STARTED}]
Ausgabemeldungen
Die Aktion Start A Hunt kann die folgenden Ausgabemeldungen zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde ausgeführt. |
Error executing action "Start A Hunt". Reason: ERROR_REASON |
Die Aktion ist fehlgeschlagen. Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Jagd beenden
Mit der Aktion Stop A Hunt (Suche beenden) können Sie verhindern, dass neue Kunden Termine vereinbaren, und aktuelle Abläufe unterbrechen, wenn sich ihr Status ändert.
Wenn Sie eine Suche beenden, können Sie sie nicht fortsetzen. Bei dieser Aktion werden alle aktuellen Ergebnisse gelöscht, die gerade verarbeitet werden. Bereits gemeldete Ergebnisse sind davon nicht betroffen.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Aktionseingaben
Für die Aktion Stop A Hunt sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Hunt ID |
Erforderlich. Die ID einer Suche, die beendet werden soll. Für diesen Parameter können mehrere Werte als durch Kommas getrennter String angegeben werden. |
Aktionsausgaben
Die Aktion Stop A Hunt (Suche beenden) liefert die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die beim Verwenden der Aktion Stop A Hunt (Suche beenden) empfangen wird:
[{ "Hunt_ID": "HUNT_ID", "State": STOPPED}]
Ausgabemeldungen
Die Aktion Stop A Hunt kann die folgenden Ausgabemeldungen zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde ausgeführt. |
Error executing action "Stop A Hunt". Reason: ERROR_REASON |
Die Aktion ist fehlgeschlagen. Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Stop A Hunt aufgeführt:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten