Integrar GRR Rapid Response con Google SecOps
En este documento se explica cómo configurar e integrar GRR Rapid Response con Google Security Operations (Google SecOps).
Versión de la integración: 8.0
Parámetros de integración
La integración de GRR Rapid Response requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
API Root |
Obligatorio. Una URL de servidor. El valor predeterminado es |
Username |
Obligatorio. Nombre de usuario del servidor de respuesta rápida de GRR. |
Password |
Obligatorio. La contraseña del servidor de respuesta rápida de GRR. |
Verify SSL |
Opcional. Si se selecciona esta opción, la integración valida el certificado SSL al conectarse al servidor de respuesta rápida de GRR. No está seleccionada de forma predeterminada. |
Para obtener instrucciones sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.
Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en los cuadernos de estrategias. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Admitir varias instancias.
Acciones
Para obtener más información sobre las acciones, consulta Responder a acciones pendientes desde Tu espacio de trabajo y Realizar una acción manual.
Obtener detalles del cliente
Usa la acción Obtener detalles del cliente para obtener todos los detalles del cliente.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Obtener detalles del cliente requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Client ID |
Obligatorio. Es el ID del cliente. Este parámetro acepta varios valores como una cadena separada por comas. |
Resultados de la acción
La acción Obtener detalles del cliente proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | Disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Tabla del panel de casos
La acción Obtener detalles del cliente puede generar la siguiente tabla:
Nombre de la tabla: GRR Clients Details
Columnas de la tabla:
- ID de cliente
- Anfitrión
- Versión del SO
- Etiquetas
- Tamaño de la memoria
- Versión del cliente
- Visto por primera vez
- Última vez
- Fecha de instalación del SO
Resultado de JSON
En el siguiente ejemplo se muestra el resultado en JSON que se obtiene al usar la acción Get Client Details (Obtener detalles del cliente):
[
{
"HardwareInfo": {
"system_product_name": "HVM domU",
"bios_rom_size": "64 kB",
"bios_vendor": "Xen",
"system_sku_number": "Not Specified",
"system_family": "Not Specified",
"system_uuid": "UUID",
"system_manufacturer": "Xen",
"bios_release_date": "08/24/2006",
"bios_version": "4.2.amazon",
"serial_number": "UUID",
"bios_revision": "4.2"
},
"LastClock": 1535907460060247,
"Interfaces": [
{
"ifname": "lo",
"addresses": [
{
"packed_bytes": "fwAAAQ==",
"address_type": "INET"
},
{
"packed_bytes": "AAAAAAAAAAAAAAAAAAAAAQ==",
"address_type": "INET6"
}
],
"mac_address": "MAC_ADDRESS"
},
{
"ifname": "eth0",
"addresses": [
{
"packed_bytes": "rB8sWw==",
"address_type": "INET"
},
{
"packed_bytes": "/oAAAAAAAAAE1kv//h5yfg==",
"address_type": "INET6"
}
],
"mac_address": "MAC_ADDRESS"
}
],
"OS": {
"kernel": "4.4.0-1065-aws",
"install_date": 1534280169000000,
"system": "Linux",
"fqdn": "ip-192-0-2-91.example",
"machine": "x86_64",
"version": "16.4",
"release": "Ubuntu"
},
"AgentInfo": {
"client_name": "grr",
"client_description": "grr linux amd64",
"client_version": 3232,
"build_time": "2018-06-28 09:37:57"
},
"Labels": [],
"LastBootedAt": 1535292604000000,
"FirstSeenAt": 1535293827970976,
"User": [],
"Volumes": [
{
"total_allocation_units": 50808745,
"bytes_per_sector": 4096,
"sectors_per_allocation_unit": 1,
"unixvolume": {
"mount_point": "/"
},
"actual_available_allocation_units": 50027766
}
],
"LastCrashAt": null,
"LastSeenAt": 1535907460075229,
"ID": "CLIENT_ID"
}
]
Mensajes de salida
La acción Obtener detalles del cliente puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Get Client Details". Reason: ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se indica el valor de la salida del resultado de la secuencia de comandos al usar la acción Obtener detalles del cliente:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Get Hunt Details
Usa la acción Obtener detalles de la búsqueda para recuperar los detalles de la búsqueda.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Get Hunt Details requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Hunt ID |
Obligatorio. ID de una búsqueda que se va a obtener. Este parámetro acepta varios valores como una cadena separada por comas. |
Resultados de la acción
La acción Obtener detalles de la cacería proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | Disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Enlace del panel de casos
La acción Obtener detalles de la búsqueda puede generar el siguiente enlace:
API_ROOT/#/hunts/HUNT_ID
Resultado de JSON
En el siguiente ejemplo se muestra el resultado en JSON que se obtiene al usar la acción Get Hunt Details (Obtener detalles de la cacería):
[
{
"Name": "ExampleHunt",
"Expires": 1537063517000000,
"Description": "test",
"Creator": "admin",
"IsRobot": false,
"Status": "PAUSED",
"Hunt_ID": "HUNT_ID",
"Created": 1535853917657925,
"Start_Time": 1535853917657925,
"Duration": "2w",
"Expiration time": " ",
"Crash_limit": 100,
"Client_limit": 100,
"Client_rate (clients/min)": "20.5",
"Client_Queued": "20.5",
"Client_Scheduled": "20.5",
"Client_Outstanding": "20.5",
"Client_Completed": "20.5",
"Client_with Results": "20.5",
"Results": "20.5",
"Total_CPU_Time_Used": "20.5",
"Total_Network_Traffic": "20.5",
"Flow_Name": "KeepAlive",
"Flow_Arguments": "20.5",
"Client_Rule_Set": " "
}
]
Mensajes de salida
La acción Get Hunt Details puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Get Hunt Details". Reason: ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor del resultado de la secuencia de comandos al usar la acción Obtener detalles de la búsqueda:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
List Clients
Usa la acción List Clients (Listar clientes) para buscar clientes e interactuar con ellos.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción List Clients requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Offset |
Opcional. Punto de partida (desplazamiento) para buscar clientes. |
Max Results To Return |
Opcional. Número máximo de clientes que se devolverán en cada respuesta. El valor predeterminado es |
Resultados de la acción
La acción List Clients (Listar clientes) proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | Disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Tabla del panel de casos
La acción List Clients (Listar clientes) puede generar la siguiente tabla:
Nombre de la tabla: GRR Clients
Columnas de la tabla:
- ID de cliente
- Anfitrión
- Versión del SO
- Visto por primera vez
- Versión del cliente
- Etiquetas
- Último registro
- Fecha de instalación del SO
Resultado de JSON
En el siguiente ejemplo se muestra el resultado JSON que se recibe al usar la acción List Clients (Listar clientes):
[{
"Client_ID": "CLIENT_ID",
"Agent_Info":{
"Client_Name": "example",
"Client_Version": 3420}
"OS_Info":{
"System": "Linux",
"Release": "Ubuntu",
"Architecture": "x86_64",
"Installation_Time": "2020-04-09 13:44:17 UTC",
"Kernel": "4.15.0-96-generic",
"Version": "18.04"}
"Client_Last_Booted_At": "",
"Client_First_Seen_At": "2020-09-25 14:26:38 UTC",
"Client_Last_Seen": "2020-11-19 10:12:52 UTC",
"Client_Last_Clock": "2020-11-19 10:12:52 UTC",
"Memory_Size": "985.6MiB",
"Client_Labels": []
}]
Mensajes de salida
La acción List Clients puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "List Clients". Reason: ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción List Clients (Listar clientes):
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Mostrar búsquedas
Usa la acción List Hunts para obtener información sobre todas las cacerías disponibles.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción List Hunts requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Creator |
Opcional. Usuario que ha creado una búsqueda. |
Offset |
Opcional. Punto de partida (desplazamiento) para buscar cacerías. |
Max Results To Return |
Opcional. Número máximo de búsquedas que se devolverán en cada respuesta. El valor predeterminado es |
Resultados de la acción
La acción List Hunts (Listar búsquedas) proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | Disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Tabla del panel de casos
La acción List Hunts puede generar la siguiente tabla:
Nombre de la tabla: Hunts
Columnas de la tabla:
- ID de búsqueda
- Status
- Hora de creación
- Hora de inicio
- Duración
- Límite de clientes
- Hora de vencimiento
- Creator
- Descripción
Resultado de JSON
En el siguiente ejemplo se muestra el resultado JSON que se recibe al usar la acción List Hunts (Listar búsquedas):
[
{
"Hunt_Description": "Interrogate run by cron to keep host info fresh.",
"Creator": "GRRCron",
"Is_Robot": false,
"State": "STARTED",
"Creation Time": "1605690387510082",
"Start Time (initial)": "1605690387678448",
"Start Time (last)": "1605690387678448",
"Duration": " ",
"Client Limit": 0,
"Expiration Time": " ",
"Hunt_ID": "HUNT_ID",
}
]
Mensajes de salida
La acción List Hunts puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "List Hunts". Reason: ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se indica el valor de la salida del resultado de la secuencia de comandos al usar la acción List Hunts (Listar búsquedas):
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Mostrar flujos iniciados
Usa la acción List Launched Flows (Lista de flujos iniciados) para enumerar los flujos iniciados en un cliente específico.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
IP AddressHostname
Entradas de acciones
La acción List Launched Flows requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Offset |
Opcional. Punto de partida (desplazamiento) para buscar flujos. |
Max Results To Return |
Opcional. Número máximo de flujos que se devolverán en cada respuesta. El valor predeterminado es |
Resultados de la acción
La acción List Launched Flows (Lista de flujos iniciados) proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | Disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Tabla del panel de casos
La acción Lista de flujos iniciados puede generar la siguiente tabla:
Nombre de la tabla: GRR Launch Flows
Columnas de la tabla:
- Nombre del flujo
- ID de flujo
- Estado
- Hora de creación
- Última actividad
- Creator
Resultado de JSON
En el siguiente ejemplo se muestra la salida del resultado JSON recibida al usar la acción List Launched Flows (Lista de flujos iniciados):
{
"Creator": "admin",
"NestedFlow": [],
"LastActiveAt": 1535900632278975,
"Args": {
"ARGUMENTS"
},
"State": "TERMINATED",
"StartedAt": 1535900542745106,
"Flow_ID": "FLOW_ID",
"Flow_Name": "FLOW_NAME"
}
Mensajes de salida
La acción List Launched Flows puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "List Launched Flows". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se indica el valor de la salida del resultado de la secuencia de comandos al usar la acción List Launched Flows (Lista de flujos iniciados):
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Ping
Usa la acción Ping para probar la conectividad con GRR Rapid Response.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
Ninguno
Resultados de la acción
La acción Ping proporciona las siguientes salidas:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Mensajes de salida
La acción Ping puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
Successfully connected to the GRR server with the provided
connection parameters! |
La acción se ha realizado correctamente. |
Failed to connect to the GRR server! Error is ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Ping:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Empezar una cacería
Usa la acción Empezar una búsqueda para iniciar una búsqueda recién creada. De forma predeterminada, GRR Rapid Response asigna el estado PAUSED a todas las búsquedas nuevas.
La respuesta rápida de GRR cambia el estado de todas las búsquedas que hayan alcanzado su límite de clientes a PAUSED. Después de eliminar el límite de clientes, puedes usar la acción Iniciar una búsqueda para reiniciar las búsquedas pausadas.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Iniciar una búsqueda requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Hunt ID |
Obligatorio. ID de la búsqueda que se va a iniciar. Este parámetro acepta varios valores como una cadena separada por comas. |
Resultados de la acción
La acción Empezar una búsqueda proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestra la salida del resultado JSON recibida al usar la acción Iniciar una búsqueda:
[{ "Hunt_ID": "HUNT_ID", "State": STARTED}]
Mensajes de salida
La acción Iniciar una búsqueda puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Start A Hunt". Reason: ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Detener una búsqueda
Usa la acción Detener una búsqueda para evitar que los nuevos clientes programen búsquedas e interrumpir los flujos actuales en el momento en que cambie su estado.
Una vez que hayas detenido una búsqueda, no podrás reanudarla. Esta acción elimina todos los resultados actuales que estén en curso y no afecta a los resultados que ya se hayan comunicado.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Detener una cacería requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Hunt ID |
Obligatorio. El ID de una cacería que se va a detener. Este parámetro acepta varios valores como una cadena separada por comas. |
Resultados de la acción
La acción Detener una búsqueda proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestra el resultado JSON que se recibe al usar la acción Detener una búsqueda:
[{ "Hunt_ID": "HUNT_ID", "State": STOPPED}]
Mensajes de salida
La acción Detener una búsqueda puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Stop A Hunt". Reason: ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor del resultado de la secuencia de comandos al usar la acción Detener una búsqueda:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.