Intégrer GRR Rapid Response à Google SecOps
Ce document explique comment configurer et intégrer GRR Rapid Response à Google Security Operations (Google SecOps).
Version de l'intégration : 8.0
Paramètres d'intégration
L'intégration GRR Rapid Response nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
API Root |
Obligatoire. URL d'un serveur. La valeur par défaut est |
Username |
Obligatoire. Nom d'utilisateur du serveur GRR Rapid Response. |
Password |
Obligatoire. Mot de passe du serveur GRR Rapid Response. |
Verify SSL |
Facultatif. Si cette option est sélectionnée, l'intégration valide le certificat SSL lors de la connexion au serveur GRR Rapid Response. Non sélectionné par défaut. |
Pour obtenir des instructions sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Vous pourrez apporter des modifications ultérieurement, si nécessaire. Une fois que vous avez configuré une instance d'intégration, vous pouvez l'utiliser dans des playbooks. Pour savoir comment configurer et prendre en charge plusieurs instances, consultez Prise en charge de plusieurs instances.
Actions
Pour en savoir plus sur les actions, consultez Répondre aux actions en attente depuis Votre bureau et Effectuer une action manuelle.
Obtenir les informations sur le client
Utilisez l'action Get Client Details (Obtenir les détails du client) pour obtenir tous les détails du client.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Obtenir les détails du client nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Client ID |
Obligatoire. ID du client. Ce paramètre accepte plusieurs valeurs sous forme de chaîne séparée par une virgule. |
Sorties d'action
L'action Obtenir les détails du client fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Table du mur des cas
L'action Obtenir les détails du client peut générer le tableau suivant :
Nom de la table : GRR Clients Details
Colonnes du tableau :
- ID client
- Organisateur
- Version de l'OS
- Libellés
- Taille de la mémoire
- Version du client
- Première diffusion
- Dernière connexion
- Date d'installation de l'OS
Résultat JSON
L'exemple suivant montre le résultat JSON obtenu lors de l'utilisation de l'action Obtenir les détails du client :
[
{
"HardwareInfo": {
"system_product_name": "HVM domU",
"bios_rom_size": "64 kB",
"bios_vendor": "Xen",
"system_sku_number": "Not Specified",
"system_family": "Not Specified",
"system_uuid": "UUID",
"system_manufacturer": "Xen",
"bios_release_date": "08/24/2006",
"bios_version": "4.2.amazon",
"serial_number": "UUID",
"bios_revision": "4.2"
},
"LastClock": 1535907460060247,
"Interfaces": [
{
"ifname": "lo",
"addresses": [
{
"packed_bytes": "fwAAAQ==",
"address_type": "INET"
},
{
"packed_bytes": "AAAAAAAAAAAAAAAAAAAAAQ==",
"address_type": "INET6"
}
],
"mac_address": "MAC_ADDRESS"
},
{
"ifname": "eth0",
"addresses": [
{
"packed_bytes": "rB8sWw==",
"address_type": "INET"
},
{
"packed_bytes": "/oAAAAAAAAAE1kv//h5yfg==",
"address_type": "INET6"
}
],
"mac_address": "MAC_ADDRESS"
}
],
"OS": {
"kernel": "4.4.0-1065-aws",
"install_date": 1534280169000000,
"system": "Linux",
"fqdn": "ip-192-0-2-91.example",
"machine": "x86_64",
"version": "16.4",
"release": "Ubuntu"
},
"AgentInfo": {
"client_name": "grr",
"client_description": "grr linux amd64",
"client_version": 3232,
"build_time": "2018-06-28 09:37:57"
},
"Labels": [],
"LastBootedAt": 1535292604000000,
"FirstSeenAt": 1535293827970976,
"User": [],
"Volumes": [
{
"total_allocation_units": 50808745,
"bytes_per_sector": 4096,
"sectors_per_allocation_unit": 1,
"unixvolume": {
"mount_point": "/"
},
"actual_available_allocation_units": 50027766
}
],
"LastCrashAt": null,
"LastSeenAt": 1535907460075229,
"ID": "CLIENT_ID"
}
]
Messages de sortie
L'action Obtenir les détails du client peut renvoyer les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Get Client Details". Reason: ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Obtenir les détails du client :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Obtenir les détails d'une chasse
Utilisez l'action Obtenir les détails de la chasse pour récupérer les détails de la chasse.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Get Hunt Details (Obtenir les détails de la chasse) nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Hunt ID |
Obligatoire. ID d'une chasse à récupérer. Ce paramètre accepte plusieurs valeurs sous forme de chaîne séparée par une virgule. |
Sorties d'action
L'action Obtenir les détails de la recherche fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Lien vers le mur des cas
L'action Get Hunt Details (Obtenir les détails de la recherche) peut générer le lien suivant :
API_ROOT/#/hunts/HUNT_ID
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Obtenir les détails de la recherche :
[
{
"Name": "ExampleHunt",
"Expires": 1537063517000000,
"Description": "test",
"Creator": "admin",
"IsRobot": false,
"Status": "PAUSED",
"Hunt_ID": "HUNT_ID",
"Created": 1535853917657925,
"Start_Time": 1535853917657925,
"Duration": "2w",
"Expiration time": " ",
"Crash_limit": 100,
"Client_limit": 100,
"Client_rate (clients/min)": "20.5",
"Client_Queued": "20.5",
"Client_Scheduled": "20.5",
"Client_Outstanding": "20.5",
"Client_Completed": "20.5",
"Client_with Results": "20.5",
"Results": "20.5",
"Total_CPU_Time_Used": "20.5",
"Total_Network_Traffic": "20.5",
"Flow_Name": "KeepAlive",
"Flow_Arguments": "20.5",
"Client_Rule_Set": " "
}
]
Messages de sortie
L'action Obtenir les détails de la recherche peut renvoyer les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Get Hunt Details". Reason: ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant liste la valeur de la sortie du résultat du script lorsque vous utilisez l'action Get Hunt Details (Obtenir les détails de la recherche) :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Lister les clients
Utilisez l'action Lister les clients pour rechercher des clients et interagir avec eux.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Lister les clients nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Offset |
Facultatif. Point de départ (décalage) pour la recherche de clients. |
Max Results To Return |
Facultatif. Nombre maximal de clients à renvoyer dans chaque réponse. La valeur par défaut est |
Sorties d'action
L'action Lister les clients fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Table du mur des cas
L'action Lister les clients peut générer le tableau suivant :
Nom de la table : GRR Clients
Colonnes du tableau :
- ID client
- Organisateur
- Version de l'OS
- Première diffusion
- Version du client
- Libellés
- Dernière connexion
- Date d'installation de l'OS
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Lister les clients :
[{
"Client_ID": "CLIENT_ID",
"Agent_Info":{
"Client_Name": "example",
"Client_Version": 3420}
"OS_Info":{
"System": "Linux",
"Release": "Ubuntu",
"Architecture": "x86_64",
"Installation_Time": "2020-04-09 13:44:17 UTC",
"Kernel": "4.15.0-96-generic",
"Version": "18.04"}
"Client_Last_Booted_At": "",
"Client_First_Seen_At": "2020-09-25 14:26:38 UTC",
"Client_Last_Seen": "2020-11-19 10:12:52 UTC",
"Client_Last_Clock": "2020-11-19 10:12:52 UTC",
"Memory_Size": "985.6MiB",
"Client_Labels": []
}]
Messages de sortie
L'action Lister les clients peut renvoyer les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "List Clients". Reason: ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie des résultats du script lorsque vous utilisez l'action Lister les clients :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Lister les recherches
Utilisez l'action List Hunts pour récupérer des informations sur toutes les chasses disponibles.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action List Hunts nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Creator |
Facultatif. Utilisateur qui a créé une chasse au trésor. |
Offset |
Facultatif. Point de départ (décalage) pour la recherche de chasses. |
Max Results To Return |
Facultatif. Nombre maximal de recherches à renvoyer dans chaque réponse. La valeur par défaut est |
Sorties d'action
L'action List Hunts fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Table du mur des cas
L'action List Hunts peut générer le tableau suivant :
Nom de la table : Hunts
Colonnes du tableau :
- ID de la recherche
- Status
- Heure de création
- Heure de début
- Durée
- Limite de clients
- Date/Heure d'expiration
- Créateur
- Description
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action List Hunts (Lister les recherches) :
[
{
"Hunt_Description": "Interrogate run by cron to keep host info fresh.",
"Creator": "GRRCron",
"Is_Robot": false,
"State": "STARTED",
"Creation Time": "1605690387510082",
"Start Time (initial)": "1605690387678448",
"Start Time (last)": "1605690387678448",
"Duration": " ",
"Client Limit": 0,
"Expiration Time": " ",
"Hunt_ID": "HUNT_ID",
}
]
Messages de sortie
L'action List Hunts peut renvoyer les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "List Hunts". Reason: ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action List Hunts (Lister les recherches) :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Lister les flux lancés
Utilisez l'action List Launched Flows (Lister les flux lancés) pour lister les flux lancés sur un client spécifié.
Cette action s'exécute sur les entités Google SecOps suivantes :
IP AddressHostname
Entrées d'action
L'action Lister les flux lancés nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Offset |
Facultatif. Point de départ (décalage) pour la recherche de flux. |
Max Results To Return |
Facultatif. Nombre maximal de flux à renvoyer dans chaque réponse. La valeur par défaut est |
Sorties d'action
L'action Lister les flux lancés fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Table du mur des cas
L'action Lister les flux lancés peut générer le tableau suivant :
Nom de la table : GRR Launch Flows
Colonnes du tableau :
- Flow Name (Nom du flux)
- ID du flux
- État
- Heure de création
- Dernière activité
- Créateur
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Lister les flux lancés :
{
"Creator": "admin",
"NestedFlow": [],
"LastActiveAt": 1535900632278975,
"Args": {
"ARGUMENTS"
},
"State": "TERMINATED",
"StartedAt": 1535900542745106,
"Flow_ID": "FLOW_ID",
"Flow_Name": "FLOW_NAME"
}
Messages de sortie
L'action Lister les flux lancés peut renvoyer les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "List Launched Flows". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Lister les flux lancés :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Ping
Utilisez l'action Ping pour tester la connectivité à GRR Rapid Response.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
Aucun
Sorties d'action
L'action Ping fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Non disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Messages de sortie
L'action Ping peut renvoyer les messages de résultat suivants :
| Message affiché | Description du message |
|---|---|
Successfully connected to the GRR server with the provided
connection parameters! |
L'action a réussi. |
Failed to connect to the GRR server! Error is ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur du résultat du script lorsque vous utilisez l'action Ping :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Commencer une chasse
Utilisez l'action Start A Hunt (Démarrer une recherche) pour démarrer une recherche que vous venez de créer. Par défaut, GRR Rapid Response attribue l'état PAUSED à toutes les nouvelles recherches.
La réponse rapide GRR définit l'état PAUSED pour toutes les recherches ayant atteint leur limite de clients. Une fois la limite de clients supprimée, vous pouvez utiliser l'action Démarrer une recherche pour redémarrer les recherches mises en pause.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Start A Hunt (Lancer une recherche) nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Hunt ID |
Obligatoire. ID de la chasse à lancer. Ce paramètre accepte plusieurs valeurs sous forme de chaîne séparée par une virgule. |
Sorties d'action
L'action Start A Hunt (Démarrer une recherche) fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Start A Hunt (Lancer une chasse) :
[{ "Hunt_ID": "HUNT_ID", "State": STARTED}]
Messages de sortie
L'action Start A Hunt (Démarrer une recherche) peut renvoyer les messages de résultat suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Start A Hunt". Reason: ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Arrêter une chasse
Utilisez l'action Arrêter une recherche pour empêcher de nouveaux clients de planifier des flux et interrompre les flux en cours au moment où leur état change.
Une fois que vous avez arrêté une chasse, vous ne pouvez pas la reprendre. Cette action supprime tous les résultats en cours et n'affecte pas ceux qui ont déjà été signalés.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Arrêter une recherche nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Hunt ID |
Obligatoire. ID d'une recherche à arrêter. Ce paramètre accepte plusieurs valeurs sous forme de chaîne séparée par une virgule. |
Sorties d'action
L'action Stop A Hunt (Arrêter une recherche) fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Arrêter une recherche :
[{ "Hunt_ID": "HUNT_ID", "State": STOPPED}]
Messages de sortie
L'action Stop A Hunt (Arrêter une recherche) peut renvoyer les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Stop A Hunt". Reason: ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Arrêter une recherche :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.