Esta página foi traduzida pela API Cloud Translation.

Integre o GRR Rapid Response com o Google SecOps

Este documento explica como configurar e integrar o GRR Rapid Response com o Google Security Operations (Google SecOps).

Versão da integração: 8.0

Parâmetros de integração

A integração da resposta rápida do GRR requer os seguintes parâmetros:

Parâmetro	Descrição
`API Root`	Obrigatório. Um URL do servidor. O valor predefinido é `https://IP_ADDRESS:8000`.
`Username`	Obrigatório. O nome de utilizador do servidor de resposta rápida do GRR.
`Password`	Obrigatório. A palavra-passe do servidor de resposta rápida do GRR.
`Verify SSL`	Opcional. Se selecionada, a integração valida o certificado SSL quando se liga ao servidor de resposta rápida do GRR. Não selecionado por predefinição.

Para obter instruções sobre como configurar uma integração no Google SecOps, consulte o artigo Configurar integrações.

Se necessário, pode fazer alterações numa fase posterior. Depois de configurar uma instância de integração, pode usá-la em manuais de soluções. Para mais informações sobre como configurar e suportar várias instâncias, consulte o artigo Suporte de várias instâncias.

Ações

Para mais informações sobre ações, consulte os artigos Responda a ações pendentes da sua mesa de trabalho e Execute uma ação manual.

Obtenha detalhes do cliente

Use a ação Get Client Details para obter os detalhes completos do cliente.

Esta ação não é executada em entidades do Google SecOps.

Dados de ações

A ação Get Client Details requer os seguintes parâmetros:

Parâmetro Descrição

Parâmetro	Descrição
`Client ID`	Obrigatório. O ID do cliente. Este parâmetro aceita vários valores como uma string separada por vírgulas.

Client ID

Obrigatório.

O ID do cliente. Este parâmetro aceita vários valores como uma string separada por vírgulas.

Resultados da ação

A ação Get Client Details (Obter detalhes do cliente) fornece os seguintes resultados:

Tipo de saída da ação	Disponibilidade
Fixação à parede da caixa	Não disponível
Link da parede da caixa	Não disponível
Mesa de parede para caixas	Disponível
Tabela de enriquecimento	Não disponível
Resultado JSON	Disponível
Mensagens de saída	Disponível
Resultado do script	Disponível

Mesa de parede para caixas

A ação Get Client Details pode gerar a seguinte tabela:

Nome da tabela: GRR Clients Details

Colunas da tabela:

ID de cliente
Anfitrião
Versão do SO
Marcadores
Tamanho da memória
Versão do cliente
Primeira visualização
Última atividade
Data de instalação do SO

Resultado JSON

O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Get Client Details:

[
        {
            "HardwareInfo": {
                "system_product_name": "HVM domU",
                "bios_rom_size": "64 kB",
                "bios_vendor": "Xen",
                "system_sku_number": "Not Specified",
                "system_family": "Not Specified",
                "system_uuid": "UUID",
                "system_manufacturer": "Xen",
                "bios_release_date": "08/24/2006",
                "bios_version": "4.2.amazon",
                "serial_number": "UUID",
                "bios_revision": "4.2"
            },
            "LastClock": 1535907460060247,
            "Interfaces": [
                {
                    "ifname": "lo",
                    "addresses": [
                        {
                            "packed_bytes": "fwAAAQ==",
                            "address_type": "INET"
                        },
                        {
                            "packed_bytes": "AAAAAAAAAAAAAAAAAAAAAQ==",
                            "address_type": "INET6"
                        }
                    ],
                    "mac_address": "MAC_ADDRESS"
                },
                {
                    "ifname": "eth0",
                    "addresses": [
                        {
                            "packed_bytes": "rB8sWw==",
                            "address_type": "INET"
                        },
                        {
                            "packed_bytes": "/oAAAAAAAAAE1kv//h5yfg==",
                            "address_type": "INET6"
                        }
                    ],
                    "mac_address": "MAC_ADDRESS"
                }
            ],
            "OS": {
                "kernel": "4.4.0-1065-aws",
                "install_date": 1534280169000000,
                "system": "Linux",
                "fqdn": "ip-192-0-2-91.example",
                "machine": "x86_64",
                "version": "16.4",
                "release": "Ubuntu"
            },
            "AgentInfo": {
                "client_name": "grr",
                "client_description": "grr linux amd64",
                "client_version": 3232,
                "build_time": "2018-06-28 09:37:57"
            },
            "Labels": [],
            "LastBootedAt": 1535292604000000,
            "FirstSeenAt": 1535293827970976,
            "User": [],
            "Volumes": [
                {
                    "total_allocation_units": 50808745,
                    "bytes_per_sector": 4096,
                    "sectors_per_allocation_unit": 1,
                    "unixvolume": {
                        "mount_point": "/"
                    },
                    "actual_available_allocation_units": 50027766
                }
            ],
            "LastCrashAt": null,
            "LastSeenAt": 1535907460075229,
            "ID": "CLIENT_ID"
        }
]

Mensagens de saída

A ação Get Client Details pode devolver as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem

Mensagem de saída	Descrição da mensagem
`Successfully fetched details for the following clients: CLIENT_ID_LIST.` `Could not fetch details for the specified clients. CLIENT_ID does not exist.`	A ação foi bem-sucedida.
`Error executing action "Get Client Details". Reason: ERROR_REASON`	A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.

Successfully fetched details for the following clients: CLIENT_ID_LIST.

Could not fetch details for the specified clients. CLIENT_ID does not exist.

A ação foi bem-sucedida.

Error executing action "Get Client Details". Reason: ERROR_REASON

A ação falhou.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.

Resultado do script

A tabela seguinte indica o valor da saída do resultado do script quando usa a ação Get Client Details:

Nome do resultado do script	Valor
`is_success`	`True` ou `False`

Obtenha detalhes da caça

Use a ação Get Hunt Details para obter detalhes da caça.

Esta ação não é executada em entidades do Google SecOps.

Dados de ações

A ação Get Hunt Details requer os seguintes parâmetros:

Parâmetro Descrição

Parâmetro	Descrição
`Hunt ID`	Obrigatório. O ID de uma caça a obter. Este parâmetro aceita vários valores como uma string separada por vírgulas.

Hunt ID

Obrigatório.

O ID de uma caça a obter. Este parâmetro aceita vários valores como uma string separada por vírgulas.

Resultados da ação

A ação Get Hunt Details fornece os seguintes resultados:

Tipo de saída da ação	Disponibilidade
Fixação à parede da caixa	Não disponível
Link da parede da caixa	Disponível
Mesa de parede para caixas	Não disponível
Tabela de enriquecimento	Não disponível
Resultado JSON	Disponível
Mensagens de saída	Disponível
Resultado do script	Disponível

Link da parede da caixa

A ação Get Hunt Details pode gerar o seguinte link:

API_ROOT/#/hunts/HUNT_ID

Resultado JSON

O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Get Hunt Details:

[
        {
            "Name": "ExampleHunt",
            "Expires": 1537063517000000,
            "Description": "test",
            "Creator": "admin",
            "IsRobot": false,
            "Status": "PAUSED",
            "Hunt_ID": "HUNT_ID",
            "Created": 1535853917657925,
            "Start_Time": 1535853917657925,
            "Duration": "2w",
            "Expiration time": " ",
            "Crash_limit": 100,
            "Client_limit": 100,
            "Client_rate (clients/min)": "20.5",
            "Client_Queued": "20.5",
            "Client_Scheduled": "20.5",
            "Client_Outstanding": "20.5",
            "Client_Completed": "20.5",
            "Client_with Results": "20.5",
            "Results": "20.5",
            "Total_CPU_Time_Used": "20.5",
            "Total_Network_Traffic": "20.5",
            "Flow_Name": "KeepAlive",
            "Flow_Arguments": "20.5",
            "Client_Rule_Set": " "
        }
]

Mensagens de saída

A ação Get Hunt Details pode devolver as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem

Mensagem de saída	Descrição da mensagem
`Successfully fetched details for the HUNT_ID hunt.` `Could not fetch details for the specified hunts. HUNT_ID does not exist.`	A ação foi bem-sucedida.
`Error executing action "Get Hunt Details". Reason: ERROR_REASON`	A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.

Successfully fetched details for the HUNT_ID hunt.

Could not fetch details for the specified hunts. HUNT_ID does not exist.

A ação foi bem-sucedida.

Error executing action "Get Hunt Details". Reason: ERROR_REASON

A ação falhou.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.

Resultado do script

A tabela seguinte lista o valor do resultado do script quando usa a ação Get Hunt Details:

Nome do resultado do script	Valor
`is_success`	`True` ou `False`

Listar clientes

Use a ação List Clients para pesquisar clientes e interagir com eles.

Esta ação não é executada em entidades do Google SecOps.

Dados de ações

A ação List Clients requer os seguintes parâmetros:

Parâmetro Descrição

Parâmetro	Descrição
`Offset`	Opcional. O ponto de partida (desvio) para pesquisar clientes.
`Max Results To Return`	Opcional. O número máximo de clientes a devolver em cada resposta. O valor predefinido é `5`.

Offset

Opcional.

O ponto de partida (desvio) para pesquisar clientes.

Max Results To Return

Opcional.

O número máximo de clientes a devolver em cada resposta.

O valor predefinido é 5.

Resultados da ação

A ação List Clients fornece os seguintes resultados:

Tipo de saída da ação	Disponibilidade
Fixação à parede da caixa	Não disponível
Link da parede da caixa	Não disponível
Mesa de parede para caixas	Disponível
Tabela de enriquecimento	Não disponível
Resultado JSON	Disponível
Mensagens de saída	Disponível
Resultado do script	Disponível

Mesa de parede para caixas

A ação List Clients pode gerar a seguinte tabela:

Nome da tabela: GRR Clients

Colunas da tabela:

ID de cliente
Anfitrião
Versão do SO
Primeira visualização
Versão do cliente
Marcadores
Último registo
Data de instalação do SO

Resultado JSON

O exemplo seguinte mostra o resultado JSON recebido quando usa a ação List Clients:

[{
    "Client_ID": "CLIENT_ID",
    "Agent_Info":{
       "Client_Name": "example",
       "Client_Version": 3420}
    "OS_Info":{
       "System": "Linux",
       "Release": "Ubuntu",
       "Architecture": "x86_64",
       "Installation_Time": "2020-04-09 13:44:17 UTC",
       "Kernel": "4.15.0-96-generic",
       "Version": "18.04"}
    "Client_Last_Booted_At": "",
    "Client_First_Seen_At": "2020-09-25 14:26:38 UTC",
    "Client_Last_Seen": "2020-11-19 10:12:52 UTC",
    "Client_Last_Clock": "2020-11-19 10:12:52 UTC",
    "Memory_Size": "985.6MiB",
    "Client_Labels": []
   }]

Mensagens de saída

A ação List Clients pode devolver as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem

Mensagem de saída	Descrição da mensagem
`Successfully listed available clients in GRR.` `No clients are available in GRR.`	A ação foi bem-sucedida.
`Error executing action "List Clients". Reason: ERROR_REASON`	A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.

Successfully listed available clients in GRR.

No clients are available in GRR.

A ação foi bem-sucedida.

Error executing action "List Clients". Reason: ERROR_REASON

A ação falhou.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.

Resultado do script

A tabela seguinte indica o valor da saída do resultado do script quando usa a ação List Clients:

Nome do resultado do script	Valor
`is_success`	`True` ou `False`

Listar caças

Use a ação List Hunts para obter informações sobre todas as caças disponíveis.

Esta ação não é executada em entidades do Google SecOps.

Dados de ações

A ação List Hunts requer os seguintes parâmetros:

Parâmetro Descrição

Parâmetro	Descrição
`Creator`	Opcional. Um utilizador que criou uma caça.
`Offset`	Opcional. O ponto de partida (desvio) para pesquisar caças.
`Max Results To Return`	Opcional. O número máximo de pesquisas a devolver em cada resposta. O valor predefinido é `5`.

Creator

Opcional.

Um utilizador que criou uma caça.

Offset

Opcional.

O ponto de partida (desvio) para pesquisar caças.

Max Results To Return

Opcional.

O número máximo de pesquisas a devolver em cada resposta.

O valor predefinido é 5.

Resultados da ação

A ação List Hunts fornece os seguintes resultados:

Tipo de saída da ação	Disponibilidade
Fixação à parede da caixa	Não disponível
Link da parede da caixa	Não disponível
Mesa de parede para caixas	Disponível
Tabela de enriquecimento	Não disponível
Resultado JSON	Disponível
Mensagens de saída	Disponível
Resultado do script	Disponível

Mesa de parede para caixas

A ação List Hunts pode gerar a seguinte tabela:

Nome da tabela: Hunts

Colunas da tabela:

ID da caça
Estado
Hora da criação
Hora de início
Duração
Limite de clientes
Prazo de validade
Criador
Descrição

Resultado JSON

O exemplo seguinte mostra o resultado JSON recebido quando usa a ação List Hunts:

[
    {
        "Hunt_Description": "Interrogate run by cron to keep host info fresh.",
        "Creator": "GRRCron",
        "Is_Robot": false,
        "State": "STARTED",
        "Creation Time": "1605690387510082",
        "Start Time (initial)": "1605690387678448",
        "Start Time (last)": "1605690387678448",
        "Duration": " ",
        "Client Limit": 0,
        "Expiration Time": " ",
        "Hunt_ID": "HUNT_ID",
    }
]

Mensagens de saída

A ação List Hunts pode devolver as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem

Mensagem de saída	Descrição da mensagem
`Successfully listed hunts.` `Could not list hunts for the specified creator. CREATOR_ID< does not exist.` `Could not list hunts for the specified creator. Please check the Offset value.`	A ação foi bem-sucedida.
`Error executing action "List Hunts". Reason: ERROR_REASON`	A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.

Successfully listed hunts.

Could not list hunts for the specified creator. CREATOR_ID< does not exist.

Could not list hunts for the specified creator. Please check the Offset value.

A ação foi bem-sucedida.

Error executing action "List Hunts". Reason: ERROR_REASON

A ação falhou.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.

Resultado do script

A tabela seguinte lista o valor do resultado do script quando usa a ação List Hunts:

Nome do resultado do script	Valor
`is_success`	`True` ou `False`

Listar fluxos iniciados

Use a ação List Launched Flows para listar os fluxos iniciados num cliente especificado.

Esta ação é executada nas seguintes entidades do Google SecOps:

IP Address
Hostname

Dados de ações

A ação List Launched Flows requer os seguintes parâmetros:

Parâmetro Descrição

Parâmetro	Descrição
`Offset`	Opcional. O ponto de partida (desvio) para procurar fluxos.
`Max Results To Return`	Opcional. Um número máximo de fluxos a devolver em cada resposta. O valor predefinido é `5`.

Offset

Opcional.

O ponto de partida (desvio) para procurar fluxos.

Max Results To Return

Opcional.

Um número máximo de fluxos a devolver em cada resposta.

O valor predefinido é 5.

Resultados da ação

A ação List Launched Flows fornece os seguintes resultados:

Tipo de saída da ação	Disponibilidade
Fixação à parede da caixa	Não disponível
Link da parede da caixa	Não disponível
Mesa de parede para caixas	Disponível
Tabela de enriquecimento	Não disponível
Resultado JSON	Disponível
Mensagens de saída	Disponível
Resultado do script	Disponível

Mesa de parede para caixas

A ação List Launched Flows pode gerar a seguinte tabela:

Nome da tabela: Fluxos de lançamento da GRR

Colunas da tabela:

Nome do fluxo
ID do fluxo
Estado
Hora da criação
Última atividade
Criador

Resultado JSON

O exemplo seguinte mostra o resultado JSON recebido quando usa a ação List Launched Flows:

{
    "Creator": "admin",
    "NestedFlow": [],
    "LastActiveAt": 1535900632278975,
    "Args": {
        "ARGUMENTS"
    },
    "State": "TERMINATED",
    "StartedAt": 1535900542745106,
    "Flow_ID": "FLOW_ID",
    "Flow_Name": "FLOW_NAME"
}

Mensagens de saída

A ação List Launched Flows pode devolver as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem

Mensagem de saída	Descrição da mensagem
`Successfully listed flows launched on CLIENT_ID client.` `Could not list flows. No entities were found.` `Could not list flows. IPs or Hosts entities were not found in current scope.` `Could not list flows on the following entities: ENTITY_ID.`	A ação foi bem-sucedida.
`Error executing action "List Launched Flows". Reason: ERROR_REASON`	A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.

Successfully listed flows launched on CLIENT_ID client.

Could not list flows. No entities were found.

Could not list flows. IPs or Hosts entities were not found in current scope.

Could not list flows on the following entities: ENTITY_ID.

A ação foi bem-sucedida.

Error executing action "List Launched Flows". Reason:
    ERROR_REASON

A ação falhou.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.

Resultado do script

A tabela seguinte apresenta o valor da saída do resultado do script quando usa a ação List Launched Flows:

Nome do resultado do script	Valor
`is_success`	`True` ou `False`

Tchim-tchim

Use a ação Ping para testar a conetividade com a resposta rápida do GRR.

Esta ação não é executada em entidades do Google SecOps.

Dados de ações

Nenhum.

Resultados da ação

A ação Ping fornece os seguintes resultados:

Tipo de saída da ação	Disponibilidade
Fixação à parede da caixa	Não disponível
Link da parede da caixa	Não disponível
Mesa de parede para caixas	Não disponível
Tabela de enriquecimento	Não disponível
Resultado JSON	Não disponível
Mensagens de saída	Disponível
Resultado do script	Disponível

Mensagens de saída

A ação Ping pode devolver as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem

Successfully connected to the GRR server with the provided connection parameters! A ação foi bem-sucedida.

Mensagem de saída	Descrição da mensagem
`Successfully connected to the GRR server with the provided connection parameters!`	A ação foi bem-sucedida.
`Failed to connect to the GRR server! Error is ERROR_REASON`	A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.

Failed to connect to the GRR server! Error is ERROR_REASON

A ação falhou.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.

Resultado do script

A tabela seguinte lista o valor do resultado do script quando usa a ação Ping:

Nome do resultado do script	Valor
`is_success`	`True` ou `False`

Inicie uma caça

Use a ação Iniciar uma caça para iniciar uma caça recém-criada. Por predefinição, o GRR Rapid Response atribui o estado PAUSED a todas as novas pesquisas.

A resposta rápida do GRR define todas as pesquisas que atingiram o respetivo limite de clientes para o estado PAUSED. Depois de remover o limite de clientes, pode usar a ação Iniciar uma investigação para reiniciar as investigações pausadas.

Esta ação não é executada em entidades do Google SecOps.

Dados de ações

A ação Iniciar uma procura requer os seguintes parâmetros:

Parâmetro Descrição

Parâmetro	Descrição
`Hunt ID`	Obrigatório. O ID da caça a iniciar. Este parâmetro aceita vários valores como uma string separada por vírgulas.

Hunt ID

Obrigatório.

O ID da caça a iniciar. Este parâmetro aceita vários valores como uma string separada por vírgulas.

Resultados da ação

A ação Iniciar uma procura fornece os seguintes resultados:

Tipo de saída da ação	Disponibilidade
Fixação à parede da caixa	Não disponível
Link da parede da caixa	Não disponível
Mesa de parede para caixas	Não disponível
Tabela de enriquecimento	Não disponível
Resultado JSON	Disponível
Mensagens de saída	Disponível
Resultado do script	Disponível

Resultado JSON

O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Start A Hunt:

[{ "Hunt_ID": "HUNT_ID", "State": STARTED}]

Mensagens de saída

A ação Start A Hunt pode devolver as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem

Mensagem de saída	Descrição da mensagem
`Successfully started the following hunts: HUNT_ID_LIST.` `Could not start the following hunts. HUNT_ID_LIST could not be found in GRR.` `Could not stop the following hunts: HUNT_ID_LIST. Hunt can only be started from PAUSED state.`	A ação foi bem-sucedida.
`Error executing action "Start A Hunt". Reason: ERROR_REASON`	A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.

Successfully started the following hunts: HUNT_ID_LIST.

Could not start the following hunts. HUNT_ID_LIST could not be found in GRR.

Could not stop the following hunts: HUNT_ID_LIST. Hunt can only be started from PAUSED state.

A ação foi bem-sucedida.

Error executing action "Start A Hunt". Reason: ERROR_REASON

A ação falhou.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.

Pare uma caça

Use a ação Stop A Hunt para impedir que novos clientes agendem e interrompam os fluxos atuais no momento em que o respetivo estado muda.

Depois de parar uma caça, não a pode retomar. Esta ação elimina todos os resultados atuais em curso e não afeta os resultados já comunicados.

Esta ação não é executada em entidades do Google SecOps.

Dados de ações

A ação Stop A Hunt requer os seguintes parâmetros:

Parâmetro Descrição

Parâmetro	Descrição
`Hunt ID`	Obrigatório. O ID de uma procura a parar. Este parâmetro aceita vários valores como uma string separada por vírgulas.

Hunt ID

Obrigatório.

O ID de uma procura a parar. Este parâmetro aceita vários valores como uma string separada por vírgulas.

Resultados da ação

A ação Stop A Hunt (Parar uma procura) fornece os seguintes resultados:

Tipo de saída da ação	Disponibilidade
Fixação à parede da caixa	Não disponível
Link da parede da caixa	Não disponível
Mesa de parede para caixas	Não disponível
Tabela de enriquecimento	Não disponível
Resultado JSON	Disponível
Mensagens de saída	Disponível
Resultado do script	Disponível

Resultado JSON

O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Stop A Hunt:

[{ "Hunt_ID": "HUNT_ID", "State": STOPPED}]

Mensagens de saída

A ação Stop A Hunt pode devolver as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem

Mensagem de saída	Descrição da mensagem
`Successfully stopped the following hunts: HUNT_ID_LIST.` `Could not stop the following hunts. HUNT_ID_LIST could not be found in GRR.` `Could not stop the following hunts: HUNT_ID_LIST. Hunt can only be stopped from STARTED or PAUSED states.`	A ação foi bem-sucedida.
`Error executing action "Stop A Hunt". Reason: ERROR_REASON`	A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.

Successfully stopped the following hunts: HUNT_ID_LIST.

Could not stop the following hunts. HUNT_ID_LIST could not be found in GRR.

Could not stop the following hunts: HUNT_ID_LIST. Hunt can only be stopped from STARTED or PAUSED states.

A ação foi bem-sucedida.

Error executing action "Stop A Hunt". Reason: ERROR_REASON

A ação falhou.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.

Resultado do script

A tabela seguinte indica o valor do resultado do script quando usa a ação Stop A Hunt:

Nome do resultado do script	Valor
`is_success`	`True` ou `False`

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.