RSA NetWitness EDR

Integrationsversion: 4.0

Anwendungsbereiche

  1. Anreicherungsaktionen ausführen – Daten aus RSA NetWitness abrufen, um Daten in Google Security Operations-Benachrichtigungen anzureichern.
  2. Maßnahmen zur Behebung ergreifen – IPs/URLs auf Blacklists setzen.

RSA NetWitness EDR-Integration in Google SecOps konfigurieren

Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.

Integrationsparameter

Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:

Anzeigename des Parameters Typ Standardwert Ist obligatorisch Beschreibung
Instanzname String Nein Name der Instanz, für die Sie die Integration konfigurieren möchten.
Beschreibung String Nein Beschreibung der Instanz.
API-Stamm String https://:9443 Ja API-Stammverzeichnis der RSA NetWitness EDR-Instanz.
Nutzername String Ja Nutzername des RSA NetWitness EDR-Kontos.
Passwort Passwort Ja Das Passwort des RSA NetWitness EDR-Kontos.
SSL überprüfen Kästchen Aktiviert Nein Wenn diese Option aktiviert ist, wird geprüft, ob das SSL-Zertifikat für die Verbindung zum RSA NetWitness EDR-Server gültig ist.
Remote ausführen Kästchen Deaktiviert Nein Aktivieren Sie das Feld, um die konfigurierte Integration remote auszuführen. Nachdem Sie das Kästchen angekreuzt haben, wird die Option zum Auswählen des Remote-Nutzers (Kundenservicemitarbeiters) angezeigt.

Aktionen

Ping

Beschreibung

Testen Sie die Verbindung zu RSA NetWitness EDR mit Parametern, die auf der Seite mit der Integrationskonfiguration auf dem Tab „Google Security Operations Marketplace“ angegeben sind.

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt und hat keine obligatorischen Eingabeparameter.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel
is_success Wahr/falsch is_success:False
Fall-Repository
Ergebnistyp Wert / Beschreibung Typ
Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen:

Bei Erfolg:

Geben Sie „Successfully connected to the RSA NetWitness EDR server with the provided connection parameters!“ aus.

Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden:

Wenn das nicht funktioniert:

Geben Sie „Failed to connect to the RSA NetWitness EDR server!“ aus. Fehler: {0}".format(exception.stacktrace)

 Allgemein

Endpunkt für die Anreicherung

Beschreibung

Systeminformationen des Abrufendpunkts anhand des Hostnamens oder der IP-Adresse abrufen.

Parameter

Anzeigename des Parameters Typ Standardwert Ist obligatorisch Beschreibung
IIOC-Score-Schwellenwert Ganzzahl 50 Nein Geben Sie den IIOC-Schwellenwert für den Endpunkt an. Wenn der Endpunkt den Schwellenwert überschreitet, wird die zugehörige Entität als verdächtig markiert. Wenn nichts angegeben ist, wird der IIOC-Score nicht geprüft.
IOC-Informationen einbeziehen Kästchen Deaktiviert Nein Wenn diese Option aktiviert ist, werden Informationen zu den IOCs abgerufen, die dem Endpunkt zugeordnet sind.
Maximale Anzahl zurückzugebender IOCs Ganzzahl 50 Nein Geben Sie an, wie viele IOCs zurückgegeben werden sollen. Der Höchstwert liegt bei 50. Dies ist eine Einschränkung von RSA NetWitness EDR.

Ausführen am

Diese Aktion wird für die folgenden Einheiten ausgeführt:

  • IP-Adresse
  • Host

Aktionsergebnisse

Entitätsanreicherung
Name des Anreicherungsfelds Logik – Wann anwenden?
RSA_EDR_DriverErrorCode Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_ServicePackOS Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_MachineStatus Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_Type Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_VersionInfo Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_UserName Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_OrganizationUnit Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_LocalIP Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_NetworkSegment Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_Gateway Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_RemoteIP Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_Group Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_AdminStatus Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_KernelDebuggerDetected Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_EarlyStart Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_NotifyShutdownModule Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_LoadedModuleModule Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_NotifyRoutineModule Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_UnloadedDriverModule Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_ErrorLogModule Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_LowLevelReaderModule Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_ProcessModule Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_WorkerThreadModule Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_WindowsHooksModule Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_DebuggerAttachedToProcess Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_ProcessMonitorModule Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_ThreadMonitorModule Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_ObjectMonitorModule Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_ImageMonitorModule Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_DriverMonitorModule Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_TdiMonitorModule Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_TrackingModule Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_TrackingRegistryMonitor Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_TrackingObjectMonitor Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_TrackingFileMonitor Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_TrackingRemoteThreadMonitor Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_TrackingCreateProcessMonitor Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_TrackingHardLinkMonitor Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_TrackingFileBlockMonitor Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_TrackingNetworkMonitor Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_ECATServerName Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_Online Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_IIOCScore Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_ChassisType Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_ContainmentSupported Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_AgentID Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_BIOS Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_OSBuildNumber Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_Comment Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_ConnectionTime Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_Language Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_DNS Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_DomainRole Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_ECATServiceCompileTime Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_ECATPackageTime Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_StartTime Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_ECATDriverCompileTime Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_DomainName Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_Idle Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_IncludedinMonitoring Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_IncludedinScanSchedule Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_InstallationFailed Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_InstallTime Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_IIOCLevel0 Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_IIOCLevel1 Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_IIOCLevel2 Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_IIOCLevel3 Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_Country Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_BootTime Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_LastScan Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_LastSeen Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_MAC Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_MachineID Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_MachineName Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_AllowAccessDataSourceDomain Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_AllowDisplayMixedContent Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_AntiVirusDisabled Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_BadCertificateWarningDisabled Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_CookiesCleanupDisabled Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_CrosssiteScriptFilterDisabled Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_FirewallDisabled Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_IEDepDisabled Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_IEEnhancedSecurityDisabled Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_IntranetZoneNotificationDisabled Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_LUADisabled Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_NoAntivirusNotificationDisabled Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_NoFirewallNotificationDisabled Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_NoUACNotificationDisabled Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_NoWindowsUpdateDisabled Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_RegistryToolsDisabled Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_SmartscreenFilterDisabled Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_SystemRestoreDisabled Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_TaskManagerDisabled Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_UACDisabled Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_WarningOnZoneCrossingDisabled Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_WarningPostRedirectionDisabled Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_Manufacturer Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_Model Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_NetworkAdapterPromiscModel Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_OperatingSystem Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_ProcessorArchitecture Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_ProcessorCount Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_Platform Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_ProcessorIs32bits Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_Processoris64 Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_ProcessorName Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_Scanning Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_ScanStartTime Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_Serial Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_TimeZone Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_TotalPhysicalMemory Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_HTTPSFallbackMode Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_BlockingActive Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_RoamingAgentsRelaySystemActive Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_UserID Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_WindowsDirectory Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_NetWitnessInvestigate Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_ContainmentStatus Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel
is_success Wahr/falsch is_success:False
JSON-Ergebnis

{
    "Machine": {
        "DriverErrorCode": "0xe0010014",
        "ServicePackOS": "0",
        "MachineStatus": "Offline-DriverError",
        "Type": "Windows",
        "VersionInfo": "4.4.0.0",
        "UserName": "",
        "OrganizationUnit": "",
        "LocalIP": "172.30.203.155",
        "NetworkSegment": "172.30.203.0",
        "Gateway": "172.30.203.1",
        "RemoteIP": "172.30.203.155",
        "Group": "Default",
        "AdminStatus": "",
        "KernelDebuggerDetected": "False",
        "EarlyStart": "False",
        "NotifyShutdownModule": "False",
        "LoadedModuleModule": "False",
        "NotifyRoutineModule": "False",
        "UnloadedDriverModule": "False",
        "ErrorLogModule": "False",
        "LowLevelReaderModule": "False",
        "ProcessModule": "False",
        "WorkerThreadModule": "False",
        "WindowsHooksModule": "False",
        "DebuggerAttachedToProcess": "False",
        "ProcessMonitorModule": "False",
        "ThreadMonitorModule": "False",
        "ObjectMonitorModule": "False",
        "ImageMonitorModule": "False",
        "DriverMonitorModule": "False",
        "TdiMonitorModule": "False",
        "TrackingModule": "False",
        "TrackingRegistryMonitor": "False",
        "TrackingObjectMonitor": "False",
        "TrackingFileMonitor": "False",
        "TrackingRemoteThreadMonitor": "False",
        "TrackingCreateProcessMonitor": "False",
        "TrackingHardLinkMonitor": "False",
        "TrackingFileBlockMonitor": "False",
        "TrackingNetworkMonitor": "False",
        "ECATServerName": "RSA-EDR",
        "Online": "False",
        "IIOCScore": "39",
        "ChassisType": "Other",
        "ContainmentSupported": "False",
        "AgentID": "d96de745-c39b-b513-420d-598952bd463e",
        "BIOS": "Phoenix Technologies LTD - 6.00 - PhoenixBIOS 4.0 Release 6.0",
        "OSBuildNumber": "18363",
        "Comment": "",
        "ConnectionTime": "7/31/2020 9:01:11 AM",
        "Language": "en-US",
        "DNS": "172.30.202.237",
        "DomainRole": "Member Workstation",
        "ECATServiceCompileTime": "9/15/2017 10:26:23 PM",
        "ECATPackageTime": "6/26/2020 6:39:59 AM",
        "StartTime": "6/29/2020 11:56:36 AM",
        "ECATDriverCompileTime": "9/15/2017 10:20:48 PM",
        "DomainName": "ecat.local",
        "Idle": "False",
        "IncludedinMonitoring": "True",
        "IncludedinScanSchedule": "True",
        "InstallationFailed": "False",
        "InstallTime": "6/26/2020 6:42:20 AM",
        "IIOCLevel0": "0",
        "IIOCLevel1": "0",
        "IIOCLevel2": "4",
        "IIOCLevel3": "9",
        "Country": "USA",
        "BootTime": "6/29/2020 11:56:31 AM",
        "LastScan": "6/26/2020 6:47:54 AM",
        "LastSeen": "7/31/2020 9:31:12 AM",
        "MAC": "00:50:56:A2:10:9E",
        "MachineID": "422518b6-54d8-4814-b5d7-02b043ca0103",
        "MachineName": "RSA-HOST02",
        "AllowAccessDataSourceDomain": "False",
        "AllowDisplayMixedContent": "False",
        "AntiVirusDisabled": "False",
        "BadCertificateWarningDisabled": "False",
        "CookiesCleanupDisabled": "False",
        "CrosssiteScriptFilterDisabled": "False",
        "FirewallDisabled": "False",
        "IEDepDisabled": "False",
        "IEEnhancedSecurityDisabled": "False",
        "IntranetZoneNotificationDisabled": "False",
        "LUADisabled": "False",
        "NoAntivirusNotificationDisabled": "False",
        "NoFirewallNotificationDisabled": "False",
        "NoUACNotificationDisabled": "False",
        "NoWindowsUpdateDisabled": "False",
        "RegistryToolsDisabled": "False",
        "SmartscreenFilterDisabled": "False",
        "SystemRestoreDisabled": "False",
        "TaskManagerDisabled": "False",
        "UACDisabled": "False",
        "WarningOnZoneCrossingDisabled": "False",
        "WarningPostRedirectionDisabled": "False",
        "Manufacturer": "VMware, Inc.",
        "Model": "VMware Virtual Platform",
        "NetworkAdapterPromiscMode": "False",
        "OperatingSystem": "Microsoft Windows 10 Enterprise Evaluation",
        "ProcessorArchitecture": "x64",
        "ProcessorCount": "2",
        "Platform": "64-bit (x64)",
        "ProcessorIs32bits": "False",
        "Processoris64": "True",
        "ProcessorName": "Intel(R) Xeon(R) CPU E5-2698 v3 @ 2.30GHz",
        "Scanning": "False",
        "ScanStartTime": "7/31/2020 9:07:58 AM",
        "Serial": "VMware-42 22 a8 f8 6a 01 41 ca-12 10 80 75 56 bf 21 4b",
        "TimeZone": "Pacific Standard Time",
        "TotalPhysicalMemory": "4294430720",
        "HTTPSFallbackMode": "False",
        "BlockingActive": "True",
        "RoamingAgentsRelaySystemActive": "True",
        "UserID": "00000000-0000-0000-0000-000000000000",
        "WindowsDirectory": "C:\\Windows",
        "NetWitnessInvestigate": "True",
        "ContainmentStatus": "Not Contained"
    },
    "Iocs": [
        {
            "Alertable": "False",
            "EvaluationDate": "6/26/2020 6:48:11 AM",
            "IOCContext": "0",
            "IOCTriggeredOnMachine": "True",
            "BiasStatus": "Undefined",
            "Active": "True",
            "Description": "Likely packed",
            "Type": "Module",
            "IOCLevel": "2",
            "LastExecuted": "7/31/2020 9:08:11 AM",
            "Name": "Likely Packed.sql",
            "Priority": "0",
            "Query": "\r\n\r\nSELECT DISTINCT\r\n\t[mp].[FK_Machines] AS [FK_Machines],\r\n\t[mp].[PK_MachineModulePaths] AS [FK_MachineModulePaths]           \r\nFROM\r\n\t[dbo].[MachineModulePaths] AS [mp] WITH(NOLOCK)\r\n\tINNER JOIN [dbo].[MachinesToEvaluate] AS [me] WITH(NOLOCK) ON ([me].[RK_Machines] = [mp].[FK_Machines])\r\n\tINNER JOIN [dbo].[Modules] AS [mo] WITH(NOLOCK) ON ([mo].[PK_Modules] = [mp].[FK_Modules])\r\nWHERE \r\n\t[mo].[ModulePacked] = 0 AND\r\n\t(\r\n\t\t[mo].[ModuleCodeSectionWritable] = 1 OR\r\n\t\t[mo].[ModuleDuplicateSectionName] = 1 OR\r\n\t\t[mo].[ModuleEmptySectionName] = 1\r\n\t) AND\r\n\t[mo].[Entropy] >= 6.8 AND\r\n\t[mp].[MarkedAsDeleted]  = 0\r\n\r\n",
            "MachineCount": "1",
            "ModuleCount": "2"
        }
    ]
}
Fall-Repository
Ergebnistyp Wert / Beschreibung Typ
Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen:

Bei Erfolg und wenn mindestens eine der bereitgestellten Entitäten angereichert wurde (is_success = true):

Print "Successfully enriched the following endpoints from RSA NetWitness EDR: \n {0}".format(entity.identifier list)

Wenn bestimmte Einheiten nicht angereichert werden können(is_success = true):

Gib „Action was not able to enrich the following endpoints from RSA NetWitness EDR \n: {0}“.format([entity.identifier]) aus.

Wenn die Anreicherung für alle Rechtspersönlichkeiten fehlschlägt (is_success = false):

Ausgabe: „Es wurden keine Entitäten angereichert.“

Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden:

Bei schwerwiegenden Fehlern wie falschen Anmeldedaten, fehlender Verbindung zum Server oder anderen:

Gibt „Error executing action ‚Enrich Endpoint‘“ (Fehler beim Ausführen der Aktion „Enrich Endpoint“) aus. Grund: {0}''.format(error.Stacktrace)

 Allgemein
Tabelle „Fall-Repository“

Wenn „Include IOCs Information“ == True

Tabellenname: „{0} – IOCs“.format(entity.identifier)

Tabellenspalte:

  • Name (als „Name“ zugeordnet)
  • Typ (als „Type“ zugeordnet)
  • IOC-Level (als IOCLevel zugeordnet)
  • Aktiv (als „Aktiv“ zugeordnet)
  • Priorität (wird als „Priority“ zugeordnet)
  • Beschreibung (als „Description“ zugeordnet)
  • Zuletzt ausgeführt (als „Zuletzt ausgeführt“ zugeordnet)
 Allgemein

IOC-Details abrufen

Beschreibung

Google SecOps-Entitäten mit Informationen zu IOCs aus RSA NetWitness EDR anreichern.

Parameter

Anzeigename des Parameters Typ Standardwert Ist Mandatory Beschreibung
Grenzwert für IOC-Level DDL

Mittel

Mögliche Werte:

Kritisch

Hoch

Mittel

Niedrig

 Ja Geben Sie den Schwellenwert für die IOC-Stufe für die Entität an. Wenn die Entität den Schwellenwert überschreitet, wird die zugehörige Entität als verdächtig markiert.

Ausführen am

Diese Aktion wird für alle Elemente ausgeführt.

Aktionsergebnisse

Entitätsanreicherung
Name des Anreicherungsfelds Logik – Wann anwenden?
RSA_EDR_Active Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_Alertable Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_BlacklistedCount Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_GraylistedCount Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_Description Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_ErrorMessage Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_EvaluationMachineCount Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_Type Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_IOCLevel Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_LastEvaluationDuration Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_LastExecuted Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_MachineCount Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_ModuleCount Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_Name Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_Persistent Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_Priority Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_UserDefined Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
RSA_EDR_WhitelistedCount Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel
is_success Wahr/falsch is_success:False
JSON-Ergebnis
{
    "iocQuery": {
        "Active": "True",
        "Alertable": "False",
        "BlacklistedCount": "0",
        "GraylistedCount": "0",
        "Description": "Autorun unsigned BHO",
        "ErrorMessage": "",
        "EvaluationMachineCount": "1",
        "Type": "Windows",
        "IOCLevel": "2",
        "LastEvaluationDuration": "0",
        "LastExecutionDuration": "0",
        "LastExecuted": "7/31/2020 9:08:12 AM",
        "MachineCount": "0",
        "ModuleCount": "0",
        "Name": "Autorun_Unsigned_BHO.sql",
        "Persistent": "True",
        "Priority": "5",
        "Query": "\r\n\r\nSELECT DISTINCT\r\n\t[mp].[FK_Machines] AS [FK_Machines],\r\n\t[mp].[PK_MachineModulePaths] AS [FK_MachineModulePaths]           \r\nFROM\r\n\t[dbo].[mocAutoruns] AS [ar] WITH(NOLOCK)\r\n\tINNER JOIN [dbo].[MachinesToEvaluate] AS [me] WITH(NOLOCK) ON ([me].[RK_Machines] = [ar].[FK_Machines])\r\n\tINNER JOIN [dbo].[Paths] AS [pa] WITH(NOLOCK) ON ([pa].[PK_Paths] = [ar].[FK_Paths__RegistryPath])\r\n\tINNER JOIN [dbo].[MachineModulePaths] AS [mp] WITH(NOLOCK) ON ([mp].[PK_MachineModulePaths] = [ar].[FK_MachineModulePaths] AND [mp].[FK_Machines] = [ar].[FK_Machines])\r\n\tINNER JOIN [dbo].[Modules] AS [mo] WITH(NOLOCK) ON ([mo].[PK_Modules] = [mp].[FK_Modules])\r\nWHERE \r\n\t[ar].[Type] = 5 AND\r\n\t[pa].[Path] LIKE N'%\\SOFTWARE%Microsoft\\Windows\\CurrentVersion\\Explorer\\Browser Helper Objects\\%' AND\r\n\t[mo].[ModuleSignaturePresent] = 0 AND\r\n\t[ar].[MarkedAsDeleted] = 0\r\n\r\n",
        "UserDefined": "False",
        "WhitelistedCount": "0"
    }
}
Fall-Repository
Ergebnistyp Wert / Beschreibung Typ
Ausgabemeldung*

Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks stoppen.
Wenn erfolgreich und mindestens eine der bereitgestellten Entitäten angereichert wurde (is_success = true):
Print "Action was not able to enrich the following entities from RSA NetWitness EDR \n: {0}".format([entity.identifier])

Wenn bestimmte Entitäten nicht angereichert werden können(is_success = true):
Gibt „Die folgenden Entitäten aus RSA NetWitness EDR wurden erfolgreich angereichert: \n {0}“.format(entity.identifier list) aus.

Wenn die Anreicherung für alle Entitäten fehlschlägt (is_success = false):
Ausgabe: „No entities were enriched.“ (Es wurden keine Entitäten angereichert.)

Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

Wenn schwerwiegender Fehler, z. B. falsche Anmeldedaten, keine Verbindung zum Server, andere:

Gibt „Error executing action ‚Enrich Entities‘“ (Fehler beim Ausführen der Aktion „Enrich Entities“) aus. Grund: {0}''.format(error.Stacktrace)

 Allgemein

IP-Adresse der Sperrliste hinzufügen

Beschreibung

IP-Adresse in RSA NetWitness EDR auf die Sperrliste setzen

Parameter

Ausführen am

Diese Aktion wird für die IP-Adressen-Entität ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel
is_success Wahr/falsch is_success:False
JSON-Ergebnis
{
    "Ips": [
        "10.0.0.2"
    ],
    "ResponseStatus": {
        "ErrorCode": "200",
        "Message": "Some of the IPs could not be processed. The HTTP response body contains all successfully processed IPs"
    }
}
Fall-Repository
Ergebnistyp Wert / Beschreibung Typ
Ausgabemeldung*

Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks stoppen.
Bei Erfolg und wenn mindestens eine der bereitgestellten Entitäten angereichert wurde (is_success = true):
Print "Successfully add the following IPs to blacklist in RSA NetWitness EDR: \n {0}".format(entity.identifier list)

Wenn bestimmte Entitäten nicht angereichert werden können(is_success = true):
Print "Action was not able to add the following IPs to blacklist in RSA NetWitness EDR \n: {0}".format([entity.identifier])

Wenn die Anreicherung für alle Entitäten fehlschlägt (is_success = false):
Print: „No IPs were added to the blacklist in RSA NetWitness EDR.“ (Es wurden keine IP-Adressen in der schwarzen Liste in RSA NetWitness EDR hinzugefügt.)

Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

Wenn schwerwiegender Fehler, z. B. falsche Anmeldedaten, keine Verbindung zum Server, andere:

Geben Sie „Fehler beim Ausführen der Aktion ‚IP-Adresse auf die Sperrliste setzen‘“ aus. Grund: {0}''.format(error.Stacktrace)

 Allgemein

URL zur Sperrliste hinzufügen

Beschreibung

URL zur Sperrliste in RSA NetWitness EDR hinzufügen

Ausführen am

Diese Aktion wird für die URL-Entität ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel
is_success Wahr/falsch is_success:False
JSON-Ergebnis
{
    "Domains": [
        "фів"
    ]
}
Fall-Repository
Ergebnistyp Wert / Beschreibung Typ
Ausgabemeldung*

Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks stoppen.
Wenn die Aktion erfolgreich ist und mindestens eine der bereitgestellten Entitäten angereichert wurde (is_success = true):
Print "Successfully add the following URLs to blacklist in RSA NetWitness EDR: \n {0}".format(entity.identifier list)

Wenn bestimmte Entitäten nicht angereichert werden können(is_success = true):
Print "Action was not able to add the following URLs to blacklist in RSA NetWitness EDR \n: {0}".format([entity.identifier])

Wenn die Anreicherung für alle Entitäten fehlschlägt (is_success = false):
Ausgabe: „Es wurden keine URLs auf die Blacklist in RSA NetWitness EDR gesetzt.“

Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

Wenn schwerwiegender Fehler, z. B. falsche Anmeldedaten, keine Verbindung zum Server, andere:

Geben Sie „Error executing action ‚Add URL To Blacklist‘“ (Fehler beim Ausführen der Aktion „URL zur Sperrliste hinzufügen“) aus. Grund: {0}''.format(error.Stacktrace)

 Allgemein

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten