RSA NetWitness EDR
Versión de integración: 4.0
Casos de uso
- Realizar acciones de enriquecimiento: Obtener datos de RSA NetWitness para enriquecer los datos en las alertas de Google Security Operations
- Realizar acciones de corrección: agregar IPs o URLs a listas negras
Configura la integración de RSA NetWitness EDR en Google SecOps
Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre de la instancia | String | N/A | No | Nombre de la instancia para la que deseas configurar la integración. |
| Descripción | String | N/A | No | Es la descripción de la instancia. |
| Raíz de la API | String | https:// |
Sí | Es la raíz de la API de la instancia de RSA NetWitness EDR. |
| Nombre de usuario | String | N/A | Sí | Nombre de usuario de la cuenta de RSA NetWitness EDR. |
| Contraseña | Contraseña | N/A | Sí | Contraseña de la cuenta de RSA NetWitness EDR. |
| Verificar SSL | Casilla de verificación | Marcado | No | Si está habilitado, verifica que el certificado SSL para la conexión al servidor de RSA NetWitness EDR sea válido. |
| Ejecutar de forma remota | Casilla de verificación | Desmarcado | No | Marca la casilla para ejecutar la integración configurada de forma remota. Una vez que se marca, aparece la opción para seleccionar al usuario remoto (agente). |
Acciones
Ping
Descripción
Prueba la conectividad con RSA NetWitness EDR con los parámetros proporcionados en la página de configuración de la integración en la pestaña Google Security Operations Marketplace.
Ejecutar en
Esta acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Muro de casos
| Tipo de resultado | Valor / Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si la operación se realiza correctamente, haz lo siguiente: Imprime "Successfully connected to the RSA NetWitness EDR server with the provided connection parameters!". La acción debería fallar y detener la ejecución de la guía: Si no se pudo completar la acción, haz lo siguiente: Imprime "Failed to connect to the RSA NetWitness EDR server! Error is {0}".format(exception.stacktrace) |
General |
Extremo de enriquecimiento
Descripción
Recupera la información del sistema del extremo por su nombre de host o dirección IP.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Umbral de puntuación del IIOC | Número entero | 50 | No | Especifica el umbral de la puntuación del IIOC para el extremo. Si el extremo supera el umbral, la entidad relacionada se marcará como sospechosa. Si no se especifica nada, la acción no verificará la puntuación del IIOC. |
| Incluye información sobre el IOC | Casilla de verificación | Desmarcado | No | Si está habilitada, la acción recuperará información sobre los IOC asociados con el endpoint. |
| Cantidad máxima de IOCs que se devolverán | Número entero | 50 | No | Especifica la cantidad de IOC que se devolverán. El máximo es 50. Esta es una limitación de RSA NetWitness EDR. |
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Host
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| RSA_EDR_DriverErrorCode | Devuelve si existe en el resultado JSON. |
| RSA_EDR_ServicePackOS | Devuelve si existe en el resultado JSON. |
| RSA_EDR_MachineStatus | Devuelve si existe en el resultado JSON. |
| RSA_EDR_Type | Devuelve si existe en el resultado JSON. |
| RSA_EDR_VersionInfo | Devuelve si existe en el resultado JSON. |
| RSA_EDR_UserName | Devuelve si existe en el resultado JSON. |
| RSA_EDR_OrganizationUnit | Devuelve si existe en el resultado JSON. |
| RSA_EDR_LocalIP | Devuelve si existe en el resultado JSON. |
| RSA_EDR_NetworkSegment | Devuelve si existe en el resultado JSON. |
| RSA_EDR_Gateway | Devuelve si existe en el resultado JSON. |
| RSA_EDR_RemoteIP | Devuelve si existe en el resultado JSON. |
| RSA_EDR_Group | Devuelve si existe en el resultado JSON. |
| RSA_EDR_AdminStatus | Devuelve si existe en el resultado JSON. |
| RSA_EDR_KernelDebuggerDetected | Devuelve si existe en el resultado JSON. |
| RSA_EDR_EarlyStart | Devuelve si existe en el resultado JSON. |
| RSA_EDR_NotifyShutdownModule | Devuelve si existe en el resultado JSON. |
| RSA_EDR_LoadedModuleModule | Devuelve si existe en el resultado JSON. |
| RSA_EDR_NotifyRoutineModule | Devuelve si existe en el resultado JSON. |
| RSA_EDR_UnloadedDriverModule | Devuelve si existe en el resultado JSON. |
| RSA_EDR_ErrorLogModule | Devuelve si existe en el resultado JSON. |
| RSA_EDR_LowLevelReaderModule | Devuelve si existe en el resultado JSON. |
| RSA_EDR_ProcessModule | Devuelve si existe en el resultado JSON. |
| RSA_EDR_WorkerThreadModule | Devuelve si existe en el resultado JSON. |
| RSA_EDR_WindowsHooksModule | Devuelve si existe en el resultado JSON. |
| RSA_EDR_DebuggerAttachedToProcess | Devuelve si existe en el resultado JSON. |
| RSA_EDR_ProcessMonitorModule | Devuelve si existe en el resultado JSON. |
| RSA_EDR_ThreadMonitorModule | Devuelve si existe en el resultado JSON. |
| RSA_EDR_ObjectMonitorModule | Devuelve si existe en el resultado JSON. |
| RSA_EDR_ImageMonitorModule | Devuelve si existe en el resultado JSON. |
| RSA_EDR_DriverMonitorModule | Devuelve si existe en el resultado JSON. |
| RSA_EDR_TdiMonitorModule | Devuelve si existe en el resultado JSON. |
| RSA_EDR_TrackingModule | Devuelve si existe en el resultado JSON. |
| RSA_EDR_TrackingRegistryMonitor | Devuelve si existe en el resultado JSON. |
| RSA_EDR_TrackingObjectMonitor | Devuelve si existe en el resultado JSON. |
| RSA_EDR_TrackingFileMonitor | Devuelve si existe en el resultado JSON. |
| RSA_EDR_TrackingRemoteThreadMonitor | Devuelve si existe en el resultado JSON. |
| RSA_EDR_TrackingCreateProcessMonitor | Devuelve si existe en el resultado JSON. |
| RSA_EDR_TrackingHardLinkMonitor | Devuelve si existe en el resultado JSON. |
| RSA_EDR_TrackingFileBlockMonitor | Devuelve si existe en el resultado JSON. |
| RSA_EDR_TrackingNetworkMonitor | Devuelve si existe en el resultado JSON. |
| RSA_EDR_ECATServerName | Devuelve si existe en el resultado JSON. |
| RSA_EDR_Online | Devuelve si existe en el resultado JSON. |
| RSA_EDR_IIOCScore | Devuelve si existe en el resultado JSON. |
| RSA_EDR_ChassisType | Devuelve si existe en el resultado JSON. |
| RSA_EDR_ContainmentSupported | Devuelve si existe en el resultado JSON. |
| RSA_EDR_AgentID | Devuelve si existe en el resultado JSON. |
| RSA_EDR_BIOS | Devuelve si existe en el resultado JSON. |
| RSA_EDR_OSBuildNumber | Devuelve si existe en el resultado JSON. |
| RSA_EDR_Comment | Devuelve si existe en el resultado JSON. |
| RSA_EDR_ConnectionTime | Devuelve si existe en el resultado JSON. |
| RSA_EDR_Language | Devuelve si existe en el resultado JSON. |
| RSA_EDR_DNS | Devuelve si existe en el resultado JSON. |
| RSA_EDR_DomainRole | Devuelve si existe en el resultado JSON. |
| RSA_EDR_ECATServiceCompileTime | Devuelve si existe en el resultado JSON. |
| RSA_EDR_ECATPackageTime | Devuelve si existe en el resultado JSON. |
| RSA_EDR_StartTime | Devuelve si existe en el resultado JSON. |
| RSA_EDR_ECATDriverCompileTime | Devuelve si existe en el resultado JSON. |
| RSA_EDR_DomainName | Devuelve si existe en el resultado JSON. |
| RSA_EDR_Idle | Devuelve si existe en el resultado JSON. |
| RSA_EDR_IncludedinMonitoring | Devuelve si existe en el resultado JSON. |
| RSA_EDR_IncludedinScanSchedule | Devuelve si existe en el resultado JSON. |
| RSA_EDR_InstallationFailed | Devuelve si existe en el resultado JSON. |
| RSA_EDR_InstallTime | Devuelve si existe en el resultado JSON. |
| RSA_EDR_IIOCLevel0 | Devuelve si existe en el resultado JSON. |
| RSA_EDR_IIOCLevel1 | Devuelve si existe en el resultado JSON. |
| RSA_EDR_IIOCLevel2 | Devuelve si existe en el resultado JSON. |
| RSA_EDR_IIOCLevel3 | Devuelve si existe en el resultado JSON. |
| RSA_EDR_Country | Devuelve si existe en el resultado JSON. |
| RSA_EDR_BootTime | Devuelve si existe en el resultado JSON. |
| RSA_EDR_LastScan | Devuelve si existe en el resultado JSON. |
| RSA_EDR_LastSeen | Devuelve si existe en el resultado JSON. |
| RSA_EDR_MAC | Devuelve si existe en el resultado JSON. |
| RSA_EDR_MachineID | Devuelve si existe en el resultado JSON. |
| RSA_EDR_MachineName | Devuelve si existe en el resultado JSON. |
| RSA_EDR_AllowAccessDataSourceDomain | Devuelve si existe en el resultado JSON. |
| RSA_EDR_AllowDisplayMixedContent | Devuelve si existe en el resultado JSON. |
| RSA_EDR_AntiVirusDisabled | Devuelve si existe en el resultado JSON. |
| RSA_EDR_BadCertificateWarningDisabled | Devuelve si existe en el resultado JSON. |
| RSA_EDR_CookiesCleanupDisabled | Devuelve si existe en el resultado JSON. |
| RSA_EDR_CrosssiteScriptFilterDisabled | Devuelve si existe en el resultado JSON. |
| RSA_EDR_FirewallDisabled | Devuelve si existe en el resultado JSON. |
| RSA_EDR_IEDepDisabled | Devuelve si existe en el resultado JSON. |
| RSA_EDR_IEEnhancedSecurityDisabled | Devuelve si existe en el resultado JSON. |
| RSA_EDR_IntranetZoneNotificationDisabled | Devuelve si existe en el resultado JSON. |
| RSA_EDR_LUADisabled | Devuelve si existe en el resultado JSON. |
| RSA_EDR_NoAntivirusNotificationDisabled | Devuelve si existe en el resultado JSON. |
| RSA_EDR_NoFirewallNotificationDisabled | Devuelve si existe en el resultado JSON. |
| RSA_EDR_NoUACNotificationDisabled | Devuelve si existe en el resultado JSON. |
| RSA_EDR_NoWindowsUpdateDisabled | Devuelve si existe en el resultado JSON. |
| RSA_EDR_RegistryToolsDisabled | Devuelve si existe en el resultado JSON. |
| RSA_EDR_SmartscreenFilterDisabled | Devuelve si existe en el resultado JSON. |
| RSA_EDR_SystemRestoreDisabled | Devuelve si existe en el resultado JSON. |
| RSA_EDR_TaskManagerDisabled | Devuelve si existe en el resultado JSON. |
| RSA_EDR_UACDisabled | Devuelve si existe en el resultado JSON. |
| RSA_EDR_WarningOnZoneCrossingDisabled | Devuelve si existe en el resultado JSON. |
| RSA_EDR_WarningPostRedirectionDisabled | Devuelve si existe en el resultado JSON. |
| RSA_EDR_Manufacturer | Devuelve si existe en el resultado JSON. |
| RSA_EDR_Model | Devuelve si existe en el resultado JSON. |
| RSA_EDR_NetworkAdapterPromiscModel | Devuelve si existe en el resultado JSON. |
| RSA_EDR_OperatingSystem | Devuelve si existe en el resultado JSON. |
| RSA_EDR_ProcessorArchitecture | Devuelve si existe en el resultado JSON. |
| RSA_EDR_ProcessorCount | Devuelve si existe en el resultado JSON. |
| RSA_EDR_Platform | Devuelve si existe en el resultado JSON. |
| RSA_EDR_ProcessorIs32bits | Devuelve si existe en el resultado JSON. |
| RSA_EDR_Processoris64 | Devuelve si existe en el resultado JSON. |
| RSA_EDR_ProcessorName | Devuelve si existe en el resultado JSON. |
| RSA_EDR_Scanning | Devuelve si existe en el resultado JSON. |
| RSA_EDR_ScanStartTime | Devuelve si existe en el resultado JSON. |
| RSA_EDR_Serial | Devuelve si existe en el resultado JSON. |
| RSA_EDR_TimeZone | Devuelve si existe en el resultado JSON. |
| RSA_EDR_TotalPhysicalMemory | Devuelve si existe en el resultado JSON. |
| RSA_EDR_HTTPSFallbackMode | Devuelve si existe en el resultado JSON. |
| RSA_EDR_BlockingActive | Devuelve si existe en el resultado JSON. |
| RSA_EDR_RoamingAgentsRelaySystemActive | Devuelve si existe en el resultado JSON. |
| RSA_EDR_UserID | Devuelve si existe en el resultado JSON. |
| RSA_EDR_WindowsDirectory | Devuelve si existe en el resultado JSON. |
| RSA_EDR_NetWitnessInvestigate | Devuelve si existe en el resultado JSON. |
| RSA_EDR_ContainmentStatus | Devuelve si existe en el resultado JSON. |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"Machine": {
"DriverErrorCode": "0xe0010014",
"ServicePackOS": "0",
"MachineStatus": "Offline-DriverError",
"Type": "Windows",
"VersionInfo": "4.4.0.0",
"UserName": "",
"OrganizationUnit": "",
"LocalIP": "172.30.203.155",
"NetworkSegment": "172.30.203.0",
"Gateway": "172.30.203.1",
"RemoteIP": "172.30.203.155",
"Group": "Default",
"AdminStatus": "",
"KernelDebuggerDetected": "False",
"EarlyStart": "False",
"NotifyShutdownModule": "False",
"LoadedModuleModule": "False",
"NotifyRoutineModule": "False",
"UnloadedDriverModule": "False",
"ErrorLogModule": "False",
"LowLevelReaderModule": "False",
"ProcessModule": "False",
"WorkerThreadModule": "False",
"WindowsHooksModule": "False",
"DebuggerAttachedToProcess": "False",
"ProcessMonitorModule": "False",
"ThreadMonitorModule": "False",
"ObjectMonitorModule": "False",
"ImageMonitorModule": "False",
"DriverMonitorModule": "False",
"TdiMonitorModule": "False",
"TrackingModule": "False",
"TrackingRegistryMonitor": "False",
"TrackingObjectMonitor": "False",
"TrackingFileMonitor": "False",
"TrackingRemoteThreadMonitor": "False",
"TrackingCreateProcessMonitor": "False",
"TrackingHardLinkMonitor": "False",
"TrackingFileBlockMonitor": "False",
"TrackingNetworkMonitor": "False",
"ECATServerName": "RSA-EDR",
"Online": "False",
"IIOCScore": "39",
"ChassisType": "Other",
"ContainmentSupported": "False",
"AgentID": "d96de745-c39b-b513-420d-598952bd463e",
"BIOS": "Phoenix Technologies LTD - 6.00 - PhoenixBIOS 4.0 Release 6.0",
"OSBuildNumber": "18363",
"Comment": "",
"ConnectionTime": "7/31/2020 9:01:11 AM",
"Language": "en-US",
"DNS": "172.30.202.237",
"DomainRole": "Member Workstation",
"ECATServiceCompileTime": "9/15/2017 10:26:23 PM",
"ECATPackageTime": "6/26/2020 6:39:59 AM",
"StartTime": "6/29/2020 11:56:36 AM",
"ECATDriverCompileTime": "9/15/2017 10:20:48 PM",
"DomainName": "ecat.local",
"Idle": "False",
"IncludedinMonitoring": "True",
"IncludedinScanSchedule": "True",
"InstallationFailed": "False",
"InstallTime": "6/26/2020 6:42:20 AM",
"IIOCLevel0": "0",
"IIOCLevel1": "0",
"IIOCLevel2": "4",
"IIOCLevel3": "9",
"Country": "USA",
"BootTime": "6/29/2020 11:56:31 AM",
"LastScan": "6/26/2020 6:47:54 AM",
"LastSeen": "7/31/2020 9:31:12 AM",
"MAC": "00:50:56:A2:10:9E",
"MachineID": "422518b6-54d8-4814-b5d7-02b043ca0103",
"MachineName": "RSA-HOST02",
"AllowAccessDataSourceDomain": "False",
"AllowDisplayMixedContent": "False",
"AntiVirusDisabled": "False",
"BadCertificateWarningDisabled": "False",
"CookiesCleanupDisabled": "False",
"CrosssiteScriptFilterDisabled": "False",
"FirewallDisabled": "False",
"IEDepDisabled": "False",
"IEEnhancedSecurityDisabled": "False",
"IntranetZoneNotificationDisabled": "False",
"LUADisabled": "False",
"NoAntivirusNotificationDisabled": "False",
"NoFirewallNotificationDisabled": "False",
"NoUACNotificationDisabled": "False",
"NoWindowsUpdateDisabled": "False",
"RegistryToolsDisabled": "False",
"SmartscreenFilterDisabled": "False",
"SystemRestoreDisabled": "False",
"TaskManagerDisabled": "False",
"UACDisabled": "False",
"WarningOnZoneCrossingDisabled": "False",
"WarningPostRedirectionDisabled": "False",
"Manufacturer": "VMware, Inc.",
"Model": "VMware Virtual Platform",
"NetworkAdapterPromiscMode": "False",
"OperatingSystem": "Microsoft Windows 10 Enterprise Evaluation",
"ProcessorArchitecture": "x64",
"ProcessorCount": "2",
"Platform": "64-bit (x64)",
"ProcessorIs32bits": "False",
"Processoris64": "True",
"ProcessorName": "Intel(R) Xeon(R) CPU E5-2698 v3 @ 2.30GHz",
"Scanning": "False",
"ScanStartTime": "7/31/2020 9:07:58 AM",
"Serial": "VMware-42 22 a8 f8 6a 01 41 ca-12 10 80 75 56 bf 21 4b",
"TimeZone": "Pacific Standard Time",
"TotalPhysicalMemory": "4294430720",
"HTTPSFallbackMode": "False",
"BlockingActive": "True",
"RoamingAgentsRelaySystemActive": "True",
"UserID": "00000000-0000-0000-0000-000000000000",
"WindowsDirectory": "C:\\Windows",
"NetWitnessInvestigate": "True",
"ContainmentStatus": "Not Contained"
},
"Iocs": [
{
"Alertable": "False",
"EvaluationDate": "6/26/2020 6:48:11 AM",
"IOCContext": "0",
"IOCTriggeredOnMachine": "True",
"BiasStatus": "Undefined",
"Active": "True",
"Description": "Likely packed",
"Type": "Module",
"IOCLevel": "2",
"LastExecuted": "7/31/2020 9:08:11 AM",
"Name": "Likely Packed.sql",
"Priority": "0",
"Query": "\r\n\r\nSELECT DISTINCT\r\n\t[mp].[FK_Machines] AS [FK_Machines],\r\n\t[mp].[PK_MachineModulePaths] AS [FK_MachineModulePaths] \r\nFROM\r\n\t[dbo].[MachineModulePaths] AS [mp] WITH(NOLOCK)\r\n\tINNER JOIN [dbo].[MachinesToEvaluate] AS [me] WITH(NOLOCK) ON ([me].[RK_Machines] = [mp].[FK_Machines])\r\n\tINNER JOIN [dbo].[Modules] AS [mo] WITH(NOLOCK) ON ([mo].[PK_Modules] = [mp].[FK_Modules])\r\nWHERE \r\n\t[mo].[ModulePacked] = 0 AND\r\n\t(\r\n\t\t[mo].[ModuleCodeSectionWritable] = 1 OR\r\n\t\t[mo].[ModuleDuplicateSectionName] = 1 OR\r\n\t\t[mo].[ModuleEmptySectionName] = 1\r\n\t) AND\r\n\t[mo].[Entropy] >= 6.8 AND\r\n\t[mp].[MarkedAsDeleted] = 0\r\n\r\n",
"MachineCount": "1",
"ModuleCount": "2"
}
]
}
Muro de casos
| Tipo de resultado | Valor / Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si la operación se realiza correctamente y se enriqueció al menos una de las entidades proporcionadas (is_success = true): Imprime "Se enriquecieron correctamente los siguientes extremos de RSA NetWitness EDR: \n {0}".format(lista de identificadores de la entidad) Si no se pueden enriquecer entidades específicas(is_success = true): Imprime "Action was not able to enrich the following endpoints from RSA NetWitness EDR \n: {0}".format([entity.identifier]) Si no se puede enriquecer para todas las entidades (is_success = false): Impresión: "No se enriqueció ninguna entidad". La acción debería fallar y detener la ejecución de la guía: Si se produce un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema, haz lo siguiente: Imprime "Error al ejecutar la acción "Enrich Endpoint". Reason: {0}''.format(error.Stacktrace) |
General |
| Tabla del muro de casos | Si "Include IOCs Information" == True Nombre de la tabla: "{0} - IOCs".format(entity.identifier) Columna de la tabla:
|
General |
Obtén detalles del IOC
Descripción
Enriquece las entidades de Google SecOps con información sobre los IOC del EDR de RSA NetWitness.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es Obligatorio | Descripción |
|---|---|---|---|---|
| Umbral de nivel de IOC | DDL | Medio Valores posibles: Crítico Alto Medio Baja |
Sí | Especifica el umbral de nivel de IOC para la entidad. Si la entidad supera el umbral, la entidad relacionada se marcará como sospechosa. |
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| RSA_EDR_Active | Devuelve si existe en el resultado JSON. |
| RSA_EDR_Alertable | Devuelve si existe en el resultado JSON. |
| RSA_EDR_BlacklistedCount | Devuelve si existe en el resultado JSON. |
| RSA_EDR_GraylistedCount | Devuelve si existe en el resultado JSON. |
| RSA_EDR_Description | Devuelve si existe en el resultado JSON. |
| RSA_EDR_ErrorMessage | Devuelve si existe en el resultado JSON. |
| RSA_EDR_EvaluationMachineCount | Devuelve si existe en el resultado JSON. |
| RSA_EDR_Type | Devuelve si existe en el resultado JSON. |
| RSA_EDR_IOCLevel | Devuelve si existe en el resultado JSON. |
| RSA_EDR_LastEvaluationDuration | Devuelve si existe en el resultado JSON. |
| RSA_EDR_LastExecuted | Devuelve si existe en el resultado JSON. |
| RSA_EDR_MachineCount | Devuelve si existe en el resultado JSON. |
| RSA_EDR_ModuleCount | Devuelve si existe en el resultado JSON. |
| RSA_EDR_Name | Devuelve si existe en el resultado JSON. |
| RSA_EDR_Persistent | Devuelve si existe en el resultado JSON. |
| RSA_EDR_Priority | Devuelve si existe en el resultado JSON. |
| RSA_EDR_UserDefined | Devuelve si existe en el resultado JSON. |
| RSA_EDR_WhitelistedCount | Devuelve si existe en el resultado JSON. |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"iocQuery": {
"Active": "True",
"Alertable": "False",
"BlacklistedCount": "0",
"GraylistedCount": "0",
"Description": "Autorun unsigned BHO",
"ErrorMessage": "",
"EvaluationMachineCount": "1",
"Type": "Windows",
"IOCLevel": "2",
"LastEvaluationDuration": "0",
"LastExecutionDuration": "0",
"LastExecuted": "7/31/2020 9:08:12 AM",
"MachineCount": "0",
"ModuleCount": "0",
"Name": "Autorun_Unsigned_BHO.sql",
"Persistent": "True",
"Priority": "5",
"Query": "\r\n\r\nSELECT DISTINCT\r\n\t[mp].[FK_Machines] AS [FK_Machines],\r\n\t[mp].[PK_MachineModulePaths] AS [FK_MachineModulePaths] \r\nFROM\r\n\t[dbo].[mocAutoruns] AS [ar] WITH(NOLOCK)\r\n\tINNER JOIN [dbo].[MachinesToEvaluate] AS [me] WITH(NOLOCK) ON ([me].[RK_Machines] = [ar].[FK_Machines])\r\n\tINNER JOIN [dbo].[Paths] AS [pa] WITH(NOLOCK) ON ([pa].[PK_Paths] = [ar].[FK_Paths__RegistryPath])\r\n\tINNER JOIN [dbo].[MachineModulePaths] AS [mp] WITH(NOLOCK) ON ([mp].[PK_MachineModulePaths] = [ar].[FK_MachineModulePaths] AND [mp].[FK_Machines] = [ar].[FK_Machines])\r\n\tINNER JOIN [dbo].[Modules] AS [mo] WITH(NOLOCK) ON ([mo].[PK_Modules] = [mp].[FK_Modules])\r\nWHERE \r\n\t[ar].[Type] = 5 AND\r\n\t[pa].[Path] LIKE N'%\\SOFTWARE%Microsoft\\Windows\\CurrentVersion\\Explorer\\Browser Helper Objects\\%' AND\r\n\t[mo].[ModuleSignaturePresent] = 0 AND\r\n\t[ar].[MarkedAsDeleted] = 0\r\n\r\n",
"UserDefined": "False",
"WhitelistedCount": "0"
}
}
Muro de casos
| Tipo de resultado | Valor / Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de un playbook: Si no se pueden enriquecer entidades específicas(is_success = true): Si no se puede enriquecer ninguna entidad (is_success = false): La acción debería fallar y detener la ejecución de la guía: Si error fatal, como credenciales incorrectas, sin conexión al servidor, otro: Imprime el mensaje "Error executing action "Enrich Entities"". Reason: {0}''.format(error.Stacktrace) |
General |
Agregar IP a la lista negra
Descripción
Agrega la IP a la lista negra en RSA NetWitness EDR.
Parámetros
N/A
Ejecutar en
Esta acción se ejecuta en la entidad Dirección IP.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"Ips": [
"10.0.0.2"
],
"ResponseStatus": {
"ErrorCode": "200",
"Message": "Some of the IPs could not be processed. The HTTP response body contains all successfully processed IPs"
}
}
Muro de casos
| Tipo de resultado | Valor / Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de un playbook: Si no se pueden enriquecer entidades específicas(is_success = true): Si no se puede enriquecer para todas las entidades (is_success = false): La acción debería fallar y detener la ejecución de la guía: Si error fatal, como credenciales incorrectas, sin conexión al servidor, otro: Imprime el mensaje "Error al ejecutar la acción "Add IP To Blacklist". Reason: {0}''.format(error.Stacktrace) |
General |
Agregar URL a la lista de bloqueo
Descripción
Agrega la URL a la lista de bloqueo en RSA NetWitness EDR.
Ejecutar en
Esta acción se ejecuta en la entidad de URL.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"Domains": [
"фів"
]
}
Muro de casos
| Tipo de resultado | Valor / Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de un playbook: Si no se pueden enriquecer entidades específicas(is_success = true): Si no se puede enriquecer para todas las entidades (is_success = false): La acción debería fallar y detener la ejecución de la guía: Si error fatal, como credenciales incorrectas, sin conexión al servidor, otro: Se imprimió el mensaje "Error al ejecutar la acción "Agregar URL a la lista negra". Reason: {0}''.format(error.Stacktrace) |
General |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.