RSA NetWitness EDR
Version de l'intégration : 4.0
Cas d'utilisation
- Effectuez des actions d'enrichissement : obtenez des données de RSA NetWitness pour enrichir les données dans les alertes Google Security Operations.
- Effectuez des actions de correction : ajoutez des adresses IP/URL à des listes noires.
Configurer l'intégration de RSA NetWitness EDR dans Google SecOps
Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Paramètres d'intégration
Utilisez les paramètres suivants pour configurer l'intégration :
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom de l'instance | Chaîne | N/A | Non | Nom de l'instance pour laquelle vous souhaitez configurer l'intégration. |
| Description | Chaîne | N/A | Non | Description de l'instance. |
| Racine de l'API | Chaîne | https:// |
Oui | Racine de l'API de l'instance RSA NetWitness EDR. |
| Nom d'utilisateur | Chaîne | N/A | Oui | Nom d'utilisateur du compte RSA NetWitness EDR. |
| Mot de passe | Mot de passe | N/A | Oui | Mot de passe du compte RSA NetWitness EDR. |
| Vérifier le protocole SSL | Case à cocher | Cochée | Non | Si cette option est activée, elle vérifie que le certificat SSL pour la connexion au serveur RSA NetWitness EDR est valide. |
| Exécuter à distance | Case à cocher | Décochée | Non | Cochez le champ pour exécuter l'intégration configurée à distance. Une fois la case cochée, l'option permettant de sélectionner l'utilisateur distant (agent) s'affiche. |
Actions
Ping
Description
Testez la connectivité à RSA NetWitness EDR avec les paramètres fournis sur la page de configuration de l'intégration dans l'onglet "Marketplace" de Google Security Operations.
Exécuter sur
Cette action ne s'exécute pas sur les entités et ne comporte pas de paramètres d'entrée obligatoires.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si l'opération réussit : Imprimez "Successfully connected to the RSA NetWitness EDR server with the provided connection parameters!" (Connexion au serveur RSA NetWitness EDR établie avec les paramètres de connexion fournis) L'action doit échouer et arrêter l'exécution d'un playbook : Si l'opération échoue : Imprimez "Échec de la connexion au serveur RSA NetWitness EDR ! Error is {0}".format(exception.stacktrace) |
Général |
Point de terminaison Enrich
Description
Récupérez les informations système du point de terminaison par son nom d'hôte ou son adresse IP.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Seuil de score IIOC | Integer | 50 | Non | Spécifiez le seuil de score IIOC pour le point de terminaison. Si le point de terminaison dépasse le seuil, l'entité associée est marquée comme suspecte. Si rien n'est spécifié, l'action ne vérifie pas le score IIOC. |
| Inclure les informations sur les FIO | Case à cocher | Décochée | Non | Si cette option est activée, l'action récupère des informations sur les IOC associés au point de terminaison. |
| Nombre maximal d'IOC à renvoyer | Integer | 50 | Non | Indiquez le nombre d'IOC à renvoyer. Le nombre maximal est de 50. Il s'agit d'une limitation de RSA NetWitness EDR. |
Exécuter sur
Cette action s'applique aux entités suivantes :
- Adresse IP
- Hôte
Résultats de l'action
Enrichissement d'entités
| Nom du champ d'enrichissement | Logique : quand l'appliquer ? |
|---|---|
| RSA_EDR_DriverErrorCode | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_ServicePackOS | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_MachineStatus | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_Type | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_VersionInfo | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_UserName | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_OrganizationUnit | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_LocalIP | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_NetworkSegment | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_Gateway | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_RemoteIP | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_Group | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_AdminStatus | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_KernelDebuggerDetected | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_EarlyStart | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_NotifyShutdownModule | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_LoadedModuleModule | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_NotifyRoutineModule | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_UnloadedDriverModule | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_ErrorLogModule | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_LowLevelReaderModule | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_ProcessModule | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_WorkerThreadModule | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_WindowsHooksModule | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_DebuggerAttachedToProcess | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_ProcessMonitorModule | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_ThreadMonitorModule | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_ObjectMonitorModule | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_ImageMonitorModule | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_DriverMonitorModule | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_TdiMonitorModule | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_TrackingModule | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_TrackingRegistryMonitor | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_TrackingObjectMonitor | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_TrackingFileMonitor | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_TrackingRemoteThreadMonitor | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_TrackingCreateProcessMonitor | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_TrackingHardLinkMonitor | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_TrackingFileBlockMonitor | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_TrackingNetworkMonitor | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_ECATServerName | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_Online | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_IIOCScore | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_ChassisType | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_ContainmentSupported | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_AgentID | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_BIOS | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_OSBuildNumber | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_Comment | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_ConnectionTime | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_Language | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_DNS | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_DomainRole | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_ECATServiceCompileTime | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_ECATPackageTime | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_StartTime | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_ECATDriverCompileTime | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_DomainName | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_Idle | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_IncludedinMonitoring | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_IncludedinScanSchedule | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_InstallationFailed | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_InstallTime | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_IIOCLevel0 | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_IIOCLevel1 | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_IIOCLevel2 | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_IIOCLevel3 | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_Country | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_BootTime | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_LastScan | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_LastSeen | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_MAC | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_MachineID | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_MachineName | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_AllowAccessDataSourceDomain | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_AllowDisplayMixedContent | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_AntiVirusDisabled | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_BadCertificateWarningDisabled | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_CookiesCleanupDisabled | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_CrosssiteScriptFilterDisabled | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_FirewallDisabled | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_IEDepDisabled | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_IEEnhancedSecurityDisabled | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_IntranetZoneNotificationDisabled | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_LUADisabled | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_NoAntivirusNotificationDisabled | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_NoFirewallNotificationDisabled | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_NoUACNotificationDisabled | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_NoWindowsUpdateDisabled | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_RegistryToolsDisabled | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_SmartscreenFilterDisabled | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_SystemRestoreDisabled | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_TaskManagerDisabled | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_UACDisabled | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_WarningOnZoneCrossingDisabled | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_WarningPostRedirectionDisabled | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_Manufacturer | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_Model | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_NetworkAdapterPromiscModel | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_OperatingSystem | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_ProcessorArchitecture | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_ProcessorCount | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_Platform | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_ProcessorIs32bits | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_Processoris64 | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_ProcessorName | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_Scanning | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_ScanStartTime | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_Serial | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_TimeZone | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_TotalPhysicalMemory | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_HTTPSFallbackMode | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_BlockingActive | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_RoamingAgentsRelaySystemActive | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_UserID | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_WindowsDirectory | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_NetWitnessInvestigate | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_ContainmentStatus | Renvoie la valeur si elle existe dans le résultat JSON. |
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"Machine": {
"DriverErrorCode": "0xe0010014",
"ServicePackOS": "0",
"MachineStatus": "Offline-DriverError",
"Type": "Windows",
"VersionInfo": "4.4.0.0",
"UserName": "",
"OrganizationUnit": "",
"LocalIP": "172.30.203.155",
"NetworkSegment": "172.30.203.0",
"Gateway": "172.30.203.1",
"RemoteIP": "172.30.203.155",
"Group": "Default",
"AdminStatus": "",
"KernelDebuggerDetected": "False",
"EarlyStart": "False",
"NotifyShutdownModule": "False",
"LoadedModuleModule": "False",
"NotifyRoutineModule": "False",
"UnloadedDriverModule": "False",
"ErrorLogModule": "False",
"LowLevelReaderModule": "False",
"ProcessModule": "False",
"WorkerThreadModule": "False",
"WindowsHooksModule": "False",
"DebuggerAttachedToProcess": "False",
"ProcessMonitorModule": "False",
"ThreadMonitorModule": "False",
"ObjectMonitorModule": "False",
"ImageMonitorModule": "False",
"DriverMonitorModule": "False",
"TdiMonitorModule": "False",
"TrackingModule": "False",
"TrackingRegistryMonitor": "False",
"TrackingObjectMonitor": "False",
"TrackingFileMonitor": "False",
"TrackingRemoteThreadMonitor": "False",
"TrackingCreateProcessMonitor": "False",
"TrackingHardLinkMonitor": "False",
"TrackingFileBlockMonitor": "False",
"TrackingNetworkMonitor": "False",
"ECATServerName": "RSA-EDR",
"Online": "False",
"IIOCScore": "39",
"ChassisType": "Other",
"ContainmentSupported": "False",
"AgentID": "d96de745-c39b-b513-420d-598952bd463e",
"BIOS": "Phoenix Technologies LTD - 6.00 - PhoenixBIOS 4.0 Release 6.0",
"OSBuildNumber": "18363",
"Comment": "",
"ConnectionTime": "7/31/2020 9:01:11 AM",
"Language": "en-US",
"DNS": "172.30.202.237",
"DomainRole": "Member Workstation",
"ECATServiceCompileTime": "9/15/2017 10:26:23 PM",
"ECATPackageTime": "6/26/2020 6:39:59 AM",
"StartTime": "6/29/2020 11:56:36 AM",
"ECATDriverCompileTime": "9/15/2017 10:20:48 PM",
"DomainName": "ecat.local",
"Idle": "False",
"IncludedinMonitoring": "True",
"IncludedinScanSchedule": "True",
"InstallationFailed": "False",
"InstallTime": "6/26/2020 6:42:20 AM",
"IIOCLevel0": "0",
"IIOCLevel1": "0",
"IIOCLevel2": "4",
"IIOCLevel3": "9",
"Country": "USA",
"BootTime": "6/29/2020 11:56:31 AM",
"LastScan": "6/26/2020 6:47:54 AM",
"LastSeen": "7/31/2020 9:31:12 AM",
"MAC": "00:50:56:A2:10:9E",
"MachineID": "422518b6-54d8-4814-b5d7-02b043ca0103",
"MachineName": "RSA-HOST02",
"AllowAccessDataSourceDomain": "False",
"AllowDisplayMixedContent": "False",
"AntiVirusDisabled": "False",
"BadCertificateWarningDisabled": "False",
"CookiesCleanupDisabled": "False",
"CrosssiteScriptFilterDisabled": "False",
"FirewallDisabled": "False",
"IEDepDisabled": "False",
"IEEnhancedSecurityDisabled": "False",
"IntranetZoneNotificationDisabled": "False",
"LUADisabled": "False",
"NoAntivirusNotificationDisabled": "False",
"NoFirewallNotificationDisabled": "False",
"NoUACNotificationDisabled": "False",
"NoWindowsUpdateDisabled": "False",
"RegistryToolsDisabled": "False",
"SmartscreenFilterDisabled": "False",
"SystemRestoreDisabled": "False",
"TaskManagerDisabled": "False",
"UACDisabled": "False",
"WarningOnZoneCrossingDisabled": "False",
"WarningPostRedirectionDisabled": "False",
"Manufacturer": "VMware, Inc.",
"Model": "VMware Virtual Platform",
"NetworkAdapterPromiscMode": "False",
"OperatingSystem": "Microsoft Windows 10 Enterprise Evaluation",
"ProcessorArchitecture": "x64",
"ProcessorCount": "2",
"Platform": "64-bit (x64)",
"ProcessorIs32bits": "False",
"Processoris64": "True",
"ProcessorName": "Intel(R) Xeon(R) CPU E5-2698 v3 @ 2.30GHz",
"Scanning": "False",
"ScanStartTime": "7/31/2020 9:07:58 AM",
"Serial": "VMware-42 22 a8 f8 6a 01 41 ca-12 10 80 75 56 bf 21 4b",
"TimeZone": "Pacific Standard Time",
"TotalPhysicalMemory": "4294430720",
"HTTPSFallbackMode": "False",
"BlockingActive": "True",
"RoamingAgentsRelaySystemActive": "True",
"UserID": "00000000-0000-0000-0000-000000000000",
"WindowsDirectory": "C:\\Windows",
"NetWitnessInvestigate": "True",
"ContainmentStatus": "Not Contained"
},
"Iocs": [
{
"Alertable": "False",
"EvaluationDate": "6/26/2020 6:48:11 AM",
"IOCContext": "0",
"IOCTriggeredOnMachine": "True",
"BiasStatus": "Undefined",
"Active": "True",
"Description": "Likely packed",
"Type": "Module",
"IOCLevel": "2",
"LastExecuted": "7/31/2020 9:08:11 AM",
"Name": "Likely Packed.sql",
"Priority": "0",
"Query": "\r\n\r\nSELECT DISTINCT\r\n\t[mp].[FK_Machines] AS [FK_Machines],\r\n\t[mp].[PK_MachineModulePaths] AS [FK_MachineModulePaths] \r\nFROM\r\n\t[dbo].[MachineModulePaths] AS [mp] WITH(NOLOCK)\r\n\tINNER JOIN [dbo].[MachinesToEvaluate] AS [me] WITH(NOLOCK) ON ([me].[RK_Machines] = [mp].[FK_Machines])\r\n\tINNER JOIN [dbo].[Modules] AS [mo] WITH(NOLOCK) ON ([mo].[PK_Modules] = [mp].[FK_Modules])\r\nWHERE \r\n\t[mo].[ModulePacked] = 0 AND\r\n\t(\r\n\t\t[mo].[ModuleCodeSectionWritable] = 1 OR\r\n\t\t[mo].[ModuleDuplicateSectionName] = 1 OR\r\n\t\t[mo].[ModuleEmptySectionName] = 1\r\n\t) AND\r\n\t[mo].[Entropy] >= 6.8 AND\r\n\t[mp].[MarkedAsDeleted] = 0\r\n\r\n",
"MachineCount": "1",
"ModuleCount": "2"
}
]
}
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si l'opération réussit et qu'au moins l'une des entités fournies a été enrichie (is_success = true) : Print "Successfully enriched the following endpoints from RSA NetWitness EDR: \n {0}".format(entity.identifier list) Si l'enrichissement de certaines entités échoue(is_success = true) : Imprimez "L'action n'a pas pu enrichir les points de terminaison suivants à partir de RSA NetWitness EDR : \n{0}".format([entity.identifier]) Si l'enrichissement échoue pour toutes les entités (is_success = false) : Afficher "Aucune entité n'a été enrichie" L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale s'est produite (par exemple, des identifiants incorrects, aucune connexion au serveur, etc.) : Imprimez "Erreur lors de l'exécution de l'action "Enrich Endpoint". Raison : {0}''.format(error.Stacktrace) |
Général |
| Tableau du mur des cas | Si "Include IOCs Information" (Inclure les informations sur les IOC) == True Nom de la table : "{0} – FdR".format(entity.identifier) Colonne de tableau :
|
Général |
Obtenir les détails d'un IOC
Description
Enrichissez les entités Google SecOps avec des informations sur les IOC provenant de RSA NetWitness EDR.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Mandatory | Description |
|---|---|---|---|---|
| Seuil de niveau IOC | LDD | Moyenne Valeurs possibles : Critique Élevée Moyen Faible |
Oui | Spécifiez le seuil de niveau d'IOC pour l'entité. Si l'entité dépasse le seuil, l'entité associée est marquée comme suspecte. |
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Enrichissement d'entités
| Nom du champ d'enrichissement | Logique : quand l'appliquer ? |
|---|---|
| RSA_EDR_Active | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_Alertable | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_BlacklistedCount | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_GraylistedCount | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_Description | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_ErrorMessage | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_EvaluationMachineCount | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_Type | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_IOCLevel | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_LastEvaluationDuration | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_LastExecuted | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_MachineCount | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_ModuleCount | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_Name | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_Persistent | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_Priority | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_UserDefined | Renvoie la valeur si elle existe dans le résultat JSON. |
| RSA_EDR_WhitelistedCount | Renvoie la valeur si elle existe dans le résultat JSON. |
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"iocQuery": {
"Active": "True",
"Alertable": "False",
"BlacklistedCount": "0",
"GraylistedCount": "0",
"Description": "Autorun unsigned BHO",
"ErrorMessage": "",
"EvaluationMachineCount": "1",
"Type": "Windows",
"IOCLevel": "2",
"LastEvaluationDuration": "0",
"LastExecutionDuration": "0",
"LastExecuted": "7/31/2020 9:08:12 AM",
"MachineCount": "0",
"ModuleCount": "0",
"Name": "Autorun_Unsigned_BHO.sql",
"Persistent": "True",
"Priority": "5",
"Query": "\r\n\r\nSELECT DISTINCT\r\n\t[mp].[FK_Machines] AS [FK_Machines],\r\n\t[mp].[PK_MachineModulePaths] AS [FK_MachineModulePaths] \r\nFROM\r\n\t[dbo].[mocAutoruns] AS [ar] WITH(NOLOCK)\r\n\tINNER JOIN [dbo].[MachinesToEvaluate] AS [me] WITH(NOLOCK) ON ([me].[RK_Machines] = [ar].[FK_Machines])\r\n\tINNER JOIN [dbo].[Paths] AS [pa] WITH(NOLOCK) ON ([pa].[PK_Paths] = [ar].[FK_Paths__RegistryPath])\r\n\tINNER JOIN [dbo].[MachineModulePaths] AS [mp] WITH(NOLOCK) ON ([mp].[PK_MachineModulePaths] = [ar].[FK_MachineModulePaths] AND [mp].[FK_Machines] = [ar].[FK_Machines])\r\n\tINNER JOIN [dbo].[Modules] AS [mo] WITH(NOLOCK) ON ([mo].[PK_Modules] = [mp].[FK_Modules])\r\nWHERE \r\n\t[ar].[Type] = 5 AND\r\n\t[pa].[Path] LIKE N'%\\SOFTWARE%Microsoft\\Windows\\CurrentVersion\\Explorer\\Browser Helper Objects\\%' AND\r\n\t[mo].[ModuleSignaturePresent] = 0 AND\r\n\t[ar].[MarkedAsDeleted] = 0\r\n\r\n",
"UserDefined": "False",
"WhitelistedCount": "0"
}
}
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : If fail to enrich specific entities(is_success = true): Si l'enrichissement échoue pour toutes les entités (is_success = false) : L'action doit échouer et arrêter l'exécution d'un playbook : Si erreur fatale, comme des identifiants incorrects, aucune connexion au serveur, autre : Imprime "Erreur lors de l'exécution de l'action "Enrich Entities". Raison : {0}''.format(error.Stacktrace) |
Général |
Ajouter une adresse IP à la liste noire
Description
Ajoutez une adresse IP à la liste noire dans RSA NetWitness EDR.
Paramètres
N/A
Exécuter sur
Cette action s'exécute sur l'entité "Adresse IP".
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"Ips": [
"10.0.0.2"
],
"ResponseStatus": {
"ErrorCode": "200",
"Message": "Some of the IPs could not be processed. The HTTP response body contains all successfully processed IPs"
}
}
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si l'enrichissement de certaines entités échoue(is_success = true) : Si l'enrichissement échoue pour toutes les entités (is_success = false) : L'action doit échouer et arrêter l'exécution d'un playbook : Si erreur fatale, comme des identifiants incorrects, aucune connexion au serveur, autre : Imprimez "Erreur lors de l'exécution de l'action "Ajouter une adresse IP à la liste noire". Raison : {0}''.format(error.Stacktrace) |
Général |
Ajouter une URL à la liste noire
Description
Ajoutez l'URL à la liste noire dans RSA NetWitness EDR.
Exécuter sur
Cette action s'exécute sur l'entité URL.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"Domains": [
"фів"
]
}
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si l'enrichissement de certaines entités échoue(is_success = true) : Si l'enrichissement échoue pour toutes les entités (is_success = false) : L'action doit échouer et arrêter l'exécution d'un playbook : Si erreur fatale, comme des identifiants incorrects, aucune connexion au serveur, autre : Message "Erreur lors de l'exécution de l'action "Ajouter une URL à la liste noire". Raison : {0}''.format(error.Stacktrace) |
Général |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.