RSA NetWitness EDR
Versi integrasi: 4.0
Kasus Penggunaan
- Lakukan tindakan pengayaan - dapatkan data dari RSA NetWitness untuk memperkaya data dalam Notifikasi Google Security Operations.
- Lakukan tindakan perbaikan - tambahkan IP/URL ke daftar hitam.
Mengonfigurasi integrasi RSA NetWitness EDR di Google SecOps
Untuk mendapatkan petunjuk mendetail terkait cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.
Parameter integrasi
Gunakan parameter berikut untuk mengonfigurasi integrasi:
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Nama Instance | String | T/A | Tidak | Nama Instance yang ingin Anda konfigurasi integrasinya. |
| Deskripsi | String | T/A | Tidak | Deskripsi Instance. |
| Root API | String | https:// |
Ya | Root API instance RSA NetWitness EDR. |
| Nama pengguna | String | T/A | Ya | Nama pengguna akun RSA NetWitness EDR. |
| Sandi | Sandi | T/A | Ya | Sandi akun RSA NetWitness EDR. |
| Verifikasi SSL | Kotak centang | Dicentang | Tidak | Jika diaktifkan, akan memverifikasi bahwa sertifikat SSL untuk koneksi ke server RSA NetWitness EDR valid. |
| Menjalankan dari Jarak Jauh | Kotak centang | Tidak dicentang | Tidak | Centang kolom untuk menjalankan integrasi yang dikonfigurasi dari jarak jauh. Setelah dicentang, opsi akan muncul untuk memilih pengguna jarak jauh (agen). |
Tindakan
Ping
Deskripsi
Uji konektivitas ke RSA NetWitness EDR dengan parameter yang diberikan di halaman konfigurasi integrasi di tab Google Security Operations Marketplace.
Run On
Tindakan ini tidak berjalan pada entity, dan tidak memiliki parameter input wajib.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika berhasil: Mencetak "Successfully connected to the RSA NetWitness EDR server with the provided connection parameters!" Tindakan akan gagal dan menghentikan eksekusi playbook: Jika tidak berhasil: Mencetak "Gagal terhubung ke server RSA NetWitness EDR! Error adalah {0}".format(exception.stacktrace) |
Umum |
Endpoint Memperkaya
Deskripsi
Mengambil informasi sistem endpoint berdasarkan nama host atau alamat IP-nya.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Nilai Minimum Skor IIOC | Bilangan bulat | 50 | Tidak | Tentukan nilai minimum skor IIOC untuk endpoint. Jika endpoint melebihi nilai minimum, entitas terkait akan ditandai sebagai mencurigakan. Jika tidak ada yang ditentukan, tindakan tidak akan memeriksa skor IIOC. |
| Sertakan Informasi IOC | Kotak centang | Tidak dicentang | Tidak | Jika diaktifkan, tindakan akan mengambil informasi tentang IOC yang terkait dengan endpoint. |
| Jumlah Maksimum IOC yang Akan Ditampilkan | Bilangan bulat | 50 | Tidak | Tentukan jumlah IOC yang akan ditampilkan. Maksimumnya adalah 50. Ini adalah batasan RSA NetWitness EDR. |
Run On
Tindakan ini berjalan di entity berikut:
- Alamat IP
- Host
Hasil Tindakan
Pengayaan Entity
| Nama Kolom Pengayaan | Logika-Kapan harus diterapkan |
|---|---|
| RSA_EDR_DriverErrorCode | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_ServicePackOS | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_MachineStatus | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_Type | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_VersionInfo | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_UserName | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_OrganizationUnit | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_LocalIP | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_NetworkSegment | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_Gateway | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_RemoteIP | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_Group | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_AdminStatus | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_KernelDebuggerDetected | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_EarlyStart | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_NotifyShutdownModule | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_LoadedModuleModule | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_NotifyRoutineModule | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_UnloadedDriverModule | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_ErrorLogModule | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_LowLevelReaderModule | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_ProcessModule | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_WorkerThreadModule | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_WindowsHooksModule | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_DebuggerAttachedToProcess | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_ProcessMonitorModule | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_ThreadMonitorModule | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_ObjectMonitorModule | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_ImageMonitorModule | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_DriverMonitorModule | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_TdiMonitorModule | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_TrackingModule | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_TrackingRegistryMonitor | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_TrackingObjectMonitor | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_TrackingFileMonitor | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_TrackingRemoteThreadMonitor | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_TrackingCreateProcessMonitor | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_TrackingHardLinkMonitor | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_TrackingFileBlockMonitor | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_TrackingNetworkMonitor | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_ECATServerName | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_Online | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_IIOCScore | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_ChassisType | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_ContainmentSupported | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_AgentID | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_BIOS | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_OSBuildNumber | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_Comment | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_ConnectionTime | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_Language | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_DNS | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_DomainRole | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_ECATServiceCompileTime | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_ECATPackageTime | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_StartTime | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_ECATDriverCompileTime | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_DomainName | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_Idle | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_IncludedinMonitoring | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_IncludedinScanSchedule | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_InstallationFailed | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_InstallTime | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_IIOCLevel0 | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_IIOCLevel1 | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_IIOCLevel2 | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_IIOCLevel3 | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_Country | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_BootTime | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_LastScan | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_LastSeen | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_MAC | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_MachineID | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_MachineName | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_AllowAccessDataSourceDomain | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_AllowDisplayMixedContent | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_AntiVirusDisabled | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_BadCertificateWarningDisabled | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_CookiesCleanupDisabled | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_CrosssiteScriptFilterDisabled | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_FirewallDisabled | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_IEDepDisabled | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_IEEnhancedSecurityDisabled | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_IntranetZoneNotificationDisabled | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_LUADisabled | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_NoAntivirusNotificationDisabled | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_NoFirewallNotificationDisabled | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_NoUACNotificationDisabled | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_NoWindowsUpdateDisabled | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_RegistryToolsDisabled | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_SmartscreenFilterDisabled | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_SystemRestoreDisabled | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_TaskManagerDisabled | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_UACDisabled | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_WarningOnZoneCrossingDisabled | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_WarningPostRedirectionDisabled | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_Manufacturer | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_Model | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_NetworkAdapterPromiscModel | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_OperatingSystem | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_ProcessorArchitecture | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_ProcessorCount | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_Platform | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_ProcessorIs32bits | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_Processoris64 | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_ProcessorName | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_Scanning | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_ScanStartTime | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_Serial | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_TimeZone | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_TotalPhysicalMemory | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_HTTPSFallbackMode | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_BlockingActive | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_RoamingAgentsRelaySystemActive | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_UserID | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_WindowsDirectory | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_NetWitnessInvestigate | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_ContainmentStatus | Menampilkan apakah ada di hasil JSON |
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
{
"Machine": {
"DriverErrorCode": "0xe0010014",
"ServicePackOS": "0",
"MachineStatus": "Offline-DriverError",
"Type": "Windows",
"VersionInfo": "4.4.0.0",
"UserName": "",
"OrganizationUnit": "",
"LocalIP": "172.30.203.155",
"NetworkSegment": "172.30.203.0",
"Gateway": "172.30.203.1",
"RemoteIP": "172.30.203.155",
"Group": "Default",
"AdminStatus": "",
"KernelDebuggerDetected": "False",
"EarlyStart": "False",
"NotifyShutdownModule": "False",
"LoadedModuleModule": "False",
"NotifyRoutineModule": "False",
"UnloadedDriverModule": "False",
"ErrorLogModule": "False",
"LowLevelReaderModule": "False",
"ProcessModule": "False",
"WorkerThreadModule": "False",
"WindowsHooksModule": "False",
"DebuggerAttachedToProcess": "False",
"ProcessMonitorModule": "False",
"ThreadMonitorModule": "False",
"ObjectMonitorModule": "False",
"ImageMonitorModule": "False",
"DriverMonitorModule": "False",
"TdiMonitorModule": "False",
"TrackingModule": "False",
"TrackingRegistryMonitor": "False",
"TrackingObjectMonitor": "False",
"TrackingFileMonitor": "False",
"TrackingRemoteThreadMonitor": "False",
"TrackingCreateProcessMonitor": "False",
"TrackingHardLinkMonitor": "False",
"TrackingFileBlockMonitor": "False",
"TrackingNetworkMonitor": "False",
"ECATServerName": "RSA-EDR",
"Online": "False",
"IIOCScore": "39",
"ChassisType": "Other",
"ContainmentSupported": "False",
"AgentID": "d96de745-c39b-b513-420d-598952bd463e",
"BIOS": "Phoenix Technologies LTD - 6.00 - PhoenixBIOS 4.0 Release 6.0",
"OSBuildNumber": "18363",
"Comment": "",
"ConnectionTime": "7/31/2020 9:01:11 AM",
"Language": "en-US",
"DNS": "172.30.202.237",
"DomainRole": "Member Workstation",
"ECATServiceCompileTime": "9/15/2017 10:26:23 PM",
"ECATPackageTime": "6/26/2020 6:39:59 AM",
"StartTime": "6/29/2020 11:56:36 AM",
"ECATDriverCompileTime": "9/15/2017 10:20:48 PM",
"DomainName": "ecat.local",
"Idle": "False",
"IncludedinMonitoring": "True",
"IncludedinScanSchedule": "True",
"InstallationFailed": "False",
"InstallTime": "6/26/2020 6:42:20 AM",
"IIOCLevel0": "0",
"IIOCLevel1": "0",
"IIOCLevel2": "4",
"IIOCLevel3": "9",
"Country": "USA",
"BootTime": "6/29/2020 11:56:31 AM",
"LastScan": "6/26/2020 6:47:54 AM",
"LastSeen": "7/31/2020 9:31:12 AM",
"MAC": "00:50:56:A2:10:9E",
"MachineID": "422518b6-54d8-4814-b5d7-02b043ca0103",
"MachineName": "RSA-HOST02",
"AllowAccessDataSourceDomain": "False",
"AllowDisplayMixedContent": "False",
"AntiVirusDisabled": "False",
"BadCertificateWarningDisabled": "False",
"CookiesCleanupDisabled": "False",
"CrosssiteScriptFilterDisabled": "False",
"FirewallDisabled": "False",
"IEDepDisabled": "False",
"IEEnhancedSecurityDisabled": "False",
"IntranetZoneNotificationDisabled": "False",
"LUADisabled": "False",
"NoAntivirusNotificationDisabled": "False",
"NoFirewallNotificationDisabled": "False",
"NoUACNotificationDisabled": "False",
"NoWindowsUpdateDisabled": "False",
"RegistryToolsDisabled": "False",
"SmartscreenFilterDisabled": "False",
"SystemRestoreDisabled": "False",
"TaskManagerDisabled": "False",
"UACDisabled": "False",
"WarningOnZoneCrossingDisabled": "False",
"WarningPostRedirectionDisabled": "False",
"Manufacturer": "VMware, Inc.",
"Model": "VMware Virtual Platform",
"NetworkAdapterPromiscMode": "False",
"OperatingSystem": "Microsoft Windows 10 Enterprise Evaluation",
"ProcessorArchitecture": "x64",
"ProcessorCount": "2",
"Platform": "64-bit (x64)",
"ProcessorIs32bits": "False",
"Processoris64": "True",
"ProcessorName": "Intel(R) Xeon(R) CPU E5-2698 v3 @ 2.30GHz",
"Scanning": "False",
"ScanStartTime": "7/31/2020 9:07:58 AM",
"Serial": "VMware-42 22 a8 f8 6a 01 41 ca-12 10 80 75 56 bf 21 4b",
"TimeZone": "Pacific Standard Time",
"TotalPhysicalMemory": "4294430720",
"HTTPSFallbackMode": "False",
"BlockingActive": "True",
"RoamingAgentsRelaySystemActive": "True",
"UserID": "00000000-0000-0000-0000-000000000000",
"WindowsDirectory": "C:\\Windows",
"NetWitnessInvestigate": "True",
"ContainmentStatus": "Not Contained"
},
"Iocs": [
{
"Alertable": "False",
"EvaluationDate": "6/26/2020 6:48:11 AM",
"IOCContext": "0",
"IOCTriggeredOnMachine": "True",
"BiasStatus": "Undefined",
"Active": "True",
"Description": "Likely packed",
"Type": "Module",
"IOCLevel": "2",
"LastExecuted": "7/31/2020 9:08:11 AM",
"Name": "Likely Packed.sql",
"Priority": "0",
"Query": "\r\n\r\nSELECT DISTINCT\r\n\t[mp].[FK_Machines] AS [FK_Machines],\r\n\t[mp].[PK_MachineModulePaths] AS [FK_MachineModulePaths] \r\nFROM\r\n\t[dbo].[MachineModulePaths] AS [mp] WITH(NOLOCK)\r\n\tINNER JOIN [dbo].[MachinesToEvaluate] AS [me] WITH(NOLOCK) ON ([me].[RK_Machines] = [mp].[FK_Machines])\r\n\tINNER JOIN [dbo].[Modules] AS [mo] WITH(NOLOCK) ON ([mo].[PK_Modules] = [mp].[FK_Modules])\r\nWHERE \r\n\t[mo].[ModulePacked] = 0 AND\r\n\t(\r\n\t\t[mo].[ModuleCodeSectionWritable] = 1 OR\r\n\t\t[mo].[ModuleDuplicateSectionName] = 1 OR\r\n\t\t[mo].[ModuleEmptySectionName] = 1\r\n\t) AND\r\n\t[mo].[Entropy] >= 6.8 AND\r\n\t[mp].[MarkedAsDeleted] = 0\r\n\r\n",
"MachineCount": "1",
"ModuleCount": "2"
}
]
}
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika berhasil dan setidaknya salah satu entitas yang diberikan telah dipertkaya (is_success = true): Mencetak "Successfully enriched the following endpoints from RSA NetWitness EDR: \n {0}".format(entity.identifier list) Jika gagal memperkaya entitas tertentu(is_success = true): Mencetak "Action was not able to enrich the following endpoints from RSA NetWitness EDR \n: {0}".format([entity.identifier]) Jika gagal memperkaya semua entitas (is_success = false): Print: "No entities were enriched." (Tidak ada entitas yang di-enrich.) Tindakan akan gagal dan menghentikan eksekusi playbook: Jika terjadi error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau lainnya: Mencetak "Error saat menjalankan tindakan "Enrich Endpoint". Alasan: {0}''.format(error.Stacktrace) |
Umum |
| Tabel Repositori Kasus | Jika "Sertakan Informasi IOC" == Benar (True) Nama Tabel: "{0} - IOCs".format(entity.identifier) Kolom Tabel:
|
Umum |
Mendapatkan Detail IOC
Deskripsi
Memperkaya Entitas Google SecOps dengan informasi tentang IOC dari RSA NetWitness EDR.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib Mengisi | Deskripsi |
|---|---|---|---|---|
| Batas Tingkat IOC | DDL | Sedang Nilai yang Mungkin: Kritis Tinggi Sedang Rendah |
Ya | Tentukan nilai minimum tingkat IOC untuk entitas. Jika entitas melebihi nilai minimum, entitas terkait akan ditandai sebagai mencurigakan. |
Run On
Tindakan ini dijalankan di semua entity.
Hasil Tindakan
Pengayaan Entity
| Nama Kolom Pengayaan | Logika-Kapan harus diterapkan |
|---|---|
| RSA_EDR_Active | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_Alertable | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_BlacklistedCount | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_GraylistedCount | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_Description | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_ErrorMessage | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_EvaluationMachineCount | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_Type | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_IOCLevel | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_LastEvaluationDuration | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_LastExecuted | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_MachineCount | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_ModuleCount | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_Name | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_Persistent | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_Priority | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_UserDefined | Menampilkan apakah ada di hasil JSON |
| RSA_EDR_WhitelistedCount | Menampilkan apakah ada di hasil JSON |
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
{
"iocQuery": {
"Active": "True",
"Alertable": "False",
"BlacklistedCount": "0",
"GraylistedCount": "0",
"Description": "Autorun unsigned BHO",
"ErrorMessage": "",
"EvaluationMachineCount": "1",
"Type": "Windows",
"IOCLevel": "2",
"LastEvaluationDuration": "0",
"LastExecutionDuration": "0",
"LastExecuted": "7/31/2020 9:08:12 AM",
"MachineCount": "0",
"ModuleCount": "0",
"Name": "Autorun_Unsigned_BHO.sql",
"Persistent": "True",
"Priority": "5",
"Query": "\r\n\r\nSELECT DISTINCT\r\n\t[mp].[FK_Machines] AS [FK_Machines],\r\n\t[mp].[PK_MachineModulePaths] AS [FK_MachineModulePaths] \r\nFROM\r\n\t[dbo].[mocAutoruns] AS [ar] WITH(NOLOCK)\r\n\tINNER JOIN [dbo].[MachinesToEvaluate] AS [me] WITH(NOLOCK) ON ([me].[RK_Machines] = [ar].[FK_Machines])\r\n\tINNER JOIN [dbo].[Paths] AS [pa] WITH(NOLOCK) ON ([pa].[PK_Paths] = [ar].[FK_Paths__RegistryPath])\r\n\tINNER JOIN [dbo].[MachineModulePaths] AS [mp] WITH(NOLOCK) ON ([mp].[PK_MachineModulePaths] = [ar].[FK_MachineModulePaths] AND [mp].[FK_Machines] = [ar].[FK_Machines])\r\n\tINNER JOIN [dbo].[Modules] AS [mo] WITH(NOLOCK) ON ([mo].[PK_Modules] = [mp].[FK_Modules])\r\nWHERE \r\n\t[ar].[Type] = 5 AND\r\n\t[pa].[Path] LIKE N'%\\SOFTWARE%Microsoft\\Windows\\CurrentVersion\\Explorer\\Browser Helper Objects\\%' AND\r\n\t[mo].[ModuleSignaturePresent] = 0 AND\r\n\t[ar].[MarkedAsDeleted] = 0\r\n\r\n",
"UserDefined": "False",
"WhitelistedCount": "0"
}
}
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika gagal memperkaya entitas tertentu(is_success = benar): Jika gagal memperkaya semua entitas (is_success = false): Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, lainnya: Mencetak "Error saat menjalankan tindakan "Enrich Entities". Alasan: {0}''.format(error.Stacktrace) |
Umum |
Menambahkan IP ke Daftar yang Tidak Diizinkan
Deskripsi
Menambahkan IP ke Daftar yang Tidak Diizinkan di RSA NetWitness EDR.
Parameter
T/A
Run On
Tindakan ini dijalankan pada entity Alamat IP.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
{
"Ips": [
"10.0.0.2"
],
"ResponseStatus": {
"ErrorCode": "200",
"Message": "Some of the IPs could not be processed. The HTTP response body contains all successfully processed IPs"
}
}
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika gagal memperkaya entitas tertentu(is_success = true): Jika gagal memperkaya semua entitas (is_success = false): Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, lainnya: Mencetak "Error saat menjalankan tindakan "Tambahkan IP ke Daftar Hitam". Alasan: {0}''.format(error.Stacktrace) |
Umum |
Menambahkan URL ke Daftar URL yang Tidak Diizinkan
Deskripsi
Tambahkan URL ke Daftar URL yang Tidak Diizinkan di RSA NetWitness EDR.
Run On
Tindakan ini dijalankan pada entity URL.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
{
"Domains": [
"фів"
]
}
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika gagal memperkaya entitas tertentu(is_success = true): Jika gagal memperkaya semua entitas (is_success = false): Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, lainnya: Mencetak "Error saat menjalankan tindakan "Tambahkan URL ke Daftar Hitam". Alasan: {0}''.format(error.Stacktrace) |
Umum |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.