RSA NetWitness EDR
Versione integrazione: 4.0
Casi d'uso
- Esegui azioni di arricchimento: recupera i dati da RSA NetWitness per arricchire i dati negli avvisi di Google Security Operations.
- Esegui azioni di correzione: aggiungi IP/URL alle blacklist.
Configurare l'integrazione di RSA NetWitness EDR in Google SecOps
Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.
Parametri di integrazione
Utilizza i seguenti parametri per configurare l'integrazione:
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome istanza | Stringa | N/D | No | Nome dell'istanza per cui intendi configurare l'integrazione. |
| Descrizione | Stringa | N/D | No | Descrizione dell'istanza. |
| Root API | Stringa | https:// |
Sì | Radice API dell'istanza RSA NetWitness EDR. |
| Nome utente | Stringa | N/D | Sì | Nome utente dell'account RSA NetWitness EDR. |
| Password | Password | N/D | Sì | La password dell'account RSA NetWitness EDR. |
| Verifica SSL | Casella di controllo | Selezionata | No | Se abilitata, verifica che il certificato SSL per la connessione al server RSA NetWitness EDR sia valido. |
| Esegui da remoto | Casella di controllo | Deselezionata | No | Seleziona il campo per eseguire l'integrazione configurata da remoto. Una volta selezionata, viene visualizzata l'opzione per selezionare l'utente remoto (agente). |
Azioni
Dindin
Descrizione
Verifica la connettività a RSA NetWitness EDR con i parametri forniti nella pagina di configurazione dell'integrazione nella scheda Google Security Operations Marketplace.
Run On
Questa azione non viene eseguita sulle entità e non ha parametri di input obbligatori.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se l'operazione va a buon fine: Stampa "Successfully connected to the RSA NetWitness EDR server with the provided connection parameters!" L'azione deve non riuscire e interrompere l'esecuzione di un playbook: In caso contrario: Stampa "Impossibile connettersi al server RSA NetWitness EDR. Error is {0}".format(exception.stacktrace) |
Generale |
Endpoint Enrich
Descrizione
Recupera le informazioni di sistema dell'endpoint in base al nome host o all'indirizzo IP.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Soglia del punteggio IIOC | Numero intero | 50 | No | Specifica la soglia del punteggio IIOC per l'endpoint. Se l'endpoint supera la soglia, l'entità correlata verrà contrassegnata come sospetta. Se non viene specificato nulla, l'azione non controllerà il punteggio IIOC. |
| Includi informazioni sugli IOC | Casella di controllo | Deselezionata | No | Se attivata, l'azione recupererà informazioni sugli IOC associati all'endpoint. |
| Numero massimo di IOC da restituire | Numero intero | 50 | No | Specifica il numero di indicatori di compromissione da restituire. Il valore massimo è 50. Questa è una limitazione di RSA NetWitness EDR. |
Run On
Questa azione viene eseguita sulle seguenti entità:
- Indirizzo IP
- Host
Risultati dell'azione
Arricchimento delle entità
| Nome del campo di arricchimento | Logica: quando applicarla |
|---|---|
| RSA_EDR_DriverErrorCode | Restituisce se esiste nel risultato JSON |
| RSA_EDR_ServicePackOS | Restituisce se esiste nel risultato JSON |
| RSA_EDR_MachineStatus | Restituisce se esiste nel risultato JSON |
| RSA_EDR_Type | Restituisce se esiste nel risultato JSON |
| RSA_EDR_VersionInfo | Restituisce se esiste nel risultato JSON |
| RSA_EDR_UserName | Restituisce se esiste nel risultato JSON |
| RSA_EDR_OrganizationUnit | Restituisce se esiste nel risultato JSON |
| RSA_EDR_LocalIP | Restituisce se esiste nel risultato JSON |
| RSA_EDR_NetworkSegment | Restituisce se esiste nel risultato JSON |
| RSA_EDR_Gateway | Restituisce se esiste nel risultato JSON |
| RSA_EDR_RemoteIP | Restituisce se esiste nel risultato JSON |
| RSA_EDR_Group | Restituisce se esiste nel risultato JSON |
| RSA_EDR_AdminStatus | Restituisce se esiste nel risultato JSON |
| RSA_EDR_KernelDebuggerDetected | Restituisce se esiste nel risultato JSON |
| RSA_EDR_EarlyStart | Restituisce se esiste nel risultato JSON |
| RSA_EDR_NotifyShutdownModule | Restituisce se esiste nel risultato JSON |
| RSA_EDR_LoadedModuleModule | Restituisce se esiste nel risultato JSON |
| RSA_EDR_NotifyRoutineModule | Restituisce se esiste nel risultato JSON |
| RSA_EDR_UnloadedDriverModule | Restituisce se esiste nel risultato JSON |
| RSA_EDR_ErrorLogModule | Restituisce se esiste nel risultato JSON |
| RSA_EDR_LowLevelReaderModule | Restituisce se esiste nel risultato JSON |
| RSA_EDR_ProcessModule | Restituisce se esiste nel risultato JSON |
| RSA_EDR_WorkerThreadModule | Restituisce se esiste nel risultato JSON |
| RSA_EDR_WindowsHooksModule | Restituisce se esiste nel risultato JSON |
| RSA_EDR_DebuggerAttachedToProcess | Restituisce se esiste nel risultato JSON |
| RSA_EDR_ProcessMonitorModule | Restituisce se esiste nel risultato JSON |
| RSA_EDR_ThreadMonitorModule | Restituisce se esiste nel risultato JSON |
| RSA_EDR_ObjectMonitorModule | Restituisce se esiste nel risultato JSON |
| RSA_EDR_ImageMonitorModule | Restituisce se esiste nel risultato JSON |
| RSA_EDR_DriverMonitorModule | Restituisce se esiste nel risultato JSON |
| RSA_EDR_TdiMonitorModule | Restituisce se esiste nel risultato JSON |
| RSA_EDR_TrackingModule | Restituisce se esiste nel risultato JSON |
| RSA_EDR_TrackingRegistryMonitor | Restituisce se esiste nel risultato JSON |
| RSA_EDR_TrackingObjectMonitor | Restituisce se esiste nel risultato JSON |
| RSA_EDR_TrackingFileMonitor | Restituisce se esiste nel risultato JSON |
| RSA_EDR_TrackingRemoteThreadMonitor | Restituisce se esiste nel risultato JSON |
| RSA_EDR_TrackingCreateProcessMonitor | Restituisce se esiste nel risultato JSON |
| RSA_EDR_TrackingHardLinkMonitor | Restituisce se esiste nel risultato JSON |
| RSA_EDR_TrackingFileBlockMonitor | Restituisce se esiste nel risultato JSON |
| RSA_EDR_TrackingNetworkMonitor | Restituisce se esiste nel risultato JSON |
| RSA_EDR_ECATServerName | Restituisce se esiste nel risultato JSON |
| RSA_EDR_Online | Restituisce se esiste nel risultato JSON |
| RSA_EDR_IIOCScore | Restituisce se esiste nel risultato JSON |
| RSA_EDR_ChassisType | Restituisce se esiste nel risultato JSON |
| RSA_EDR_ContainmentSupported | Restituisce se esiste nel risultato JSON |
| RSA_EDR_AgentID | Restituisce se esiste nel risultato JSON |
| RSA_EDR_BIOS | Restituisce se esiste nel risultato JSON |
| RSA_EDR_OSBuildNumber | Restituisce se esiste nel risultato JSON |
| RSA_EDR_Comment | Restituisce se esiste nel risultato JSON |
| RSA_EDR_ConnectionTime | Restituisce se esiste nel risultato JSON |
| RSA_EDR_Language | Restituisce se esiste nel risultato JSON |
| RSA_EDR_DNS | Restituisce se esiste nel risultato JSON |
| RSA_EDR_DomainRole | Restituisce se esiste nel risultato JSON |
| RSA_EDR_ECATServiceCompileTime | Restituisce se esiste nel risultato JSON |
| RSA_EDR_ECATPackageTime | Restituisce se esiste nel risultato JSON |
| RSA_EDR_StartTime | Restituisce se esiste nel risultato JSON |
| RSA_EDR_ECATDriverCompileTime | Restituisce se esiste nel risultato JSON |
| RSA_EDR_DomainName | Restituisce se esiste nel risultato JSON |
| RSA_EDR_Idle | Restituisce se esiste nel risultato JSON |
| RSA_EDR_IncludedinMonitoring | Restituisce se esiste nel risultato JSON |
| RSA_EDR_IncludedinScanSchedule | Restituisce se esiste nel risultato JSON |
| RSA_EDR_InstallationFailed | Restituisce se esiste nel risultato JSON |
| RSA_EDR_InstallTime | Restituisce se esiste nel risultato JSON |
| RSA_EDR_IIOCLevel0 | Restituisce se esiste nel risultato JSON |
| RSA_EDR_IIOCLevel1 | Restituisce se esiste nel risultato JSON |
| RSA_EDR_IIOCLevel2 | Restituisce se esiste nel risultato JSON |
| RSA_EDR_IIOCLevel3 | Restituisce se esiste nel risultato JSON |
| RSA_EDR_Country | Restituisce se esiste nel risultato JSON |
| RSA_EDR_BootTime | Restituisce se esiste nel risultato JSON |
| RSA_EDR_LastScan | Restituisce se esiste nel risultato JSON |
| RSA_EDR_LastSeen | Restituisce se esiste nel risultato JSON |
| RSA_EDR_MAC | Restituisce se esiste nel risultato JSON |
| RSA_EDR_MachineID | Restituisce se esiste nel risultato JSON |
| RSA_EDR_MachineName | Restituisce se esiste nel risultato JSON |
| RSA_EDR_AllowAccessDataSourceDomain | Restituisce se esiste nel risultato JSON |
| RSA_EDR_AllowDisplayMixedContent | Restituisce se esiste nel risultato JSON |
| RSA_EDR_AntiVirusDisabled | Restituisce se esiste nel risultato JSON |
| RSA_EDR_BadCertificateWarningDisabled | Restituisce se esiste nel risultato JSON |
| RSA_EDR_CookiesCleanupDisabled | Restituisce se esiste nel risultato JSON |
| RSA_EDR_CrosssiteScriptFilterDisabled | Restituisce se esiste nel risultato JSON |
| RSA_EDR_FirewallDisabled | Restituisce se esiste nel risultato JSON |
| RSA_EDR_IEDepDisabled | Restituisce se esiste nel risultato JSON |
| RSA_EDR_IEEnhancedSecurityDisabled | Restituisce se esiste nel risultato JSON |
| RSA_EDR_IntranetZoneNotificationDisabled | Restituisce se esiste nel risultato JSON |
| RSA_EDR_LUADisabled | Restituisce se esiste nel risultato JSON |
| RSA_EDR_NoAntivirusNotificationDisabled | Restituisce se esiste nel risultato JSON |
| RSA_EDR_NoFirewallNotificationDisabled | Restituisce se esiste nel risultato JSON |
| RSA_EDR_NoUACNotificationDisabled | Restituisce se esiste nel risultato JSON |
| RSA_EDR_NoWindowsUpdateDisabled | Restituisce se esiste nel risultato JSON |
| RSA_EDR_RegistryToolsDisabled | Restituisce se esiste nel risultato JSON |
| RSA_EDR_SmartscreenFilterDisabled | Restituisce se esiste nel risultato JSON |
| RSA_EDR_SystemRestoreDisabled | Restituisce se esiste nel risultato JSON |
| RSA_EDR_TaskManagerDisabled | Restituisce se esiste nel risultato JSON |
| RSA_EDR_UACDisabled | Restituisce se esiste nel risultato JSON |
| RSA_EDR_WarningOnZoneCrossingDisabled | Restituisce se esiste nel risultato JSON |
| RSA_EDR_WarningPostRedirectionDisabled | Restituisce se esiste nel risultato JSON |
| RSA_EDR_Manufacturer | Restituisce se esiste nel risultato JSON |
| RSA_EDR_Model | Restituisce se esiste nel risultato JSON |
| RSA_EDR_NetworkAdapterPromiscModel | Restituisce se esiste nel risultato JSON |
| RSA_EDR_OperatingSystem | Restituisce se esiste nel risultato JSON |
| RSA_EDR_ProcessorArchitecture | Restituisce se esiste nel risultato JSON |
| RSA_EDR_ProcessorCount | Restituisce se esiste nel risultato JSON |
| RSA_EDR_Platform | Restituisce se esiste nel risultato JSON |
| RSA_EDR_ProcessorIs32bits | Restituisce se esiste nel risultato JSON |
| RSA_EDR_Processoris64 | Restituisce se esiste nel risultato JSON |
| RSA_EDR_ProcessorName | Restituisce se esiste nel risultato JSON |
| RSA_EDR_Scanning | Restituisce se esiste nel risultato JSON |
| RSA_EDR_ScanStartTime | Restituisce se esiste nel risultato JSON |
| RSA_EDR_Serial | Restituisce se esiste nel risultato JSON |
| RSA_EDR_TimeZone | Restituisce se esiste nel risultato JSON |
| RSA_EDR_TotalPhysicalMemory | Restituisce se esiste nel risultato JSON |
| RSA_EDR_HTTPSFallbackMode | Restituisce se esiste nel risultato JSON |
| RSA_EDR_BlockingActive | Restituisce se esiste nel risultato JSON |
| RSA_EDR_RoamingAgentsRelaySystemActive | Restituisce se esiste nel risultato JSON |
| RSA_EDR_UserID | Restituisce se esiste nel risultato JSON |
| RSA_EDR_WindowsDirectory | Restituisce se esiste nel risultato JSON |
| RSA_EDR_NetWitnessInvestigate | Restituisce se esiste nel risultato JSON |
| RSA_EDR_ContainmentStatus | Restituisce se esiste nel risultato JSON |
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
{
"Machine": {
"DriverErrorCode": "0xe0010014",
"ServicePackOS": "0",
"MachineStatus": "Offline-DriverError",
"Type": "Windows",
"VersionInfo": "4.4.0.0",
"UserName": "",
"OrganizationUnit": "",
"LocalIP": "172.30.203.155",
"NetworkSegment": "172.30.203.0",
"Gateway": "172.30.203.1",
"RemoteIP": "172.30.203.155",
"Group": "Default",
"AdminStatus": "",
"KernelDebuggerDetected": "False",
"EarlyStart": "False",
"NotifyShutdownModule": "False",
"LoadedModuleModule": "False",
"NotifyRoutineModule": "False",
"UnloadedDriverModule": "False",
"ErrorLogModule": "False",
"LowLevelReaderModule": "False",
"ProcessModule": "False",
"WorkerThreadModule": "False",
"WindowsHooksModule": "False",
"DebuggerAttachedToProcess": "False",
"ProcessMonitorModule": "False",
"ThreadMonitorModule": "False",
"ObjectMonitorModule": "False",
"ImageMonitorModule": "False",
"DriverMonitorModule": "False",
"TdiMonitorModule": "False",
"TrackingModule": "False",
"TrackingRegistryMonitor": "False",
"TrackingObjectMonitor": "False",
"TrackingFileMonitor": "False",
"TrackingRemoteThreadMonitor": "False",
"TrackingCreateProcessMonitor": "False",
"TrackingHardLinkMonitor": "False",
"TrackingFileBlockMonitor": "False",
"TrackingNetworkMonitor": "False",
"ECATServerName": "RSA-EDR",
"Online": "False",
"IIOCScore": "39",
"ChassisType": "Other",
"ContainmentSupported": "False",
"AgentID": "d96de745-c39b-b513-420d-598952bd463e",
"BIOS": "Phoenix Technologies LTD - 6.00 - PhoenixBIOS 4.0 Release 6.0",
"OSBuildNumber": "18363",
"Comment": "",
"ConnectionTime": "7/31/2020 9:01:11 AM",
"Language": "en-US",
"DNS": "172.30.202.237",
"DomainRole": "Member Workstation",
"ECATServiceCompileTime": "9/15/2017 10:26:23 PM",
"ECATPackageTime": "6/26/2020 6:39:59 AM",
"StartTime": "6/29/2020 11:56:36 AM",
"ECATDriverCompileTime": "9/15/2017 10:20:48 PM",
"DomainName": "ecat.local",
"Idle": "False",
"IncludedinMonitoring": "True",
"IncludedinScanSchedule": "True",
"InstallationFailed": "False",
"InstallTime": "6/26/2020 6:42:20 AM",
"IIOCLevel0": "0",
"IIOCLevel1": "0",
"IIOCLevel2": "4",
"IIOCLevel3": "9",
"Country": "USA",
"BootTime": "6/29/2020 11:56:31 AM",
"LastScan": "6/26/2020 6:47:54 AM",
"LastSeen": "7/31/2020 9:31:12 AM",
"MAC": "00:50:56:A2:10:9E",
"MachineID": "422518b6-54d8-4814-b5d7-02b043ca0103",
"MachineName": "RSA-HOST02",
"AllowAccessDataSourceDomain": "False",
"AllowDisplayMixedContent": "False",
"AntiVirusDisabled": "False",
"BadCertificateWarningDisabled": "False",
"CookiesCleanupDisabled": "False",
"CrosssiteScriptFilterDisabled": "False",
"FirewallDisabled": "False",
"IEDepDisabled": "False",
"IEEnhancedSecurityDisabled": "False",
"IntranetZoneNotificationDisabled": "False",
"LUADisabled": "False",
"NoAntivirusNotificationDisabled": "False",
"NoFirewallNotificationDisabled": "False",
"NoUACNotificationDisabled": "False",
"NoWindowsUpdateDisabled": "False",
"RegistryToolsDisabled": "False",
"SmartscreenFilterDisabled": "False",
"SystemRestoreDisabled": "False",
"TaskManagerDisabled": "False",
"UACDisabled": "False",
"WarningOnZoneCrossingDisabled": "False",
"WarningPostRedirectionDisabled": "False",
"Manufacturer": "VMware, Inc.",
"Model": "VMware Virtual Platform",
"NetworkAdapterPromiscMode": "False",
"OperatingSystem": "Microsoft Windows 10 Enterprise Evaluation",
"ProcessorArchitecture": "x64",
"ProcessorCount": "2",
"Platform": "64-bit (x64)",
"ProcessorIs32bits": "False",
"Processoris64": "True",
"ProcessorName": "Intel(R) Xeon(R) CPU E5-2698 v3 @ 2.30GHz",
"Scanning": "False",
"ScanStartTime": "7/31/2020 9:07:58 AM",
"Serial": "VMware-42 22 a8 f8 6a 01 41 ca-12 10 80 75 56 bf 21 4b",
"TimeZone": "Pacific Standard Time",
"TotalPhysicalMemory": "4294430720",
"HTTPSFallbackMode": "False",
"BlockingActive": "True",
"RoamingAgentsRelaySystemActive": "True",
"UserID": "00000000-0000-0000-0000-000000000000",
"WindowsDirectory": "C:\\Windows",
"NetWitnessInvestigate": "True",
"ContainmentStatus": "Not Contained"
},
"Iocs": [
{
"Alertable": "False",
"EvaluationDate": "6/26/2020 6:48:11 AM",
"IOCContext": "0",
"IOCTriggeredOnMachine": "True",
"BiasStatus": "Undefined",
"Active": "True",
"Description": "Likely packed",
"Type": "Module",
"IOCLevel": "2",
"LastExecuted": "7/31/2020 9:08:11 AM",
"Name": "Likely Packed.sql",
"Priority": "0",
"Query": "\r\n\r\nSELECT DISTINCT\r\n\t[mp].[FK_Machines] AS [FK_Machines],\r\n\t[mp].[PK_MachineModulePaths] AS [FK_MachineModulePaths] \r\nFROM\r\n\t[dbo].[MachineModulePaths] AS [mp] WITH(NOLOCK)\r\n\tINNER JOIN [dbo].[MachinesToEvaluate] AS [me] WITH(NOLOCK) ON ([me].[RK_Machines] = [mp].[FK_Machines])\r\n\tINNER JOIN [dbo].[Modules] AS [mo] WITH(NOLOCK) ON ([mo].[PK_Modules] = [mp].[FK_Modules])\r\nWHERE \r\n\t[mo].[ModulePacked] = 0 AND\r\n\t(\r\n\t\t[mo].[ModuleCodeSectionWritable] = 1 OR\r\n\t\t[mo].[ModuleDuplicateSectionName] = 1 OR\r\n\t\t[mo].[ModuleEmptySectionName] = 1\r\n\t) AND\r\n\t[mo].[Entropy] >= 6.8 AND\r\n\t[mp].[MarkedAsDeleted] = 0\r\n\r\n",
"MachineCount": "1",
"ModuleCount": "2"
}
]
}
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se l'operazione va a buon fine e almeno una delle entità fornite è stata arricchita (is_success = true): Stampa "Successfully enriched the following endpoints from RSA NetWitness EDR: \n {0}".format(entity.identifier list) Se non riesci ad arricchire entità specifiche(is_success = true): Stampa "Action was not able to enrich the following endpoints from RSA NetWitness EDR \n: {0}".format([entity.identifier]) Se l'arricchimento non va a buon fine per tutte le entità (is_success = false): Stampa: "Nessuna entità è stata arricchita." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se si verifica un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: Stampa "Errore durante l'esecuzione dell'azione "Arricchisci endpoint". Motivo: {0}''.format(error.Stacktrace) |
Generale |
| Tabella Bacheca casi | Se "Include IOCs Information" == True Nome tabella: "{0} - IOCs".format(entity.identifier) Colonna della tabella:
|
Generale |
Recupera dettagli IOC
Descrizione
Arricchisci le entità Google SecOps con informazioni sugli indicatori di compromissione di RSA NetWitness EDR.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È Mandatory | Descrizione |
|---|---|---|---|---|
| Soglia del livello IOC | DDL | Media Valori possibili: Critico Alta Medie Bassa |
Sì | Specifica la soglia del livello IOC per l'entità. Se l'entità supera la soglia, l'entità correlata verrà contrassegnata come sospetta. |
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Arricchimento delle entità
| Nome del campo di arricchimento | Logica: quando applicarla |
|---|---|
| RSA_EDR_Active | Restituisce se esiste nel risultato JSON |
| RSA_EDR_Alertable | Restituisce se esiste nel risultato JSON |
| RSA_EDR_BlacklistedCount | Restituisce se esiste nel risultato JSON |
| RSA_EDR_GraylistedCount | Restituisce se esiste nel risultato JSON |
| RSA_EDR_Description | Restituisce se esiste nel risultato JSON |
| RSA_EDR_ErrorMessage | Restituisce se esiste nel risultato JSON |
| RSA_EDR_EvaluationMachineCount | Restituisce se esiste nel risultato JSON |
| RSA_EDR_Type | Restituisce se esiste nel risultato JSON |
| RSA_EDR_IOCLevel | Restituisce se esiste nel risultato JSON |
| RSA_EDR_LastEvaluationDuration | Restituisce se esiste nel risultato JSON |
| RSA_EDR_LastExecuted | Restituisce se esiste nel risultato JSON |
| RSA_EDR_MachineCount | Restituisce se esiste nel risultato JSON |
| RSA_EDR_ModuleCount | Restituisce se esiste nel risultato JSON |
| RSA_EDR_Name | Restituisce se esiste nel risultato JSON |
| RSA_EDR_Persistent | Restituisce se esiste nel risultato JSON |
| RSA_EDR_Priority | Restituisce se esiste nel risultato JSON |
| RSA_EDR_UserDefined | Restituisce se esiste nel risultato JSON |
| RSA_EDR_WhitelistedCount | Restituisce se esiste nel risultato JSON |
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
{
"iocQuery": {
"Active": "True",
"Alertable": "False",
"BlacklistedCount": "0",
"GraylistedCount": "0",
"Description": "Autorun unsigned BHO",
"ErrorMessage": "",
"EvaluationMachineCount": "1",
"Type": "Windows",
"IOCLevel": "2",
"LastEvaluationDuration": "0",
"LastExecutionDuration": "0",
"LastExecuted": "7/31/2020 9:08:12 AM",
"MachineCount": "0",
"ModuleCount": "0",
"Name": "Autorun_Unsigned_BHO.sql",
"Persistent": "True",
"Priority": "5",
"Query": "\r\n\r\nSELECT DISTINCT\r\n\t[mp].[FK_Machines] AS [FK_Machines],\r\n\t[mp].[PK_MachineModulePaths] AS [FK_MachineModulePaths] \r\nFROM\r\n\t[dbo].[mocAutoruns] AS [ar] WITH(NOLOCK)\r\n\tINNER JOIN [dbo].[MachinesToEvaluate] AS [me] WITH(NOLOCK) ON ([me].[RK_Machines] = [ar].[FK_Machines])\r\n\tINNER JOIN [dbo].[Paths] AS [pa] WITH(NOLOCK) ON ([pa].[PK_Paths] = [ar].[FK_Paths__RegistryPath])\r\n\tINNER JOIN [dbo].[MachineModulePaths] AS [mp] WITH(NOLOCK) ON ([mp].[PK_MachineModulePaths] = [ar].[FK_MachineModulePaths] AND [mp].[FK_Machines] = [ar].[FK_Machines])\r\n\tINNER JOIN [dbo].[Modules] AS [mo] WITH(NOLOCK) ON ([mo].[PK_Modules] = [mp].[FK_Modules])\r\nWHERE \r\n\t[ar].[Type] = 5 AND\r\n\t[pa].[Path] LIKE N'%\\SOFTWARE%Microsoft\\Windows\\CurrentVersion\\Explorer\\Browser Helper Objects\\%' AND\r\n\t[mo].[ModuleSignaturePresent] = 0 AND\r\n\t[ar].[MarkedAsDeleted] = 0\r\n\r\n",
"UserDefined": "False",
"WhitelistedCount": "0"
}
}
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se non riesci ad arricchire entità specifiche(is_success = true): Se l'arricchimento non va a buon fine per tutte le entità (is_success = false): L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se errore irreversibile, ad esempio credenziali errate, nessuna connessione al server, altro: Stampa "Errore durante l'esecuzione dell'azione "Arricchisci entità". Motivo: {0}''.format(error.Stacktrace) |
Generale |
Aggiungi IP alla blacklist
Descrizione
Aggiungi l'IP alla blacklist in RSA NetWitness EDR.
Parametri
N/D
Run On
Questa azione viene eseguita sull'entità Indirizzo IP.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
{
"Ips": [
"10.0.0.2"
],
"ResponseStatus": {
"ErrorCode": "200",
"Message": "Some of the IPs could not be processed. The HTTP response body contains all successfully processed IPs"
}
}
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se l'arricchimento di entità specifiche non riesce(is_success = true): Se l'arricchimento non va a buon fine per tutte le entità (is_success = false): L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se errore irreversibile, ad esempio credenziali errate, nessuna connessione al server, altro: Stampa "Errore durante l'esecuzione dell'azione "Aggiungi IP alla lista nera". Motivo: {0}''.format(error.Stacktrace) |
Generale |
Aggiungi URL alla lista nera
Descrizione
Aggiungi l'URL alla lista nera in RSA NetWitness EDR.
Run On
Questa azione viene eseguita sull'entità URL.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
{
"Domains": [
"фів"
]
}
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se non riesci ad arricchire entità specifiche(is_success = true): Se l'arricchimento non va a buon fine per tutte le entità (is_success = false): L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se errore irreversibile, ad esempio credenziali errate, nessuna connessione al server, altro: Stampa "Errore durante l'esecuzione dell'azione "Aggiungi URL alla lista nera". Motivo: {0}''.format(error.Stacktrace) |
Generale |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.