RSA NetWitness EDR
統合バージョン: 4.0
ユースケース
- エンリッチメント アクションを実行する - RSA NetWitness からデータを取得して、Google Security Operations アラートのデータを拡充します。
- 修復アクションを実行する - IP/URL をブラックリストに追加します。
Google SecOps で RSA NetWitness EDR の統合を構成する
Google SecOps で統合を構成する方法について詳しくは、統合を構成するをご覧ください。
統合のパラメータ
次のパラメータを使用して統合を構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| インスタンス名 | 文字列 | なし | いいえ | 統合を構成するインスタンスの名前。 |
| 説明 | 文字列 | なし | いいえ | インスタンスの説明。 |
| API ルート | 文字列 | https:// |
はい | RSA NetWitness EDR インスタンスの API ルート。 |
| ユーザー名 | 文字列 | なし | はい | RSA NetWitness EDR アカウントのユーザー名。 |
| パスワード | パスワード | なし | はい | RSA NetWitness EDR アカウントのパスワード。 |
| SSL を確認する | チェックボックス | オン | いいえ | 有効になっている場合は、RSA NetWitness EDR サーバーへの接続用の SSL 証明書が有効であることを確認します。 |
| リモートで実行 | チェックボックス | オフ | いいえ | 構成した統合をリモートで実行するには、フィールドのチェックボックスをオンにします。オンにすると、リモート ユーザー(エージェント)を選択するオプションが表示されます。 |
アクション
Ping
説明
[Google Security Operations Marketplace] タブの統合構成ページで提供されているパラメータを使用して、RSA NetWitness EDR への接続をテストします。
実行
このアクションはエンティティに対しては実行されず、必須入力パラメータもありません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
ケースウォール
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、Playbook の実行が停止したりすることはありません。 成功した場合: 「指定された接続パラメータを使用して RSA NetWitness EDR サーバーに正常に接続されました。」と出力します。 アクションが失敗し、Playbook の実行が停止します。 不成功の場合: 「RSA NetWitness EDR サーバーへの接続に失敗しました」と出力します。エラーは {0}」.format(exception.stacktrace) |
全般 |
エンドポイントを拡充する
説明
ホスト名または IP アドレスでエンドポイントのシステム情報を取得します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| IIOC スコアのしきい値 | Integer | 50 | いいえ | エンドポイントの IIOC スコアのしきい値を指定します。エンドポイントがしきい値を超えると、関連するエンティティが不審としてマークされます。何も指定しない場合、アクションは IIOC スコアをチェックしません。 |
| IOC 情報を含める | チェックボックス | オフ | いいえ | 有効にすると、アクションによってエンドポイントに関連付けられている IOC に関する情報が取得されます。 |
| 返される IOC の最大数 | Integer | 50 | いいえ | 返される IOC の数を指定します。最大値は 50 です。これは RSA NetWitness EDR の制限事項です。 |
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト
アクションの結果
エンティティ拡充
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| RSA_EDR_DriverErrorCode | JSON の結果に存在する場合に返す |
| RSA_EDR_ServicePackOS | JSON の結果に存在する場合に返す |
| RSA_EDR_MachineStatus | JSON の結果に存在する場合に返す |
| RSA_EDR_Type | JSON の結果に存在する場合に返す |
| RSA_EDR_VersionInfo | JSON の結果に存在する場合に返す |
| RSA_EDR_UserName | JSON の結果に存在する場合に返す |
| RSA_EDR_OrganizationUnit | JSON の結果に存在する場合に返す |
| RSA_EDR_LocalIP | JSON の結果に存在する場合に返す |
| RSA_EDR_NetworkSegment | JSON の結果に存在する場合に返す |
| RSA_EDR_Gateway | JSON の結果に存在する場合に返す |
| RSA_EDR_RemoteIP | JSON の結果に存在する場合に返す |
| RSA_EDR_Group | JSON の結果に存在する場合に返す |
| RSA_EDR_AdminStatus | JSON の結果に存在する場合に返す |
| RSA_EDR_KernelDebuggerDetected | JSON の結果に存在する場合に返す |
| RSA_EDR_EarlyStart | JSON の結果に存在する場合に返す |
| RSA_EDR_NotifyShutdownModule | JSON の結果に存在する場合に返す |
| RSA_EDR_LoadedModuleModule | JSON の結果に存在する場合に返す |
| RSA_EDR_NotifyRoutineModule | JSON の結果に存在する場合に返す |
| RSA_EDR_UnloadedDriverModule | JSON の結果に存在する場合に返す |
| RSA_EDR_ErrorLogModule | JSON の結果に存在する場合に返す |
| RSA_EDR_LowLevelReaderModule | JSON の結果に存在する場合に返す |
| RSA_EDR_ProcessModule | JSON の結果に存在する場合に返す |
| RSA_EDR_WorkerThreadModule | JSON の結果に存在する場合に返す |
| RSA_EDR_WindowsHooksModule | JSON の結果に存在する場合に返す |
| RSA_EDR_DebuggerAttachedToProcess | JSON の結果に存在する場合に返す |
| RSA_EDR_ProcessMonitorModule | JSON の結果に存在する場合に返す |
| RSA_EDR_ThreadMonitorModule | JSON の結果に存在する場合に返す |
| RSA_EDR_ObjectMonitorModule | JSON の結果に存在する場合に返す |
| RSA_EDR_ImageMonitorModule | JSON の結果に存在する場合に返す |
| RSA_EDR_DriverMonitorModule | JSON の結果に存在する場合に返す |
| RSA_EDR_TdiMonitorModule | JSON の結果に存在する場合に返す |
| RSA_EDR_TrackingModule | JSON の結果に存在する場合に返す |
| RSA_EDR_TrackingRegistryMonitor | JSON の結果に存在する場合に返す |
| RSA_EDR_TrackingObjectMonitor | JSON の結果に存在する場合に返す |
| RSA_EDR_TrackingFileMonitor | JSON の結果に存在する場合に返す |
| RSA_EDR_TrackingRemoteThreadMonitor | JSON の結果に存在する場合に返す |
| RSA_EDR_TrackingCreateProcessMonitor | JSON の結果に存在する場合に返す |
| RSA_EDR_TrackingHardLinkMonitor | JSON の結果に存在する場合に返す |
| RSA_EDR_TrackingFileBlockMonitor | JSON の結果に存在する場合に返す |
| RSA_EDR_TrackingNetworkMonitor | JSON の結果に存在する場合に返す |
| RSA_EDR_ECATServerName | JSON の結果に存在する場合に返す |
| RSA_EDR_Online | JSON の結果に存在する場合に返す |
| RSA_EDR_IIOCScore | JSON の結果に存在する場合に返す |
| RSA_EDR_ChassisType | JSON の結果に存在する場合に返す |
| RSA_EDR_ContainmentSupported | JSON の結果に存在する場合に返す |
| RSA_EDR_AgentID | JSON の結果に存在する場合に返す |
| RSA_EDR_BIOS | JSON の結果に存在する場合に返す |
| RSA_EDR_OSBuildNumber | JSON の結果に存在する場合に返す |
| RSA_EDR_Comment | JSON の結果に存在する場合に返す |
| RSA_EDR_ConnectionTime | JSON の結果に存在する場合に返す |
| RSA_EDR_Language | JSON の結果に存在する場合に返す |
| RSA_EDR_DNS | JSON の結果に存在する場合に返す |
| RSA_EDR_DomainRole | JSON の結果に存在する場合に返す |
| RSA_EDR_ECATServiceCompileTime | JSON の結果に存在する場合に返す |
| RSA_EDR_ECATPackageTime | JSON の結果に存在する場合に返す |
| RSA_EDR_StartTime | JSON の結果に存在する場合に返す |
| RSA_EDR_ECATDriverCompileTime | JSON の結果に存在する場合に返す |
| RSA_EDR_DomainName | JSON の結果に存在する場合に返す |
| RSA_EDR_Idle | JSON の結果に存在する場合に返す |
| RSA_EDR_IncludedinMonitoring | JSON の結果に存在する場合に返す |
| RSA_EDR_IncludedinScanSchedule | JSON の結果に存在する場合に返す |
| RSA_EDR_InstallationFailed | JSON の結果に存在する場合に返す |
| RSA_EDR_InstallTime | JSON の結果に存在する場合に返す |
| RSA_EDR_IIOCLevel0 | JSON の結果に存在する場合に返す |
| RSA_EDR_IIOCLevel1 | JSON の結果に存在する場合に返す |
| RSA_EDR_IIOCLevel2 | JSON の結果に存在する場合に返す |
| RSA_EDR_IIOCLevel3 | JSON の結果に存在する場合に返す |
| RSA_EDR_Country | JSON の結果に存在する場合に返す |
| RSA_EDR_BootTime | JSON の結果に存在する場合に返す |
| RSA_EDR_LastScan | JSON の結果に存在する場合に返す |
| RSA_EDR_LastSeen | JSON の結果に存在する場合に返す |
| RSA_EDR_MAC | JSON の結果に存在する場合に返す |
| RSA_EDR_MachineID | JSON の結果に存在する場合に返す |
| RSA_EDR_MachineName | JSON の結果に存在する場合に返す |
| RSA_EDR_AllowAccessDataSourceDomain | JSON の結果に存在する場合に返す |
| RSA_EDR_AllowDisplayMixedContent | JSON の結果に存在する場合に返す |
| RSA_EDR_AntiVirusDisabled | JSON の結果に存在する場合に返す |
| RSA_EDR_BadCertificateWarningDisabled | JSON の結果に存在する場合に返す |
| RSA_EDR_CookiesCleanupDisabled | JSON の結果に存在する場合に返す |
| RSA_EDR_CrosssiteScriptFilterDisabled | JSON の結果に存在する場合に返す |
| RSA_EDR_FirewallDisabled | JSON の結果に存在する場合に返す |
| RSA_EDR_IEDepDisabled | JSON の結果に存在する場合に返す |
| RSA_EDR_IEEnhancedSecurityDisabled | JSON の結果に存在する場合に返す |
| RSA_EDR_IntranetZoneNotificationDisabled | JSON の結果に存在する場合に返す |
| RSA_EDR_LUADisabled | JSON の結果に存在する場合に返す |
| RSA_EDR_NoAntivirusNotificationDisabled | JSON の結果に存在する場合に返す |
| RSA_EDR_NoFirewallNotificationDisabled | JSON の結果に存在する場合に返す |
| RSA_EDR_NoUACNotificationDisabled | JSON の結果に存在する場合に返す |
| RSA_EDR_NoWindowsUpdateDisabled | JSON の結果に存在する場合に返す |
| RSA_EDR_RegistryToolsDisabled | JSON の結果に存在する場合に返す |
| RSA_EDR_SmartscreenFilterDisabled | JSON の結果に存在する場合に返す |
| RSA_EDR_SystemRestoreDisabled | JSON の結果に存在する場合に返す |
| RSA_EDR_TaskManagerDisabled | JSON の結果に存在する場合に返す |
| RSA_EDR_UACDisabled | JSON の結果に存在する場合に返す |
| RSA_EDR_WarningOnZoneCrossingDisabled | JSON の結果に存在する場合に返す |
| RSA_EDR_WarningPostRedirectionDisabled | JSON の結果に存在する場合に返す |
| RSA_EDR_Manufacturer | JSON の結果に存在する場合に返す |
| RSA_EDR_Model | JSON の結果に存在する場合に返す |
| RSA_EDR_NetworkAdapterPromiscModel | JSON の結果に存在する場合に返す |
| RSA_EDR_OperatingSystem | JSON の結果に存在する場合に返す |
| RSA_EDR_ProcessorArchitecture | JSON の結果に存在する場合に返す |
| RSA_EDR_ProcessorCount | JSON の結果に存在する場合に返す |
| RSA_EDR_Platform | JSON の結果に存在する場合に返す |
| RSA_EDR_ProcessorIs32bits | JSON の結果に存在する場合に返す |
| RSA_EDR_Processoris64 | JSON の結果に存在する場合に返す |
| RSA_EDR_ProcessorName | JSON の結果に存在する場合に返す |
| RSA_EDR_Scanning | JSON の結果に存在する場合に返す |
| RSA_EDR_ScanStartTime | JSON の結果に存在する場合に返す |
| RSA_EDR_Serial | JSON の結果に存在する場合に返す |
| RSA_EDR_TimeZone | JSON の結果に存在する場合に返す |
| RSA_EDR_TotalPhysicalMemory | JSON の結果に存在する場合に返す |
| RSA_EDR_HTTPSFallbackMode | JSON の結果に存在する場合に返す |
| RSA_EDR_BlockingActive | JSON の結果に存在する場合に返す |
| RSA_EDR_RoamingAgentsRelaySystemActive | JSON の結果に存在する場合に返す |
| RSA_EDR_UserID | JSON の結果に存在する場合に返す |
| RSA_EDR_WindowsDirectory | JSON の結果に存在する場合に返す |
| RSA_EDR_NetWitnessInvestigate | JSON の結果に存在する場合に返す |
| RSA_EDR_ContainmentStatus | JSON の結果に存在する場合に返す |
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"Machine": {
"DriverErrorCode": "0xe0010014",
"ServicePackOS": "0",
"MachineStatus": "Offline-DriverError",
"Type": "Windows",
"VersionInfo": "4.4.0.0",
"UserName": "",
"OrganizationUnit": "",
"LocalIP": "172.30.203.155",
"NetworkSegment": "172.30.203.0",
"Gateway": "172.30.203.1",
"RemoteIP": "172.30.203.155",
"Group": "Default",
"AdminStatus": "",
"KernelDebuggerDetected": "False",
"EarlyStart": "False",
"NotifyShutdownModule": "False",
"LoadedModuleModule": "False",
"NotifyRoutineModule": "False",
"UnloadedDriverModule": "False",
"ErrorLogModule": "False",
"LowLevelReaderModule": "False",
"ProcessModule": "False",
"WorkerThreadModule": "False",
"WindowsHooksModule": "False",
"DebuggerAttachedToProcess": "False",
"ProcessMonitorModule": "False",
"ThreadMonitorModule": "False",
"ObjectMonitorModule": "False",
"ImageMonitorModule": "False",
"DriverMonitorModule": "False",
"TdiMonitorModule": "False",
"TrackingModule": "False",
"TrackingRegistryMonitor": "False",
"TrackingObjectMonitor": "False",
"TrackingFileMonitor": "False",
"TrackingRemoteThreadMonitor": "False",
"TrackingCreateProcessMonitor": "False",
"TrackingHardLinkMonitor": "False",
"TrackingFileBlockMonitor": "False",
"TrackingNetworkMonitor": "False",
"ECATServerName": "RSA-EDR",
"Online": "False",
"IIOCScore": "39",
"ChassisType": "Other",
"ContainmentSupported": "False",
"AgentID": "d96de745-c39b-b513-420d-598952bd463e",
"BIOS": "Phoenix Technologies LTD - 6.00 - PhoenixBIOS 4.0 Release 6.0",
"OSBuildNumber": "18363",
"Comment": "",
"ConnectionTime": "7/31/2020 9:01:11 AM",
"Language": "en-US",
"DNS": "172.30.202.237",
"DomainRole": "Member Workstation",
"ECATServiceCompileTime": "9/15/2017 10:26:23 PM",
"ECATPackageTime": "6/26/2020 6:39:59 AM",
"StartTime": "6/29/2020 11:56:36 AM",
"ECATDriverCompileTime": "9/15/2017 10:20:48 PM",
"DomainName": "ecat.local",
"Idle": "False",
"IncludedinMonitoring": "True",
"IncludedinScanSchedule": "True",
"InstallationFailed": "False",
"InstallTime": "6/26/2020 6:42:20 AM",
"IIOCLevel0": "0",
"IIOCLevel1": "0",
"IIOCLevel2": "4",
"IIOCLevel3": "9",
"Country": "USA",
"BootTime": "6/29/2020 11:56:31 AM",
"LastScan": "6/26/2020 6:47:54 AM",
"LastSeen": "7/31/2020 9:31:12 AM",
"MAC": "00:50:56:A2:10:9E",
"MachineID": "422518b6-54d8-4814-b5d7-02b043ca0103",
"MachineName": "RSA-HOST02",
"AllowAccessDataSourceDomain": "False",
"AllowDisplayMixedContent": "False",
"AntiVirusDisabled": "False",
"BadCertificateWarningDisabled": "False",
"CookiesCleanupDisabled": "False",
"CrosssiteScriptFilterDisabled": "False",
"FirewallDisabled": "False",
"IEDepDisabled": "False",
"IEEnhancedSecurityDisabled": "False",
"IntranetZoneNotificationDisabled": "False",
"LUADisabled": "False",
"NoAntivirusNotificationDisabled": "False",
"NoFirewallNotificationDisabled": "False",
"NoUACNotificationDisabled": "False",
"NoWindowsUpdateDisabled": "False",
"RegistryToolsDisabled": "False",
"SmartscreenFilterDisabled": "False",
"SystemRestoreDisabled": "False",
"TaskManagerDisabled": "False",
"UACDisabled": "False",
"WarningOnZoneCrossingDisabled": "False",
"WarningPostRedirectionDisabled": "False",
"Manufacturer": "VMware, Inc.",
"Model": "VMware Virtual Platform",
"NetworkAdapterPromiscMode": "False",
"OperatingSystem": "Microsoft Windows 10 Enterprise Evaluation",
"ProcessorArchitecture": "x64",
"ProcessorCount": "2",
"Platform": "64-bit (x64)",
"ProcessorIs32bits": "False",
"Processoris64": "True",
"ProcessorName": "Intel(R) Xeon(R) CPU E5-2698 v3 @ 2.30GHz",
"Scanning": "False",
"ScanStartTime": "7/31/2020 9:07:58 AM",
"Serial": "VMware-42 22 a8 f8 6a 01 41 ca-12 10 80 75 56 bf 21 4b",
"TimeZone": "Pacific Standard Time",
"TotalPhysicalMemory": "4294430720",
"HTTPSFallbackMode": "False",
"BlockingActive": "True",
"RoamingAgentsRelaySystemActive": "True",
"UserID": "00000000-0000-0000-0000-000000000000",
"WindowsDirectory": "C:\\Windows",
"NetWitnessInvestigate": "True",
"ContainmentStatus": "Not Contained"
},
"Iocs": [
{
"Alertable": "False",
"EvaluationDate": "6/26/2020 6:48:11 AM",
"IOCContext": "0",
"IOCTriggeredOnMachine": "True",
"BiasStatus": "Undefined",
"Active": "True",
"Description": "Likely packed",
"Type": "Module",
"IOCLevel": "2",
"LastExecuted": "7/31/2020 9:08:11 AM",
"Name": "Likely Packed.sql",
"Priority": "0",
"Query": "\r\n\r\nSELECT DISTINCT\r\n\t[mp].[FK_Machines] AS [FK_Machines],\r\n\t[mp].[PK_MachineModulePaths] AS [FK_MachineModulePaths] \r\nFROM\r\n\t[dbo].[MachineModulePaths] AS [mp] WITH(NOLOCK)\r\n\tINNER JOIN [dbo].[MachinesToEvaluate] AS [me] WITH(NOLOCK) ON ([me].[RK_Machines] = [mp].[FK_Machines])\r\n\tINNER JOIN [dbo].[Modules] AS [mo] WITH(NOLOCK) ON ([mo].[PK_Modules] = [mp].[FK_Modules])\r\nWHERE \r\n\t[mo].[ModulePacked] = 0 AND\r\n\t(\r\n\t\t[mo].[ModuleCodeSectionWritable] = 1 OR\r\n\t\t[mo].[ModuleDuplicateSectionName] = 1 OR\r\n\t\t[mo].[ModuleEmptySectionName] = 1\r\n\t) AND\r\n\t[mo].[Entropy] >= 6.8 AND\r\n\t[mp].[MarkedAsDeleted] = 0\r\n\r\n",
"MachineCount": "1",
"ModuleCount": "2"
}
]
}
ケースウォール
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、Playbook の実行が停止したりすることはありません。 成功し、指定されたエンティティの少なくとも 1 つが拡充された場合(is_success = true): 「Successfully enriched the following endpoints from RSA NetWitness EDR: \n {0}」と出力します。format(entity.identifier リスト) 特定のエンティティの拡充に失敗した場合(is_success = true): 「Action was not able to enrich the following endpoints from RSA NetWitness EDR \n: {0}」を出力します。format([entity.identifier]) すべてのエンティティの拡充に失敗した場合(is_success = false): 「拡充されたエンティティはありません」と出力します。 アクションが失敗し、Playbook の実行が停止します。 認証情報が誤っている、サーバーへの接続がないなど、致命的なエラーの場合: 「エンドポイントの拡充」アクションの実行中にエラーが発生しました。Reason: {0}''.format(error.Stacktrace) を出力します。 |
一般 |
| Case Wall テーブル | 「IOC 情報を含める」が True の場合 テーブル名: "{0} - IOCs".format(entity.identifier) テーブル列:
|
全般 |
IOC の詳細を取得する
説明
RSA NetWitness EDR の IOC に関する情報で Google SecOps エンティティを拡充します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| IOC レベルのしきい値 | DDL | 中 有効な値: 重大 高 中 低 |
はい | エンティティの IOC レベルのしきい値を指定します。エンティティがしきい値を超えると、関連するエンティティは不審としてマークされます。 |
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
エンティティ拡充
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| RSA_EDR_Active | JSON の結果に存在する場合に返す |
| RSA_EDR_Alertable | JSON の結果に存在する場合に返す |
| RSA_EDR_BlacklistedCount | JSON の結果に存在する場合に返す |
| RSA_EDR_GraylistedCount | JSON の結果に存在する場合に返す |
| RSA_EDR_Description | JSON の結果に存在する場合に返す |
| RSA_EDR_ErrorMessage | JSON の結果に存在する場合に返す |
| RSA_EDR_EvaluationMachineCount | JSON の結果に存在する場合に返す |
| RSA_EDR_Type | JSON の結果に存在する場合に返す |
| RSA_EDR_IOCLevel | JSON の結果に存在する場合に返す |
| RSA_EDR_LastEvaluationDuration | JSON の結果に存在する場合に返す |
| RSA_EDR_LastExecuted | JSON の結果に存在する場合に返す |
| RSA_EDR_MachineCount | JSON の結果に存在する場合に返す |
| RSA_EDR_ModuleCount | JSON の結果に存在する場合に返す |
| RSA_EDR_Name | JSON の結果に存在する場合に返す |
| RSA_EDR_Persistent | JSON の結果に存在する場合に返す |
| RSA_EDR_Priority | JSON の結果に存在する場合に返す |
| RSA_EDR_UserDefined | JSON の結果に存在する場合に返す |
| RSA_EDR_WhitelistedCount | JSON の結果に存在する場合に返す |
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"iocQuery": {
"Active": "True",
"Alertable": "False",
"BlacklistedCount": "0",
"GraylistedCount": "0",
"Description": "Autorun unsigned BHO",
"ErrorMessage": "",
"EvaluationMachineCount": "1",
"Type": "Windows",
"IOCLevel": "2",
"LastEvaluationDuration": "0",
"LastExecutionDuration": "0",
"LastExecuted": "7/31/2020 9:08:12 AM",
"MachineCount": "0",
"ModuleCount": "0",
"Name": "Autorun_Unsigned_BHO.sql",
"Persistent": "True",
"Priority": "5",
"Query": "\r\n\r\nSELECT DISTINCT\r\n\t[mp].[FK_Machines] AS [FK_Machines],\r\n\t[mp].[PK_MachineModulePaths] AS [FK_MachineModulePaths] \r\nFROM\r\n\t[dbo].[mocAutoruns] AS [ar] WITH(NOLOCK)\r\n\tINNER JOIN [dbo].[MachinesToEvaluate] AS [me] WITH(NOLOCK) ON ([me].[RK_Machines] = [ar].[FK_Machines])\r\n\tINNER JOIN [dbo].[Paths] AS [pa] WITH(NOLOCK) ON ([pa].[PK_Paths] = [ar].[FK_Paths__RegistryPath])\r\n\tINNER JOIN [dbo].[MachineModulePaths] AS [mp] WITH(NOLOCK) ON ([mp].[PK_MachineModulePaths] = [ar].[FK_MachineModulePaths] AND [mp].[FK_Machines] = [ar].[FK_Machines])\r\n\tINNER JOIN [dbo].[Modules] AS [mo] WITH(NOLOCK) ON ([mo].[PK_Modules] = [mp].[FK_Modules])\r\nWHERE \r\n\t[ar].[Type] = 5 AND\r\n\t[pa].[Path] LIKE N'%\\SOFTWARE%Microsoft\\Windows\\CurrentVersion\\Explorer\\Browser Helper Objects\\%' AND\r\n\t[mo].[ModuleSignaturePresent] = 0 AND\r\n\t[ar].[MarkedAsDeleted] = 0\r\n\r\n",
"UserDefined": "False",
"WhitelistedCount": "0"
}
}
ケースウォール
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行が停止したりすることはありません。 特定のエンティティの拡充に失敗した場合(is_success = true): すべてのエンティティの拡充に失敗した場合(is_success = false): アクションが失敗し、ハンドブックの実行が停止します。 認証情報が誤っている、サーバーへの接続がないなど、致命的なエラーの場合: 「エンティティの拡充」アクションの実行中にエラーが発生しました。理由: {0}」.format(error.Stacktrace) |
全般 |
IP をブラックリストに追加する
説明
RSA NetWitness EDR で IP を拒否リストに追加します。
パラメータ
なし
実行
このアクションは IP アドレス エンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"Ips": [
"10.0.0.2"
],
"ResponseStatus": {
"ErrorCode": "200",
"Message": "Some of the IPs could not be processed. The HTTP response body contains all successfully processed IPs"
}
}
ケースウォール
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行が停止したりすることはありません。 特定のエンティティの拡充に失敗した場合(is_success = true): すべてのエンティティの拡充に失敗した場合(is_success = false): アクションが失敗し、ハンドブックの実行が停止します。 認証情報が誤っている、サーバーへの接続がないなど、致命的なエラーの場合: 「アクション「IP をブラックリストに追加」の実行中にエラーが発生しました。」と出力します。理由: {0}」.format(error.Stacktrace) |
全般 |
URL をブラックリストに追加
説明
RSA NetWitness EDR で URL をブラックリストに追加します。
実行
このアクションは URL エンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"Domains": [
"фів"
]
}
ケースウォール
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行が停止したりすることはありません。 特定のエンティティの拡充に失敗した場合(is_success = true): すべてのエンティティで拡充に失敗した場合(is_success = false): アクションが失敗し、ハンドブックの実行が停止します。 認証情報が誤っている、サーバーへの接続がないなど、致命的なエラーの場合: Print "Error executing action "Add URL To Blacklist". 理由: {0}」.format(error.Stacktrace) |
全般 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。