RSA NetWitness EDR
통합 버전: 4.0
사용 사례
- 보강 작업 실행 - RSA NetWitness에서 데이터를 가져와 Google Security Operations 알림의 데이터를 보강합니다.
- 수정 작업 실행 - IP/URL을 차단 목록에 추가
Google SecOps에서 RSA NetWitness EDR 통합 구성
Google SecOps에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.
통합 매개변수
다음 매개변수를 사용하여 통합을 구성합니다.
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 인스턴스 이름 | 문자열 | 해당 사항 없음 | No | 통합을 구성할 인스턴스의 이름입니다. |
| 설명 | 문자열 | 해당 사항 없음 | No | 인스턴스에 대한 설명입니다. |
| API 루트 | 문자열 | https:// |
예 | RSA NetWitness EDR 인스턴스의 API 루트입니다. |
| 사용자 이름 | 문자열 | 해당 사항 없음 | 예 | RSA NetWitness EDR 계정의 사용자 이름입니다. |
| 비밀번호 | 비밀번호 | 해당 사항 없음 | 예 | RSA NetWitness EDR 계정의 비밀번호입니다. |
| SSL 확인 | 체크박스 | 선택 | 아니요 | 사용 설정하면 RSA NetWitness EDR 서버 연결에 사용되는 SSL 인증서가 유효한지 확인합니다. |
| 원격 실행 | 체크박스 | 선택 해제 | No | 구성된 통합을 원격으로 실행하려면 필드를 선택합니다. 선택하면 원격 사용자(에이전트)를 선택하는 옵션이 나타납니다. |
작업
핑
설명
Google Security Operations Marketplace 탭의 통합 구성 페이지에서 제공된 매개변수를 사용하여 RSA NetWitness EDR에 대한 연결을 테스트합니다.
실행
이 작업은 항목에서 실행되지 않거나 필수 입력 매개변수가 없습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하지 않거나 플레이북 실행을 중지하지 않아야 합니다. 성공한 경우: '제공된 연결 매개변수를 사용하여 RSA NetWitness EDR 서버에 성공적으로 연결되었습니다.' 출력 작업이 실패하고 플레이북 실행을 중지해야 합니다. 실패한 경우: 'RSA NetWitness EDR 서버에 연결할 수 없습니다.'가 출력됩니다. 오류: {0}".format(exception.stacktrace) |
일반 |
엔드포인트 보강
설명
호스트 이름 또는 IP 주소로 엔드포인트의 시스템 정보를 가져옵니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| IIOC 점수 기준점 | 정수 | 50 | 아니요 | 엔드포인트의 IIOC 점수 기준점을 지정합니다. 엔드포인트가 임계값을 초과하면 관련 항목이 의심스러운 것으로 표시됩니다. 아무것도 지정하지 않으면 작업에서 IIOC 점수를 확인하지 않습니다. |
| IOC 정보 포함 | 체크박스 | 선택 해제 | 아니요 | 사용 설정하면 작업에서 엔드포인트와 연결된 IOC에 관한 정보를 가져옵니다. |
| 반환할 최대 IOC 수 | 정수 | 50 | 아니요 | 반환할 IOC 수를 지정합니다. 최댓값은 50입니다. 이는 RSA NetWitness EDR 제한사항입니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- IP 주소
- 호스트
작업 결과
항목 보강
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| RSA_EDR_DriverErrorCode | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_ServicePackOS | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_MachineStatus | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_Type | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_VersionInfo | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_UserName | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_OrganizationUnit | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_LocalIP | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_NetworkSegment | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_Gateway | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_RemoteIP | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_Group | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_AdminStatus | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_KernelDebuggerDetected | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_EarlyStart | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_NotifyShutdownModule | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_LoadedModuleModule | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_NotifyRoutineModule | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_UnloadedDriverModule | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_ErrorLogModule | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_LowLevelReaderModule | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_ProcessModule | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_WorkerThreadModule | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_WindowsHooksModule | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_DebuggerAttachedToProcess | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_ProcessMonitorModule | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_ThreadMonitorModule | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_ObjectMonitorModule | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_ImageMonitorModule | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_DriverMonitorModule | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_TdiMonitorModule | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_TrackingModule | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_TrackingRegistryMonitor | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_TrackingObjectMonitor | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_TrackingFileMonitor | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_TrackingRemoteThreadMonitor | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_TrackingCreateProcessMonitor | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_TrackingHardLinkMonitor | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_TrackingFileBlockMonitor | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_TrackingNetworkMonitor | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_ECATServerName | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_Online | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_IIOCScore | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_ChassisType | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_ContainmentSupported | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_AgentID | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_BIOS | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_OSBuildNumber | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_Comment | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_ConnectionTime | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_Language | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_DNS | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_DomainRole | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_ECATServiceCompileTime | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_ECATPackageTime | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_StartTime | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_ECATDriverCompileTime | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_DomainName | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_Idle | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_IncludedinMonitoring | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_IncludedinScanSchedule | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_InstallationFailed | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_InstallTime | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_IIOCLevel0 | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_IIOCLevel1 | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_IIOCLevel2 | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_IIOCLevel3 | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_Country | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_BootTime | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_LastScan | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_LastSeen | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_MAC | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_MachineID | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_MachineName | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_AllowAccessDataSourceDomain | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_AllowDisplayMixedContent | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_AntiVirusDisabled | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_BadCertificateWarningDisabled | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_CookiesCleanupDisabled | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_CrosssiteScriptFilterDisabled | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_FirewallDisabled | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_IEDepDisabled | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_IEEnhancedSecurityDisabled | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_IntranetZoneNotificationDisabled | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_LUADisabled | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_NoAntivirusNotificationDisabled | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_NoFirewallNotificationDisabled | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_NoUACNotificationDisabled | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_NoWindowsUpdateDisabled | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_RegistryToolsDisabled | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_SmartscreenFilterDisabled | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_SystemRestoreDisabled | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_TaskManagerDisabled | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_UACDisabled | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_WarningOnZoneCrossingDisabled | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_WarningPostRedirectionDisabled | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_Manufacturer | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_Model | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_NetworkAdapterPromiscModel | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_OperatingSystem | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_ProcessorArchitecture | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_ProcessorCount | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_Platform | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_ProcessorIs32bits | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_Processoris64 | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_ProcessorName | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_Scanning | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_ScanStartTime | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_Serial | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_TimeZone | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_TotalPhysicalMemory | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_HTTPSFallbackMode | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_BlockingActive | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_RoamingAgentsRelaySystemActive | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_UserID | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_WindowsDirectory | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_NetWitnessInvestigate | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_ContainmentStatus | JSON 결과에 존재하는 경우에 반환 |
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"Machine": {
"DriverErrorCode": "0xe0010014",
"ServicePackOS": "0",
"MachineStatus": "Offline-DriverError",
"Type": "Windows",
"VersionInfo": "4.4.0.0",
"UserName": "",
"OrganizationUnit": "",
"LocalIP": "172.30.203.155",
"NetworkSegment": "172.30.203.0",
"Gateway": "172.30.203.1",
"RemoteIP": "172.30.203.155",
"Group": "Default",
"AdminStatus": "",
"KernelDebuggerDetected": "False",
"EarlyStart": "False",
"NotifyShutdownModule": "False",
"LoadedModuleModule": "False",
"NotifyRoutineModule": "False",
"UnloadedDriverModule": "False",
"ErrorLogModule": "False",
"LowLevelReaderModule": "False",
"ProcessModule": "False",
"WorkerThreadModule": "False",
"WindowsHooksModule": "False",
"DebuggerAttachedToProcess": "False",
"ProcessMonitorModule": "False",
"ThreadMonitorModule": "False",
"ObjectMonitorModule": "False",
"ImageMonitorModule": "False",
"DriverMonitorModule": "False",
"TdiMonitorModule": "False",
"TrackingModule": "False",
"TrackingRegistryMonitor": "False",
"TrackingObjectMonitor": "False",
"TrackingFileMonitor": "False",
"TrackingRemoteThreadMonitor": "False",
"TrackingCreateProcessMonitor": "False",
"TrackingHardLinkMonitor": "False",
"TrackingFileBlockMonitor": "False",
"TrackingNetworkMonitor": "False",
"ECATServerName": "RSA-EDR",
"Online": "False",
"IIOCScore": "39",
"ChassisType": "Other",
"ContainmentSupported": "False",
"AgentID": "d96de745-c39b-b513-420d-598952bd463e",
"BIOS": "Phoenix Technologies LTD - 6.00 - PhoenixBIOS 4.0 Release 6.0",
"OSBuildNumber": "18363",
"Comment": "",
"ConnectionTime": "7/31/2020 9:01:11 AM",
"Language": "en-US",
"DNS": "172.30.202.237",
"DomainRole": "Member Workstation",
"ECATServiceCompileTime": "9/15/2017 10:26:23 PM",
"ECATPackageTime": "6/26/2020 6:39:59 AM",
"StartTime": "6/29/2020 11:56:36 AM",
"ECATDriverCompileTime": "9/15/2017 10:20:48 PM",
"DomainName": "ecat.local",
"Idle": "False",
"IncludedinMonitoring": "True",
"IncludedinScanSchedule": "True",
"InstallationFailed": "False",
"InstallTime": "6/26/2020 6:42:20 AM",
"IIOCLevel0": "0",
"IIOCLevel1": "0",
"IIOCLevel2": "4",
"IIOCLevel3": "9",
"Country": "USA",
"BootTime": "6/29/2020 11:56:31 AM",
"LastScan": "6/26/2020 6:47:54 AM",
"LastSeen": "7/31/2020 9:31:12 AM",
"MAC": "00:50:56:A2:10:9E",
"MachineID": "422518b6-54d8-4814-b5d7-02b043ca0103",
"MachineName": "RSA-HOST02",
"AllowAccessDataSourceDomain": "False",
"AllowDisplayMixedContent": "False",
"AntiVirusDisabled": "False",
"BadCertificateWarningDisabled": "False",
"CookiesCleanupDisabled": "False",
"CrosssiteScriptFilterDisabled": "False",
"FirewallDisabled": "False",
"IEDepDisabled": "False",
"IEEnhancedSecurityDisabled": "False",
"IntranetZoneNotificationDisabled": "False",
"LUADisabled": "False",
"NoAntivirusNotificationDisabled": "False",
"NoFirewallNotificationDisabled": "False",
"NoUACNotificationDisabled": "False",
"NoWindowsUpdateDisabled": "False",
"RegistryToolsDisabled": "False",
"SmartscreenFilterDisabled": "False",
"SystemRestoreDisabled": "False",
"TaskManagerDisabled": "False",
"UACDisabled": "False",
"WarningOnZoneCrossingDisabled": "False",
"WarningPostRedirectionDisabled": "False",
"Manufacturer": "VMware, Inc.",
"Model": "VMware Virtual Platform",
"NetworkAdapterPromiscMode": "False",
"OperatingSystem": "Microsoft Windows 10 Enterprise Evaluation",
"ProcessorArchitecture": "x64",
"ProcessorCount": "2",
"Platform": "64-bit (x64)",
"ProcessorIs32bits": "False",
"Processoris64": "True",
"ProcessorName": "Intel(R) Xeon(R) CPU E5-2698 v3 @ 2.30GHz",
"Scanning": "False",
"ScanStartTime": "7/31/2020 9:07:58 AM",
"Serial": "VMware-42 22 a8 f8 6a 01 41 ca-12 10 80 75 56 bf 21 4b",
"TimeZone": "Pacific Standard Time",
"TotalPhysicalMemory": "4294430720",
"HTTPSFallbackMode": "False",
"BlockingActive": "True",
"RoamingAgentsRelaySystemActive": "True",
"UserID": "00000000-0000-0000-0000-000000000000",
"WindowsDirectory": "C:\\Windows",
"NetWitnessInvestigate": "True",
"ContainmentStatus": "Not Contained"
},
"Iocs": [
{
"Alertable": "False",
"EvaluationDate": "6/26/2020 6:48:11 AM",
"IOCContext": "0",
"IOCTriggeredOnMachine": "True",
"BiasStatus": "Undefined",
"Active": "True",
"Description": "Likely packed",
"Type": "Module",
"IOCLevel": "2",
"LastExecuted": "7/31/2020 9:08:11 AM",
"Name": "Likely Packed.sql",
"Priority": "0",
"Query": "\r\n\r\nSELECT DISTINCT\r\n\t[mp].[FK_Machines] AS [FK_Machines],\r\n\t[mp].[PK_MachineModulePaths] AS [FK_MachineModulePaths] \r\nFROM\r\n\t[dbo].[MachineModulePaths] AS [mp] WITH(NOLOCK)\r\n\tINNER JOIN [dbo].[MachinesToEvaluate] AS [me] WITH(NOLOCK) ON ([me].[RK_Machines] = [mp].[FK_Machines])\r\n\tINNER JOIN [dbo].[Modules] AS [mo] WITH(NOLOCK) ON ([mo].[PK_Modules] = [mp].[FK_Modules])\r\nWHERE \r\n\t[mo].[ModulePacked] = 0 AND\r\n\t(\r\n\t\t[mo].[ModuleCodeSectionWritable] = 1 OR\r\n\t\t[mo].[ModuleDuplicateSectionName] = 1 OR\r\n\t\t[mo].[ModuleEmptySectionName] = 1\r\n\t) AND\r\n\t[mo].[Entropy] >= 6.8 AND\r\n\t[mp].[MarkedAsDeleted] = 0\r\n\r\n",
"MachineCount": "1",
"ModuleCount": "2"
}
]
}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하지 않거나 플레이북 실행을 중지하지 않아야 합니다. 성공하고 제공된 항목 중 하나 이상이 보강된 경우 (is_success = true): 'RSA NetWitness EDR에서 다음 엔드포인트를 보강했습니다. \n {0}'.format(entity.identifier list)를 출력합니다. 특정 항목을 보강하지 못한 경우(is_success = true): '작업이 RSA NetWitness EDR에서 다음 엔드포인트를 보강할 수 없습니다.\n: {0}'.format([entity.identifier])를 출력합니다. 모든 항목을 보강하지 못한 경우 (is_success = false): '보강된 항목이 없습니다' 출력 작업이 실패하고 플레이북 실행을 중지해야 합니다. 잘못된 사용자 인증 정보, 서버 연결 없음 등 치명적인 오류인 경우: '엔드포인트 보강' 작업 실행 중에 오류가 발생했습니다.'가 출력됩니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
| 케이스 월 테이블 | 'IOC 정보 포함' == True인 경우 표 이름: '{0} - IOC'.format(entity.identifier) 표 열:
|
일반 |
IOC 세부정보 가져오기
설명
RSA NetWitness EDR의 IOC에 관한 정보로 Google SecOps 항목을 보강합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| IOC 수준 기준점 | DDL | 보통 가능한 값은 다음과 같습니다. 심각 높음 보통 낮음 |
예 | 엔티티의 IOC 수준 기준을 지정합니다. 엔티티가 임곗값을 초과하면 관련 엔티티가 의심스러운 것으로 표시됩니다. |
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
항목 보강
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| RSA_EDR_Active | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_Alertable | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_BlacklistedCount | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_GraylistedCount | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_Description | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_ErrorMessage | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_EvaluationMachineCount | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_Type | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_IOCLevel | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_LastEvaluationDuration | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_LastExecuted | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_MachineCount | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_ModuleCount | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_Name | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_Persistent | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_Priority | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_UserDefined | JSON 결과에 존재하는 경우에 반환 |
| RSA_EDR_WhitelistedCount | JSON 결과에 존재하는 경우에 반환 |
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"iocQuery": {
"Active": "True",
"Alertable": "False",
"BlacklistedCount": "0",
"GraylistedCount": "0",
"Description": "Autorun unsigned BHO",
"ErrorMessage": "",
"EvaluationMachineCount": "1",
"Type": "Windows",
"IOCLevel": "2",
"LastEvaluationDuration": "0",
"LastExecutionDuration": "0",
"LastExecuted": "7/31/2020 9:08:12 AM",
"MachineCount": "0",
"ModuleCount": "0",
"Name": "Autorun_Unsigned_BHO.sql",
"Persistent": "True",
"Priority": "5",
"Query": "\r\n\r\nSELECT DISTINCT\r\n\t[mp].[FK_Machines] AS [FK_Machines],\r\n\t[mp].[PK_MachineModulePaths] AS [FK_MachineModulePaths] \r\nFROM\r\n\t[dbo].[mocAutoruns] AS [ar] WITH(NOLOCK)\r\n\tINNER JOIN [dbo].[MachinesToEvaluate] AS [me] WITH(NOLOCK) ON ([me].[RK_Machines] = [ar].[FK_Machines])\r\n\tINNER JOIN [dbo].[Paths] AS [pa] WITH(NOLOCK) ON ([pa].[PK_Paths] = [ar].[FK_Paths__RegistryPath])\r\n\tINNER JOIN [dbo].[MachineModulePaths] AS [mp] WITH(NOLOCK) ON ([mp].[PK_MachineModulePaths] = [ar].[FK_MachineModulePaths] AND [mp].[FK_Machines] = [ar].[FK_Machines])\r\n\tINNER JOIN [dbo].[Modules] AS [mo] WITH(NOLOCK) ON ([mo].[PK_Modules] = [mp].[FK_Modules])\r\nWHERE \r\n\t[ar].[Type] = 5 AND\r\n\t[pa].[Path] LIKE N'%\\SOFTWARE%Microsoft\\Windows\\CurrentVersion\\Explorer\\Browser Helper Objects\\%' AND\r\n\t[mo].[ModuleSignaturePresent] = 0 AND\r\n\t[ar].[MarkedAsDeleted] = 0\r\n\r\n",
"UserDefined": "False",
"WhitelistedCount": "0"
}
}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하지 않거나 플레이북 실행을 중지하지 않아야 합니다. 특정 항목을 보강하지 못한 경우(is_success = true): 모든 항목을 보강할 수 없는 경우 (is_success = false): 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류의 경우: '항목 보강' 작업을 실행하는 동안 오류가 발생했습니다.'가 출력됩니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
차단 목록에 IP 추가
설명
RSA NetWitness EDR에서 IP를 차단 목록에 추가합니다.
매개변수
해당 사항 없음
실행
이 작업은 IP 주소 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"Ips": [
"10.0.0.2"
],
"ResponseStatus": {
"ErrorCode": "200",
"Message": "Some of the IPs could not be processed. The HTTP response body contains all successfully processed IPs"
}
}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않아야 합니다. 특정 항목을 보강할 수 없는 경우(is_success = true): 모든 항목을 보강할 수 없는 경우 (is_success = false): 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류의 경우: '블랙리스트에 IP 추가' 작업을 실행하는 동안 오류가 발생했습니다.'가 출력됩니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
차단 목록에 URL 추가
설명
RSA NetWitness EDR에서 URL을 차단 목록에 추가합니다.
실행
이 작업은 URL 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"Domains": [
"фів"
]
}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하지 않거나 플레이북 실행을 중지하지 않아야 합니다. 특정 항목을 보강할 수 없는 경우(is_success = true): 모든 항목을 보강할 수 없는 경우 (is_success = false): 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류의 경우: '블랙리스트에 URL 추가' 작업을 실행하는 동안 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.