RSA NetWitness EDR
Versão da integração: 4.0
Casos de uso
- Realizar ações de enriquecimento: receba dados do RSA NetWitness para enriquecer os alertas do Google Security Operations.
- Realize ações de correção: adicione IPs/URLs a listas de bloqueio.
Configurar a integração do RSA NetWitness EDR no Google SecOps
Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da instância | String | N/A | Não | Nome da instância em que você pretende configurar a integração. |
| Descrição | String | N/A | Não | Descrição da instância. |
| Raiz da API | String | https:// |
Sim | Raiz da API da instância do RSA NetWitness EDR. |
| Nome de usuário | String | N/A | Sim | Nome de usuário da conta do RSA NetWitness EDR. |
| Senha | Senha | N/A | Sim | A senha da conta do RSA NetWitness EDR. |
| Verificar SSL | Caixa de seleção | Selecionado | Não | Se ativada, verifica se o certificado SSL da conexão com o servidor RSA NetWitness EDR é válido. |
| Executar remotamente | Caixa de seleção | Desmarcado | Não | Marque a caixa para executar a integração configurada remotamente. Depois de marcada, a opção aparece para selecionar o usuário remoto (agente). |
Ações
Ping
Descrição
Teste a conectividade com o RSA NetWitness EDR usando os parâmetros fornecidos na página de configuração da integração na guia "Marketplace" do Google Security Operations.
Executar em
Essa ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se a operação for concluída: Imprima "Conexão bem-sucedida com o servidor RSA NetWitness EDR usando os parâmetros de conexão fornecidos!" A ação precisa falhar e interromper a execução de um playbook: Se não for concluída: Imprima "Não foi possível se conectar ao servidor RSA NetWitness EDR! O erro é {0}".format(exception.stacktrace) |
Geral |
Endpoint de enriquecimento
Descrição
Extrai as informações do sistema do endpoint pelo nome do host ou endereço IP.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Limite de pontuação do IIOC | Número inteiro | 50 | Não | Especifique o limite de pontuação de IIOC para o endpoint. Se o endpoint exceder o limite, a entidade relacionada será marcada como suspeita. Se nada for especificado, a ação não vai verificar a pontuação de IIOC. |
| Incluir informações de IOC | Caixa de seleção | Desmarcado | Não | Se ativada, a ação vai buscar informações sobre os IOCs associados ao endpoint. |
| Número máximo de IOCs a serem retornados | Número inteiro | 50 | Não | Especifique quantos IOCs retornar. O máximo é 50. Essa é uma limitação do RSA NetWitness EDR. |
Executar em
Essa ação é executada nas seguintes entidades:
- Endereço IP
- Host
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| RSA_EDR_DriverErrorCode | Retorna se ele existe no resultado JSON |
| RSA_EDR_ServicePackOS | Retorna se ele existe no resultado JSON |
| RSA_EDR_MachineStatus | Retorna se ele existe no resultado JSON |
| RSA_EDR_Type | Retorna se ele existe no resultado JSON |
| RSA_EDR_VersionInfo | Retorna se ele existe no resultado JSON |
| RSA_EDR_UserName | Retorna se ele existe no resultado JSON |
| RSA_EDR_OrganizationUnit | Retorna se ele existe no resultado JSON |
| RSA_EDR_LocalIP | Retorna se ele existe no resultado JSON |
| RSA_EDR_NetworkSegment | Retorna se ele existe no resultado JSON |
| RSA_EDR_Gateway | Retorna se ele existe no resultado JSON |
| RSA_EDR_RemoteIP | Retorna se ele existe no resultado JSON |
| RSA_EDR_Group | Retorna se ele existe no resultado JSON |
| RSA_EDR_AdminStatus | Retorna se ele existe no resultado JSON |
| RSA_EDR_KernelDebuggerDetected | Retorna se ele existe no resultado JSON |
| RSA_EDR_EarlyStart | Retorna se ele existe no resultado JSON |
| RSA_EDR_NotifyShutdownModule | Retorna se ele existe no resultado JSON |
| RSA_EDR_LoadedModuleModule | Retorna se ele existe no resultado JSON |
| RSA_EDR_NotifyRoutineModule | Retorna se ele existe no resultado JSON |
| RSA_EDR_UnloadedDriverModule | Retorna se ele existe no resultado JSON |
| RSA_EDR_ErrorLogModule | Retorna se ele existe no resultado JSON |
| RSA_EDR_LowLevelReaderModule | Retorna se ele existe no resultado JSON |
| RSA_EDR_ProcessModule | Retorna se ele existe no resultado JSON |
| RSA_EDR_WorkerThreadModule | Retorna se ele existe no resultado JSON |
| RSA_EDR_WindowsHooksModule | Retorna se ele existe no resultado JSON |
| RSA_EDR_DebuggerAttachedToProcess | Retorna se ele existe no resultado JSON |
| RSA_EDR_ProcessMonitorModule | Retorna se ele existe no resultado JSON |
| RSA_EDR_ThreadMonitorModule | Retorna se ele existe no resultado JSON |
| RSA_EDR_ObjectMonitorModule | Retorna se ele existe no resultado JSON |
| RSA_EDR_ImageMonitorModule | Retorna se ele existe no resultado JSON |
| RSA_EDR_DriverMonitorModule | Retorna se ele existe no resultado JSON |
| RSA_EDR_TdiMonitorModule | Retorna se ele existe no resultado JSON |
| RSA_EDR_TrackingModule | Retorna se ele existe no resultado JSON |
| RSA_EDR_TrackingRegistryMonitor | Retorna se ele existe no resultado JSON |
| RSA_EDR_TrackingObjectMonitor | Retorna se ele existe no resultado JSON |
| RSA_EDR_TrackingFileMonitor | Retorna se ele existe no resultado JSON |
| RSA_EDR_TrackingRemoteThreadMonitor | Retorna se ele existe no resultado JSON |
| RSA_EDR_TrackingCreateProcessMonitor | Retorna se ele existe no resultado JSON |
| RSA_EDR_TrackingHardLinkMonitor | Retorna se ele existe no resultado JSON |
| RSA_EDR_TrackingFileBlockMonitor | Retorna se ele existe no resultado JSON |
| RSA_EDR_TrackingNetworkMonitor | Retorna se ele existe no resultado JSON |
| RSA_EDR_ECATServerName | Retorna se ele existe no resultado JSON |
| RSA_EDR_Online | Retorna se ele existe no resultado JSON |
| RSA_EDR_IIOCScore | Retorna se ele existe no resultado JSON |
| RSA_EDR_ChassisType | Retorna se ele existe no resultado JSON |
| RSA_EDR_ContainmentSupported | Retorna se ele existe no resultado JSON |
| RSA_EDR_AgentID | Retorna se ele existe no resultado JSON |
| RSA_EDR_BIOS | Retorna se ele existe no resultado JSON |
| RSA_EDR_OSBuildNumber | Retorna se ele existe no resultado JSON |
| RSA_EDR_Comment | Retorna se ele existe no resultado JSON |
| RSA_EDR_ConnectionTime | Retorna se ele existe no resultado JSON |
| RSA_EDR_Language | Retorna se ele existe no resultado JSON |
| RSA_EDR_DNS | Retorna se ele existe no resultado JSON |
| RSA_EDR_DomainRole | Retorna se ele existe no resultado JSON |
| RSA_EDR_ECATServiceCompileTime | Retorna se ele existe no resultado JSON |
| RSA_EDR_ECATPackageTime | Retorna se ele existe no resultado JSON |
| RSA_EDR_StartTime | Retorna se ele existe no resultado JSON |
| RSA_EDR_ECATDriverCompileTime | Retorna se ele existe no resultado JSON |
| RSA_EDR_DomainName | Retorna se ele existe no resultado JSON |
| RSA_EDR_Idle | Retorna se ele existe no resultado JSON |
| RSA_EDR_IncludedinMonitoring | Retorna se ele existe no resultado JSON |
| RSA_EDR_IncludedinScanSchedule | Retorna se ele existe no resultado JSON |
| RSA_EDR_InstallationFailed | Retorna se ele existe no resultado JSON |
| RSA_EDR_InstallTime | Retorna se ele existe no resultado JSON |
| RSA_EDR_IIOCLevel0 | Retorna se ele existe no resultado JSON |
| RSA_EDR_IIOCLevel1 | Retorna se ele existe no resultado JSON |
| RSA_EDR_IIOCLevel2 | Retorna se ele existe no resultado JSON |
| RSA_EDR_IIOCLevel3 | Retorna se ele existe no resultado JSON |
| RSA_EDR_Country | Retorna se ele existe no resultado JSON |
| RSA_EDR_BootTime | Retorna se ele existe no resultado JSON |
| RSA_EDR_LastScan | Retorna se ele existe no resultado JSON |
| RSA_EDR_LastSeen | Retorna se ele existe no resultado JSON |
| RSA_EDR_MAC | Retorna se ele existe no resultado JSON |
| RSA_EDR_MachineID | Retorna se ele existe no resultado JSON |
| RSA_EDR_MachineName | Retorna se ele existe no resultado JSON |
| RSA_EDR_AllowAccessDataSourceDomain | Retorna se ele existe no resultado JSON |
| RSA_EDR_AllowDisplayMixedContent | Retorna se ele existe no resultado JSON |
| RSA_EDR_AntiVirusDisabled | Retorna se ele existe no resultado JSON |
| RSA_EDR_BadCertificateWarningDisabled | Retorna se ele existe no resultado JSON |
| RSA_EDR_CookiesCleanupDisabled | Retorna se ele existe no resultado JSON |
| RSA_EDR_CrosssiteScriptFilterDisabled | Retorna se ele existe no resultado JSON |
| RSA_EDR_FirewallDisabled | Retorna se ele existe no resultado JSON |
| RSA_EDR_IEDepDisabled | Retorna se ele existe no resultado JSON |
| RSA_EDR_IEEnhancedSecurityDisabled | Retorna se ele existe no resultado JSON |
| RSA_EDR_IntranetZoneNotificationDisabled | Retorna se ele existe no resultado JSON |
| RSA_EDR_LUADisabled | Retorna se ele existe no resultado JSON |
| RSA_EDR_NoAntivirusNotificationDisabled | Retorna se ele existe no resultado JSON |
| RSA_EDR_NoFirewallNotificationDisabled | Retorna se ele existe no resultado JSON |
| RSA_EDR_NoUACNotificationDisabled | Retorna se ele existe no resultado JSON |
| RSA_EDR_NoWindowsUpdateDisabled | Retorna se ele existe no resultado JSON |
| RSA_EDR_RegistryToolsDisabled | Retorna se ele existe no resultado JSON |
| RSA_EDR_SmartscreenFilterDisabled | Retorna se ele existe no resultado JSON |
| RSA_EDR_SystemRestoreDisabled | Retorna se ele existe no resultado JSON |
| RSA_EDR_TaskManagerDisabled | Retorna se ele existe no resultado JSON |
| RSA_EDR_UACDisabled | Retorna se ele existe no resultado JSON |
| RSA_EDR_WarningOnZoneCrossingDisabled | Retorna se ele existe no resultado JSON |
| RSA_EDR_WarningPostRedirectionDisabled | Retorna se ele existe no resultado JSON |
| RSA_EDR_Manufacturer | Retorna se ele existe no resultado JSON |
| RSA_EDR_Model | Retorna se ele existe no resultado JSON |
| RSA_EDR_NetworkAdapterPromiscModel | Retorna se ele existe no resultado JSON |
| RSA_EDR_OperatingSystem | Retorna se ele existe no resultado JSON |
| RSA_EDR_ProcessorArchitecture | Retorna se ele existe no resultado JSON |
| RSA_EDR_ProcessorCount | Retorna se ele existe no resultado JSON |
| RSA_EDR_Platform | Retorna se ele existe no resultado JSON |
| RSA_EDR_ProcessorIs32bits | Retorna se ele existe no resultado JSON |
| RSA_EDR_Processoris64 | Retorna se ele existe no resultado JSON |
| RSA_EDR_ProcessorName | Retorna se ele existe no resultado JSON |
| RSA_EDR_Scanning | Retorna se ele existe no resultado JSON |
| RSA_EDR_ScanStartTime | Retorna se ele existe no resultado JSON |
| RSA_EDR_Serial | Retorna se ele existe no resultado JSON |
| RSA_EDR_TimeZone | Retorna se ele existe no resultado JSON |
| RSA_EDR_TotalPhysicalMemory | Retorna se ele existe no resultado JSON |
| RSA_EDR_HTTPSFallbackMode | Retorna se ele existe no resultado JSON |
| RSA_EDR_BlockingActive | Retorna se ele existe no resultado JSON |
| RSA_EDR_RoamingAgentsRelaySystemActive | Retorna se ele existe no resultado JSON |
| RSA_EDR_UserID | Retorna se ele existe no resultado JSON |
| RSA_EDR_WindowsDirectory | Retorna se ele existe no resultado JSON |
| RSA_EDR_NetWitnessInvestigate | Retorna se ele existe no resultado JSON |
| RSA_EDR_ContainmentStatus | Retorna se ele existe no resultado JSON |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
{
"Machine": {
"DriverErrorCode": "0xe0010014",
"ServicePackOS": "0",
"MachineStatus": "Offline-DriverError",
"Type": "Windows",
"VersionInfo": "4.4.0.0",
"UserName": "",
"OrganizationUnit": "",
"LocalIP": "172.30.203.155",
"NetworkSegment": "172.30.203.0",
"Gateway": "172.30.203.1",
"RemoteIP": "172.30.203.155",
"Group": "Default",
"AdminStatus": "",
"KernelDebuggerDetected": "False",
"EarlyStart": "False",
"NotifyShutdownModule": "False",
"LoadedModuleModule": "False",
"NotifyRoutineModule": "False",
"UnloadedDriverModule": "False",
"ErrorLogModule": "False",
"LowLevelReaderModule": "False",
"ProcessModule": "False",
"WorkerThreadModule": "False",
"WindowsHooksModule": "False",
"DebuggerAttachedToProcess": "False",
"ProcessMonitorModule": "False",
"ThreadMonitorModule": "False",
"ObjectMonitorModule": "False",
"ImageMonitorModule": "False",
"DriverMonitorModule": "False",
"TdiMonitorModule": "False",
"TrackingModule": "False",
"TrackingRegistryMonitor": "False",
"TrackingObjectMonitor": "False",
"TrackingFileMonitor": "False",
"TrackingRemoteThreadMonitor": "False",
"TrackingCreateProcessMonitor": "False",
"TrackingHardLinkMonitor": "False",
"TrackingFileBlockMonitor": "False",
"TrackingNetworkMonitor": "False",
"ECATServerName": "RSA-EDR",
"Online": "False",
"IIOCScore": "39",
"ChassisType": "Other",
"ContainmentSupported": "False",
"AgentID": "d96de745-c39b-b513-420d-598952bd463e",
"BIOS": "Phoenix Technologies LTD - 6.00 - PhoenixBIOS 4.0 Release 6.0",
"OSBuildNumber": "18363",
"Comment": "",
"ConnectionTime": "7/31/2020 9:01:11 AM",
"Language": "en-US",
"DNS": "172.30.202.237",
"DomainRole": "Member Workstation",
"ECATServiceCompileTime": "9/15/2017 10:26:23 PM",
"ECATPackageTime": "6/26/2020 6:39:59 AM",
"StartTime": "6/29/2020 11:56:36 AM",
"ECATDriverCompileTime": "9/15/2017 10:20:48 PM",
"DomainName": "ecat.local",
"Idle": "False",
"IncludedinMonitoring": "True",
"IncludedinScanSchedule": "True",
"InstallationFailed": "False",
"InstallTime": "6/26/2020 6:42:20 AM",
"IIOCLevel0": "0",
"IIOCLevel1": "0",
"IIOCLevel2": "4",
"IIOCLevel3": "9",
"Country": "USA",
"BootTime": "6/29/2020 11:56:31 AM",
"LastScan": "6/26/2020 6:47:54 AM",
"LastSeen": "7/31/2020 9:31:12 AM",
"MAC": "00:50:56:A2:10:9E",
"MachineID": "422518b6-54d8-4814-b5d7-02b043ca0103",
"MachineName": "RSA-HOST02",
"AllowAccessDataSourceDomain": "False",
"AllowDisplayMixedContent": "False",
"AntiVirusDisabled": "False",
"BadCertificateWarningDisabled": "False",
"CookiesCleanupDisabled": "False",
"CrosssiteScriptFilterDisabled": "False",
"FirewallDisabled": "False",
"IEDepDisabled": "False",
"IEEnhancedSecurityDisabled": "False",
"IntranetZoneNotificationDisabled": "False",
"LUADisabled": "False",
"NoAntivirusNotificationDisabled": "False",
"NoFirewallNotificationDisabled": "False",
"NoUACNotificationDisabled": "False",
"NoWindowsUpdateDisabled": "False",
"RegistryToolsDisabled": "False",
"SmartscreenFilterDisabled": "False",
"SystemRestoreDisabled": "False",
"TaskManagerDisabled": "False",
"UACDisabled": "False",
"WarningOnZoneCrossingDisabled": "False",
"WarningPostRedirectionDisabled": "False",
"Manufacturer": "VMware, Inc.",
"Model": "VMware Virtual Platform",
"NetworkAdapterPromiscMode": "False",
"OperatingSystem": "Microsoft Windows 10 Enterprise Evaluation",
"ProcessorArchitecture": "x64",
"ProcessorCount": "2",
"Platform": "64-bit (x64)",
"ProcessorIs32bits": "False",
"Processoris64": "True",
"ProcessorName": "Intel(R) Xeon(R) CPU E5-2698 v3 @ 2.30GHz",
"Scanning": "False",
"ScanStartTime": "7/31/2020 9:07:58 AM",
"Serial": "VMware-42 22 a8 f8 6a 01 41 ca-12 10 80 75 56 bf 21 4b",
"TimeZone": "Pacific Standard Time",
"TotalPhysicalMemory": "4294430720",
"HTTPSFallbackMode": "False",
"BlockingActive": "True",
"RoamingAgentsRelaySystemActive": "True",
"UserID": "00000000-0000-0000-0000-000000000000",
"WindowsDirectory": "C:\\Windows",
"NetWitnessInvestigate": "True",
"ContainmentStatus": "Not Contained"
},
"Iocs": [
{
"Alertable": "False",
"EvaluationDate": "6/26/2020 6:48:11 AM",
"IOCContext": "0",
"IOCTriggeredOnMachine": "True",
"BiasStatus": "Undefined",
"Active": "True",
"Description": "Likely packed",
"Type": "Module",
"IOCLevel": "2",
"LastExecuted": "7/31/2020 9:08:11 AM",
"Name": "Likely Packed.sql",
"Priority": "0",
"Query": "\r\n\r\nSELECT DISTINCT\r\n\t[mp].[FK_Machines] AS [FK_Machines],\r\n\t[mp].[PK_MachineModulePaths] AS [FK_MachineModulePaths] \r\nFROM\r\n\t[dbo].[MachineModulePaths] AS [mp] WITH(NOLOCK)\r\n\tINNER JOIN [dbo].[MachinesToEvaluate] AS [me] WITH(NOLOCK) ON ([me].[RK_Machines] = [mp].[FK_Machines])\r\n\tINNER JOIN [dbo].[Modules] AS [mo] WITH(NOLOCK) ON ([mo].[PK_Modules] = [mp].[FK_Modules])\r\nWHERE \r\n\t[mo].[ModulePacked] = 0 AND\r\n\t(\r\n\t\t[mo].[ModuleCodeSectionWritable] = 1 OR\r\n\t\t[mo].[ModuleDuplicateSectionName] = 1 OR\r\n\t\t[mo].[ModuleEmptySectionName] = 1\r\n\t) AND\r\n\t[mo].[Entropy] >= 6.8 AND\r\n\t[mp].[MarkedAsDeleted] = 0\r\n\r\n",
"MachineCount": "1",
"ModuleCount": "2"
}
]
}
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se a operação for bem-sucedida e pelo menos uma das entidades fornecidas tiver sido enriquecida (is_success = true): Print "Successfully enriched the following endpoints from RSA NetWitness EDR: \n {0}".format(entity.identifier list) Se não for possível enriquecer entidades específicas(is_success = true): Imprima "Não foi possível enriquecer os seguintes endpoints do RSA NetWitness EDR \n: {0}".format([entity.identifier]) Se não for possível enriquecer todas as entidades (is_success = false): Imprimir: "Nenhuma entidade foi enriquecida". A ação precisa falhar e interromper a execução de um playbook: Se o erro for fatal, como credenciais incorretas, sem conexão com o servidor, outro: Imprima "Erro ao executar a ação "Enriquecer endpoint". Motivo: {0}''.format(error.Stacktrace) |
Geral |
| Tabela do painel de casos | Se "Include IOCs Information" == True Nome da tabela: "{0} - IOCs".format(entity.identifier) Coluna da tabela:
|
Geral |
Acessar detalhes do IOC
Descrição
Aprimore as entidades do Google SecOps com informações sobre IOCs do RSA NetWitness EDR.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É Mandatório | Descrição |
|---|---|---|---|---|
| Limite do nível de IOC | DDL | Médio Valores possíveis: Crítico Alta Médio Baixo |
Sim | Especifique um limite de nível de IOC para a entidade. Se a entidade exceder o limite, a entidade relacionada será marcada como suspeita. |
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| RSA_EDR_Active | Retorna se ele existe no resultado JSON |
| RSA_EDR_Alertable | Retorna se ele existe no resultado JSON |
| RSA_EDR_BlacklistedCount | Retorna se ele existe no resultado JSON |
| RSA_EDR_GraylistedCount | Retorna se ele existe no resultado JSON |
| RSA_EDR_Description | Retorna se ele existe no resultado JSON |
| RSA_EDR_ErrorMessage | Retorna se ele existe no resultado JSON |
| RSA_EDR_EvaluationMachineCount | Retorna se ele existe no resultado JSON |
| RSA_EDR_Type | Retorna se ele existe no resultado JSON |
| RSA_EDR_IOCLevel | Retorna se ele existe no resultado JSON |
| RSA_EDR_LastEvaluationDuration | Retorna se ele existe no resultado JSON |
| RSA_EDR_LastExecuted | Retorna se ele existe no resultado JSON |
| RSA_EDR_MachineCount | Retorna se ele existe no resultado JSON |
| RSA_EDR_ModuleCount | Retorna se ele existe no resultado JSON |
| RSA_EDR_Name | Retorna se ele existe no resultado JSON |
| RSA_EDR_Persistent | Retorna se ele existe no resultado JSON |
| RSA_EDR_Priority | Retorna se ele existe no resultado JSON |
| RSA_EDR_UserDefined | Retorna se ele existe no resultado JSON |
| RSA_EDR_WhitelistedCount | Retorna se ele existe no resultado JSON |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
{
"iocQuery": {
"Active": "True",
"Alertable": "False",
"BlacklistedCount": "0",
"GraylistedCount": "0",
"Description": "Autorun unsigned BHO",
"ErrorMessage": "",
"EvaluationMachineCount": "1",
"Type": "Windows",
"IOCLevel": "2",
"LastEvaluationDuration": "0",
"LastExecutionDuration": "0",
"LastExecuted": "7/31/2020 9:08:12 AM",
"MachineCount": "0",
"ModuleCount": "0",
"Name": "Autorun_Unsigned_BHO.sql",
"Persistent": "True",
"Priority": "5",
"Query": "\r\n\r\nSELECT DISTINCT\r\n\t[mp].[FK_Machines] AS [FK_Machines],\r\n\t[mp].[PK_MachineModulePaths] AS [FK_MachineModulePaths] \r\nFROM\r\n\t[dbo].[mocAutoruns] AS [ar] WITH(NOLOCK)\r\n\tINNER JOIN [dbo].[MachinesToEvaluate] AS [me] WITH(NOLOCK) ON ([me].[RK_Machines] = [ar].[FK_Machines])\r\n\tINNER JOIN [dbo].[Paths] AS [pa] WITH(NOLOCK) ON ([pa].[PK_Paths] = [ar].[FK_Paths__RegistryPath])\r\n\tINNER JOIN [dbo].[MachineModulePaths] AS [mp] WITH(NOLOCK) ON ([mp].[PK_MachineModulePaths] = [ar].[FK_MachineModulePaths] AND [mp].[FK_Machines] = [ar].[FK_Machines])\r\n\tINNER JOIN [dbo].[Modules] AS [mo] WITH(NOLOCK) ON ([mo].[PK_Modules] = [mp].[FK_Modules])\r\nWHERE \r\n\t[ar].[Type] = 5 AND\r\n\t[pa].[Path] LIKE N'%\\SOFTWARE%Microsoft\\Windows\\CurrentVersion\\Explorer\\Browser Helper Objects\\%' AND\r\n\t[mo].[ModuleSignaturePresent] = 0 AND\r\n\t[ar].[MarkedAsDeleted] = 0\r\n\r\n",
"UserDefined": "False",
"WhitelistedCount": "0"
}
}
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se não for possível enriquecer entidades específicas(is_success = true): Se não for possível enriquecer todas as entidades (is_success = false): A ação precisa falhar e interromper a execução de um playbook: Se erro fatal, como credenciais incorretas, sem conexão com o servidor, outro: Imprima "Erro ao executar a ação "Enriquecer entidades". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Adicionar IP à lista de proibições
Descrição
Adicione o IP à lista de proibições no RSA NetWitness EDR.
Parâmetros
N/A
Executar em
Essa ação é executada na entidade "Endereço IP".
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
{
"Ips": [
"10.0.0.2"
],
"ResponseStatus": {
"ErrorCode": "200",
"Message": "Some of the IPs could not be processed. The HTTP response body contains all successfully processed IPs"
}
}
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se não for possível enriquecer entidades específicas(is_success = true): Se não for possível enriquecer todas as entidades (is_success = false): A ação precisa falhar e interromper a execução de um playbook: Se erro fatal, como credenciais incorretas, sem conexão com o servidor, outro: Imprima "Erro ao executar a ação "Adicionar IP à lista de bloqueio". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Adicionar URL à lista de proibições
Descrição
Adicione o URL à lista de proibições no RSA NetWitness EDR.
Executar em
Essa ação é executada na entidade de URL.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
{
"Domains": [
"фів"
]
}
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se não for possível enriquecer entidades específicas(is_success = true): Se não for possível enriquecer todas as entidades (is_success = false): A ação precisa falhar e interromper a execução de um playbook: Se erro fatal, como credenciais incorretas, sem conexão com o servidor, outro: Imprima "Erro ao executar a ação "Adicionar URL à lista de bloqueio". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.