RSA NetWitness EDR

集成版本:4.0

使用场景

  1. 执行数据丰富操作 - 从 RSA NetWitness 获取数据,以丰富 Google Security Operations 提醒中的数据。
  2. 执行补救措施 - 将 IP/网址添加到黑名单。

在 Google SecOps 中配置 RSA NetWitness EDR 集成

有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成

集成参数

使用以下参数配置集成:

参数显示名称 类型 默认值 是否为必需属性 说明
实例名称 字符串 不适用 您打算为其配置集成的实例的名称。
说明 字符串 不适用 实例的说明。
API 根 字符串 https://:9443 RSA NetWitness EDR 实例的 API 根。
用户名 字符串 不适用 RSA NetWitness EDR 账号的用户名。
密码 密码 不适用 RSA NetWitness EDR 账号的密码。
验证 SSL 复选框 勾选 如果启用,则验证与 RSA NetWitness EDR 服务器的连接所用的 SSL 证书是否有效。
远程运行 复选框 尚未核查 选中此字段,以便远程运行配置的集成。选中后,系统会显示用于选择远程用户(客服人员)的选项。

操作

Ping

说明

使用 Google Security Operations Marketplace 标签页中的集成配置页面上提供的参数,测试与 RSA NetWitness EDR 的连接。

运行于

此操作不会在实体上运行,也没有强制性输入参数。

操作执行结果

脚本结果
脚本结果名称 值选项 示例
is_success True/False is_success:False
案例墙
结果类型 值 / 说明 类型
输出消息*

操作不应失败,也不应停止 playbook 执行

如果成功

输出“Successfully connected to the RSA NetWitness EDR server with the provided connection parameters!”

操作应失败并停止 playbook 执行

如果不成功

打印“Failed to connect to the RSA NetWitness EDR server! 错误为 {0}".format(exception.stacktrace)

 常规

丰富端点

说明

按主机名或 IP 地址提取端点的系统信息。

参数

参数显示名称 类型 默认值 是否为必需属性 说明
IIOC 得分阈值 整数 50 为端点指定 IIOC 得分阈值。如果端点超出阈值,相关实体将被标记为可疑。如果未指定任何内容,操作将不会检查 IIOC 得分。
包含 IOC 信息 复选框 尚未核查 如果启用,该操作将提取与端点关联的 IOC 的相关信息。
要返回的 IOC 数量上限 整数 50 指定要返回的 IOC 数量。最大值为 50。这是 RSA NetWitness EDR 的限制。

运行于

此操作适用于以下实体:

  • IP 地址
  • 主机

操作执行结果

实体扩充
扩充项字段名称 逻辑 - 应用场景
RSA_EDR_DriverErrorCode 返回 JSON 结果中是否存在相应值
RSA_EDR_ServicePackOS 返回 JSON 结果中是否存在相应值
RSA_EDR_MachineStatus 返回 JSON 结果中是否存在相应值
RSA_EDR_Type 返回 JSON 结果中是否存在相应值
RSA_EDR_VersionInfo 返回 JSON 结果中是否存在相应值
RSA_EDR_UserName 返回 JSON 结果中是否存在相应值
RSA_EDR_OrganizationUnit 返回 JSON 结果中是否存在相应值
RSA_EDR_LocalIP 返回 JSON 结果中是否存在相应值
RSA_EDR_NetworkSegment 返回 JSON 结果中是否存在相应值
RSA_EDR_Gateway 返回 JSON 结果中是否存在相应值
RSA_EDR_RemoteIP 返回 JSON 结果中是否存在相应值
RSA_EDR_Group 返回 JSON 结果中是否存在相应值
RSA_EDR_AdminStatus 返回 JSON 结果中是否存在相应值
RSA_EDR_KernelDebuggerDetected 返回 JSON 结果中是否存在相应值
RSA_EDR_EarlyStart 返回 JSON 结果中是否存在相应值
RSA_EDR_NotifyShutdownModule 返回 JSON 结果中是否存在相应值
RSA_EDR_LoadedModuleModule 返回 JSON 结果中是否存在相应值
RSA_EDR_NotifyRoutineModule 返回 JSON 结果中是否存在相应值
RSA_EDR_UnloadedDriverModule 返回 JSON 结果中是否存在相应值
RSA_EDR_ErrorLogModule 返回 JSON 结果中是否存在相应值
RSA_EDR_LowLevelReaderModule 返回 JSON 结果中是否存在相应值
RSA_EDR_ProcessModule 返回 JSON 结果中是否存在相应值
RSA_EDR_WorkerThreadModule 返回 JSON 结果中是否存在相应值
RSA_EDR_WindowsHooksModule 返回 JSON 结果中是否存在相应值
RSA_EDR_DebuggerAttachedToProcess 返回 JSON 结果中是否存在相应值
RSA_EDR_ProcessMonitorModule 返回 JSON 结果中是否存在相应值
RSA_EDR_ThreadMonitorModule 返回 JSON 结果中是否存在相应值
RSA_EDR_ObjectMonitorModule 返回 JSON 结果中是否存在相应值
RSA_EDR_ImageMonitorModule 返回 JSON 结果中是否存在相应值
RSA_EDR_DriverMonitorModule 返回 JSON 结果中是否存在相应值
RSA_EDR_TdiMonitorModule 返回 JSON 结果中是否存在相应值
RSA_EDR_TrackingModule 返回 JSON 结果中是否存在相应值
RSA_EDR_TrackingRegistryMonitor 返回 JSON 结果中是否存在相应值
RSA_EDR_TrackingObjectMonitor 返回 JSON 结果中是否存在相应值
RSA_EDR_TrackingFileMonitor 返回 JSON 结果中是否存在相应值
RSA_EDR_TrackingRemoteThreadMonitor 返回 JSON 结果中是否存在相应值
RSA_EDR_TrackingCreateProcessMonitor 返回 JSON 结果中是否存在相应值
RSA_EDR_TrackingHardLinkMonitor 返回 JSON 结果中是否存在相应值
RSA_EDR_TrackingFileBlockMonitor 返回 JSON 结果中是否存在相应值
RSA_EDR_TrackingNetworkMonitor 返回 JSON 结果中是否存在相应值
RSA_EDR_ECATServerName 返回 JSON 结果中是否存在相应值
RSA_EDR_Online 返回 JSON 结果中是否存在相应值
RSA_EDR_IIOCScore 返回 JSON 结果中是否存在相应值
RSA_EDR_ChassisType 返回 JSON 结果中是否存在相应值
RSA_EDR_ContainmentSupported 返回 JSON 结果中是否存在相应值
RSA_EDR_AgentID 返回 JSON 结果中是否存在相应值
RSA_EDR_BIOS 返回 JSON 结果中是否存在相应值
RSA_EDR_OSBuildNumber 返回 JSON 结果中是否存在相应值
RSA_EDR_Comment 返回 JSON 结果中是否存在相应值
RSA_EDR_ConnectionTime 返回 JSON 结果中是否存在相应值
RSA_EDR_Language 返回 JSON 结果中是否存在相应值
RSA_EDR_DNS 返回 JSON 结果中是否存在相应值
RSA_EDR_DomainRole 返回 JSON 结果中是否存在相应值
RSA_EDR_ECATServiceCompileTime 返回 JSON 结果中是否存在相应值
RSA_EDR_ECATPackageTime 返回 JSON 结果中是否存在相应值
RSA_EDR_StartTime 返回 JSON 结果中是否存在相应值
RSA_EDR_ECATDriverCompileTime 返回 JSON 结果中是否存在相应值
RSA_EDR_DomainName 返回 JSON 结果中是否存在相应值
RSA_EDR_Idle 返回 JSON 结果中是否存在相应值
RSA_EDR_IncludedinMonitoring 返回 JSON 结果中是否存在相应值
RSA_EDR_IncludedinScanSchedule 返回 JSON 结果中是否存在相应值
RSA_EDR_InstallationFailed 返回 JSON 结果中是否存在相应值
RSA_EDR_InstallTime 返回 JSON 结果中是否存在相应值
RSA_EDR_IIOCLevel0 返回 JSON 结果中是否存在相应值
RSA_EDR_IIOCLevel1 返回 JSON 结果中是否存在相应值
RSA_EDR_IIOCLevel2 返回 JSON 结果中是否存在相应值
RSA_EDR_IIOCLevel3 返回 JSON 结果中是否存在相应值
RSA_EDR_Country 返回 JSON 结果中是否存在相应值
RSA_EDR_BootTime 返回 JSON 结果中是否存在相应值
RSA_EDR_LastScan 返回 JSON 结果中是否存在相应值
RSA_EDR_LastSeen 返回 JSON 结果中是否存在相应值
RSA_EDR_MAC 返回 JSON 结果中是否存在相应值
RSA_EDR_MachineID 返回 JSON 结果中是否存在相应值
RSA_EDR_MachineName 返回 JSON 结果中是否存在相应值
RSA_EDR_AllowAccessDataSourceDomain 返回 JSON 结果中是否存在相应值
RSA_EDR_AllowDisplayMixedContent 返回 JSON 结果中是否存在相应值
RSA_EDR_AntiVirusDisabled 返回 JSON 结果中是否存在相应值
RSA_EDR_BadCertificateWarningDisabled 返回 JSON 结果中是否存在相应值
RSA_EDR_CookiesCleanupDisabled 返回 JSON 结果中是否存在相应值
RSA_EDR_CrosssiteScriptFilterDisabled 返回 JSON 结果中是否存在相应值
RSA_EDR_FirewallDisabled 返回 JSON 结果中是否存在相应值
RSA_EDR_IEDepDisabled 返回 JSON 结果中是否存在相应值
RSA_EDR_IEEnhancedSecurityDisabled 返回 JSON 结果中是否存在相应值
RSA_EDR_IntranetZoneNotificationDisabled 返回 JSON 结果中是否存在相应值
RSA_EDR_LUADisabled 返回 JSON 结果中是否存在相应值
RSA_EDR_NoAntivirusNotificationDisabled 返回 JSON 结果中是否存在相应值
RSA_EDR_NoFirewallNotificationDisabled 返回 JSON 结果中是否存在相应值
RSA_EDR_NoUACNotificationDisabled 返回 JSON 结果中是否存在相应值
RSA_EDR_NoWindowsUpdateDisabled 返回 JSON 结果中是否存在相应值
RSA_EDR_RegistryToolsDisabled 返回 JSON 结果中是否存在相应值
RSA_EDR_SmartscreenFilterDisabled 返回 JSON 结果中是否存在相应值
RSA_EDR_SystemRestoreDisabled 返回 JSON 结果中是否存在相应值
RSA_EDR_TaskManagerDisabled 返回 JSON 结果中是否存在相应值
RSA_EDR_UACDisabled 返回 JSON 结果中是否存在相应值
RSA_EDR_WarningOnZoneCrossingDisabled 返回 JSON 结果中是否存在相应值
RSA_EDR_WarningPostRedirectionDisabled 返回 JSON 结果中是否存在相应值
RSA_EDR_Manufacturer 返回 JSON 结果中是否存在相应值
RSA_EDR_Model 返回 JSON 结果中是否存在相应值
RSA_EDR_NetworkAdapterPromiscModel 返回 JSON 结果中是否存在相应值
RSA_EDR_OperatingSystem 返回 JSON 结果中是否存在相应值
RSA_EDR_ProcessorArchitecture 返回 JSON 结果中是否存在相应值
RSA_EDR_ProcessorCount 返回 JSON 结果中是否存在相应值
RSA_EDR_Platform 返回 JSON 结果中是否存在相应值
RSA_EDR_ProcessorIs32bits 返回 JSON 结果中是否存在相应值
RSA_EDR_Processoris64 返回 JSON 结果中是否存在相应值
RSA_EDR_ProcessorName 返回 JSON 结果中是否存在相应值
RSA_EDR_Scanning 返回 JSON 结果中是否存在相应值
RSA_EDR_ScanStartTime 返回 JSON 结果中是否存在相应值
RSA_EDR_Serial 返回 JSON 结果中是否存在相应值
RSA_EDR_TimeZone 返回 JSON 结果中是否存在相应值
RSA_EDR_TotalPhysicalMemory 返回 JSON 结果中是否存在相应值
RSA_EDR_HTTPSFallbackMode 返回 JSON 结果中是否存在相应值
RSA_EDR_BlockingActive 返回 JSON 结果中是否存在相应值
RSA_EDR_RoamingAgentsRelaySystemActive 返回 JSON 结果中是否存在相应值
RSA_EDR_UserID 返回 JSON 结果中是否存在相应值
RSA_EDR_WindowsDirectory 返回 JSON 结果中是否存在相应值
RSA_EDR_NetWitnessInvestigate 返回 JSON 结果中是否存在相应值
RSA_EDR_ContainmentStatus 返回 JSON 结果中是否存在相应值
脚本结果
脚本结果名称 值选项 示例
is_success True/False is_success:False
JSON 结果

{
    "Machine": {
        "DriverErrorCode": "0xe0010014",
        "ServicePackOS": "0",
        "MachineStatus": "Offline-DriverError",
        "Type": "Windows",
        "VersionInfo": "4.4.0.0",
        "UserName": "",
        "OrganizationUnit": "",
        "LocalIP": "172.30.203.155",
        "NetworkSegment": "172.30.203.0",
        "Gateway": "172.30.203.1",
        "RemoteIP": "172.30.203.155",
        "Group": "Default",
        "AdminStatus": "",
        "KernelDebuggerDetected": "False",
        "EarlyStart": "False",
        "NotifyShutdownModule": "False",
        "LoadedModuleModule": "False",
        "NotifyRoutineModule": "False",
        "UnloadedDriverModule": "False",
        "ErrorLogModule": "False",
        "LowLevelReaderModule": "False",
        "ProcessModule": "False",
        "WorkerThreadModule": "False",
        "WindowsHooksModule": "False",
        "DebuggerAttachedToProcess": "False",
        "ProcessMonitorModule": "False",
        "ThreadMonitorModule": "False",
        "ObjectMonitorModule": "False",
        "ImageMonitorModule": "False",
        "DriverMonitorModule": "False",
        "TdiMonitorModule": "False",
        "TrackingModule": "False",
        "TrackingRegistryMonitor": "False",
        "TrackingObjectMonitor": "False",
        "TrackingFileMonitor": "False",
        "TrackingRemoteThreadMonitor": "False",
        "TrackingCreateProcessMonitor": "False",
        "TrackingHardLinkMonitor": "False",
        "TrackingFileBlockMonitor": "False",
        "TrackingNetworkMonitor": "False",
        "ECATServerName": "RSA-EDR",
        "Online": "False",
        "IIOCScore": "39",
        "ChassisType": "Other",
        "ContainmentSupported": "False",
        "AgentID": "d96de745-c39b-b513-420d-598952bd463e",
        "BIOS": "Phoenix Technologies LTD - 6.00 - PhoenixBIOS 4.0 Release 6.0",
        "OSBuildNumber": "18363",
        "Comment": "",
        "ConnectionTime": "7/31/2020 9:01:11 AM",
        "Language": "en-US",
        "DNS": "172.30.202.237",
        "DomainRole": "Member Workstation",
        "ECATServiceCompileTime": "9/15/2017 10:26:23 PM",
        "ECATPackageTime": "6/26/2020 6:39:59 AM",
        "StartTime": "6/29/2020 11:56:36 AM",
        "ECATDriverCompileTime": "9/15/2017 10:20:48 PM",
        "DomainName": "ecat.local",
        "Idle": "False",
        "IncludedinMonitoring": "True",
        "IncludedinScanSchedule": "True",
        "InstallationFailed": "False",
        "InstallTime": "6/26/2020 6:42:20 AM",
        "IIOCLevel0": "0",
        "IIOCLevel1": "0",
        "IIOCLevel2": "4",
        "IIOCLevel3": "9",
        "Country": "USA",
        "BootTime": "6/29/2020 11:56:31 AM",
        "LastScan": "6/26/2020 6:47:54 AM",
        "LastSeen": "7/31/2020 9:31:12 AM",
        "MAC": "00:50:56:A2:10:9E",
        "MachineID": "422518b6-54d8-4814-b5d7-02b043ca0103",
        "MachineName": "RSA-HOST02",
        "AllowAccessDataSourceDomain": "False",
        "AllowDisplayMixedContent": "False",
        "AntiVirusDisabled": "False",
        "BadCertificateWarningDisabled": "False",
        "CookiesCleanupDisabled": "False",
        "CrosssiteScriptFilterDisabled": "False",
        "FirewallDisabled": "False",
        "IEDepDisabled": "False",
        "IEEnhancedSecurityDisabled": "False",
        "IntranetZoneNotificationDisabled": "False",
        "LUADisabled": "False",
        "NoAntivirusNotificationDisabled": "False",
        "NoFirewallNotificationDisabled": "False",
        "NoUACNotificationDisabled": "False",
        "NoWindowsUpdateDisabled": "False",
        "RegistryToolsDisabled": "False",
        "SmartscreenFilterDisabled": "False",
        "SystemRestoreDisabled": "False",
        "TaskManagerDisabled": "False",
        "UACDisabled": "False",
        "WarningOnZoneCrossingDisabled": "False",
        "WarningPostRedirectionDisabled": "False",
        "Manufacturer": "VMware, Inc.",
        "Model": "VMware Virtual Platform",
        "NetworkAdapterPromiscMode": "False",
        "OperatingSystem": "Microsoft Windows 10 Enterprise Evaluation",
        "ProcessorArchitecture": "x64",
        "ProcessorCount": "2",
        "Platform": "64-bit (x64)",
        "ProcessorIs32bits": "False",
        "Processoris64": "True",
        "ProcessorName": "Intel(R) Xeon(R) CPU E5-2698 v3 @ 2.30GHz",
        "Scanning": "False",
        "ScanStartTime": "7/31/2020 9:07:58 AM",
        "Serial": "VMware-42 22 a8 f8 6a 01 41 ca-12 10 80 75 56 bf 21 4b",
        "TimeZone": "Pacific Standard Time",
        "TotalPhysicalMemory": "4294430720",
        "HTTPSFallbackMode": "False",
        "BlockingActive": "True",
        "RoamingAgentsRelaySystemActive": "True",
        "UserID": "00000000-0000-0000-0000-000000000000",
        "WindowsDirectory": "C:\\Windows",
        "NetWitnessInvestigate": "True",
        "ContainmentStatus": "Not Contained"
    },
    "Iocs": [
        {
            "Alertable": "False",
            "EvaluationDate": "6/26/2020 6:48:11 AM",
            "IOCContext": "0",
            "IOCTriggeredOnMachine": "True",
            "BiasStatus": "Undefined",
            "Active": "True",
            "Description": "Likely packed",
            "Type": "Module",
            "IOCLevel": "2",
            "LastExecuted": "7/31/2020 9:08:11 AM",
            "Name": "Likely Packed.sql",
            "Priority": "0",
            "Query": "\r\n\r\nSELECT DISTINCT\r\n\t[mp].[FK_Machines] AS [FK_Machines],\r\n\t[mp].[PK_MachineModulePaths] AS [FK_MachineModulePaths]           \r\nFROM\r\n\t[dbo].[MachineModulePaths] AS [mp] WITH(NOLOCK)\r\n\tINNER JOIN [dbo].[MachinesToEvaluate] AS [me] WITH(NOLOCK) ON ([me].[RK_Machines] = [mp].[FK_Machines])\r\n\tINNER JOIN [dbo].[Modules] AS [mo] WITH(NOLOCK) ON ([mo].[PK_Modules] = [mp].[FK_Modules])\r\nWHERE \r\n\t[mo].[ModulePacked] = 0 AND\r\n\t(\r\n\t\t[mo].[ModuleCodeSectionWritable] = 1 OR\r\n\t\t[mo].[ModuleDuplicateSectionName] = 1 OR\r\n\t\t[mo].[ModuleEmptySectionName] = 1\r\n\t) AND\r\n\t[mo].[Entropy] >= 6.8 AND\r\n\t[mp].[MarkedAsDeleted]  = 0\r\n\r\n",
            "MachineCount": "1",
            "ModuleCount": "2"
        }
    ]
}
案例墙
结果类型 值 / 说明 类型
输出消息*

操作不应失败,也不应停止 playbook 执行

如果成功且至少一个提供的实体已得到丰富(is_success = true)

打印“Successfully enriched the following endpoints from RSA NetWitness EDR: \n {0}”(已成功从 RSA NetWitness EDR 中扩充以下端点:\n {0})。format(entity.identifier list)

如果无法丰富特定实体(is_success = true)

打印“无法从 RSA NetWitness EDR 中扩充以下端点:{0}”。format([entity.identifier])

如果未能丰富所有实体(is_success = false)

打印:“未扩充任何实体。”

操作应失败并停止 playbook 执行

如果出现致命错误(例如凭据错误、无法连接到服务器、其他错误)

打印“执行操作‘丰富端点’时出错。原因:{0}''.format(error.Stacktrace)

 常规
“案例墙”表格

如果“Include IOCs Information”== True

表格名称:“{0} - IOCs”.format(entity.identifier)

表列

  • 名称(映射为“名称”)
  • 类型(映射为 Type)
  • IOC 级别(映射为 IOCLevel)
  • 有效(映射为有效)
  • 优先级(映射为 Priority)
  • 说明(映射为说明)
  • 上次执行时间(映射为“上次执行时间”)
 常规

获取 IOC 详细信息

说明

利用来自 RSA NetWitness EDR 的 IOC 相关信息丰富 Google SecOps 实体。

参数

参数显示名称 类型 默认值 是强制性的 说明
IOC 级别阈值 DDL

可能的值:

严重

 为实体指定 IOC 级别阈值。如果实体超出阈值,相关实体将被标记为可疑。

运行于

此操作会在所有实体上运行。

操作执行结果

实体扩充
扩充项字段名称 逻辑 - 应用场景
RSA_EDR_Active 返回 JSON 结果中是否存在相应值
RSA_EDR_Alertable 返回 JSON 结果中是否存在相应值
RSA_EDR_BlacklistedCount 返回 JSON 结果中是否存在相应值
RSA_EDR_GraylistedCount 返回 JSON 结果中是否存在相应值
RSA_EDR_Description 返回 JSON 结果中是否存在相应值
RSA_EDR_ErrorMessage 返回 JSON 结果中是否存在相应值
RSA_EDR_EvaluationMachineCount 返回 JSON 结果中是否存在相应值
RSA_EDR_Type 返回 JSON 结果中是否存在相应值
RSA_EDR_IOCLevel 返回 JSON 结果中是否存在相应值
RSA_EDR_LastEvaluationDuration 返回 JSON 结果中是否存在相应值
RSA_EDR_LastExecuted 返回 JSON 结果中是否存在相应值
RSA_EDR_MachineCount 返回 JSON 结果中是否存在相应值
RSA_EDR_ModuleCount 返回 JSON 结果中是否存在相应值
RSA_EDR_Name 返回 JSON 结果中是否存在相应值
RSA_EDR_Persistent 返回 JSON 结果中是否存在相应值
RSA_EDR_Priority 返回 JSON 结果中是否存在相应值
RSA_EDR_UserDefined 返回 JSON 结果中是否存在相应值
RSA_EDR_WhitelistedCount 返回 JSON 结果中是否存在相应值
脚本结果
脚本结果名称 值选项 示例
is_success True/False is_success:False
JSON 结果
{
    "iocQuery": {
        "Active": "True",
        "Alertable": "False",
        "BlacklistedCount": "0",
        "GraylistedCount": "0",
        "Description": "Autorun unsigned BHO",
        "ErrorMessage": "",
        "EvaluationMachineCount": "1",
        "Type": "Windows",
        "IOCLevel": "2",
        "LastEvaluationDuration": "0",
        "LastExecutionDuration": "0",
        "LastExecuted": "7/31/2020 9:08:12 AM",
        "MachineCount": "0",
        "ModuleCount": "0",
        "Name": "Autorun_Unsigned_BHO.sql",
        "Persistent": "True",
        "Priority": "5",
        "Query": "\r\n\r\nSELECT DISTINCT\r\n\t[mp].[FK_Machines] AS [FK_Machines],\r\n\t[mp].[PK_MachineModulePaths] AS [FK_MachineModulePaths]           \r\nFROM\r\n\t[dbo].[mocAutoruns] AS [ar] WITH(NOLOCK)\r\n\tINNER JOIN [dbo].[MachinesToEvaluate] AS [me] WITH(NOLOCK) ON ([me].[RK_Machines] = [ar].[FK_Machines])\r\n\tINNER JOIN [dbo].[Paths] AS [pa] WITH(NOLOCK) ON ([pa].[PK_Paths] = [ar].[FK_Paths__RegistryPath])\r\n\tINNER JOIN [dbo].[MachineModulePaths] AS [mp] WITH(NOLOCK) ON ([mp].[PK_MachineModulePaths] = [ar].[FK_MachineModulePaths] AND [mp].[FK_Machines] = [ar].[FK_Machines])\r\n\tINNER JOIN [dbo].[Modules] AS [mo] WITH(NOLOCK) ON ([mo].[PK_Modules] = [mp].[FK_Modules])\r\nWHERE \r\n\t[ar].[Type] = 5 AND\r\n\t[pa].[Path] LIKE N'%\\SOFTWARE%Microsoft\\Windows\\CurrentVersion\\Explorer\\Browser Helper Objects\\%' AND\r\n\t[mo].[ModuleSignaturePresent] = 0 AND\r\n\t[ar].[MarkedAsDeleted] = 0\r\n\r\n",
        "UserDefined": "False",
        "WhitelistedCount": "0"
    }
}
案例墙
结果类型 值 / 说明 类型
输出消息*

该操作不应失败,也不应停止 playbook 执行
如果成功且至少一个提供的实体已得到丰富(is_success = true)
打印“Action was not able to enrich the following entities from RSA NetWitness EDR \n: {0}".format([entity.identifier])

如果未能扩充特定实体(is_success = true)
打印“Successfully enriched the following entities from RSA NetWitness EDR: \n {0}".format(entity.identifier list)

如果未能丰富所有实体(is_success = false)
打印:“No entities were enriched.”

操作应失败并停止 playbook 执行

如果 出现严重错误,例如凭据错误、无法连接到服务器、其他错误

打印“执行操作‘丰富实体’时出错。原因:{0}''.format(error.Stacktrace)

 常规

将 IP 添加到黑名单

说明

在 RSA NetWitness EDR 中将 IP 添加到黑名单。

参数

不适用

运行于

此操作在 IP 地址实体上运行。

操作执行结果

脚本结果
脚本结果名称 值选项 示例
is_success True/False is_success:False
JSON 结果
{
    "Ips": [
        "10.0.0.2"
    ],
    "ResponseStatus": {
        "ErrorCode": "200",
        "Message": "Some of the IPs could not be processed. The HTTP response body contains all successfully processed IPs"
    }
}
案例墙
结果类型 值 / 说明 类型
输出消息*

该操作不应失败,也不应停止 playbook 执行
如果成功且至少一个提供的实体已得到丰富(is_success = true)
打印“Successfully add the following IPs to blacklist in RSA NetWitness EDR: \n {0}".format(entity.identifier list)

如果无法丰富特定实体(is_success = true)
打印“Action was not able to add the following IPs to blacklist in RSA NetWitness EDR \n: {0}".format([entity.identifier])

如果未能丰富所有实体(is_success = false)
打印:“No IPs were added to the blacklist in RSA NetWitness EDR.”

操作应失败并停止 playbook 执行

如果 出现严重错误,例如凭据错误、无法连接到服务器、其他错误

打印“执行操作‘将 IP 添加到黑名单’时出错。原因:{0}''.format(error.Stacktrace)

 常规

将网址添加到黑名单

说明

在 RSA NetWitness EDR 中将网址添加到黑名单。

运行于

此操作在网址实体上运行。

操作执行结果

脚本结果
脚本结果名称 值选项 示例
is_success True/False is_success:False
JSON 结果
{
    "Domains": [
        "фів"
    ]
}
案例墙
结果类型 值 / 说明 类型
输出消息*

该操作不应失败,也不应停止 playbook 执行
如果成功且至少一个提供的实体已得到丰富(is_success = true)
打印“Successfully add the following 网址s to blacklist in RSA NetWitness EDR: \n {0}".format(entity.identifier list)

如果无法丰富特定实体(is_success = true)
打印“Action was not able to add the following 网址s to blacklist in RSA NetWitness EDR \n: {0}".format([entity.identifier])

如果所有实体的丰富操作均失败 (is_success = false)
打印:“No 网址s were added to the blacklist in RSA NetWitness EDR.”

操作应失败并停止 playbook 执行

如果 出现严重错误,例如凭据错误、无法连接到服务器、其他错误

打印“执行操作‘将网址添加到黑名单’时出错。原因:{0}''.format(error.Stacktrace)

 常规

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。