本頁面由 Cloud Translation API 翻譯而成。

RSA NetWitness EDR

整合版本：4.0

應用實例

執行擴充動作 - 從 RSA NetWitness 取得資料，擴充 Google Security Operations 快訊中的資料。
執行補救措施，將 IP/網址加入黑名單。

在 Google SecOps 中設定 RSA NetWitness EDR 整合

如需在 Google SecOps 中設定整合功能的詳細操作說明，請參閱「設定整合功能」。

整合參數

請使用下列參數設定整合：

參數顯示名稱	類型	預設值	為必填項目	說明
執行個體名稱	字串	不適用	否	您要設定整合的執行個體名稱。
說明	字串	不適用	否	執行個體的說明。
API 根層級	字串	https://:9443	是	RSA NetWitness EDR 執行個體的 API 根目錄。
使用者名稱	字串	不適用	是	RSA NetWitness EDR 帳戶的使用者名稱。
密碼	密碼	不適用	是	RSA NetWitness EDR 帳戶的密碼。
驗證 SSL	核取方塊	已勾選	否	如果啟用，系統會驗證連線至 RSA NetWitness EDR 伺服器的 SSL 憑證是否有效。
遠端執行	核取方塊	已取消勾選	否	勾選這個欄位，即可遠端執行設定的整合項目。勾選後，系統會顯示選取遠端使用者 (服務專員) 的選項。

動作

乒乓

說明

使用 Google Security Operations Marketplace 分頁中整合設定頁面提供的參數，測試與 RSA NetWitness EDR 的連線。

執行時間

這項動作不會在實體上執行，也沒有強制輸入參數。

動作執行結果

指令碼執行結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

案件總覽

結果類型	值 / 說明	類型
輸出訊息*	動作不應失敗，也不應停止執行應對手冊：如果成功： Print "Successfully connected to the RSA NetWitness EDR server with the provided connection parameters!" 動作應會失敗並停止執行應對手冊：如果未成功： Print "Failed to connect to the RSA NetWitness EDR server! Error is {0}".format(exception.stacktrace)	一般

結果類型

值 / 說明

類型

輸出訊息*

動作不應失敗，也不應停止執行應對手冊：

如果成功：

Print "Successfully connected to the RSA NetWitness EDR server with the provided connection parameters!"

動作應會失敗並停止執行應對手冊：

如果未成功：

Print "Failed to connect to the RSA NetWitness EDR server! Error is {0}".format(exception.stacktrace)

一般

充實端點

說明

依主機名稱或 IP 位址擷取端點的系統資訊。

參數

參數顯示名稱	類型	預設值	為必填項目	說明
IIOC 分數門檻	整數	50	否	為端點指定 IIOC 分數門檻。如果端點超過門檻，相關實體就會標示為可疑。如未指定任何內容，動作就不會檢查 IIOC 分數。
提供 IOC 資訊	核取方塊	已取消勾選	否	如果啟用，動作會擷取與端點相關聯的 IOC 資訊。
要傳回的 IOC 數量上限	整數	50	否	指定要傳回的 IOC 數量。上限為 50 個。這是 RSA NetWitness EDR 的限制。

執行時間

這項動作會對下列實體執行：

IP 位址
主機

動作執行結果

實體擴充

補充資料欄位名稱	邏輯 - 應用時機
RSA_EDR_DriverErrorCode	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_ServicePackOS	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_MachineStatus	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_Type	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_VersionInfo	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_UserName	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_OrganizationUnit	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_LocalIP	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_NetworkSegment	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_Gateway	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_RemoteIP	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_Group	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_AdminStatus	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_KernelDebuggerDetected	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_EarlyStart	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_NotifyShutdownModule	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_LoadedModuleModule	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_NotifyRoutineModule	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_UnloadedDriverModule	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_ErrorLogModule	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_LowLevelReaderModule	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_ProcessModule	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_WorkerThreadModule	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_WindowsHooksModule	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_DebuggerAttachedToProcess	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_ProcessMonitorModule	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_ThreadMonitorModule	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_ObjectMonitorModule	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_ImageMonitorModule	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_DriverMonitorModule	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_TdiMonitorModule	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_TrackingModule	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_TrackingRegistryMonitor	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_TrackingObjectMonitor	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_TrackingFileMonitor	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_TrackingRemoteThreadMonitor	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_TrackingCreateProcessMonitor	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_TrackingHardLinkMonitor	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_TrackingFileBlockMonitor	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_TrackingNetworkMonitor	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_ECATServerName	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_Online	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_IIOCScore	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_ChassisType	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_ContainmentSupported	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_AgentID	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_BIOS	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_OSBuildNumber	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_Comment	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_ConnectionTime	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_Language	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_DNS	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_DomainRole	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_ECATServiceCompileTime	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_ECATPackageTime	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_StartTime	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_ECATDriverCompileTime	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_DomainName	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_Idle	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_IncludedinMonitoring	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_IncludedinScanSchedule	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_InstallationFailed	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_InstallTime	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_IIOCLevel0	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_IIOCLevel1	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_IIOCLevel2	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_IIOCLevel3	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_Country	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_BootTime	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_LastScan	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_LastSeen	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_MAC	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_MachineID	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_MachineName	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_AllowAccessDataSourceDomain	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_AllowDisplayMixedContent	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_AntiVirusDisabled	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_BadCertificateWarningDisabled	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_CookiesCleanupDisabled	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_CrosssiteScriptFilterDisabled	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_FirewallDisabled	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_IEDepDisabled	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_IEEnhancedSecurityDisabled	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_IntranetZoneNotificationDisabled	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_LUADisabled	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_NoAntivirusNotificationDisabled	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_NoFirewallNotificationDisabled	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_NoUACNotificationDisabled	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_NoWindowsUpdateDisabled	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_RegistryToolsDisabled	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_SmartscreenFilterDisabled	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_SystemRestoreDisabled	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_TaskManagerDisabled	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_UACDisabled	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_WarningOnZoneCrossingDisabled	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_WarningPostRedirectionDisabled	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_Manufacturer	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_Model	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_NetworkAdapterPromiscModel	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_OperatingSystem	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_ProcessorArchitecture	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_ProcessorCount	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_Platform	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_ProcessorIs32bits	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_Processoris64	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_ProcessorName	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_Scanning	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_ScanStartTime	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_Serial	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_TimeZone	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_TotalPhysicalMemory	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_HTTPSFallbackMode	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_BlockingActive	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_RoamingAgentsRelaySystemActive	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_UserID	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_WindowsDirectory	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_NetWitnessInvestigate	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_ContainmentStatus	如果 JSON 結果中存在該值，則傳回該值

指令碼執行結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

JSON 結果


{
    "Machine": {
        "DriverErrorCode": "0xe0010014",
        "ServicePackOS": "0",
        "MachineStatus": "Offline-DriverError",
        "Type": "Windows",
        "VersionInfo": "4.4.0.0",
        "UserName": "",
        "OrganizationUnit": "",
        "LocalIP": "172.30.203.155",
        "NetworkSegment": "172.30.203.0",
        "Gateway": "172.30.203.1",
        "RemoteIP": "172.30.203.155",
        "Group": "Default",
        "AdminStatus": "",
        "KernelDebuggerDetected": "False",
        "EarlyStart": "False",
        "NotifyShutdownModule": "False",
        "LoadedModuleModule": "False",
        "NotifyRoutineModule": "False",
        "UnloadedDriverModule": "False",
        "ErrorLogModule": "False",
        "LowLevelReaderModule": "False",
        "ProcessModule": "False",
        "WorkerThreadModule": "False",
        "WindowsHooksModule": "False",
        "DebuggerAttachedToProcess": "False",
        "ProcessMonitorModule": "False",
        "ThreadMonitorModule": "False",
        "ObjectMonitorModule": "False",
        "ImageMonitorModule": "False",
        "DriverMonitorModule": "False",
        "TdiMonitorModule": "False",
        "TrackingModule": "False",
        "TrackingRegistryMonitor": "False",
        "TrackingObjectMonitor": "False",
        "TrackingFileMonitor": "False",
        "TrackingRemoteThreadMonitor": "False",
        "TrackingCreateProcessMonitor": "False",
        "TrackingHardLinkMonitor": "False",
        "TrackingFileBlockMonitor": "False",
        "TrackingNetworkMonitor": "False",
        "ECATServerName": "RSA-EDR",
        "Online": "False",
        "IIOCScore": "39",
        "ChassisType": "Other",
        "ContainmentSupported": "False",
        "AgentID": "d96de745-c39b-b513-420d-598952bd463e",
        "BIOS": "Phoenix Technologies LTD - 6.00 - PhoenixBIOS 4.0 Release 6.0",
        "OSBuildNumber": "18363",
        "Comment": "",
        "ConnectionTime": "7/31/2020 9:01:11 AM",
        "Language": "en-US",
        "DNS": "172.30.202.237",
        "DomainRole": "Member Workstation",
        "ECATServiceCompileTime": "9/15/2017 10:26:23 PM",
        "ECATPackageTime": "6/26/2020 6:39:59 AM",
        "StartTime": "6/29/2020 11:56:36 AM",
        "ECATDriverCompileTime": "9/15/2017 10:20:48 PM",
        "DomainName": "ecat.local",
        "Idle": "False",
        "IncludedinMonitoring": "True",
        "IncludedinScanSchedule": "True",
        "InstallationFailed": "False",
        "InstallTime": "6/26/2020 6:42:20 AM",
        "IIOCLevel0": "0",
        "IIOCLevel1": "0",
        "IIOCLevel2": "4",
        "IIOCLevel3": "9",
        "Country": "USA",
        "BootTime": "6/29/2020 11:56:31 AM",
        "LastScan": "6/26/2020 6:47:54 AM",
        "LastSeen": "7/31/2020 9:31:12 AM",
        "MAC": "00:50:56:A2:10:9E",
        "MachineID": "422518b6-54d8-4814-b5d7-02b043ca0103",
        "MachineName": "RSA-HOST02",
        "AllowAccessDataSourceDomain": "False",
        "AllowDisplayMixedContent": "False",
        "AntiVirusDisabled": "False",
        "BadCertificateWarningDisabled": "False",
        "CookiesCleanupDisabled": "False",
        "CrosssiteScriptFilterDisabled": "False",
        "FirewallDisabled": "False",
        "IEDepDisabled": "False",
        "IEEnhancedSecurityDisabled": "False",
        "IntranetZoneNotificationDisabled": "False",
        "LUADisabled": "False",
        "NoAntivirusNotificationDisabled": "False",
        "NoFirewallNotificationDisabled": "False",
        "NoUACNotificationDisabled": "False",
        "NoWindowsUpdateDisabled": "False",
        "RegistryToolsDisabled": "False",
        "SmartscreenFilterDisabled": "False",
        "SystemRestoreDisabled": "False",
        "TaskManagerDisabled": "False",
        "UACDisabled": "False",
        "WarningOnZoneCrossingDisabled": "False",
        "WarningPostRedirectionDisabled": "False",
        "Manufacturer": "VMware, Inc.",
        "Model": "VMware Virtual Platform",
        "NetworkAdapterPromiscMode": "False",
        "OperatingSystem": "Microsoft Windows 10 Enterprise Evaluation",
        "ProcessorArchitecture": "x64",
        "ProcessorCount": "2",
        "Platform": "64-bit (x64)",
        "ProcessorIs32bits": "False",
        "Processoris64": "True",
        "ProcessorName": "Intel(R) Xeon(R) CPU E5-2698 v3 @ 2.30GHz",
        "Scanning": "False",
        "ScanStartTime": "7/31/2020 9:07:58 AM",
        "Serial": "VMware-42 22 a8 f8 6a 01 41 ca-12 10 80 75 56 bf 21 4b",
        "TimeZone": "Pacific Standard Time",
        "TotalPhysicalMemory": "4294430720",
        "HTTPSFallbackMode": "False",
        "BlockingActive": "True",
        "RoamingAgentsRelaySystemActive": "True",
        "UserID": "00000000-0000-0000-0000-000000000000",
        "WindowsDirectory": "C:\\Windows",
        "NetWitnessInvestigate": "True",
        "ContainmentStatus": "Not Contained"
    },
    "Iocs": [
        {
            "Alertable": "False",
            "EvaluationDate": "6/26/2020 6:48:11 AM",
            "IOCContext": "0",
            "IOCTriggeredOnMachine": "True",
            "BiasStatus": "Undefined",
            "Active": "True",
            "Description": "Likely packed",
            "Type": "Module",
            "IOCLevel": "2",
            "LastExecuted": "7/31/2020 9:08:11 AM",
            "Name": "Likely Packed.sql",
            "Priority": "0",
            "Query": "\r\n\r\nSELECT DISTINCT\r\n\t[mp].[FK_Machines] AS [FK_Machines],\r\n\t[mp].[PK_MachineModulePaths] AS [FK_MachineModulePaths]           \r\nFROM\r\n\t[dbo].[MachineModulePaths] AS [mp] WITH(NOLOCK)\r\n\tINNER JOIN [dbo].[MachinesToEvaluate] AS [me] WITH(NOLOCK) ON ([me].[RK_Machines] = [mp].[FK_Machines])\r\n\tINNER JOIN [dbo].[Modules] AS [mo] WITH(NOLOCK) ON ([mo].[PK_Modules] = [mp].[FK_Modules])\r\nWHERE \r\n\t[mo].[ModulePacked] = 0 AND\r\n\t(\r\n\t\t[mo].[ModuleCodeSectionWritable] = 1 OR\r\n\t\t[mo].[ModuleDuplicateSectionName] = 1 OR\r\n\t\t[mo].[ModuleEmptySectionName] = 1\r\n\t) AND\r\n\t[mo].[Entropy] >= 6.8 AND\r\n\t[mp].[MarkedAsDeleted]  = 0\r\n\r\n",
            "MachineCount": "1",
            "ModuleCount": "2"
        }
    ]
}

案件總覽

結果類型	值 / 說明	類型
輸出訊息*	動作不應失敗，也不應停止執行應對手冊：如果成功，且至少有一個提供的實體經過擴充 (is_success = true)： Print "Successfully enriched the following endpoints from RSA NetWitness EDR: \n {0}".format(entity.identifier list) 如果無法擴充特定實體(is_success = true)： Print "Action was not able to enrich the following endpoints from RSA NetWitness EDR \n: {0}".format([entity.identifier]) 如果無法為所有實體擴充資料 (is_success = false)：列印：「No entities were enriched.」(沒有實體經過擴充。) 動作應會失敗並停止執行應對手冊：如果發生嚴重錯誤，例如憑證錯誤、無法連線至伺服器等： Print "Error executing action "Enrich Endpoint". 原因：{0}''.format(error.Stacktrace)	一般
案件總覽表格	如果「Include IOCs Information」== True 表格名稱：「{0} - IOCs」。format(entity.identifier) 資料表欄：名稱 (對應為「名稱」) 類型 (對應為「類型」) IOC 層級 (對應為 IOCLevel) 有效 (對應為有效) 優先順序 (對應為「優先順序」) 說明 (對應為「說明」) 上次執行時間 (對應為「上次執行時間」)	一般

結果類型

值 / 說明

類型

輸出訊息*

動作不應失敗，也不應停止執行應對手冊：

如果成功，且至少有一個提供的實體經過擴充 (is_success = true)：

Print "Successfully enriched the following endpoints from RSA NetWitness EDR: \n {0}".format(entity.identifier list)

如果無法擴充特定實體(is_success = true)：

Print "Action was not able to enrich the following endpoints from RSA NetWitness EDR \n: {0}".format([entity.identifier])

如果無法為所有實體擴充資料 (is_success = false)：

列印：「No entities were enriched.」(沒有實體經過擴充。)

動作應會失敗並停止執行應對手冊：

如果發生嚴重錯誤，例如憑證錯誤、無法連線至伺服器等：

Print "Error executing action "Enrich Endpoint". 原因：{0}''.format(error.Stacktrace)

一般

案件總覽表格

如果「Include IOCs Information」== True

表格名稱：「{0} - IOCs」。format(entity.identifier)

資料表欄：

名稱 (對應為「名稱」)
類型 (對應為「類型」)
IOC 層級 (對應為 IOCLevel)
有效 (對應為有效)
優先順序 (對應為「優先順序」)
說明 (對應為「說明」)
上次執行時間 (對應為「上次執行時間」)

一般

取得 IOC 詳細資料

說明

運用 RSA NetWitness EDR 的入侵指標資訊，擴充 Google SecOps 實體。

參數

參數顯示名稱	類型	預設值	是否為必填	說明
IOC 層級門檻	DDL	中可能的值：重大高中低	是	為實體指定 IOC 層級門檻。如果實體超過閾值，相關實體就會標示為可疑。

參數顯示名稱

類型

預設值

是否為必填

說明

IOC 層級門檻

DDL

中

可能的值：

重大

高

中

低

是

為實體指定 IOC 層級門檻。如果實體超過閾值，相關實體就會標示為可疑。

執行時間

這項操作會對所有實體執行。

動作執行結果

實體擴充

補充資料欄位名稱	邏輯 - 應用時機
RSA_EDR_Active	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_Alertable	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_BlacklistedCount	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_GraylistedCount	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_Description	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_ErrorMessage	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_EvaluationMachineCount	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_Type	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_IOCLevel	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_LastEvaluationDuration	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_LastExecuted	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_MachineCount	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_ModuleCount	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_Name	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_Persistent	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_Priority	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_UserDefined	如果 JSON 結果中存在該值，則傳回該值
RSA_EDR_WhitelistedCount	如果 JSON 結果中存在該值，則傳回該值

指令碼執行結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

JSON 結果

{
    "iocQuery": {
        "Active": "True",
        "Alertable": "False",
        "BlacklistedCount": "0",
        "GraylistedCount": "0",
        "Description": "Autorun unsigned BHO",
        "ErrorMessage": "",
        "EvaluationMachineCount": "1",
        "Type": "Windows",
        "IOCLevel": "2",
        "LastEvaluationDuration": "0",
        "LastExecutionDuration": "0",
        "LastExecuted": "7/31/2020 9:08:12 AM",
        "MachineCount": "0",
        "ModuleCount": "0",
        "Name": "Autorun_Unsigned_BHO.sql",
        "Persistent": "True",
        "Priority": "5",
        "Query": "\r\n\r\nSELECT DISTINCT\r\n\t[mp].[FK_Machines] AS [FK_Machines],\r\n\t[mp].[PK_MachineModulePaths] AS [FK_MachineModulePaths]           \r\nFROM\r\n\t[dbo].[mocAutoruns] AS [ar] WITH(NOLOCK)\r\n\tINNER JOIN [dbo].[MachinesToEvaluate] AS [me] WITH(NOLOCK) ON ([me].[RK_Machines] = [ar].[FK_Machines])\r\n\tINNER JOIN [dbo].[Paths] AS [pa] WITH(NOLOCK) ON ([pa].[PK_Paths] = [ar].[FK_Paths__RegistryPath])\r\n\tINNER JOIN [dbo].[MachineModulePaths] AS [mp] WITH(NOLOCK) ON ([mp].[PK_MachineModulePaths] = [ar].[FK_MachineModulePaths] AND [mp].[FK_Machines] = [ar].[FK_Machines])\r\n\tINNER JOIN [dbo].[Modules] AS [mo] WITH(NOLOCK) ON ([mo].[PK_Modules] = [mp].[FK_Modules])\r\nWHERE \r\n\t[ar].[Type] = 5 AND\r\n\t[pa].[Path] LIKE N'%\\SOFTWARE%Microsoft\\Windows\\CurrentVersion\\Explorer\\Browser Helper Objects\\%' AND\r\n\t[mo].[ModuleSignaturePresent] = 0 AND\r\n\t[ar].[MarkedAsDeleted] = 0\r\n\r\n",
        "UserDefined": "False",
        "WhitelistedCount": "0"
    }
}

案件總覽

結果類型	值 / 說明	類型
輸出訊息*	動作不應失敗或停止劇本執行：如果成功且至少有一個提供的實體經過擴充 (is_success = true)：列印「Action was not able to enrich the following entities from RSA NetWitness EDR \n: {0}」。format([entity.identifier]) 如果無法擴充特定實體 (is_success = true)：列印「Successfully enriched the following entities from RSA NetWitness EDR: \n {0}」(已成功擴充下列 RSA NetWitness EDR 實體：\n {0})。format(entity.identifier list) 如果所有實體都無法完成擴充 (is_success = false)：列印：「No entities were enriched.」(沒有任何實體完成擴充。) 動作應會失敗並停止執行應對手冊：如果發生重大錯誤 (例如憑證錯誤、無法連線至伺服器等)： Print "Error executing action "Enrich Entities". 原因：{0}''.format(error.Stacktrace)	一般

結果類型

值 / 說明

類型

輸出訊息*

動作不應失敗或停止劇本執行：
如果成功且至少有一個提供的實體經過擴充 (is_success = true)：
列印「Action was not able to enrich the following entities from RSA NetWitness EDR \n: {0}」。format([entity.identifier])

如果無法擴充特定實體 (is_success = true)：
列印「Successfully enriched the following entities from RSA NetWitness EDR: \n {0}」(已成功擴充下列 RSA NetWitness EDR 實體：\n {0})。format(entity.identifier list)

如果所有實體都無法完成擴充 (is_success = false)：
列印：「No entities were enriched.」(沒有任何實體完成擴充。)

動作應會失敗並停止執行應對手冊：

如果 發生重大錯誤 (例如憑證錯誤、無法連線至伺服器等)：

Print "Error executing action "Enrich Entities". 原因：{0}''.format(error.Stacktrace)

一般

將 IP 加入黑名單

說明

在 RSA NetWitness EDR 中將 IP 加入黑名單。

參數

不適用

執行時間

這項操作會對 IP 位址實體執行。

動作執行結果

指令碼執行結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

JSON 結果

{
    "Ips": [
        "10.0.0.2"
    ],
    "ResponseStatus": {
        "ErrorCode": "200",
        "Message": "Some of the IPs could not be processed. The HTTP response body contains all successfully processed IPs"
    }
}

案件總覽

結果類型	值 / 說明	類型
輸出訊息*	動作不得失敗或停止劇本執行：如果成功且至少有一個提供的實體經過擴充 (is_success = true)： Print "Successfully add the following IPs to blacklist in RSA NetWitness EDR: \n {0}".format(entity.identifier list) 如果無法擴充特定實體(is_success = true)： Print "Action was not able to add the following IPs to blacklist in RSA NetWitness EDR \n: {0}".format([entity.identifier]) 如果所有實體都無法完成擴充 (is_success = false)：列印：「No IPs were added to the blacklist in RSA NetWitness EDR.」(RSA NetWitness EDR 中沒有新增至黑名單的 IP。) 動作應會失敗並停止執行應對手冊：如果發生重大錯誤 (例如憑證錯誤、無法連線至伺服器等)： Print "Error executing action "Add IP To Blacklist". 原因：{0}''.format(error.Stacktrace)	一般

結果類型

值 / 說明

類型

輸出訊息*

動作不得失敗或停止劇本執行：
如果成功且至少有一個提供的實體經過擴充 (is_success = true)：
Print "Successfully add the following IPs to blacklist in RSA NetWitness EDR: \n {0}".format(entity.identifier list)

如果無法擴充特定實體(is_success = true)：
Print "Action was not able to add the following IPs to blacklist in RSA NetWitness EDR \n: {0}".format([entity.identifier])

如果所有實體都無法完成擴充 (is_success = false)：
列印：「No IPs were added to the blacklist in RSA NetWitness EDR.」(RSA NetWitness EDR 中沒有新增至黑名單的 IP。)

動作應會失敗並停止執行應對手冊：

如果 發生重大錯誤 (例如憑證錯誤、無法連線至伺服器等)：

Print "Error executing action "Add IP To Blacklist". 原因：{0}''.format(error.Stacktrace)

一般

將網址加入黑名單

說明

在 RSA NetWitness EDR 中將網址加入黑名單。

執行時間

這項動作會對網址實體執行。

動作執行結果

指令碼執行結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

JSON 結果

{
    "Domains": [
        "фів"
    ]
}

案件總覽

結果類型	值 / 說明	類型
輸出訊息*	動作不得失敗或停止劇本執行：如果成功，且至少有一個提供的實體已擴增 (is_success = true)： Print "Successfully add the following URLs to blacklist in RSA NetWitness EDR: \n {0}".format(entity.identifier list) 如果無法擴充特定實體(is_success = true)： Print "Action was not able to add the following URLs to blacklist in RSA NetWitness EDR \n: {0}".format([entity.identifier]) 如果所有實體都無法完成擴充 (is_success = false)：列印：「No URLs were added to the blacklist in RSA NetWitness EDR.」(未將任何網址新增至 RSA NetWitness EDR 的黑名單。) 動作應會失敗並停止執行應對手冊：如果發生重大錯誤 (例如憑證錯誤、無法連線至伺服器等)： Print "Error executing action "Add URL To Blacklist". 原因：{0}''.format(error.Stacktrace)	一般

結果類型

值 / 說明

類型

輸出訊息*

動作不得失敗或停止劇本執行：
如果成功，且至少有一個提供的實體已擴增 (is_success = true)：
Print "Successfully add the following URLs to blacklist in RSA NetWitness EDR: \n {0}".format(entity.identifier list)

如果無法擴充特定實體(is_success = true)：
Print "Action was not able to add the following URLs to blacklist in RSA NetWitness EDR \n: {0}".format([entity.identifier])

如果所有實體都無法完成擴充 (is_success = false)：
列印：「No URLs were added to the blacklist in RSA NetWitness EDR.」(未將任何網址新增至 RSA NetWitness EDR 的黑名單。)

動作應會失敗並停止執行應對手冊：

如果 發生重大錯誤 (例如憑證錯誤、無法連線至伺服器等)：

Print "Error executing action "Add URL To Blacklist". 原因：{0}''.format(error.Stacktrace)

一般

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。