Tanium
Integrationsversion: 11.0
Vorbereitung
Tanium verwendet API-Tokens zur Authentifizierung von Aufrufen der REST APIs. Weitere Informationen zum Generieren von API-Tokens finden Sie in der Tanium-Dokumentation unter Managing API tokens.
Tanium in Google Security Operations einbinden
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Integrationsparameter
Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| API-Stamm | URL | – | Ja | Geben Sie den Tanium API-Stamm an, der für die Integration verwendet werden soll. |
| API-Token | Passwort | – | Ja | Geben Sie das Tanium-API-Token an, das für die Integration verwendet werden soll. |
| SSL überprüfen | Kästchen | Aktiviert | Nein | Wenn diese Option aktiviert ist, prüft der Google SecOps-Server, ob das Zertifikat für den API-Root konfiguriert ist. |
Aktionen
Ping
Testen Sie die Verbindung zur Tanium-Installation mit Parametern, die auf der Seite für die Integrationskonfiguration auf dem Tab „Google Security Operations Marketplace“ angegeben sind.
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt und hat keine obligatorischen Eingabeparameter.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg: „Successfully connected to the Tanium installation with the provided connection parameters!“ (Die Verbindung zur Tanium-Installation mit den angegebenen Verbindungsparametern wurde erfolgreich hergestellt.) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein kritischer Fehler gemeldet wird, z. B. falsche Anmeldedaten oder Verbindungsverlust: „Failed to connect to the Tanium installation! Fehler: {0}".format(exception.stacktrace) |
Allgemein |
Entitäten anreichern
Entitäten mit Informationen aus Tanium anreichern Die Aktion ist ein asynchroner Vorgang von Google SecOps. Unterstützte Einheiten: Hostname, IP-Adresse.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Zusätzliche Felder | CSV | – | Nein | Geben Sie zusätzliche Felder an, die zur Anreicherung von Entitäten aus Tanium abgerufen werden sollen. Für den Parameter können mehrere Werte als durch Kommas getrennter String angegeben werden. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"data": {
"now": "2022/01/28 10:18:54 GMT-0000",
"max_available_age": "",
"result_sets": [
{
"age": 0,
"id": X,
"report_count": 2,
"saved_question_id": 0,
"question_id": X,
"archived_question_id": 0,
"seconds_since_issued": 0,
"issue_seconds": 0,
"expire_seconds": 0,
"tested": 4,
"passed": 1,
"mr_tested": 4,
"mr_passed": 4,
"estimated_total": 4,
"select_count": 10,
"error_count": 0,
"no_results_count": 0,
"columns": [
{
"hash": X,
"name": "Computer ID",
"type": 1
},
{
"hash": 0,
"name": "Count",
"type": 3
}
],
"cache_id": "X",
"expiration": 0,
"filtered_row_count": 1,
"filtered_row_count_machines": 1,
"row_count": 1,
"row_count_machines": 1,
"item_count": 1,
"rows": [
{
"id": x,
"cid": x,
"data": [
[
{
"text": "X"
}
],
[
{
"text": "No User"
}
],
[
{
"text": "1"
}
]
]
}
]
}
]
}
}
Anreicherungstabelle
Präfix:Tanium_
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| Computer_ID | Wenn in JSON verfügbar |
| Operating_System | Wenn in JSON verfügbar |
| OS_Platform | Wenn in JSON verfügbar |
| Service_Pack | Wenn in JSON verfügbar |
| Domain_Name | Wenn in JSON verfügbar |
| Betriebszeit | Wenn in JSON verfügbar |
| System_UUID | Wenn in JSON verfügbar |
| IP_Address | Wenn in JSON verfügbar |
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn Daten für eine Entität verfügbar sind (is_success = true): „Die folgenden Entitäten wurden mit Informationen von Tanium angereichert: {entity.identifier}“. Wenn für ein Element keine Daten verfügbar sind (is_success=true): „Die Aktion konnte die folgenden Elemente nicht mit Informationen von Tanium anreichern: {entity.identifier}“ Wenn es in Tanium mehrere Übereinstimmungen für die angegebene Entität gibt (is_success=true): „Multiple results found in Tanium for the entities, taking first match: {entity.identifier}“ (In Tanium wurden mehrere Ergebnisse für die Entitäten gefunden. Es wird die erste Übereinstimmung verwendet: {entity.identifier}) Wenn für nicht alle Entitäten Daten verfügbar sind (is_success=false): „Keine der angegebenen Entitäten wurde angereichert.“ Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn der Statuscode 400 (ungültige Syntax der Frage) gemeldet wird: „Fehler beim Ausführen der Aktion ‚Enrich Entities‘ (Entitäten anreichern), da der angegebene Fragetext ungültig ist. " Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚Enrich Entities‘.“ Grund: {0}''.format(error.Stacktrace) |
Allgemein |
| Tabelle „Fall-Repository“ | Tabellenname: {entity.identifier} Tabellenspalten:
|
Entität |
Create Question (Frage erstellen)
Erstellt eine neue Tanium-Frage basierend auf den angegebenen Parametern und die Frage wird sofort gestellt. Die Aktion gibt die Frage-ID zurück, die an die Aktion „Get Question Results“ (Frageergebnisse abrufen) übergeben werden kann, um Frageergebnisse zu erhalten. Die Aktion funktioniert nicht mit Google SecOps-Entitäten.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Fragetext | String | – | Ja | Geben Sie den Inhalt der Tanium-Frage an. Beispiel: Betriebssystem von allen Computern abrufen |
Ausführen am
Die Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"data": {
"id": X
}
}
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn Daten verfügbar sind (is_success = true): „Tanium-Frage mit der ID {question_id_from_response} wurde erfolgreich erstellt.“ Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn der Statuscode 400 (ungültige Syntax der Frage) gemeldet wird: „Fehler beim Ausführen der Aktion ‚Frage erstellen‘, da der angegebene Fragetext ungültig ist. " Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder „Sonstiges“: „Fehler beim Ausführen der Aktion ‚Frage erstellen‘. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
Ergebnisse der Frage abrufen
Ergebnisse für die Tanium-Frage abrufen Die Aktion ist eine asynchrone Google SecOps-Aktion. Beachten Sie, dass die Aktion nicht mit Google SecOps-Entitäten funktioniert.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Frage-ID | Ganzzahl | – | Ja | Geben Sie die Tanium-Frage-ID an, für die Sie Ergebnisse abrufen möchten. |
| Case Wall-Tabelle erstellen | Kästchen | Aktiviert | Nein | Wenn diese Option aktiviert ist, wird im Rahmen der Aktionsergebnisse eine Tabelle mit dem Fall-Repository erstellt. |
| Maximale Anzahl zurückzugebender Zeilen | Ganzzahl | 50 | Ja | Geben Sie die maximale Anzahl von Zeilen an, die von der Aktion für die Frage zurückgegeben werden sollen. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"data": {
"now": "2022/01/29 04:09:29 GMT-0000",
"max_available_age": "",
"result_sets": [
{
"age": 0,
"id": X,
"report_count": 3,
"saved_question_id": 0,
"question_id": X,
"archived_question_id": 0,
"seconds_since_issued": 0,
"issue_seconds": 0,
"expire_seconds": 0,
"tested": 4,
"passed": 4,
"mr_tested": 4,
"mr_passed": 4,
"estimated_total": 4,
"select_count": 1,
"error_count": 0,
"no_results_count": 0,
"columns": [
{
"hash": 45421433,
"name": "Operating System",
"type": 1
}
],
"cache_id": "X",
"expiration": 0,
"filtered_row_count": 4,
"filtered_row_count_machines": 4,
"row_count": 4,
"row_count_machines": 4,
"item_count": 4,
"rows": [
{
"id": X,
"cid": 0,
"data": [
[
{
"text": "X"
}
],
[
{
"text": X
}
]
]
},
{
"id": X,
"cid": 0,
"data": [
[
{
"text": X
}
],
[
{
"text": X
}
]
]
},
{
"id": X,
"cid": 0,
"data": [
[
{
"text": X
}
],
[
{
"text": X
}
]
]
},
{
"id": X,
"cid": 0,
"data": [
[
{
"text": X
}
],
[
{
"text": X
}
]
]
}
]
}
]
}
}
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn Daten verfügbar sind (is_success=true): „Successfully fetched results for the following Tanium question id: {question id}“ (Ergebnisse für die folgende Tanium-Frage-ID wurden abgerufen: {question id}). Wenn keine Daten verfügbar sind (is_success=false): „No results were found for the Tanium question id: {question id}“ (Für die Tanium-Frage-ID {question id} wurden keine Ergebnisse gefunden) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn der Statuscode 404 (Frage nicht vorhanden) gemeldet wird: „Failed to find Tanium question with question id {question_id}. " Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚Frageergebnisse abrufen‘. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
| Tabelle | Tabellenname:Tanium Question {question_id} Results Tabellenspalten: Spalten werden basierend auf den Daten generiert, die von einer Frage zurückgegeben werden. |
Allgemein |
Endpunkt-Ereignisse auflisten
Listet Ereignisse auf, die sich auf die Endpunkte von Tanium beziehen. Die Aktion funktioniert mit der Tanium Threat Response API.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Ereignistyp | DDL | Kombiniert Mögliche Werte:
|
Nein | Geben Sie den Typ des Ereignisses an, das zurückgegeben werden soll. |
| Zeitraum | DDL | Letzte Stunde Mögliche Werte:
|
Nein | Geben Sie einen Zeitraum für die Ergebnisse an. Wenn „Alert Time Till Now“ (Benachrichtigungszeit bis jetzt) ausgewählt ist, wird die Startzeit der Benachrichtigung als Startzeit für die Suche verwendet und die Endzeit ist die aktuelle Uhrzeit. Wenn „30 Minuten vor und nach der Benachrichtigungszeit“ ausgewählt ist, werden die Benachrichtigungen 30 Minuten vor und nach der Benachrichtigungszeit durchsucht. Dasselbe gilt für „1 Stunde vor und nach der Benachrichtigungszeit“ und „5 Minuten vor und nach der Benachrichtigungszeit“. Wenn „Benutzerdefiniert“ ausgewählt ist, müssen Sie auch den Parameter „Startzeit“ angeben. |
| Beginn | String | – | Nein | Geben Sie die Startzeit für die Ergebnisse an. Dieser Parameter ist erforderlich, wenn für den Parameter „Zeitrahmen“ die Option „Benutzerdefiniert“ ausgewählt ist. Format: ISO 8601 |
| Ende | String | – | Nein | Geben Sie die Endzeit für die Ergebnisse an. Wenn nichts angegeben ist und für den Parameter „Zeitrahmen“ die Option „Benutzerdefiniert“ ausgewählt ist, wird für diesen Parameter die aktuelle Zeit verwendet. Format: ISO 8601 |
| Sortierfeld | String | timestamp | Nein | Geben Sie den Parameter an, der für die Sortierung verwendet werden soll. |
| Sortierreihenfolge | DDL | ASC möglich Werte:
|
Nein | Geben Sie die Sortierreihenfolge an. |
| Maximale Anzahl zurückzugebender Ereignisse | Ganzzahl | 50 | Nein | Geben Sie die Anzahl der Ereignisse an, die pro Einheit zurückgegeben werden sollen. Maximum: 500 |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"events": [
{
"create_time": "2022-01-18 11:59:52.000",
"end_time": null,
"exit_code": null,
"pid": 2,
"process_path": "kthreadd",
"id": "72057594037927939",
"process_table_id": "72057594037927939",
"parent_process_table_id": "72057594037927937",
"parent_pid": -1,
"user_name": "root",
"group_name": "root",
"hash_type_name": null,
"hash": null,
"process_command_line": null,
"parent_path": "<Unknown Process>",
"parent_command_line": "<Unknown Process>",
"parent_hash": null,
"create_time_raw": 1642507192000,
"end_time_raw": null
}
]
}
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn mindestens ein Ereignis für einen Endpunkt gefunden wird (is_success=true): „Successfully returned events for the following endpoints in Tanium:\n“.format(entity). Wenn für einen Endpunkt keine Ereignisse gefunden werden (is_success=true): „Für die folgenden Endpunkte in Tanium wurden keine Ereignisse gefunden:\n“.format(entity).“ Wenn für alle Endpunkte keine Ereignisse gefunden werden (is_success=true): „Für die angegebenen Endpunkte in Tanium wurden keine Ereignisse gefunden.“ Wenn keine Verbindung hergestellt werden konnte oder für einige Endpunkte keine Verbindung gefunden wurde (is_success=true): „Die Aktion konnte aufgrund von Problemen mit der Agent-Verbindung keine Informationen zu Ereignissen von den folgenden Endpunkten in Tanium abrufen: {entity}. Achten Sie darauf, dass diese Hostnamen mit dem Tanium Threat Response-Modul verbunden sind.“ Wenn nicht alle Daten angereichert wurden (is_success=false): „No information about IOCs were found.“ (Es wurden keine Informationen zu IOCs gefunden.) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder „Sonstiges“: „Fehler beim Ausführen der Aktion ‚IOC anreichern‘. Grund: {0}''.format(error.Stacktrace) Wenn keine Verbindung erstellt werden konnte oder für alle Endpunkte keine Verbindung gefunden wurde (is_success=false): „Fehler beim Ausführen der Aktion ‚Endpunktereignisse auflisten‘. Grund: Die Aktion konnte aufgrund von Problemen mit der Agent-Verbindung keine Informationen zu Ereignissen von den bereitgestellten Endpunkten in Tanium abrufen. Achten Sie darauf, dass diese Hostnamen mit dem Tanium Threat Response-Modul verbunden sind.“ |
Allgemein |
Quarantäneendpunkt
Stellen Sie die Endpunkte in Tanium unter Quarantäne. Die Aktion funktioniert mit der Tanium Threat Response API.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Nur initiieren | Kästchen | Deaktiviert | Ja | Wenn diese Option aktiviert ist, wird die Ausführung der Aufgabe nur gestartet, ohne auf Ergebnisse zu warten. |
| Paketnamen | String |
|
Ja | Ein JSON-Objekt mit allen Paketnamen für jedes Betriebssystem. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"id": 82,
"type": "responseAction",
"status": "COMPLETED",
"metadata": {
"id": 2,
"type": "gatherSnapshot",
"status": "RUNNING",
"computerName": "EX01.exlab.local",
"userId": 1,
"userName": "tanium",
"options": {},
"results": {
"taskIds": [
73
],
"actionIds": []
},
"expirationTime": "2022-03-08T14:31:50.211Z",
"createdAt": "2022-03-01T14:31:50.212Z",
"updatedAt": "2022-03-01T14:36:19.533Z"
},
"results": {
"didActionComplete": false,
"stopped": true,
"finished": true
},
"error": null,
"startTime": "2022-03-01T14:42:10.390Z",
"endTime": "2022-03-01T15:29:50.495Z",
"createdAt": "2022-03-01T14:42:10.379Z",
"updatedAt": "2022-03-01T14:42:10.379Z"
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn mindestens ein Endpunkt unter Quarantäne gestellt wird (is_success=true): "Successfully initiated quarantine on the following endpoints in Tanium:\n".format(entity) Wenn mindestens ein Endpunkt nicht unter Quarantäne gestellt wurde, aber nicht aufgrund eines Zeitlimits (is_success=false): „Die Aktion konnte die folgenden Endpunkte in Tanium nicht unter Quarantäne stellen: {entity}. Prüfen Sie, ob der Tanium Threat Response-Agent richtig verbunden ist und der Hostname bzw. die IP-Adresse korrekt ist.“ Wenn nicht alle Endpunkte unter Quarantäne gestellt werden, aber nicht aufgrund eines Zeitlimits (is_success=false): „Die Aktion konnte die angegebenen Endpunkte in Tanium nicht unter Quarantäne stellen. Prüfen Sie, ob der Tanium Threat Response-Agent richtig verbunden ist und der Hostname bzw. die IP-Adresse korrekt ist.“ Ausstehende asynchrone Entitäten: {entities} Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚IOC anreichern‘. Grund: {0}''.format(error.Stacktrace) Wenn keine Verbindung hergestellt werden konnte oder keine Verbindung für alle Endpunkte gefunden wurde (is_success=false): „Fehler beim Ausführen der Aktion ‚Endpunkt unter Quarantäne stellen‘. Grund: Die Aktion konnte die angegebenen Endpunkte in Tanium aufgrund von Problemen mit der Agent-Verbindung nicht unter Quarantäne stellen. Prüfen Sie, ob die Endpunkte mit dem Tanium Threat Response-Modul verbunden sind und der Hostname bzw. die IP-Adresse korrekt ist.“ Bei Zeitüberschreitung: „Fehler beim Ausführen der Aktion ‚Endpunkt unter Quarantäne stellen‘. Grund: Bei der Ausführung der Aktion ist ein Zeitüberschreitungsfehler aufgetreten. Ausstehende Entitäten: {entities that are still in progress} Erhöhen Sie das Zeitlimit in der IDE oder aktivieren Sie „Nur initiieren“.“ |
Allgemein |
Datei herunterladen
Eine Datei von Endpunkten in Tanium herunterladen. Die Aktion funktioniert mit der Tanium Threat Response API.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Dateipfade | CSV | – | Ja | Geben Sie den absoluten Pfad der Dateien auf dem Endpunkt an, die heruntergeladen werden müssen. |
| Download-Ordnerpfad | String | – | Ja | Geben Sie den Pfad zu dem Ordner an, in dem Sie die Dateien speichern möchten. |
| Überschreiben | Kästchen | Deaktiviert | Ja | Wenn diese Option aktiviert ist, wird die Datei mit demselben Namen überschrieben. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"absolute_file_path": [
"file_path_1",
"file_path_2"
],
"entity": [
{
"identifier": "",
"task_details": {
"id": 81,
"type": "fileDownload",
"status": "COMPLETED",
"metadata": {
"connection": "remote:centos-003:3864230059:1",
"paths": [
"/tmp/saaj-impl.jar"
],
"compress": "true"
},
"results": {
"completed": [
"/tmp/saaj-impl.jar"
],
"failed": [],
"fileResults": [
{
"response": {
"source": "/tmp/saaj-impl.jar",
"target": "/opt/Tanium/TaniumModuleServer/services/threat-response-service/tmp/4965e791-db87-4f31-ba60-2e52c9bac3de",
"totalBytes": 503502,
"transferHash": "5402c16c3873a722b94d8a3101cb98f5e4f862acc69cdee3a94cf40c1b04b265",
"totalTimeMs": 260,
"avgBytesPerSecond": 504123.0769230769
},
"uuid": "eb5077b3-9b02-42e2-bba4-58d9668a14e4",
"finalPath": "/opt/Tanium/TaniumModuleServer/services/threat-response-files/evidence/files/eb5077b3-9b02-42e2-bba4-58d9668a14e4.zip"
}
]
},
"error": null,
"startTime": "2022-03-01T14:38:23.952Z",
"endTime": "2022-03-01T14:38:24.559Z",
"createdAt": "2022-03-01T14:38:23.943Z",
"updatedAt": "2022-03-01T14:38:23.943Z"
}
}
]
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn mindestens eine Datei pro Entität heruntergeladen wird (is_success=true): „Die folgenden Dateien wurden erfolgreich vom Endpunkt {entity} in Tanium heruntergeladen:\n“.format(downloaded files). Wenn mindestens eine Datei pro Entität nicht heruntergeladen wird, aber nicht aufgrund eines Zeitlimits (is_success=false): „Die Aktion konnte die folgenden Dateien vom Endpunkt {entity} in Tanium nicht herunterladen: {pending files}. Prüfen Sie, ob der Tanium Threat Response-Agent richtig verbunden ist und der Hostname bzw. die IP-Adresse korrekt ist. Das JSON-Ergebnis enthält weitere Details zu den Aufgaben.“ Ausstehende asynchrone Entitäten: {entities} Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder „Sonstiges“: „Fehler beim Ausführen der Aktion ‚Datei herunterladen‘. Grund: {0}''.format(error.Stacktrace) Wenn bereits eine Datei mit demselben Namen vorhanden ist, aber „Overwrite“ == false: „Error executing action ‚Download File‘.“ Grund: Dateien mit dem Pfad {0} sind bereits vorhanden. Bitte löschen Sie die Dateien oder setzen Sie „Overwrite“ auf „true“.“ Bei Zeitüberschreitung: „Fehler beim Ausführen der Aktion ‚Datei herunterladen‘. Grund: Bei der Ausführung der Aktion ist ein Zeitüberschreitungsfehler aufgetreten. Ausstehende Entitäten: {entities that are still in progress} Bitte erhöhen Sie das Zeitlimit in der IDE.“ |
Allgemein |
Datei löschen
Eine Datei von Endpunkten in Tanium herunterladen. Die Aktion funktioniert mit der Tanium Threat Response API.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Dateipfade | CSV | – | Ja | Geben Sie den absoluten Pfad der Dateien auf dem Endpunkt an, die gelöscht werden müssen. |
Ausführen am
Diese Aktion funktioniert mit den folgenden Einheiten:
- IP-Adresse
- Hostname
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"success": [],
"not_exist_already_or_errors": []
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn mindestens eine Datei gelöscht wird (Statuscode: 204, is_success=true): „Successfully deleted files from the following endpoints in Tanium:\n".format(entity)." Wenn mindestens eine Datei auf einem Endpunkt nicht vorhanden ist (Statuscode: 500, is_success=true): „Der Status einiger Dateien ist unklar. Bitte prüfen Sie das JSON-Ergebnis. Tanium gibt den Statuscode 500 zurück, wenn die Datei nicht gefunden wird, aber auch, wenn andere Probleme auftreten.“ Wenn mindestens eine Datei nicht auf allen Endpunkten vorhanden ist (Statuscode: 500, is_success=false): „Der Status aller Dateien ist unklar. Bitte prüfen Sie das JSON-Ergebnis. Tanium gibt den Statuscode 500 zurück, wenn die Datei nicht gefunden wird, aber auch, wenn andere Probleme auftreten.“ Wenn mindestens ein Endpunkt nicht gefunden wird (is_success=true): „Die Aktion konnte keine Dateien von den folgenden Endpunkten in Tanium löschen: {entity}. Prüfen Sie, ob der Tanium Threat Response-Agent richtig verbunden ist und der Hostname bzw. die IP-Adresse korrekt ist.“ Wenn nicht alle Endpunkte gefunden werden (is_success=false): „Die Aktion konnte keine Dateien von den angegebenen Endpunkten in Tanium löschen. Prüfen Sie, ob der Tanium Threat Response-Agent richtig verbunden ist und der Hostname bzw. die IP-Adresse korrekt ist.“ Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder „Sonstiges“: „Fehler beim Ausführen der Aktion ‚Datei löschen‘. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
Aufgabendetails abrufen
Details zu einer Aufgabe in Tanium abrufen. Die Aktion funktioniert mit der Tanium Threat Response API.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Aufgaben-IDs | CSV | – | Ja | Geben Sie eine durch Kommas getrennte Liste der Aufgaben-IDs an, für die Sie Details abrufen möchten. |
| Auf Abschluss warten | Kästchen | Aktiviert | Nein | Wenn diese Option aktiviert ist, wartet die Aktion, bis die Aufgabe einen der folgenden Status hat:
|
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"id": 81,
"type": "fileDownload",
"status": "COMPLETED",
"metadata": {
"connection": "remote:centos-003:3864230059:1",
"paths": [
"/tmp/saaj-impl.jar"
],
"compress": "true"
},
"results": {
"completed": [
"/tmp/saaj-impl.jar"
],
"failed": [],
"fileResults": [
{
"response": {
"source": "/tmp/saaj-impl.jar",
"target": "/opt/Tanium/TaniumModuleServer/services/threat-response-service/tmp/4965e791-db87-4f31-ba60-2e52c9bac3de",
"totalBytes": 503502,
"transferHash": "5402c16c3873a722b94d8a3101cb98f5e4f862acc69cdee3a94cf40c1b04b265",
"totalTimeMs": 260,
"avgBytesPerSecond": 504123.0769230769
},
"uuid": "eb5077b3-9b02-42e2-bba4-58d9668a14e4",
"finalPath": "/opt/Tanium/TaniumModuleServer/services/threat-response-files/evidence/files/eb5077b3-9b02-42e2-bba4-58d9668a14e4.zip"
}
]
},
"error": null,
"startTime": "2022-03-01T14:38:23.952Z",
"endTime": "2022-03-01T14:38:24.559Z",
"createdAt": "2022-03-01T14:38:23.943Z",
"updatedAt": "2022-03-01T14:38:23.943Z"
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn mindestens eine Aufgabe abgerufen wird (is_success=true): „Successfully fetched details about the following tasks in Tanium:\n“.format(id).“ Wenn mindestens eine Aufgabe nicht gefunden wird (is_success=true): „Action wasn't able to find the following tasks in Tanium:\n“.format(id).“ Wenn mindestens eine Aufgabe nicht gefunden wird (is_success=true): „No tasks were found in Tanium.“ (In Tanium wurden keine Aufgaben gefunden.) Asynchrones Abrufen von Details zu Aufgaben: {task ids} Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚Aufgabendetails abrufen‘. Grund: {0}''.format(error.Stacktrace) Wenn ein Zeitlimit überschritten wird und der Parameter „Auf Abschluss warten“ aktiviert ist: „Fehler beim Ausführen der Aktion ‚Aufgabendetails abrufen‘. Grund: Bei der Ausführung der Aktion ist ein Zeitüberschreitungsfehler aufgetreten. Ausstehende Aufgaben: {tasks that are still in progress}. Bitte erhöhen Sie das Zeitlimit in der IDE.“ |
Allgemein |
Verbindung erstellen
Stellen Sie eine Verbindung zum Endpunkt in Tanium her.
Entitäten
Diese Aktion wird für die Entitäten „Hostname“ und „IP-Adresse“ ausgeführt.
Aktionseingaben
–
Aktionsausgaben
| Ausgabetyp der Aktion | |
|---|---|
| Anhang im Fall-Repository | – |
| Link zum Fall‑Repository | – |
| Tabelle „Fall-Repository“ | – |
| Anreicherungstabelle | – |
| JSON-Ergebnis | – |
| Scriptergebnis | Verfügbar |
Scriptergebnis
| Name des Scriptergebnisses | Wert |
|---|---|
| is_success | Wahr/falsch |
Fall-Repository
Die Aktion gibt die folgenden Ausgabenachrichten aus:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Aktion erfolgreich. |
|
Aktion fehlgeschlagen. Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Verbindungen auflisten
Endpunktverbindungen in Tanium auflisten
Entitäten
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionseingaben
–
Aktionsausgaben
| Ausgabetyp der Aktion | |
|---|---|
| Anhang im Fall-Repository | – |
| Link zum Fall‑Repository | – |
| Tabelle „Fall-Repository“ | – |
| Anreicherungstabelle | – |
| JSON-Ergebnis | – |
| Scriptergebnis | Verfügbar |
Scriptergebnis
| Name des Scriptergebnisses | Wert |
|---|---|
| is_success | Wahr/falsch |
Fall-Repository
Die Aktion gibt die folgenden Ausgabenachrichten aus:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Aktion erfolgreich. |
Error executing action "List Connections". Reason:
ERROR_REASON |
Aktion fehlgeschlagen. Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten