Tanium
Versión de integración: 11.0
Requisitos previos
Tanium usa tokens de API para autenticar las llamadas a las APIs REST. Para obtener más información sobre cómo generar tokens de API, consulta el artículo Gestionar tokens de API de la documentación de Tanium.
Integrar Tanium con Google Security Operations
Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Raíz de la API | URL | N/A | Sí | Especifica la raíz de la API de Tanium que debe usar la integración. |
| Token de API | Contraseña | N/A | Sí | Especifica el token de API de Tanium que debe usar la integración. |
| Verificar SSL | Casilla | Marcada | No | Si está habilitado, el servidor de Google SecOps comprueba que el certificado esté configurado para la raíz de la API. |
Acciones
Ping
Prueba la conectividad con la instalación de Tanium con los parámetros proporcionados en la página de configuración de la integración de la pestaña Google Security Operations Marketplace.
Fecha de ejecución
Esta acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se realiza correctamente: "Successfully connected to the Tanium installation with the provided connection parameters!" ("Se ha conectado correctamente a la instalación de Tanium con los parámetros de conexión proporcionados"). La acción debería fallar y detener la ejecución de la guía: Si se informa de un error crítico, como credenciales incorrectas o pérdida de conectividad: "No se ha podido conectar con la instalación de Tanium. Error: {0}".format(exception.stacktrace) |
General |
Enriquecer entidades
Enriquece las entidades con información de Tanium. Action es una acción asíncrona de Google SecOps. Entidades admitidas: nombre de host y dirección IP.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Campos adicionales | CSV | N/A | No | Especifica campos adicionales que se deben obtener de Tanium para enriquecer las entidades. El parámetro acepta varios valores como una cadena separada por comas. |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"data": {
"now": "2022/01/28 10:18:54 GMT-0000",
"max_available_age": "",
"result_sets": [
{
"age": 0,
"id": X,
"report_count": 2,
"saved_question_id": 0,
"question_id": X,
"archived_question_id": 0,
"seconds_since_issued": 0,
"issue_seconds": 0,
"expire_seconds": 0,
"tested": 4,
"passed": 1,
"mr_tested": 4,
"mr_passed": 4,
"estimated_total": 4,
"select_count": 10,
"error_count": 0,
"no_results_count": 0,
"columns": [
{
"hash": X,
"name": "Computer ID",
"type": 1
},
{
"hash": 0,
"name": "Count",
"type": 3
}
],
"cache_id": "X",
"expiration": 0,
"filtered_row_count": 1,
"filtered_row_count_machines": 1,
"row_count": 1,
"row_count_machines": 1,
"item_count": 1,
"rows": [
{
"id": x,
"cid": x,
"data": [
[
{
"text": "X"
}
],
[
{
"text": "No User"
}
],
[
{
"text": "1"
}
]
]
}
]
}
]
}
}
Tabla de enriquecimiento
Prefijo: Tanium_
| Nombre del campo de enriquecimiento | Lógica: cuándo aplicar |
|---|---|
| Computer_ID | Cuando esté disponible en JSON |
| Operating_System | Cuando esté disponible en JSON |
| OS_Platform | Cuando esté disponible en JSON |
| Service_Pack | Cuando esté disponible en JSON |
| Domain_Name | Cuando esté disponible en JSON |
| Tiempo de funcionamiento | Cuando esté disponible en JSON |
| System_UUID | Cuando esté disponible en JSON |
| IP_Address | Cuando esté disponible en JSON |
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si hay datos disponibles para una entidad (is_success = true): "Se han enriquecido correctamente las siguientes entidades con información de Tanium: {entity.identifier}". Si no hay datos disponibles para una entidad (is_success=true): "No se ha podido enriquecer la siguiente entidad con información de Tanium: {entity.identifier}" Si hay varias coincidencias en Tanium para la entidad proporcionada (is_success=true): "Se han encontrado varios resultados en Tanium para las entidades. Se toma la primera coincidencia: {entity.identifier}" Si los datos no están disponibles para todas las entidades (is_success=false): "None of the provided entities were enriched." ("No se ha enriquecido ninguna de las entidades proporcionadas"). La acción debería fallar y detener la ejecución de la guía: Si se devuelve el código de estado 400 (sintaxis incorrecta de la pregunta): "Error al ejecutar la acción "Enrich Entities" porque el texto de la pregunta proporcionado no es válido. " Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Enrich Entities"." ("Error al ejecutar la acción "Enriquecer entidades"). Motivo: {0}''.format(error.Stacktrace) |
General |
| Tabla del panel de casos | Nombre de la tabla: {entity.identifier} Columnas de tabla:
|
Entidad |
Crear pregunta
Crea una pregunta de Tanium basada en los parámetros especificados y la pregunta se formula inmediatamente. La acción devuelve el ID de la pregunta, que se puede transferir a la acción "Get Question Results" para obtener los resultados de la pregunta. Ten en cuenta que la acción no funciona con las entidades de Google SecOps.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Texto de la pregunta | Cadena | N/A | Sí | Especifica el contenido de la pregunta de Tanium. Ejemplo: Obtener el sistema operativo de todas las máquinas |
Fecha de ejecución
La acción no se ejecuta en entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"data": {
"id": X
}
}
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si hay datos disponibles (is_success = true): "Successfully created Tanium question with id {question_id_from_response}". La acción debería fallar y detener la ejecución de la guía: Si se devuelve el código de estado 400 (sintaxis incorrecta de la pregunta): "Error al ejecutar la acción "Crear pregunta" porque el texto de la pregunta proporcionado no es válido. " Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Crear pregunta". Motivo: {0}''.format(error.Stacktrace) |
General |
Obtener los resultados de las preguntas
Obtiene los resultados de la pregunta de Tanium. Action es una acción asíncrona de Google SecOps. Ten en cuenta que la acción no funciona con las entidades de Google SecOps.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de pregunta | Entero | N/A | Sí | Especifica el ID de la pregunta de Tanium para obtener los resultados. |
| Crear tabla de muro de casos | Casilla | Marcada | No | Si se habilita, la acción crea una tabla de panel de casos como parte de los resultados de la acción. |
| Número máximo de filas que se devolverán | Entero | 50 | Sí | Especifica el número máximo de filas que debe devolver la acción para la pregunta. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"data": {
"now": "2022/01/29 04:09:29 GMT-0000",
"max_available_age": "",
"result_sets": [
{
"age": 0,
"id": X,
"report_count": 3,
"saved_question_id": 0,
"question_id": X,
"archived_question_id": 0,
"seconds_since_issued": 0,
"issue_seconds": 0,
"expire_seconds": 0,
"tested": 4,
"passed": 4,
"mr_tested": 4,
"mr_passed": 4,
"estimated_total": 4,
"select_count": 1,
"error_count": 0,
"no_results_count": 0,
"columns": [
{
"hash": 45421433,
"name": "Operating System",
"type": 1
}
],
"cache_id": "X",
"expiration": 0,
"filtered_row_count": 4,
"filtered_row_count_machines": 4,
"row_count": 4,
"row_count_machines": 4,
"item_count": 4,
"rows": [
{
"id": X,
"cid": 0,
"data": [
[
{
"text": "X"
}
],
[
{
"text": X
}
]
]
},
{
"id": X,
"cid": 0,
"data": [
[
{
"text": X
}
],
[
{
"text": X
}
]
]
},
{
"id": X,
"cid": 0,
"data": [
[
{
"text": X
}
],
[
{
"text": X
}
]
]
},
{
"id": X,
"cid": 0,
"data": [
[
{
"text": X
}
],
[
{
"text": X
}
]
]
}
]
}
]
}
}
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si hay datos disponibles (is_success=true): "Successfully fetched results for the following Tanium question id: {question id}". ("Se han obtenido correctamente los resultados de la siguiente ID de pregunta de Tanium: {question id}"). Si no hay datos disponibles (is_success=false): "No se han encontrado resultados para el ID de pregunta de Tanium: {question id}" La acción debería fallar y detener la ejecución de la guía: Si se devuelve el código de estado 404 (la pregunta no existe): "Failed to find Tanium question with question id {question_id}. " Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Qet Question Results". Motivo: {0}''.format(error.Stacktrace) |
General |
| Tabla | Nombre de la tabla: Resultados de la pregunta {question_id} de Tanium Columnas de tabla: Las columnas se generan en función de los datos devueltos por una pregunta. |
General |
Mostrar eventos de endpoint
Lista los eventos relacionados con los endpoints de Tanium. La acción funciona con la API Tanium Threat Response.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Tipo de evento | DDL | Combinada Posibles valores:
|
No | Especifica el tipo de evento que se debe devolver. |
| Periodo | DDL | Última hora Valores posibles:
|
No | Especifica un periodo para los resultados. Si se selecciona "Tiempo de alerta hasta ahora", la acción usa la hora de inicio de la alerta como hora de inicio de la búsqueda y la hora actual como hora de finalización. Si se selecciona "30 minutos antes y después de la hora de la alerta", la acción buscará las alertas desde 30 minutos antes de que se produzca la alerta hasta 30 minutos después. Lo mismo ocurre con "1 hora antes y después de la hora de la alerta" y "5 minutos antes y después de la hora de la alerta". Si se selecciona "Personalizado", también debe proporcionar el parámetro "Hora de inicio". |
| Hora de inicio | Cadena | N/A | No | Especifica la hora de inicio de los resultados. Este parámetro es obligatorio si se selecciona "Personalizado" en el parámetro "Periodo". Formato: ISO 8601 |
| Hora de finalización | Cadena | N/A | No | Especifica la hora de finalización de los resultados. Si no se proporciona ningún valor y se selecciona "Personalizado" en el parámetro "Periodo", este parámetro usará la hora actual. Formato: ISO 8601 |
| Campo de ordenación | Cadena | timestamp | No | Especifica el parámetro que se debe usar para ordenar. |
| Orden de clasificación | DDL | ASC Possible Valores:
|
No | Especifica el orden de clasificación. |
| Número máximo de eventos que se devolverán | Entero | 50 | No | Especifica el número de eventos que se devolverán por entidad. Máximo: 500 |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"events": [
{
"create_time": "2022-01-18 11:59:52.000",
"end_time": null,
"exit_code": null,
"pid": 2,
"process_path": "kthreadd",
"id": "72057594037927939",
"process_table_id": "72057594037927939",
"parent_process_table_id": "72057594037927937",
"parent_pid": -1,
"user_name": "root",
"group_name": "root",
"hash_type_name": null,
"hash": null,
"process_command_line": null,
"parent_path": "<Unknown Process>",
"parent_command_line": "<Unknown Process>",
"parent_hash": null,
"create_time_raw": 1642507192000,
"end_time_raw": null
}
]
}
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se encuentra al menos un evento para un endpoint (is_success=true): "Successfully returned events for the following endpoints in Tanium:\n".format(entity)." ("Se han devuelto correctamente los eventos de los siguientes endpoints en Tanium:\n".format(entity).") Si no se encuentran eventos de un endpoint (is_success=true): "No se han encontrado eventos de los siguientes endpoints en Tanium:\n".format(entity)." Si no se encuentran eventos en todos los endpoints (is_success=true): "No se han encontrado eventos en los endpoints proporcionados en Tanium". Si no se ha podido crear la conexión o no se ha encontrado ninguna conexión para algunos endpoints (is_success=true): "Action wasn't able to retrieve information about events from the following endpoints in Tanium due to agent connectivity issues: {entity}. Asegúrate de que esos nombres de host estén conectados al módulo Tanium Threat Response". Si no se ha enriquecido todo (is_success=false): "No se ha encontrado información sobre los IOCs". La acción debería fallar y detener la ejecución de la guía: Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro: "Error al ejecutar la acción "Enriquecer IOC". Motivo: {0}''.format(error.Stacktrace) Si no se ha podido crear la conexión o no se ha encontrado ninguna conexión para todos los endpoints (is_success=false): "Error al ejecutar la acción "List Endpoint Events". Motivo: no se ha podido obtener información sobre los eventos de los endpoints proporcionados en Tanium debido a problemas de conectividad del agente. Asegúrate de que esos nombres de host estén conectados al módulo Tanium Threat Response". |
General |
Endpoint de cuarentena
Pon en cuarentena los endpoints en Tanium. La acción funciona con la API de Tanium Threat Response.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Solo iniciar | Casilla | Desmarcada | Sí | Si está habilitada, la acción solo inicia la ejecución de la tarea sin esperar los resultados. |
| Nombres de paquetes | Cadena |
|
Sí | Un objeto JSON que contiene todos los nombres de paquete de cada sistema operativo. |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"id": 82,
"type": "responseAction",
"status": "COMPLETED",
"metadata": {
"id": 2,
"type": "gatherSnapshot",
"status": "RUNNING",
"computerName": "EX01.exlab.local",
"userId": 1,
"userName": "tanium",
"options": {},
"results": {
"taskIds": [
73
],
"actionIds": []
},
"expirationTime": "2022-03-08T14:31:50.211Z",
"createdAt": "2022-03-01T14:31:50.212Z",
"updatedAt": "2022-03-01T14:36:19.533Z"
},
"results": {
"didActionComplete": false,
"stopped": true,
"finished": true
},
"error": null,
"startTime": "2022-03-01T14:42:10.390Z",
"endTime": "2022-03-01T15:29:50.495Z",
"createdAt": "2022-03-01T14:42:10.379Z",
"updatedAt": "2022-03-01T14:42:10.379Z"
}
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si al menos un endpoint está en cuarentena (is_success=true): "Se ha iniciado correctamente la cuarentena en los siguientes endpoints de Tanium:\n".format(entity) Si al menos un endpoint no está en cuarentena, pero no debido a un tiempo de espera agotado (is_success=false): "No se ha podido poner en cuarentena los siguientes endpoints en Tanium: {entity}. Asegúrate de que el agente de Tanium Threat Response esté conectado correctamente y de que el nombre de host o la dirección IP sean correctos". Si no se ponen en cuarentena todos los endpoints, pero no por un tiempo de espera agotado (is_success=false): "Action wasn't able to quarantine the provided endpoints in Tanium. Asegúrate de que el agente de Tanium Threat Response esté conectado correctamente y de que el nombre de host o la dirección IP sean correctos". Entidades pendientes asíncronas: {entities} La acción debería fallar y detener la ejecución de la guía: Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Enriquecer IOC". Motivo: {0}''.format(error.Stacktrace) Si no se ha podido crear la conexión o no se ha encontrado ninguna conexión para todos los endpoints (is_success=false): "Error al ejecutar la acción "Quarantine Endpoint". Motivo: no se ha podido poner en cuarentena los endpoints proporcionados en Tanium debido a problemas de conectividad del agente. Comprueba que los endpoints estén conectados al módulo Tanium Threat Response y que el nombre de host o la dirección IP sean correctos". Si se agota el tiempo de espera: "Error al ejecutar la acción "Poner en cuarentena el endpoint". Motivo: la acción ha agotado el tiempo de espera durante la ejecución. Entidades pendientes: {entities that are still in progress}. Aumenta el tiempo de espera en el IDE o habilita "Solo iniciar"." |
General |
Descargar archivo
Descargar un archivo de los endpoints de Tanium. Action funciona con la API Tanium Threat Response.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Rutas de archivo | CSV | N/A | Sí | Especifica la ruta absoluta de los archivos del endpoint que se deben descargar. |
| Ruta de la carpeta de descargas | Cadena | N/A | Sí | Especifica la ruta a la carpeta en la que quieras almacenar los archivos. |
| Sobrescribir | Casilla | Desmarcada | Sí | Si está habilitada, la acción sobrescribe el archivo con el mismo nombre. |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"absolute_file_path": [
"file_path_1",
"file_path_2"
],
"entity": [
{
"identifier": "",
"task_details": {
"id": 81,
"type": "fileDownload",
"status": "COMPLETED",
"metadata": {
"connection": "remote:centos-003:3864230059:1",
"paths": [
"/tmp/saaj-impl.jar"
],
"compress": "true"
},
"results": {
"completed": [
"/tmp/saaj-impl.jar"
],
"failed": [],
"fileResults": [
{
"response": {
"source": "/tmp/saaj-impl.jar",
"target": "/opt/Tanium/TaniumModuleServer/services/threat-response-service/tmp/4965e791-db87-4f31-ba60-2e52c9bac3de",
"totalBytes": 503502,
"transferHash": "5402c16c3873a722b94d8a3101cb98f5e4f862acc69cdee3a94cf40c1b04b265",
"totalTimeMs": 260,
"avgBytesPerSecond": 504123.0769230769
},
"uuid": "eb5077b3-9b02-42e2-bba4-58d9668a14e4",
"finalPath": "/opt/Tanium/TaniumModuleServer/services/threat-response-files/evidence/files/eb5077b3-9b02-42e2-bba4-58d9668a14e4.zip"
}
]
},
"error": null,
"startTime": "2022-03-01T14:38:23.952Z",
"endTime": "2022-03-01T14:38:24.559Z",
"createdAt": "2022-03-01T14:38:23.943Z",
"updatedAt": "2022-03-01T14:38:23.943Z"
}
}
]
}
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se descarga al menos un archivo por entidad (is_success=true): "Se han descargado correctamente los siguientes archivos del endpoint {entity} en Tanium:\n".format(downloaded files)." Si no se descarga al menos un archivo por entidad, pero no debido a un tiempo de espera agotado (is_success=false): "Action no ha podido descargar los siguientes archivos del endpoint {entity} en Tanium: {pending files}. Asegúrate de que el agente de Tanium Threat Response esté conectado correctamente y de que el nombre de host o la dirección IP sean correctos. El resultado en JSON tiene más detalles sobre las tareas". Entidades pendientes asíncronas: {entities} La acción debería fallar y detener la ejecución de la guía: Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Descargar archivo". Motivo: {0}''.format(error.Stacktrace)" Si ya existe un archivo con el mismo nombre, pero "Overwrite" == false: "Error al ejecutar la acción "Descargar archivo". Motivo: ya existen archivos con la ruta {0}. Elimina los archivos o asigna el valor "true" a "Overwrite"." Si se agota el tiempo de espera: "Error al ejecutar la acción "Descargar archivo". Motivo: la acción ha agotado el tiempo de espera durante la ejecución. Entidades pendientes: {entities that are still in progress}. Aumenta el tiempo de espera en el IDE". |
General |
Eliminar archivo
Descargar un archivo de los endpoints de Tanium. Action funciona con la API Tanium Threat Response.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Rutas de archivo | CSV | N/A | Sí | Especifica la ruta absoluta de los archivos del endpoint que se deben eliminar. |
Fecha de ejecución
Esta acción funciona con las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"success": [],
"not_exist_already_or_errors": []
}
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se elimina al menos un archivo (código de estado: 204, is_success=true): "Se han eliminado correctamente archivos de los siguientes endpoints de Tanium:\n".format(entity)." Si al menos un archivo no existe en un endpoint (código de estado: 500, is_success=true): "No está claro el estado de algunos archivos. Consulta el resultado JSON. Tanium devuelve el código de estado 500 en el caso de que no se encuentre el archivo, pero también si hay otros problemas". Si al menos un archivo no existe en todos los endpoints (código de estado: 500, is_success=false): "No se conoce el estado de todos los archivos. Consulta el resultado JSON. Tanium devuelve el código de estado 500 en el caso de que no se encuentre el archivo, pero también si hay otros problemas". Si no se encuentra al menos un endpoint (is_success=true): "Action wasn't able to delete files from the following endpoints in Tanium: {entity}. Asegúrate de que el agente de Tanium Threat Response esté conectado correctamente y de que el nombre de host o la dirección IP sean correctos". Si no se encuentran todos los endpoints (is_success=false): "Action wasn't able to delete files from the provided endpoints in Tanium. Asegúrate de que el agente de Tanium Threat Response esté conectado correctamente y de que el nombre de host o la dirección IP sean correctos". La acción debería fallar y detener la ejecución de la guía: Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Eliminar archivo". Motivo: {0}''.format(error.Stacktrace) |
General |
Obtener detalles de la tarea
Recuperar detalles sobre una tarea en Tanium. Action funciona con la API Tanium Threat Response.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| IDs de tareas | CSV | N/A | Sí | Especifica una lista de IDs de tareas separados por comas de las que quieras obtener los detalles. |
| Wait For Completion | Casilla | Marcada | No | Si está habilitada, la acción espera a que la tarea tenga uno de los siguientes estados:
|
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"id": 81,
"type": "fileDownload",
"status": "COMPLETED",
"metadata": {
"connection": "remote:centos-003:3864230059:1",
"paths": [
"/tmp/saaj-impl.jar"
],
"compress": "true"
},
"results": {
"completed": [
"/tmp/saaj-impl.jar"
],
"failed": [],
"fileResults": [
{
"response": {
"source": "/tmp/saaj-impl.jar",
"target": "/opt/Tanium/TaniumModuleServer/services/threat-response-service/tmp/4965e791-db87-4f31-ba60-2e52c9bac3de",
"totalBytes": 503502,
"transferHash": "5402c16c3873a722b94d8a3101cb98f5e4f862acc69cdee3a94cf40c1b04b265",
"totalTimeMs": 260,
"avgBytesPerSecond": 504123.0769230769
},
"uuid": "eb5077b3-9b02-42e2-bba4-58d9668a14e4",
"finalPath": "/opt/Tanium/TaniumModuleServer/services/threat-response-files/evidence/files/eb5077b3-9b02-42e2-bba4-58d9668a14e4.zip"
}
]
},
"error": null,
"startTime": "2022-03-01T14:38:23.952Z",
"endTime": "2022-03-01T14:38:24.559Z",
"createdAt": "2022-03-01T14:38:23.943Z",
"updatedAt": "2022-03-01T14:38:23.943Z"
}
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se obtiene al menos una tarea (is_success=true): "Successfully fetched details about the following tasks in Tanium:\n".format(id)." Si no se encuentra al menos una tarea (is_success=true): "Action wasn't able to find the following tasks in Tanium:\n".format(id)." Si no se encuentra al menos una tarea (is_success=true): "No se ha encontrado ninguna tarea en Tanium". Obtención asíncrona de detalles sobre las tareas: {task ids} La acción debería fallar y detener la ejecución de la guía: Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Obtener detalles de la tarea". Motivo: {0}''.format(error.Stacktrace)" Si se agota el tiempo de espera y el parámetro "Wait for completion" (Esperar a que se complete) está habilitado: "Error al ejecutar la acción "Get Task Details" (Obtener detalles de la tarea). Motivo: la acción ha agotado el tiempo de espera durante la ejecución. Tareas pendientes: {tareas que aún están en curso}. Aumenta el tiempo de espera en el IDE". |
General |
Crear conexión
Crea una conexión con el endpoint en Tanium.
Entidades
Esta acción se ejecuta en las entidades Nombre de host y Dirección IP.
Entradas de acciones
N/A
Resultados de la acción
| Tipo de salida de la acción | |
|---|---|
| Adjunto del panel de casos | N/A |
| Enlace del panel de casos | N/A |
| Tabla del panel de casos | N/A |
| Tabla de enriquecimiento | N/A |
| Resultado de JSON | N/A |
| Resultado de la secuencia de comandos | Disponible |
Resultado de la secuencia de comandos
| Nombre del resultado del script | Valor |
|---|---|
| is_success | Verdadero/Falso |
Panel de casos
La acción proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
|
Ha fallado la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Mostrar conexiones
Lista de conexiones de endpoints en Tanium.
Entidades
Esta acción no se ejecuta en entidades.
Entradas de acciones
N/A
Resultados de la acción
| Tipo de salida de la acción | |
|---|---|
| Adjunto del panel de casos | N/A |
| Enlace del panel de casos | N/A |
| Tabla del panel de casos | N/A |
| Tabla de enriquecimiento | N/A |
| Resultado de JSON | N/A |
| Resultado de la secuencia de comandos | Disponible |
Resultado de la secuencia de comandos
| Nombre del resultado del script | Valor |
|---|---|
| is_success | Verdadero/Falso |
Panel de casos
La acción proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "List Connections". Reason:
ERROR_REASON |
Ha fallado la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.