Tanium
Versión de integración: 11.0
Requisitos previos
Tanium usa tokens de API para autenticar las llamadas a las APIs de REST. Para obtener más información sobre cómo generar tokens de API, consulta Administrar tokens de API en la documentación de Tanium.
Integra Tanium en Google Security Operations
Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Raíz de la API | URL | N/A | Sí | Especifica la raíz de la API de Tanium que debe usar la integración. |
| Token de API | Contraseña | N/A | Sí | Especifica el token de API de Tanium que debe usar la integración. |
| Verificar SSL | Casilla de verificación | Marcado | No | Si está habilitado, el servidor de SecOps de Google verifica que el certificado esté configurado para la raíz de la API. |
Acciones
Ping
Prueba la conectividad con la instalación de Tanium con los parámetros que se proporcionan en la página de configuración de la integración en la pestaña Google Security Operations Marketplace.
Fecha de ejecución
Esta acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si la conexión se realiza correctamente, aparecerá el mensaje "Successfully connected to the Tanium installation with the provided connection parameters!". La acción debería fallar y detener la ejecución de la guía: Si se informa un error crítico, como credenciales incorrectas o pérdida de conectividad: "No se pudo conectar a la instalación de Tanium. Error is {0}".format(exception.stacktrace) |
General |
Enriquece entidades
Enriquece las entidades con información de Tanium. La acción es una acción asíncrona de Google SecOps. Entidades admitidas: Nombre de host y dirección IP.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Campos adicionales | CSV | N/A | No | Especifica campos adicionales para recuperar de Tanium para el enriquecimiento de entidades. El parámetro acepta varios valores como una cadena separada por comas. |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"data": {
"now": "2022/01/28 10:18:54 GMT-0000",
"max_available_age": "",
"result_sets": [
{
"age": 0,
"id": X,
"report_count": 2,
"saved_question_id": 0,
"question_id": X,
"archived_question_id": 0,
"seconds_since_issued": 0,
"issue_seconds": 0,
"expire_seconds": 0,
"tested": 4,
"passed": 1,
"mr_tested": 4,
"mr_passed": 4,
"estimated_total": 4,
"select_count": 10,
"error_count": 0,
"no_results_count": 0,
"columns": [
{
"hash": X,
"name": "Computer ID",
"type": 1
},
{
"hash": 0,
"name": "Count",
"type": 3
}
],
"cache_id": "X",
"expiration": 0,
"filtered_row_count": 1,
"filtered_row_count_machines": 1,
"row_count": 1,
"row_count_machines": 1,
"item_count": 1,
"rows": [
{
"id": x,
"cid": x,
"data": [
[
{
"text": "X"
}
],
[
{
"text": "No User"
}
],
[
{
"text": "1"
}
]
]
}
]
}
]
}
}
Tabla de enriquecimiento
Prefijo: Tanium_
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| Computer_ID | Cuando está disponible en JSON |
| Operating_System | Cuando está disponible en JSON |
| OS_Platform | Cuando está disponible en JSON |
| Service_Pack | Cuando está disponible en JSON |
| Domain_Name | Cuando está disponible en JSON |
| Tiempo de actividad | Cuando está disponible en JSON |
| System_UUID | Cuando está disponible en JSON |
| IP_Address | Cuando está disponible en JSON |
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si hay datos disponibles para una entidad (is_success = true): "Se enriquecieron correctamente las siguientes entidades con información de Tanium: {entity.identifier}". Si no hay datos disponibles para una entidad (is_success=true): "No se pudo enriquecer la siguiente entidad con información de Tanium: {entity.identifier}" Si hay varias coincidencias en Tanium para la entidad proporcionada (is_success=true): "Se encontraron varios resultados en Tanium para las entidades. Se tomará la primera coincidencia: {entity.identifier}" Si los datos no están disponibles para todas las entidades (is_success=false): "Ninguna de las entidades proporcionadas se enriqueció". La acción debería fallar y detener la ejecución de la guía: Si se informa el código de estado 400 (sintaxis incorrecta de la pregunta): "Error al ejecutar la acción "Enrich Entities" porque el texto de la pregunta proporcionado no es válido. " Si se informa un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro error, se mostrará el mensaje "Error al ejecutar la acción "Enrich Entities"". Reason: {0}''.format(error.Stacktrace) |
General |
| Tabla del muro de casos | Nombre de la tabla: {entity.identifier} Columnas de la tabla:
|
Entidad |
Create Question
Crea una nueva pregunta de Tanium basada en los parámetros especificados y la pregunta se formula de inmediato. La acción devuelve el ID de la pregunta que se puede pasar a la acción "Get Question Results" para obtener los resultados de la pregunta. Ten en cuenta que la acción no funciona con las entidades de SecOps de Google.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Texto de la pregunta | String | N/A | Sí | Especifica el contenido de la pregunta de Tanium. Ejemplo: Obtén el sistema operativo de todas las máquinas |
Fecha de ejecución
La acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"data": {
"id": X
}
}
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si hay datos disponibles (is_success = true): "Se creó correctamente la pregunta de Tanium con el ID {question_id_from_response}". La acción debería fallar y detener la ejecución de la guía: Si se informa el código de estado 400 (sintaxis incorrecta de la pregunta): "Error al ejecutar la acción "Crear pregunta" porque el texto de la pregunta proporcionado no es válido. " Si se informa un error grave, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema: "Error al ejecutar la acción "Crear pregunta". Reason: {0}''.format(error.Stacktrace) |
General |
Obtén los resultados de las preguntas
Recupera los resultados de la pregunta de Tanium. La acción es una acción asíncrona de Google SecOps. Ten en cuenta que la acción no funciona con las entidades de SecOps de Google.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de la pregunta | Número entero | N/A | Sí | Especifica el ID de la pregunta de Tanium para la que se obtendrán resultados. |
| Crea una tabla de pared para el estuche | Casilla de verificación | Marcado | No | Si se habilita, la acción crea una tabla de muro de casos como parte de los resultados de la acción. |
| Cantidad máxima de filas que se devolverán | Número entero | 50 | Sí | Especifica la cantidad máxima de filas que la acción debe devolver para la pregunta. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"data": {
"now": "2022/01/29 04:09:29 GMT-0000",
"max_available_age": "",
"result_sets": [
{
"age": 0,
"id": X,
"report_count": 3,
"saved_question_id": 0,
"question_id": X,
"archived_question_id": 0,
"seconds_since_issued": 0,
"issue_seconds": 0,
"expire_seconds": 0,
"tested": 4,
"passed": 4,
"mr_tested": 4,
"mr_passed": 4,
"estimated_total": 4,
"select_count": 1,
"error_count": 0,
"no_results_count": 0,
"columns": [
{
"hash": 45421433,
"name": "Operating System",
"type": 1
}
],
"cache_id": "X",
"expiration": 0,
"filtered_row_count": 4,
"filtered_row_count_machines": 4,
"row_count": 4,
"row_count_machines": 4,
"item_count": 4,
"rows": [
{
"id": X,
"cid": 0,
"data": [
[
{
"text": "X"
}
],
[
{
"text": X
}
]
]
},
{
"id": X,
"cid": 0,
"data": [
[
{
"text": X
}
],
[
{
"text": X
}
]
]
},
{
"id": X,
"cid": 0,
"data": [
[
{
"text": X
}
],
[
{
"text": X
}
]
]
},
{
"id": X,
"cid": 0,
"data": [
[
{
"text": X
}
],
[
{
"text": X
}
]
]
}
]
}
]
}
}
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si hay datos disponibles (is_success=true): "Se recuperaron correctamente los resultados para el siguiente ID de pregunta de Tanium: {ID de pregunta}". Si los datos no están disponibles (is_success=false): "No se encontraron resultados para el ID de pregunta de Tanium: {ID de pregunta}" La acción debería fallar y detener la ejecución de la guía: Si se informa el código de estado 404 (la pregunta no existe): "No se pudo encontrar la pregunta de Tanium con el ID de pregunta {question_id}. " Si se informa un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema: "Error al ejecutar la acción "Qet Question Results". Reason: {0}''.format(error.Stacktrace) |
General |
| Tabla | Nombre de la tabla: Resultados de la pregunta {question_id} de Tanium Columnas de la tabla: Las columnas se generan en función de los datos que se muestran como respuesta a una pregunta. |
General |
Enumera los eventos de Endpoint
Enumera los eventos relacionados con los extremos de Tanium. La acción funciona con la API de Tanium Threat Response.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Tipo de evento | DDL | Combinado Valores posibles:
|
No | Especifica el tipo de evento que se debe devolver. |
| Período | DDL | Última hora Valores posibles:
|
No | Especifica un período para los resultados. Si se selecciona "Alert Time Till Now", la acción usa la hora de inicio de la alerta como hora de inicio de la búsqueda y la hora actual como hora de finalización. Si se selecciona "30 minutos antes y después de la hora de la alerta", la acción busca las alertas 30 minutos antes y 30 minutos después de que se produjo la alerta. La misma idea se aplica a "1 Hour Around Alert Time" y "5 Minutes Around Alert Time". Si se selecciona "Personalizado", también debes proporcionar el parámetro "Hora de inicio". |
| Hora de inicio | String | N/A | No | Especifica la hora de inicio de los resultados. Este parámetro es obligatorio si se selecciona "Personalizado" para el parámetro "Período". Formato: ISO 8601 |
| Hora de finalización | String | N/A | No | Especifica la hora de finalización de los resultados. Si no se proporciona nada y se selecciona "Personalizado" para el parámetro "Período", este parámetro usa la hora actual. Formato: ISO 8601 |
| Campo de orden | String | timestamp | No | Especifica el parámetro que se debe usar para la ordenación. |
| Orden de clasificación | DDL | ASC Possible Valores:
|
No | Especifica el orden de clasificación. |
| Cantidad máxima de eventos para devolver | Número entero | 50 | No | Especifica la cantidad de eventos que se devolverán por entidad. Máximo: 500 |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"events": [
{
"create_time": "2022-01-18 11:59:52.000",
"end_time": null,
"exit_code": null,
"pid": 2,
"process_path": "kthreadd",
"id": "72057594037927939",
"process_table_id": "72057594037927939",
"parent_process_table_id": "72057594037927937",
"parent_pid": -1,
"user_name": "root",
"group_name": "root",
"hash_type_name": null,
"hash": null,
"process_command_line": null,
"parent_path": "<Unknown Process>",
"parent_command_line": "<Unknown Process>",
"parent_hash": null,
"create_time_raw": 1642507192000,
"end_time_raw": null
}
]
}
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se encuentra al menos un evento para un extremo (is_success=true): "Se devolvieron correctamente eventos para los siguientes extremos en Tanium:\n".format(entity)." Si no se encuentran eventos para un extremo (is_success=true): "No se encontraron eventos para los siguientes extremos en Tanium:\n".format(entity)." Si no se encuentran eventos para todos los extremos (is_success=true): "No se encontraron eventos para los extremos proporcionados en Tanium". Si no se pudo crear la conexión o no se encontró ninguna conexión para algunos extremos (is_success=true): "No se pudo recuperar información sobre eventos de los siguientes extremos en Tanium debido a problemas de conectividad del agente: {entity}. Asegúrate de que esos nombres de host estén conectados al módulo Tanium Threat Response". Si no se enriqueció todo (is_success=false): "No se encontró información sobre los IoC". La acción debería fallar y detener la ejecución de la guía: Si se informa un error grave, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema, se mostrará el mensaje "Error al ejecutar la acción "Enrich IOC". Reason: {0}''.format(error.Stacktrace) Si no se pudo crear la conexión o no se encontró ninguna conexión para todos los extremos (is_success=false): "Error al ejecutar la acción "List Endpoint Events". Motivo: No se pudo recuperar información sobre eventos de los extremos proporcionados en Tanium debido a problemas de conectividad del agente. Asegúrate de que esos nombres de host estén conectados al módulo Tanium Threat Response". |
General |
Extremo de cuarentena
Pon en cuarentena los endpoints en Tanium. La acción funciona con la API de Tanium Threat Response.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Solo iniciar | Casilla de verificación | Desmarcado | Sí | Si se habilita, la acción solo inicia la ejecución de la tarea sin esperar los resultados. |
| Nombres de paquetes | String |
|
Sí | Es un objeto JSON que contiene todos los nombres de paquetes para cada sistema operativo. |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"id": 82,
"type": "responseAction",
"status": "COMPLETED",
"metadata": {
"id": 2,
"type": "gatherSnapshot",
"status": "RUNNING",
"computerName": "EX01.exlab.local",
"userId": 1,
"userName": "tanium",
"options": {},
"results": {
"taskIds": [
73
],
"actionIds": []
},
"expirationTime": "2022-03-08T14:31:50.211Z",
"createdAt": "2022-03-01T14:31:50.212Z",
"updatedAt": "2022-03-01T14:36:19.533Z"
},
"results": {
"didActionComplete": false,
"stopped": true,
"finished": true
},
"error": null,
"startTime": "2022-03-01T14:42:10.390Z",
"endTime": "2022-03-01T15:29:50.495Z",
"createdAt": "2022-03-01T14:42:10.379Z",
"updatedAt": "2022-03-01T14:42:10.379Z"
}
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si al menos un extremo está en cuarentena (is_success=true): "Se inició correctamente la cuarentena en los siguientes extremos de Tanium:\n".format(entity) Si al menos un extremo no está en cuarentena, pero no se debe a un tiempo de espera agotado (is_success=false): "No se pudo poner en cuarentena los siguientes extremos en Tanium: {entity}. Asegúrate de que el agente de Tanium Threat Response esté conectado correctamente y de que el nombre de host o la dirección IP sean correctos". Si no se pusieron en cuarentena todos los endpoints, pero no se debió a un tiempo de espera agotado (is_success=false): "No se pudo poner en cuarentena los endpoints proporcionados en Tanium. Asegúrate de que el agente de Tanium Threat Response esté conectado correctamente y de que el nombre de host o la dirección IP sean correctos". Entidades pendientes asíncronas: {entities} La acción debería fallar y detener la ejecución de la guía: Si se informa un error grave, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema, se mostrará el mensaje "Error al ejecutar la acción "Enrich IOC"". Reason: {0}''.format(error.Stacktrace) If couldn't create connection or no connection found for all endpoints (is_success=false): "Error executing action "Quarantine Endpoint". Motivo: No se pudo poner en cuarentena los extremos proporcionados en Tanium debido a problemas de conectividad del agente. Asegúrate de que los extremos estén conectados al módulo de Tanium Threat Response y de que el nombre de host o la dirección IP sean correctos". Si se agota el tiempo de espera: "Error al ejecutar la acción "Poner en cuarentena el extremo". Motivo: La acción agotó el tiempo de espera durante la ejecución. Entidades pendientes: {entidades que aún están en curso}. Aumenta el tiempo de espera en el IDE o habilita "Solo iniciar". |
General |
Descargar archivo
Descarga un archivo desde los endpoints en Tanium. La acción funciona con la API de Tanium Threat Response.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Rutas de acceso de los archivos | CSV | N/A | Sí | Especifica la ruta de acceso absoluta de los archivos en el extremo que se deben descargar. |
| Ruta de acceso a la carpeta de descarga | String | N/A | Sí | Especifica la ruta de acceso a la carpeta en la que deseas almacenar los archivos. |
| Reemplazar | Casilla de verificación | Desmarcado | Sí | Si está habilitada, la acción reemplaza el archivo con el mismo nombre. |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"absolute_file_path": [
"file_path_1",
"file_path_2"
],
"entity": [
{
"identifier": "",
"task_details": {
"id": 81,
"type": "fileDownload",
"status": "COMPLETED",
"metadata": {
"connection": "remote:centos-003:3864230059:1",
"paths": [
"/tmp/saaj-impl.jar"
],
"compress": "true"
},
"results": {
"completed": [
"/tmp/saaj-impl.jar"
],
"failed": [],
"fileResults": [
{
"response": {
"source": "/tmp/saaj-impl.jar",
"target": "/opt/Tanium/TaniumModuleServer/services/threat-response-service/tmp/4965e791-db87-4f31-ba60-2e52c9bac3de",
"totalBytes": 503502,
"transferHash": "5402c16c3873a722b94d8a3101cb98f5e4f862acc69cdee3a94cf40c1b04b265",
"totalTimeMs": 260,
"avgBytesPerSecond": 504123.0769230769
},
"uuid": "eb5077b3-9b02-42e2-bba4-58d9668a14e4",
"finalPath": "/opt/Tanium/TaniumModuleServer/services/threat-response-files/evidence/files/eb5077b3-9b02-42e2-bba4-58d9668a14e4.zip"
}
]
},
"error": null,
"startTime": "2022-03-01T14:38:23.952Z",
"endTime": "2022-03-01T14:38:24.559Z",
"createdAt": "2022-03-01T14:38:23.943Z",
"updatedAt": "2022-03-01T14:38:23.943Z"
}
}
]
}
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se descarga al menos un archivo por entidad (is_success=true): "Se descargaron correctamente los siguientes archivos del extremo {entity} en Tanium:\n".format(archivos descargados)." Si no se descarga al menos un archivo por entidad, pero no se debe a un tiempo de espera agotado (is_success=false): "La acción no pudo descargar los siguientes archivos del extremo {entity} en Tanium: {pending files}. Asegúrate de que el agente de Tanium Threat Response esté conectado correctamente y de que el nombre de host o la dirección IP sean correctos. El resultado en JSON tiene más detalles sobre las tareas". Entidades pendientes asíncronas: {entities} La acción debería fallar y detener la ejecución de la guía: Si se informa un error grave, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema: "Error al ejecutar la acción "Descargar archivo". Reason: {0}''.format(error.Stacktrace)" Si ya existe un archivo con el mismo nombre, pero "Overwrite" == false: "Error al ejecutar la acción "Descargar archivo". Motivo: Ya existen archivos con la ruta {0}. Borra los archivos o configura "Overwrite" como verdadero". Si se agota el tiempo de espera, aparecerá el mensaje "Error al ejecutar la acción "Descargar archivo". Motivo: La acción agotó el tiempo de espera durante la ejecución. Entidades pendientes: {entidades que aún están en curso}. Aumenta el tiempo de espera en el IDE". |
General |
Borrar archivo
Descarga un archivo desde los endpoints en Tanium. La acción funciona con la API de Tanium Threat Response.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Rutas de acceso de los archivos | CSV | N/A | Sí | Especifica la ruta de acceso absoluta de los archivos del extremo que se deben borrar. |
Fecha de ejecución
Esta acción funciona con las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"success": [],
"not_exist_already_or_errors": []
}
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se borra al menos un archivo (código de estado: 204, is_success=true): "Successfully deleted files from the following endpoints in Tanium:\n".format(entity)." Si al menos un archivo no existe en un extremo (código de estado: 500, is_success=true): "No está claro el estado de algunos de los archivos. Consulta el resultado en formato JSON. Tanium devuelve el código de estado 500 en el caso de que no se encuentre el archivo, pero también si hay otros problemas". Si al menos un archivo no existe en todos los extremos (código de estado: 500, is_success=false): "No está claro el estado de todos los archivos. Consulta el resultado JSON. Tanium devuelve el código de estado 500 en el caso de que no se encuentre el archivo, pero también si hay otros problemas". Si no se encuentra al menos un extremo (is_success=true): "La acción no pudo borrar archivos de los siguientes extremos en Tanium: {entity}. Asegúrate de que el agente de Tanium Threat Response esté conectado correctamente y de que el nombre de host o la dirección IP sean correctos". Si no se encuentran todos los extremos (is_success=false): "La acción no pudo borrar archivos de los extremos proporcionados en Tanium. Asegúrate de que el agente de Tanium Threat Response esté conectado correctamente y de que el nombre de host o la dirección IP sean correctos". La acción debería fallar y detener la ejecución de la guía: Si se informa un error fatal, como credenciales incorrectas, falta de conexión al servidor o algún otro problema: "Error al ejecutar la acción "Borrar archivo". Reason: {0}''.format(error.Stacktrace) |
General |
Obtén detalles de la tarea
Recupera detalles sobre una tarea en Tanium. La acción funciona con la API de Tanium Threat Response.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| IDs de tareas | CSV | N/A | Sí | Especifica una lista separada por comas de los IDs de las tareas para las que deseas recuperar detalles. |
| Wait For Completion | Casilla de verificación | Marcado | No | Si está habilitada, la acción espera a que la tarea tenga uno de los siguientes estados:
|
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"id": 81,
"type": "fileDownload",
"status": "COMPLETED",
"metadata": {
"connection": "remote:centos-003:3864230059:1",
"paths": [
"/tmp/saaj-impl.jar"
],
"compress": "true"
},
"results": {
"completed": [
"/tmp/saaj-impl.jar"
],
"failed": [],
"fileResults": [
{
"response": {
"source": "/tmp/saaj-impl.jar",
"target": "/opt/Tanium/TaniumModuleServer/services/threat-response-service/tmp/4965e791-db87-4f31-ba60-2e52c9bac3de",
"totalBytes": 503502,
"transferHash": "5402c16c3873a722b94d8a3101cb98f5e4f862acc69cdee3a94cf40c1b04b265",
"totalTimeMs": 260,
"avgBytesPerSecond": 504123.0769230769
},
"uuid": "eb5077b3-9b02-42e2-bba4-58d9668a14e4",
"finalPath": "/opt/Tanium/TaniumModuleServer/services/threat-response-files/evidence/files/eb5077b3-9b02-42e2-bba4-58d9668a14e4.zip"
}
]
},
"error": null,
"startTime": "2022-03-01T14:38:23.952Z",
"endTime": "2022-03-01T14:38:24.559Z",
"createdAt": "2022-03-01T14:38:23.943Z",
"updatedAt": "2022-03-01T14:38:23.943Z"
}
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se recupera al menos una tarea (is_success=true): "Successfully fetched details about the following tasks in Tanium:\n".format(id)." Si no se encuentra al menos una tarea (is_success=true): "Action wasn't able to find the following tasks in Tanium:\n".format(id)." Si no se encuentra al menos una tarea (is_success=true): "No se encontraron tareas en Tanium". Recuperación asíncrona de detalles sobre las tareas: {IDs de tareas} La acción debería fallar y detener la ejecución de la guía: Si se informa un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema, se mostrará el mensaje "Error al ejecutar la acción "Obtener detalles de la tarea"". Reason: {0}''.format(error.Stacktrace)" Si se agota el tiempo de espera y el parámetro "Wait for completion" está habilitado: "Error executing action "Get Task Details". Motivo: La acción agotó el tiempo de espera durante la ejecución. Tareas pendientes: {tareas que aún están en curso}. Aumenta el tiempo de espera en el IDE". |
General |
Crear conexión
Crea una conexión al extremo en Tanium.
Entidades
Esta acción se ejecuta en las entidades de nombre de host y dirección IP.
Entradas de acción
N/A
Resultados de la acción
| Tipo de salida de la acción | |
|---|---|
| Adjunto del muro de casos | N/A |
| Vínculo al muro de casos | N/A |
| Tabla del muro de casos | N/A |
| Tabla de enriquecimiento | N/A |
| Resultado de JSON | N/A |
| Resultado de secuencia de comandos | Disponible |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
| is_success | Verdadero/Falso |
Muro de casos
La acción proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
|
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Enumera las conexiones
Enumera las conexiones de extremos en Tanium.
Entidades
Esta acción no se ejecuta en entidades.
Entradas de acción
N/A
Resultados de la acción
| Tipo de salida de la acción | |
|---|---|
| Adjunto del muro de casos | N/A |
| Vínculo al muro de casos | N/A |
| Tabla del muro de casos | N/A |
| Tabla de enriquecimiento | N/A |
| Resultado de JSON | N/A |
| Resultado de secuencia de comandos | Disponible |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
| is_success | Verdadero/Falso |
Muro de casos
La acción proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "List Connections". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.