Tanium
Version de l'intégration : 11.0
Prérequis
Tanium utilise des jetons d'API pour authentifier les appels aux API REST. Pour savoir comment générer des jetons d'API, consultez Gérer les jetons d'API dans la documentation Tanium.
Intégrer Tanium à Google Security Operations
Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Paramètres d'intégration
Utilisez les paramètres suivants pour configurer l'intégration :
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Racine de l'API | URL | N/A | Oui | Spécifiez la racine de l'API Tanium que l'intégration doit utiliser. |
| Jeton d'API | Mot de passe | N/A | Oui | Spécifiez le jeton de l'API Tanium que l'intégration doit utiliser. |
| Vérifier le protocole SSL | Case à cocher | Cochée | Non | Si cette option est activée, le serveur Google SecOps vérifie que le certificat est configuré pour la racine de l'API. |
Actions
Ping
Testez la connectivité à l'installation Tanium avec les paramètres fournis sur la page de configuration de l'intégration dans l'onglet "Marketplace" de Google Security Operations.
Date d'exécution
Cette action ne s'exécute pas sur les entités et ne comporte pas de paramètres d'entrée obligatoires.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Mur des cas
| Type de résultat | Valeur/Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si l'opération réussit : "La connexion à l'installation Tanium avec les paramètres de connexion fournis a bien été établie !" L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur critique est signalée, comme des identifiants incorrects ou une perte de connectivité : "Échec de la connexion à l'installation Tanium ! Error is {0}".format(exception.stacktrace) |
Général |
Enrichir les entités
Enrichissez les entités à l'aide des informations de Tanium. L'action est une action asynchrone Google SecOps. Entités acceptées : nom d'hôte, adresse IP.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Champs supplémentaires | CSV | N/A | Non | Spécifiez les champs supplémentaires à extraire de Tanium pour l'enrichissement des entités. Le paramètre accepte plusieurs valeurs sous forme de chaîne séparée par une virgule. |
Date d'exécution
Cette action s'applique aux entités suivantes :
- Adresse IP
- Nom d'hôte
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"data": {
"now": "2022/01/28 10:18:54 GMT-0000",
"max_available_age": "",
"result_sets": [
{
"age": 0,
"id": X,
"report_count": 2,
"saved_question_id": 0,
"question_id": X,
"archived_question_id": 0,
"seconds_since_issued": 0,
"issue_seconds": 0,
"expire_seconds": 0,
"tested": 4,
"passed": 1,
"mr_tested": 4,
"mr_passed": 4,
"estimated_total": 4,
"select_count": 10,
"error_count": 0,
"no_results_count": 0,
"columns": [
{
"hash": X,
"name": "Computer ID",
"type": 1
},
{
"hash": 0,
"name": "Count",
"type": 3
}
],
"cache_id": "X",
"expiration": 0,
"filtered_row_count": 1,
"filtered_row_count_machines": 1,
"row_count": 1,
"row_count_machines": 1,
"item_count": 1,
"rows": [
{
"id": x,
"cid": x,
"data": [
[
{
"text": "X"
}
],
[
{
"text": "No User"
}
],
[
{
"text": "1"
}
]
]
}
]
}
]
}
}
Table d'enrichissement
Préfixe : Tanium_
| Nom du champ d'enrichissement | Logique : quand les utiliser ? |
|---|---|
| Computer_ID | Lorsqu'il est disponible au format JSON |
| Operating_System | Lorsqu'il est disponible au format JSON |
| OS_Platform | Lorsqu'il est disponible au format JSON |
| Service_Pack | Lorsqu'il est disponible au format JSON |
| Domain_Name | Lorsqu'il est disponible au format JSON |
| Temps d'activité | Lorsqu'il est disponible au format JSON |
| System_UUID | Lorsqu'il est disponible au format JSON |
| IP_Address | Lorsqu'il est disponible au format JSON |
Mur des cas
| Type de résultat | Valeur/Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si des données sont disponibles pour une entité (is_success = true) : "Les entités suivantes ont été enrichies avec succès à l'aide des informations de Tanium : {entity.identifier}". Si les données ne sont pas disponibles pour une entité (is_success=true) : "L'action n'a pas pu enrichir les entités suivantes à l'aide des informations de Tanium : {entity.identifier}" Si plusieurs correspondances sont trouvées dans Tanium pour l'entité fournie (is_success=true) : "Plusieurs résultats trouvés dans Tanium pour les entités. La première correspondance est utilisée : {entity.identifier}" Si les données ne sont pas disponibles pour toutes les entités (is_success=false) : "Aucune des entités fournies n'a été enrichie." L'action doit échouer et arrêter l'exécution d'un playbook : Si le code d'état 400 (syntaxe incorrecte de la question) est signalé : "Erreur lors de l'exécution de l'action "Enrichir les entités" car le texte de la question fourni n'est pas valide. " Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Enrichir les entités"." Raison : {0}''.format(error.Stacktrace) |
Général |
| Tableau du mur des cas | Nom de la table : {entity.identifier} Colonnes du tableau :
|
Entité |
Create Question (Créer une question)
Crée une question Tanium en fonction des paramètres spécifiés et la pose immédiatement. L'action renvoie l'ID de la question, qui peut être transmis à l'action "Obtenir les résultats de la question" pour obtenir les résultats de la question. Notez que l'action ne fonctionne pas avec les entités Google SecOps.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Texte de la question | Chaîne | N/A | Oui | Spécifiez le contenu de la question Tanium. Exemple : Obtenir le système d'exploitation de toutes les machines |
Date d'exécution
L'action ne s'exécute pas sur les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"data": {
"id": X
}
}
Mur des cas
| Type de résultat | Valeur/Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si des données sont disponibles (is_success = true) : "La question Tanium avec l'ID {question_id_from_response} a bien été créée." L'action doit échouer et arrêter l'exécution d'un playbook : Si le code d'état 400 (syntaxe incorrecte de la question) est signalé : "Erreur lors de l'exécution de l'action "Créer une question" car le texte de la question fourni n'est pas valide. " Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Créer une question". Raison : {0}''.format(error.Stacktrace) |
Général |
Obtenir les résultats des questions
Récupérez les résultats de la question Tanium. L'action est une action Google SecOps asynchrone. Notez que l'action ne fonctionne pas avec les entités Google SecOps.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| ID de la question | Integer | N/A | Oui | Spécifiez l'ID de la question Tanium pour laquelle vous souhaitez obtenir des résultats. |
| Créer un tableau de cas | Case à cocher | Cochée | Non | Si cette option est activée, l'action crée une table de mur des cas dans les résultats de l'action. |
| Nombre maximal de lignes à renvoyer | Integer | 50 | Oui | Spécifiez le nombre maximal de lignes que l'action doit renvoyer pour la question. |
Date d'exécution
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"data": {
"now": "2022/01/29 04:09:29 GMT-0000",
"max_available_age": "",
"result_sets": [
{
"age": 0,
"id": X,
"report_count": 3,
"saved_question_id": 0,
"question_id": X,
"archived_question_id": 0,
"seconds_since_issued": 0,
"issue_seconds": 0,
"expire_seconds": 0,
"tested": 4,
"passed": 4,
"mr_tested": 4,
"mr_passed": 4,
"estimated_total": 4,
"select_count": 1,
"error_count": 0,
"no_results_count": 0,
"columns": [
{
"hash": 45421433,
"name": "Operating System",
"type": 1
}
],
"cache_id": "X",
"expiration": 0,
"filtered_row_count": 4,
"filtered_row_count_machines": 4,
"row_count": 4,
"row_count_machines": 4,
"item_count": 4,
"rows": [
{
"id": X,
"cid": 0,
"data": [
[
{
"text": "X"
}
],
[
{
"text": X
}
]
]
},
{
"id": X,
"cid": 0,
"data": [
[
{
"text": X
}
],
[
{
"text": X
}
]
]
},
{
"id": X,
"cid": 0,
"data": [
[
{
"text": X
}
],
[
{
"text": X
}
]
]
},
{
"id": X,
"cid": 0,
"data": [
[
{
"text": X
}
],
[
{
"text": X
}
]
]
}
]
}
]
}
}
Mur des cas
| Type de résultat | Valeur/Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si des données sont disponibles (is_success=true) : "Résultats récupérés pour la question Tanium suivante : {question id}". Si aucune donnée n'est disponible (is_success=false) : "Aucun résultat n'a été trouvé pour l'ID de question Tanium : {question id}" L'action doit échouer et arrêter l'exécution d'un playbook : Si le code d'état 404 (question inexistante) est signalé : "Échec de la recherche de la question Tanium avec l'ID de question {question_id}. " Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Résultats de la question Qet". Raison : {0}''.format(error.Stacktrace) |
Général |
| Table | Nom de la table : résultats de la question Tanium {question_id} Colonnes du tableau : Les colonnes sont générées en fonction des données renvoyées par une question. |
Général |
Lister les événements de point de terminaison
Liste les événements liés aux points de terminaison de Tanium. L'action fonctionne avec l'API Tanium Threat Response.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Type d'événement | LDD | Combinées Valeurs possibles :
|
Non | Spécifiez le type d'événement à renvoyer. |
| Période | LDD | La dernière heure Valeurs possibles :
|
Non | Spécifiez une période pour les résultats. Si l'option "Heure de début de l'alerte jusqu'à maintenant" est sélectionnée, l'action utilise l'heure de début de l'alerte comme heure de début de la recherche et l'heure actuelle comme heure de fin. Si l'option "30 minutes autour de l'heure de l'alerte" est sélectionnée, l'action recherche les alertes 30 minutes avant et 30 minutes après l'heure de l'alerte. Le même principe s'applique aux options "1 heure avant et après l'heure de l'alerte" et "5 minutes avant et après l'heure de l'alerte". Si vous sélectionnez "Personnalisé", vous devez également fournir le paramètre "Heure de début". |
| Heure de début | Chaîne | N/A | Non | Spécifiez l'heure de début des résultats. Ce paramètre est obligatoire si l'option "Personnalisé" est sélectionnée pour le paramètre "Période". Format : ISO 8601 |
| Heure de fin | Chaîne | N/A | Non | Spécifiez l'heure de fin des résultats. Si aucune valeur n'est fournie et que "Personnalisée" est sélectionné pour le paramètre "Période", ce paramètre utilise l'heure actuelle. Format : ISO 8601 |
| Champ de tri | Chaîne | timestamp | Non | Spécifiez le paramètre à utiliser pour le tri. |
| Ordre de tri | LDD | ASC Possible Valeurs :
|
Non | Spécifiez l'ordre de tri. |
| Nombre maximal d'événements à renvoyer | Integer | 50 | Non | Spécifiez le nombre d'événements à renvoyer par entité. Maximum : 500 |
Date d'exécution
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"events": [
{
"create_time": "2022-01-18 11:59:52.000",
"end_time": null,
"exit_code": null,
"pid": 2,
"process_path": "kthreadd",
"id": "72057594037927939",
"process_table_id": "72057594037927939",
"parent_process_table_id": "72057594037927937",
"parent_pid": -1,
"user_name": "root",
"group_name": "root",
"hash_type_name": null,
"hash": null,
"process_command_line": null,
"parent_path": "<Unknown Process>",
"parent_command_line": "<Unknown Process>",
"parent_hash": null,
"create_time_raw": 1642507192000,
"end_time_raw": null
}
]
}
Mur des cas
| Type de résultat | Valeur/Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si au moins un événement est trouvé pour un point de terminaison (is_success=true) : "Événements renvoyés avec succès pour les points de terminaison suivants dans Tanium :\n".format(entity)." Si aucun événement n'est trouvé pour un point de terminaison (is_success=true) : "Aucun événement n'a été trouvé pour les points de terminaison suivants dans Tanium :\n".format(entity)." Si aucun événement n'est trouvé pour tous les points de terminaison (is_success=true) : "Aucun événement n'a été trouvé pour les points de terminaison fournis dans Tanium." Si la connexion n'a pas pu être créée ou si aucune connexion n'a été trouvée pour certains points de terminaison (is_success=true) : "L'action n'a pas pu récupérer d'informations sur les événements à partir des points de terminaison suivants dans Tanium en raison de problèmes de connectivité de l'agent : {entity}. Veuillez vous assurer que ces noms d'hôte sont connectés au module Tanium Threat Response." Si l'enrichissement n'a pas été effectué pour tous les éléments (is_success=false) : "Aucune information sur les IOC n'a été trouvée." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, l'absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Enrichir l'IOC". Raison : {0}''.format(error.Stacktrace) Si la connexion n'a pas pu être créée ou si aucune connexion n'est trouvée pour tous les points de terminaison (is_success=false) : "Erreur lors de l'exécution de l'action "Lister les événements de point de terminaison". Raison : l'action n'a pas pu récupérer d'informations sur les événements à partir des points de terminaison fournis dans Tanium en raison de problèmes de connectivité de l'agent. Veuillez vous assurer que ces noms d'hôte sont connectés au module Tanium Threat Response." |
Général |
Point de terminaison de mise en quarantaine
Mettez en quarantaine les points de terminaison dans Tanium. L'action fonctionne avec l'API Tanium Threat Response.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Initier uniquement | Case à cocher | Décochée | Oui | Si cette option est activée, l'action lance uniquement l'exécution de la tâche sans attendre les résultats. |
| Noms des packages | Chaîne |
|
Oui | Objet JSON contenant tous les noms de packages pour chaque système d'exploitation. |
Date d'exécution
Cette action s'applique aux entités suivantes :
- Adresse IP
- Nom d'hôte
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"id": 82,
"type": "responseAction",
"status": "COMPLETED",
"metadata": {
"id": 2,
"type": "gatherSnapshot",
"status": "RUNNING",
"computerName": "EX01.exlab.local",
"userId": 1,
"userName": "tanium",
"options": {},
"results": {
"taskIds": [
73
],
"actionIds": []
},
"expirationTime": "2022-03-08T14:31:50.211Z",
"createdAt": "2022-03-01T14:31:50.212Z",
"updatedAt": "2022-03-01T14:36:19.533Z"
},
"results": {
"didActionComplete": false,
"stopped": true,
"finished": true
},
"error": null,
"startTime": "2022-03-01T14:42:10.390Z",
"endTime": "2022-03-01T15:29:50.495Z",
"createdAt": "2022-03-01T14:42:10.379Z",
"updatedAt": "2022-03-01T14:42:10.379Z"
}
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si au moins un point de terminaison est mis en quarantaine (is_success=true) : "Quarantaine initiée avec succès sur les points de terminaison suivants dans Tanium :\n".format(entity) Si au moins un point de terminaison n'est pas mis en quarantaine, mais pas en raison d'un délai d'attente (is_success=false) : "L'action n'a pas pu mettre en quarantaine les points de terminaison suivants dans Tanium : {entity}. Veuillez vous assurer que l'agent Tanium Threat Response est correctement connecté et que le nom d'hôte/l'adresse IP sont corrects." Si tous les points de terminaison ne sont pas mis en quarantaine, mais pas en raison d'un délai avant expiration (is_success=false) : "L'action n'a pas pu mettre en quarantaine les points de terminaison fournis dans Tanium. Veuillez vous assurer que l'agent Tanium Threat Response est correctement connecté et que le nom d'hôte/l'adresse IP sont corrects." Entités en attente asynchrones : {entities} L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, l'absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Enrichir l'IOC". Raison : {0}''.format(error.Stacktrace) Si la connexion n'a pas pu être créée ou si aucune connexion n'a été trouvée pour tous les points de terminaison (is_success=false) : "Erreur lors de l'exécution de l'action "Mettre en quarantaine le point de terminaison". Motif : l'action n'a pas pu mettre en quarantaine les points de terminaison fournis dans Tanium en raison de problèmes de connectivité de l'agent. Veuillez vous assurer que les points de terminaison sont connectés au module Tanium Threat Response et que le nom d'hôte/l'adresse IP sont corrects." Si vous rencontrez un délai d'attente : "Erreur lors de l'exécution de l'action "Mettre en quarantaine le point de terminaison". Motif : l'action a expiré lors de l'exécution. Entités en attente : {entités en cours}. Veuillez augmenter le délai d'expiration dans l'IDE ou activer "Only Initiate" (Initier uniquement)." |
Général |
Télécharger le fichier
Téléchargez un fichier à partir de points de terminaison dans Tanium. L'action fonctionne avec l'API Tanium Threat Response.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Chemins des fichiers | CSV | N/A | Oui | Spécifiez le chemin d'accès absolu des fichiers du point de terminaison à télécharger. |
| Chemin d'accès au dossier de téléchargement | Chaîne | N/A | Oui | Spécifiez le chemin d'accès au dossier dans lequel vous souhaitez stocker les fichiers. |
| Remplacer | Case à cocher | Décochée | Oui | Si cette option est activée, l'action écrase le fichier portant le même nom. |
Date d'exécution
Cette action s'applique aux entités suivantes :
- Adresse IP
- Nom d'hôte
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"absolute_file_path": [
"file_path_1",
"file_path_2"
],
"entity": [
{
"identifier": "",
"task_details": {
"id": 81,
"type": "fileDownload",
"status": "COMPLETED",
"metadata": {
"connection": "remote:centos-003:3864230059:1",
"paths": [
"/tmp/saaj-impl.jar"
],
"compress": "true"
},
"results": {
"completed": [
"/tmp/saaj-impl.jar"
],
"failed": [],
"fileResults": [
{
"response": {
"source": "/tmp/saaj-impl.jar",
"target": "/opt/Tanium/TaniumModuleServer/services/threat-response-service/tmp/4965e791-db87-4f31-ba60-2e52c9bac3de",
"totalBytes": 503502,
"transferHash": "5402c16c3873a722b94d8a3101cb98f5e4f862acc69cdee3a94cf40c1b04b265",
"totalTimeMs": 260,
"avgBytesPerSecond": 504123.0769230769
},
"uuid": "eb5077b3-9b02-42e2-bba4-58d9668a14e4",
"finalPath": "/opt/Tanium/TaniumModuleServer/services/threat-response-files/evidence/files/eb5077b3-9b02-42e2-bba4-58d9668a14e4.zip"
}
]
},
"error": null,
"startTime": "2022-03-01T14:38:23.952Z",
"endTime": "2022-03-01T14:38:24.559Z",
"createdAt": "2022-03-01T14:38:23.943Z",
"updatedAt": "2022-03-01T14:38:23.943Z"
}
}
]
}
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si au moins un fichier est téléchargé par entité (is_success=true) : "Les fichiers suivants ont été téléchargés depuis le point de terminaison {entity} dans Tanium :\n".format(downloaded files)." Si au moins un fichier n'est pas téléchargé par entité, mais pas en raison d'un délai d'attente (is_success=false) : "L'action n'a pas pu télécharger les fichiers suivants à partir du point de terminaison {entity} dans Tanium : {pending files}. Veuillez vous assurer que l'agent Tanium Threat Response est correctement connecté et que le nom d'hôte ou l'adresse IP sont corrects. Le résultat JSON contient plus de détails sur les tâches." Entités en attente asynchrones : {entities} L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, l'absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Télécharger le fichier". Raison : {0}''.format(error.Stacktrace)" Si un fichier portant le même nom existe déjà, mais que "Overwrite" (Écraser) est défini sur "false" : "Erreur lors de l'exécution de l'action "Télécharger le fichier". Motif : les fichiers dont le chemin d'accès est {0} existent déjà. Veuillez supprimer les fichiers ou définir "Overwrite" sur "true"." Si vous rencontrez un délai d'attente : "Erreur lors de l'exécution de l'action "Télécharger le fichier". Motif : l'action a expiré lors de l'exécution. Entités en attente : {entités en cours}. Veuillez augmenter le délai avant expiration dans l'IDE." |
Général |
Supprimer le fichier
Téléchargez un fichier à partir de points de terminaison dans Tanium. L'action fonctionne avec l'API Tanium Threat Response.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Chemins des fichiers | CSV | N/A | Oui | Spécifiez le chemin absolu des fichiers à supprimer sur le point de terminaison. |
Date d'exécution
Cette action fonctionne avec les entités suivantes :
- Adresse IP
- Nom d'hôte
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"success": [],
"not_exist_already_or_errors": []
}
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si au moins un fichier est supprimé (code d'état : 204, is_success=true) : "Fichiers supprimés avec succès des points de terminaison suivants dans Tanium :\n".format(entity)." Si au moins un fichier n'existe pas sur un point de terminaison (code d'état : 500, is_success=true) : "L'état de certains fichiers n'est pas clair. Veuillez consulter le résultat JSON. Tanium renvoie le code d'état 500 si le fichier est introuvable, mais aussi en cas d'autres problèmes." Si au moins un fichier n'existe pas sur tous les points de terminaison (code d'état : 500, is_success=false) : "L'état de tous les fichiers n'est pas clair. Veuillez consulter le résultat JSON. Tanium renvoie le code d'état 500 si le fichier est introuvable, mais aussi en cas d'autres problèmes." Si au moins un point de terminaison est introuvable (is_success=true) : "L'action n'a pas pu supprimer les fichiers des points de terminaison suivants dans Tanium : {entity}. Veuillez vous assurer que l'agent Tanium Threat Response est correctement connecté et que le nom d'hôte/l'adresse IP sont corrects." Si tous les points de terminaison ne sont pas trouvés (is_success=false) : "L'action n'a pas pu supprimer les fichiers des points de terminaison fournis dans Tanium. Veuillez vous assurer que l'agent Tanium Threat Response est correctement connecté et que le nom d'hôte/l'adresse IP sont corrects." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Supprimer le fichier". Raison : {0}''.format(error.Stacktrace) |
Général |
Obtenir les détails d'une tâche
Récupérer les détails d'une tâche dans Tanium L'action fonctionne avec l'API Tanium Threat Response.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| ID des tâches | CSV | N/A | Oui | Spécifiez une liste d'ID de tâches séparés par une virgule pour lesquelles vous souhaitez récupérer des informations. |
| Attendre la fin | Case à cocher | Cochée | Non | Si cette option est activée, l'action attend que la tâche ait l'un des états suivants :
|
Date d'exécution
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"id": 81,
"type": "fileDownload",
"status": "COMPLETED",
"metadata": {
"connection": "remote:centos-003:3864230059:1",
"paths": [
"/tmp/saaj-impl.jar"
],
"compress": "true"
},
"results": {
"completed": [
"/tmp/saaj-impl.jar"
],
"failed": [],
"fileResults": [
{
"response": {
"source": "/tmp/saaj-impl.jar",
"target": "/opt/Tanium/TaniumModuleServer/services/threat-response-service/tmp/4965e791-db87-4f31-ba60-2e52c9bac3de",
"totalBytes": 503502,
"transferHash": "5402c16c3873a722b94d8a3101cb98f5e4f862acc69cdee3a94cf40c1b04b265",
"totalTimeMs": 260,
"avgBytesPerSecond": 504123.0769230769
},
"uuid": "eb5077b3-9b02-42e2-bba4-58d9668a14e4",
"finalPath": "/opt/Tanium/TaniumModuleServer/services/threat-response-files/evidence/files/eb5077b3-9b02-42e2-bba4-58d9668a14e4.zip"
}
]
},
"error": null,
"startTime": "2022-03-01T14:38:23.952Z",
"endTime": "2022-03-01T14:38:24.559Z",
"createdAt": "2022-03-01T14:38:23.943Z",
"updatedAt": "2022-03-01T14:38:23.943Z"
}
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si au moins une tâche est récupérée (is_success=true) : "Successfully fetched details about the following tasks in Tanium:\n".format(id)." Si au moins une tâche est introuvable (is_success=true) : "L'action n'a pas pu trouver les tâches suivantes dans Tanium :\n".format(id)." Si au moins une tâche est introuvable (is_success=true) : "Aucune tâche n'a été trouvée dans Tanium." Récupération asynchrone des détails des tâches : {task ids} L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, aucune connexion au serveur, etc.) : "Erreur lors de l'exécution de l'action "Obtenir les détails de la tâche". Raison : {0}''.format(error.Stacktrace)" Si vous rencontrez un délai d'attente et que le paramètre "Attendre la fin de l'opération" est activé : "Erreur lors de l'exécution de l'action "Obtenir les détails de la tâche". Motif : l'action a expiré lors de l'exécution. Tâches en attente : {tâches toujours en cours}. Veuillez augmenter le délai avant expiration dans l'IDE." |
Général |
Créer une connexion
Créez une connexion au point de terminaison dans Tanium.
Entités
Cette action s'exécute sur les entités "Nom d'hôte" et "Adresse IP".
Entrées d'action
N/A
Sorties d'action
| Type de sortie de l'action | |
|---|---|
| Pièce jointe au mur des cas | N/A |
| Lien vers le mur des cas | N/A |
| Table du mur des cas | N/A |
| Table d'enrichissement | N/A |
| Résultat JSON | N/A |
| Résultat du script | Disponible |
Résultat du script
| Nom du résultat du script | Valeur |
|---|---|
| is_success | Vrai/Faux |
Mur des cas
L'action fournit les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
Action effectuée. |
|
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Lister les connexions
Listez les connexions de points de terminaison dans Tanium.
Entités
Cette action ne s'applique pas aux entités.
Entrées d'action
N/A
Sorties d'action
| Type de sortie de l'action | |
|---|---|
| Pièce jointe au mur des cas | N/A |
| Lien vers le mur des cas | N/A |
| Table du mur des cas | N/A |
| Table d'enrichissement | N/A |
| Résultat JSON | N/A |
| Résultat du script | Disponible |
Résultat du script
| Nom du résultat du script | Valeur |
|---|---|
| is_success | Vrai/Faux |
Mur des cas
L'action fournit les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
Action effectuée. |
Error executing action "List Connections". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.