Tanium
Dokumen ini memberikan panduan tentang cara mengintegrasikan Tanium dengan Google SecOps.
Prasyarat
Tanium menggunakan token API untuk mengautentikasi panggilan ke REST API. Untuk mengetahui informasi selengkapnya tentang cara membuat token API, lihat Mengelola token API dalam dokumentasi Tanium.
Mengintegrasikan Tanium dengan Google Security Operations
Untuk mendapatkan petunjuk mendetail tentang cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.
Parameter integrasi
Gunakan parameter berikut untuk mengonfigurasi integrasi:
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Root API | URL | T/A | Ya | Tentukan Root API Tanium yang harus digunakan integrasi. |
| Token API | Sandi | T/A | Ya | Tentukan Token API Tanium yang harus digunakan integrasi. |
| Verifikasi SSL | Kotak centang | Dicentang | Tidak | Jika diaktifkan, server Google SecOps akan memeriksa apakah sertifikat dikonfigurasi untuk root API. |
Tindakan
Ping
Uji konektivitas ke penginstalan Tanium dengan parameter yang diberikan di halaman konfigurasi integrasi pada tab Google Security Operations Marketplace.
Dijalankan pada
Tindakan ini tidak berjalan pada entity, dan tidak memiliki parameter input wajib.
Hasil tindakan
Hasil skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Repositori kasus
| Jenis hasil | Nilai/Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika berhasil: "Successfully connected to the Tanium installation with the provided connection parameters!" Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error kritis, seperti kredensial salah atau koneksi terputus dilaporkan: "Failed to connect to the Tanium installation! Error is {0}".format(exception.stacktrace) |
Umum |
Memperkaya Entitas
Memperkaya entitas menggunakan informasi dari Tanium. Tindakan adalah tindakan asinkron Google SecOps. Entitas yang didukung: Nama Host, Alamat IP.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Kolom Tambahan | CSV | T/A | Tidak | Tentukan kolom tambahan yang akan diambil dari Tanium untuk pengayaan entitas. Parameter menerima beberapa nilai sebagai string yang dipisahkan koma. |
Dijalankan pada
Tindakan ini berjalan di entity berikut:
- Alamat IP
- Hostname
Hasil tindakan
Hasil skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
{
"data": {
"now": "2022/01/28 10:18:54 GMT-0000",
"max_available_age": "",
"result_sets": [
{
"age": 0,
"id": X,
"report_count": 2,
"saved_question_id": 0,
"question_id": X,
"archived_question_id": 0,
"seconds_since_issued": 0,
"issue_seconds": 0,
"expire_seconds": 0,
"tested": 4,
"passed": 1,
"mr_tested": 4,
"mr_passed": 4,
"estimated_total": 4,
"select_count": 10,
"error_count": 0,
"no_results_count": 0,
"columns": [
{
"hash": X,
"name": "Computer ID",
"type": 1
},
{
"hash": 0,
"name": "Count",
"type": 3
}
],
"cache_id": "X",
"expiration": 0,
"filtered_row_count": 1,
"filtered_row_count_machines": 1,
"row_count": 1,
"row_count_machines": 1,
"item_count": 1,
"rows": [
{
"id": x,
"cid": x,
"data": [
[
{
"text": "X"
}
],
[
{
"text": "No User"
}
],
[
{
"text": "1"
}
]
]
}
]
}
]
}
}
Tabel pengayaan
Awalan: Tanium_
| Nama Kolom Pengayaan | Logika - Kapan harus diterapkan |
|---|---|
| Computer_ID | Jika tersedia dalam JSON |
| Operating_System | Jika tersedia dalam JSON |
| OS_Platform | Jika tersedia dalam JSON |
| Service_Pack | Jika tersedia dalam JSON |
| Domain_Name | Jika tersedia dalam JSON |
| Waktu operasional | Jika tersedia dalam JSON |
| System_UUID | Jika tersedia dalam JSON |
| IP_Address | Jika tersedia dalam JSON |
Repositori kasus
| Jenis hasil | Nilai/Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika data tersedia untuk satu entitas (is_success = true): "Successfully enriched the following entities using information from Tanium: {entity.identifier}". Jika data tidak tersedia untuk satu entitas (is_success=true): "Action wasn't able to enrich the following entities using information from Tanium: {entity.identifier}" Jika ada beberapa kecocokan di Tanium untuk entitas yang diberikan (is_success=true): "Multiple results found in Tanium for the entities, taking first match: {entity.identifier}" (Beberapa hasil ditemukan di Tanium untuk entitas, mengambil kecocokan pertama: {entity.identifier}) Jika data tidak tersedia untuk semua entitas (is_success=false): "None of the provided entities were enriched." Tindakan akan gagal dan menghentikan eksekusi playbook: Jika kode status 400 (sintaksis pertanyaan salah) dilaporkan: "Error executing action "Enrich Entities" because provided question text is invalid. " Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error executing action "Enrich Entities"." Reason: {0}''.format(error.Stacktrace) |
Umum |
| Tabel Repositori Kasus | Nama Tabel: {entity.identifier} Kolom Tabel:
|
Entity |
Buat Pertanyaan
Buat pertanyaan Tanium baru berdasarkan parameter yang ditentukan, dan pertanyaan akan langsung diajukan. Tindakan menampilkan ID pertanyaan yang dapat diteruskan ke tindakan "Get Question Results" untuk mendapatkan hasil pertanyaan. Perhatikan bahwa tindakan ini tidak berfungsi dengan entitas Google SecOps.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Teks Pertanyaan | String | T/A | Ya | Tentukan isi pertanyaan Tanium. Contoh: Mendapatkan Sistem Operasi dari semua komputer |
Dijalankan pada
Tindakan tidak dijalankan pada entity.
Hasil tindakan
Hasil skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
{
"data": {
"id": X
}
}
Repositori kasus
| Jenis hasil | Nilai/Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika data tersedia (is_success = true): "Successfully created Tanium question with id {question_id_from_response}". Tindakan akan gagal dan menghentikan eksekusi playbook: Jika kode status 400 (sintaksis pertanyaan salah) dilaporkan: "Error saat menjalankan tindakan "Buat Pertanyaan" karena teks pertanyaan yang diberikan tidak valid. " Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error executing action "Create Question". Reason: {0}''.format(error.Stacktrace) |
Umum |
Mendapatkan Hasil Pertanyaan
Ambil hasil untuk pertanyaan Tanium. Tindakan adalah tindakan asinkron Google SecOps. Perhatikan bahwa tindakan ini tidak berfungsi dengan entitas Google SecOps.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| ID Pertanyaan | Bilangan bulat | T/A | Ya | Tentukan ID pertanyaan Tanium untuk mendapatkan hasilnya. |
| Membuat Tabel Dinding Kasus | Kotak centang | Dicentang | Tidak | Jika diaktifkan, tindakan akan membuat tabel catatan kasus sebagai bagian dari hasil tindakan. |
| Jumlah Baris Maksimum yang Akan Ditampilkan | Bilangan bulat | 50 | Ya | Tentukan jumlah maksimum baris yang harus ditampilkan tindakan untuk pertanyaan. |
Dijalankan pada
Tindakan ini tidak dijalankan pada entity.
Hasil tindakan
Hasil skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
{
"id": 1,
"report_count": 3,
"saved_question_id": 0,
"question_id": 1,
"seconds_since_issued": 600,
"issue_seconds": 0,
"expire_seconds": 600,
"tested": 3,
"passed": 3,
"mr_tested": 3,
"mr_passed": 3,
"estimated_total": 3,
"select_count": 3,
"error_count": 0,
"no_results_count": 0,
"row_count": 3,
"row_count_machines": 3,
"item_count": 3,
"filtered_row_count": 3,
"filtered_row_count_machines": 3,
"columns": [
{
"hash": 1,
"name": "IP Address",
"type": 5
},
{
"hash": 2,
"name": "Computer Name",
"type": 1
},
{
"hash": 3,
"name": "Operating System",
"type": 1
}
],
"rows": [
{
"IP Address": [
"2001:db8:a::100",
"192.0.2.10"
],
"Computer Name": [
"CLIENT-A01"
],
"Operating System": [
"Windows Server 2022 Datacenter"
]
},
{
"IP Address": [
"2001:db8:a::101"
],
"Computer Name": [
"CLIENT-B02"
],
"Operating System": [
"Windows Server 2019 Standard Evaluation"
]
},
{
"IP Address": [
"198.51.100.5"
],
"Computer Name": [
"server-web-prod.example.com"
],
"Operating System": [
"Debian 12.12"
]
}
]
}
Repositori kasus
| Jenis hasil | Nilai/Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika data tersedia (is_success=true): "Successfully fetched results for the following Tanium question id: {question id}". Jika data tidak tersedia (is_success=false): "No results were found for the Tanium question id: {question id}" Tindakan akan gagal dan menghentikan eksekusi playbook: Jika kode status 404 (pertanyaan tidak ada) dilaporkan: "Failed to find Tanium question with question id {question_id}. " Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error executing action "Qet Question Results". Reason: {0}''.format(error.Stacktrace) |
Umum |
| Tabel | Nama Tabel: Hasil Tanium Question {question_id} Kolom Tabel: Kolom dibuat berdasarkan data yang ditampilkan dari pertanyaan. |
Umum |
Mencantumkan Peristiwa Endpoint
Mencantumkan peristiwa yang terkait dengan endpoint dari Tanium. Tindakan ini berfungsi dengan Tanium Threat Response API.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Jenis Peristiwa | DDL | Gabungan Nilai yang memungkinkan:
|
Tidak | Tentukan jenis acara yang perlu ditampilkan. |
| Jangka Waktu | DDL | Sejam Terakhir Nilai yang Mungkin:
|
Tidak | Tentukan jangka waktu untuk hasil. Jika "Waktu Pemberitahuan Hingga Sekarang" dipilih, tindakan akan menggunakan waktu mulai pemberitahuan sebagai waktu mulai penelusuran dan waktu akhir adalah waktu saat ini. Jika "30 Menit di Sekitar Waktu Pemberitahuan" dipilih, tindakan akan menelusuri pemberitahuan 30 menit sebelum pemberitahuan terjadi hingga 30 menit setelah pemberitahuan terjadi. Ide yang sama berlaku untuk "1 Jam di Sekitar Waktu Pemberitahuan" dan "5 Menit di Sekitar Waktu Pemberitahuan". Jika "Kustom" dipilih, Anda juga perlu memberikan parameter "Waktu Mulai". |
| Waktu Mulai | String | T/A | Tidak | Tentukan waktu mulai untuk hasil. Parameter ini wajib diisi, jika "Kustom" dipilih untuk parameter "Rentang Waktu". Format: ISO 8601 |
| Waktu Berakhir | String | T/A | Tidak | Tentukan waktu berakhir untuk hasil. Jika tidak ada yang diberikan dan "Khusus" dipilih untuk parameter "Rentang Waktu", parameter ini akan menggunakan waktu saat ini. Format: ISO 8601 |
| Kolom Pengurutan | String | timestamp | Tidak | Tentukan parameter yang harus digunakan untuk pengurutan. |
| Tata Urutan | DDL | ASC Mungkin Nilai:
|
Tidak | Tentukan urutan penyortiran. |
| Jumlah Maksimum Acara yang Akan Ditampilkan | Bilangan bulat | 50 | Tidak | Tentukan jumlah peristiwa yang akan ditampilkan per entitas. Maksimum: 500 |
Dijalankan pada
Tindakan ini tidak dijalankan pada entity.
Hasil tindakan
Hasil skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
{
"events": [
{
"create_time": "2022-01-18 11:59:52.000",
"end_time": null,
"exit_code": null,
"pid": 2,
"process_path": "kthreadd",
"id": "72057594037927939",
"process_table_id": "72057594037927939",
"parent_process_table_id": "72057594037927937",
"parent_pid": -1,
"user_name": "root",
"group_name": "root",
"hash_type_name": null,
"hash": null,
"process_command_line": null,
"parent_path": "<Unknown Process>",
"parent_command_line": "<Unknown Process>",
"parent_hash": null,
"create_time_raw": 1642507192000,
"end_time_raw": null
}
]
}
Repositori kasus
| Jenis hasil | Nilai/Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika setidaknya satu peristiwa ditemukan untuk endpoint (is_success=true): "Successfully returned events for the following endpoints in Tanium:\n".format(entity)." Jika tidak ada peristiwa yang ditemukan untuk endpoint (is_success=true): "No events were found for the following endpoints in Tanium:\n".format(entity)." Jika tidak ada peristiwa yang ditemukan untuk semua endpoint (is_success=true): "No events were found for the provided endpoints in Tanium." Jika tidak dapat membuat koneksi atau tidak ada koneksi yang ditemukan untuk beberapa endpoint (is_success=true): "Action wasn't able to retrieve information about events from the following endpoints in Tanium due to agent connectivity issues: {entity}. Pastikan nama host tersebut terhubung ke modul Tanium Threat Response." Jika tidak memperkaya semua (is_success=false): "No information about IOCs were found". Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error executing action "Enrich IOC". Reason: {0}''.format(error.Stacktrace) Jika tidak dapat membuat koneksi atau tidak ada koneksi yang ditemukan untuk semua endpoint (is_success=false): "Error executing action "List Endpoint Events". Alasan: tindakan tidak dapat mengambil informasi tentang peristiwa dari endpoint yang diberikan di Tanium karena masalah konektivitas agen. Pastikan nama host tersebut terhubung ke modul Tanium Threat Response." |
Umum |
Endpoint Karantina
Karantina endpoint di Tanium. Tindakan ini berfungsi dengan Tanium Threat Response API.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Hanya Memulai | Kotak centang | Tidak dicentang | Ya | Jika diaktifkan, tindakan hanya memulai eksekusi tugas tanpa menunggu hasil. |
| Nama Paket | String |
|
Ya | Objek JSON yang berisi semua nama paket untuk setiap sistem operasi. |
Dijalankan pada
Tindakan ini berjalan di entity berikut:
- Alamat IP
- Hostname
Hasil tindakan
Hasil skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
{
"id": 82,
"type": "responseAction",
"status": "COMPLETED",
"metadata": {
"id": 2,
"type": "gatherSnapshot",
"status": "RUNNING",
"computerName": "EX01.exlab.local",
"userId": 1,
"userName": "tanium",
"options": {},
"results": {
"taskIds": [
73
],
"actionIds": []
},
"expirationTime": "2022-03-08T14:31:50.211Z",
"createdAt": "2022-03-01T14:31:50.212Z",
"updatedAt": "2022-03-01T14:36:19.533Z"
},
"results": {
"didActionComplete": false,
"stopped": true,
"finished": true
},
"error": null,
"startTime": "2022-03-01T14:42:10.390Z",
"endTime": "2022-03-01T15:29:50.495Z",
"createdAt": "2022-03-01T14:42:10.379Z",
"updatedAt": "2022-03-01T14:42:10.379Z"
}
Repositori kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika setidaknya satu endpoint dikarantina (is_success=true): "Successfully initiated quarantine on the following endpoints in Tanium:\n".format(entity) Jika setidaknya satu endpoint tidak dikarantina, tetapi bukan karena waktu tunggu habis (is_success=false): "Action wasn't able to quarantine the following endpoints in Tanium: {entity}. Pastikan agen Tanium Threat Response terhubung dengan benar dan nama host/alamat IP sudah benar." Jika semua endpoint tidak dikarantina, tetapi bukan karena waktu tunggu habis (is_success=false): "Action wasn't able to quarantine the provided endpoints in Tanium. Pastikan agen Tanium Threat Response terhubung dengan benar dan nama host/alamat IP sudah benar." Entitas Tertunda Asinkron: {entities} Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error executing action "Enrich IOC". Reason: {0}''.format(error.Stacktrace) Jika tidak dapat membuat koneksi atau tidak ada koneksi yang ditemukan untuk semua endpoint (is_success=false): "Error executing action "Quarantine Endpoint". Alasan: tindakan tidak dapat mengarantina endpoint yang diberikan di Tanium karena masalah konektivitas agen. Pastikan endpoint terhubung ke modul Tanium Threat Response dan nama host/alamat IP sudah benar." Jika mengalami waktu tunggu habis: "Error saat menjalankan tindakan "Karantina Endpoint". Alasan: tindakan mengalami waktu tunggu habis selama eksekusi. Entitas yang menunggu keputusan: {entitas yang masih dalam proses}. Tingkatkan waktu tunggu di IDE atau aktifkan "Only Initiate"." |
Umum |
Download File
Mendownload file dari endpoint di Tanium. Tindakan ini berfungsi dengan Tanium Threat Response API.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Jalur File | CSV | T/A | Ya | Tentukan jalur absolut file di endpoint yang perlu didownload. |
| Jalur Folder Download | String | T/A | Ya | Tentukan jalur ke folder tempat Anda ingin menyimpan file. |
| Timpa | Kotak centang | Tidak dicentang | Ya | Jika diaktifkan, tindakan ini akan menimpa file dengan nama yang sama. |
Dijalankan pada
Tindakan ini berjalan di entity berikut:
- Alamat IP
- Hostname
Hasil tindakan
Hasil skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
{
"absolute_file_path": [
"file_path_1",
"file_path_2"
],
"entity": [
{
"identifier": "",
"task_details": {
"id": 81,
"type": "fileDownload",
"status": "COMPLETED",
"metadata": {
"connection": "remote:centos-003:3864230059:1",
"paths": [
"/tmp/saaj-impl.jar"
],
"compress": "true"
},
"results": {
"completed": [
"/tmp/saaj-impl.jar"
],
"failed": [],
"fileResults": [
{
"response": {
"source": "/tmp/saaj-impl.jar",
"target": "/opt/Tanium/TaniumModuleServer/services/threat-response-service/tmp/4965e791-db87-4f31-ba60-2e52c9bac3de",
"totalBytes": 503502,
"transferHash": "5402c16c3873a722b94d8a3101cb98f5e4f862acc69cdee3a94cf40c1b04b265",
"totalTimeMs": 260,
"avgBytesPerSecond": 504123.0769230769
},
"uuid": "eb5077b3-9b02-42e2-bba4-58d9668a14e4",
"finalPath": "/opt/Tanium/TaniumModuleServer/services/threat-response-files/evidence/files/eb5077b3-9b02-42e2-bba4-58d9668a14e4.zip"
}
]
},
"error": null,
"startTime": "2022-03-01T14:38:23.952Z",
"endTime": "2022-03-01T14:38:24.559Z",
"createdAt": "2022-03-01T14:38:23.943Z",
"updatedAt": "2022-03-01T14:38:23.943Z"
}
}
]
}
Repositori kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika setidaknya satu file didownload per entitas (is_success=true): "Successfully downloaded the following files from the endpoint {entity} in Tanium:\n".format(downloaded files)." Jika setidaknya satu file tidak didownload per entitas, tetapi bukan karena waktu tunggu habis (is_success=false): "Action wasn't able to download the following files from the endpoint {entity} in Tanium: {pending files}. Pastikan agen Tanium Threat Response terhubung dengan benar dan nama host/alamat IP sudah benar. Hasil JSON memiliki detail selengkapnya tentang tugas." Entitas Tertunda Asinkron: {entities} Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error executing action "Download File". Reason: {0}''.format(error.Stacktrace)" Jika file dengan nama yang sama sudah ada, tetapi "Timpa" == salah: "Error saat menjalankan tindakan "Download File". Alasan: file dengan jalur {0} sudah ada. Hapus file atau tetapkan "Overwrite" ke benar." Jika mengalami waktu tunggu habis: "Error saat menjalankan tindakan "Download File". Alasan: tindakan mengalami waktu tunggu habis selama eksekusi. Entitas yang menunggu keputusan: {entitas yang masih dalam proses}. Harap tingkatkan waktu tunggu di IDE." |
Umum |
Hapus File
Mendownload file dari endpoint di Tanium. Tindakan ini berfungsi dengan Tanium Threat Response API.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Jalur File | CSV | T/A | Ya | Tentukan jalur absolut file di endpoint yang perlu dihapus. |
Dijalankan pada
Tindakan ini berfungsi dengan entity berikut:
- Alamat IP
- Hostname
Hasil tindakan
Hasil skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
{
"success": [],
"not_exist_already_or_errors": []
}
Repositori kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika setidaknya satu file dihapus (kode status: 204, is_success=true): "Successfully deleted files from the following endpoints in Tanium:\n".format(entity)." Jika setidaknya satu file tidak ada di satu endpoint (kode status: 500, is_success=true): "Status tentang beberapa file tidak jelas, periksa hasil JSON. Tanium menampilkan kode status 500 jika file tidak ditemukan, tetapi juga jika ada masalah lain." Jika setidaknya satu file tidak ada di semua endpoint (kode status: 500, is_success=false): "Status tentang semua file tidak jelas, periksa hasil JSON. Tanium menampilkan kode status 500 jika file tidak ditemukan, tetapi juga jika ada masalah lain." Jika setidaknya satu endpoint tidak ditemukan (is_success=true): "Action wasn't able to delete files from the following endpoints in Tanium: {entity}. Pastikan agen Tanium Threat Response terhubung dengan benar dan nama host/alamat IP sudah benar." Jika semua endpoint tidak ditemukan (is_success=false): "Action wasn't able to delete files from the provided endpoints in Tanium. Pastikan agen Tanium Threat Response terhubung dengan benar dan nama host/alamat IP sudah benar." Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error executing action "Delete File". Reason: {0}''.format(error.Stacktrace) |
Umum |
Mendapatkan Detail Tugas
Mengambil detail tentang tugas di Tanium. Tindakan ini berfungsi dengan Tanium Threat Response API.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| ID Tugas | CSV | T/A | Ya | Tentukan daftar ID tugas yang dipisahkan koma yang detailnya ingin Anda ambil. |
| Menunggu Penyelesaian | Kotak centang | Dicentang | Tidak | Jika diaktifkan, tindakan akan menunggu hingga tugas memiliki salah satu status berikut:
|
Dijalankan pada
Tindakan ini tidak dijalankan pada entity.
Hasil tindakan
Hasil skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
{
"id": 81,
"type": "fileDownload",
"status": "COMPLETED",
"metadata": {
"connection": "remote:centos-003:3864230059:1",
"paths": [
"/tmp/saaj-impl.jar"
],
"compress": "true"
},
"results": {
"completed": [
"/tmp/saaj-impl.jar"
],
"failed": [],
"fileResults": [
{
"response": {
"source": "/tmp/saaj-impl.jar",
"target": "/opt/Tanium/TaniumModuleServer/services/threat-response-service/tmp/4965e791-db87-4f31-ba60-2e52c9bac3de",
"totalBytes": 503502,
"transferHash": "5402c16c3873a722b94d8a3101cb98f5e4f862acc69cdee3a94cf40c1b04b265",
"totalTimeMs": 260,
"avgBytesPerSecond": 504123.0769230769
},
"uuid": "eb5077b3-9b02-42e2-bba4-58d9668a14e4",
"finalPath": "/opt/Tanium/TaniumModuleServer/services/threat-response-files/evidence/files/eb5077b3-9b02-42e2-bba4-58d9668a14e4.zip"
}
]
},
"error": null,
"startTime": "2022-03-01T14:38:23.952Z",
"endTime": "2022-03-01T14:38:24.559Z",
"createdAt": "2022-03-01T14:38:23.943Z",
"updatedAt": "2022-03-01T14:38:23.943Z"
}
Repositori kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika setidaknya satu tugas diambil (is_success=true): "Successfully fetched details about the following tasks in Tanium:\n".format(id)." Jika setidaknya satu tugas tidak ditemukan (is_success=true): "Action wasn't able to find the following tasks in Tanium:\n".format(id)." Jika setidaknya satu tugas tidak ditemukan (is_success=true): "No tasks were found in Tanium". Mengambil detail tugas secara asinkron: {task ids} Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error executing action "Get Task Details". Reason: {0}''.format(error.Stacktrace)" Jika mengalami waktu tunggu habis dan parameter "Wait for completion" diaktifkan: "Error executing action "Get Task Details". Alasan: tindakan mengalami waktu tunggu habis selama eksekusi. Tugas yang tertunda: {tugas yang masih dalam proses}. Harap tingkatkan waktu tunggu di IDE." |
Umum |
Buat Koneksi
Buat koneksi ke endpoint di Tanium.
Entity
Tindakan ini berjalan di entity Nama Host dan Alamat IP.
Input tindakan
T/A
Output tindakan
| Jenis output tindakan | |
|---|---|
| Lampiran repositori kasus | T/A |
| Link repositori kasus | T/A |
| Tabel repositori kasus | T/A |
| Tabel pengayaan | T/A |
| Hasil JSON | T/A |
| Hasil skrip | Tersedia |
Hasil skrip
| Nama hasil skrip | Nilai |
|---|---|
| is_success | Benar/Salah |
Repositori kasus
Tindakan ini memberikan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
|
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Mencantumkan Koneksi
Mencantumkan koneksi endpoint di Tanium.
Entity
Tindakan ini tidak dijalankan pada entity.
Input tindakan
T/A
Output tindakan
| Jenis output tindakan | |
|---|---|
| Lampiran repositori kasus | T/A |
| Link repositori kasus | T/A |
| Tabel repositori kasus | T/A |
| Tabel pengayaan | T/A |
| Hasil JSON | T/A |
| Hasil skrip | Tersedia |
Hasil skrip
| Nama hasil skrip | Nilai |
|---|---|
| is_success | Benar/Salah |
Repositori kasus
Tindakan ini memberikan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "List Connections". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.