Tanium
Versione integrazione: 11.0
Prerequisiti
Tanium utilizza i token API per autenticare le chiamate alle API REST. Per ulteriori informazioni su come generare token API, consulta Gestione dei token API nella documentazione di Tanium.
Integra Tanium con Google Security Operations
Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.
Parametri di integrazione
Utilizza i seguenti parametri per configurare l'integrazione:
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Root API | URL | N/D | Sì | Specifica la radice dell'API Tanium che deve essere utilizzata per l'integrazione. |
| Token API | Password | N/D | Sì | Specifica il token API Tanium che deve essere utilizzato dall'integrazione. |
| Verifica SSL | Casella di controllo | Selezionata | No | Se abilitato, il server Google SecOps verifica che il certificato sia configurato per la radice dell'API. |
Azioni
Dindin
Verifica la connettività all'installazione di Tanium con i parametri forniti nella pagina di configurazione dell'integrazione nella scheda Google Security Operations Marketplace.
Pubblica su
Questa azione non viene eseguita sulle entità e non ha parametri di input obbligatori.
Risultati dell'azione
Risultato dello script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se l'operazione va a buon fine: "Connessione all'installazione di Tanium riuscita con i parametri di connessione forniti." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore critico, ad esempio credenziali errate o perdita di connettività: "Failed to connect to the Tanium installation! Error is {0}".format(exception.stacktrace) |
Generale |
Arricchisci entità
Arricchisci le entità utilizzando le informazioni di Tanium. L'azione è un'azione asincrona di Google SecOps. Entità supportate: nome host, indirizzo IP.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Campi aggiuntivi | CSV | N/D | No | Specifica i campi aggiuntivi da recuperare da Tanium per l'arricchimento delle entità. Il parametro accetta più valori come stringa separata da virgole. |
Pubblica su
Questa azione viene eseguita sulle seguenti entità:
- Indirizzo IP
- Nome host
Risultati dell'azione
Risultato dello script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
{
"data": {
"now": "2022/01/28 10:18:54 GMT-0000",
"max_available_age": "",
"result_sets": [
{
"age": 0,
"id": X,
"report_count": 2,
"saved_question_id": 0,
"question_id": X,
"archived_question_id": 0,
"seconds_since_issued": 0,
"issue_seconds": 0,
"expire_seconds": 0,
"tested": 4,
"passed": 1,
"mr_tested": 4,
"mr_passed": 4,
"estimated_total": 4,
"select_count": 10,
"error_count": 0,
"no_results_count": 0,
"columns": [
{
"hash": X,
"name": "Computer ID",
"type": 1
},
{
"hash": 0,
"name": "Count",
"type": 3
}
],
"cache_id": "X",
"expiration": 0,
"filtered_row_count": 1,
"filtered_row_count_machines": 1,
"row_count": 1,
"row_count_machines": 1,
"item_count": 1,
"rows": [
{
"id": x,
"cid": x,
"data": [
[
{
"text": "X"
}
],
[
{
"text": "No User"
}
],
[
{
"text": "1"
}
]
]
}
]
}
]
}
}
Tabella di arricchimento
Prefisso: Tanium_
| Nome campo di arricchimento | Logica - Quando applicarla |
|---|---|
| Computer_ID | Quando disponibile in formato JSON |
| Operating_System | Quando disponibile in formato JSON |
| OS_Platform | Quando disponibile in formato JSON |
| Service_Pack | Quando disponibile in formato JSON |
| Domain_Name | Quando disponibile in formato JSON |
| Tempo di attività | Quando disponibile in formato JSON |
| System_UUID | Quando disponibile in formato JSON |
| IP_Address | Quando disponibile in formato JSON |
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se i dati sono disponibili per un'entità (is_success = true): "Le seguenti entità sono state arricchite correttamente utilizzando le informazioni di Tanium: {entity.identifier}". Se i dati non sono disponibili per un'entità (is_success=true): "L'azione non è riuscita ad arricchire le seguenti entità utilizzando le informazioni di Tanium: {entity.identifier}" Se in Tanium sono presenti più corrispondenze per l'entità fornita (is_success=true): "Multiple results found in Tanium for the entities, taking first match: {entity.identifier}" (In Tanium sono stati trovati più risultati per le entità, viene presa in considerazione la prima corrispondenza: {entity.identifier}) Se i dati non sono disponibili per tutte le entità (is_success=false): "Nessuna delle entità fornite è stata arricchita." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato il codice di stato 400 (sintassi errata della domanda): "Errore durante l'esecuzione dell'azione "Arricchisci entità" perché il testo della domanda fornito non è valido. " Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Arricchisci entità"." Motivo: {0}''.format(error.Stacktrace) |
Generale |
| Tabella Bacheca casi | Nome tabella: {entity.identifier} Colonne della tabella:
|
Entità |
Crea domanda
Crea una nuova domanda Tanium in base ai parametri specificati e la domanda viene posta immediatamente. L'azione restituisce l'ID domanda che può essere passato all'azione "Ottieni risultati domanda" per ottenere i risultati della domanda. Tieni presente che l'azione non funziona con le entità Google SecOps.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Testo domanda | Stringa | N/D | Sì | Specifica i contenuti della domanda Tanium. Esempio: Get Operating System from all machines |
Pubblica su
L'azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato dello script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
{
"data": {
"id": X
}
}
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se i dati sono disponibili (is_success = true): "Successfully created Tanium question with id {question_id_from_response}". L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato il codice di stato 400 (sintassi errata della domanda): "Errore durante l'esecuzione dell'azione "Crea domanda" perché il testo della domanda fornito non è valido. " Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Crea domanda". Motivo: {0}''.format(error.Stacktrace) |
Generale |
Ottieni i risultati della domanda
Recupera i risultati per la domanda Tanium. L'azione è un'azione asincrona di Google SecOps. Tieni presente che l'azione non funziona con le entità Google SecOps.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID domanda | Numero intero | N/D | Sì | Specifica l'ID domanda Tanium per cui ottenere i risultati. |
| Crea tabella Case Wall | Casella di controllo | Selezionata | No | Se abilitata, l'azione crea una tabella della bacheca richieste nell'ambito dei risultati dell'azione. |
| Numero massimo di righe da restituire | Numero intero | 50 | Sì | Specifica il numero massimo di righe che l'azione deve restituire per la domanda. |
Pubblica su
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato dello script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
{
"data": {
"now": "2022/01/29 04:09:29 GMT-0000",
"max_available_age": "",
"result_sets": [
{
"age": 0,
"id": X,
"report_count": 3,
"saved_question_id": 0,
"question_id": X,
"archived_question_id": 0,
"seconds_since_issued": 0,
"issue_seconds": 0,
"expire_seconds": 0,
"tested": 4,
"passed": 4,
"mr_tested": 4,
"mr_passed": 4,
"estimated_total": 4,
"select_count": 1,
"error_count": 0,
"no_results_count": 0,
"columns": [
{
"hash": 45421433,
"name": "Operating System",
"type": 1
}
],
"cache_id": "X",
"expiration": 0,
"filtered_row_count": 4,
"filtered_row_count_machines": 4,
"row_count": 4,
"row_count_machines": 4,
"item_count": 4,
"rows": [
{
"id": X,
"cid": 0,
"data": [
[
{
"text": "X"
}
],
[
{
"text": X
}
]
]
},
{
"id": X,
"cid": 0,
"data": [
[
{
"text": X
}
],
[
{
"text": X
}
]
]
},
{
"id": X,
"cid": 0,
"data": [
[
{
"text": X
}
],
[
{
"text": X
}
]
]
},
{
"id": X,
"cid": 0,
"data": [
[
{
"text": X
}
],
[
{
"text": X
}
]
]
}
]
}
]
}
}
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se i dati sono disponibili (is_success=true): "Recupero riuscito dei risultati per il seguente ID domanda Tanium: {question id}". Se i dati non sono disponibili (is_success=false): "Nessun risultato trovato per l'ID domanda Tanium: {question id}" L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato il codice di stato 404 (la domanda non esiste): "Failed to find Tanium question with question id {question_id}. " Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Ottieni risultati domanda". Motivo: {0}''.format(error.Stacktrace) |
Generale |
| Tabella | Nome tabella: Tanium Question {question_id} Results Colonne della tabella: Le colonne vengono generate in base ai dati restituiti da una domanda. |
Generale |
Elenco eventi endpoint
Elenca gli eventi correlati agli endpoint di Tanium. L'azione funziona con l'API Tanium Threat Response.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Tipo di evento | DDL | Combinato Valori possibili:
|
No | Specifica il tipo di evento da restituire. |
| Intervallo di tempo | DDL | Ultima ora Valori possibili:
|
No | Specifica un periodo di tempo per i risultati. Se è selezionata l'opzione "Tempo avviso fino ad ora", l'azione utilizza l'ora di inizio dell'avviso come ora di inizio della ricerca e l'ora di fine è l'ora attuale. Se è selezionata l'opzione "30 minuti prima e dopo l'ora dell'avviso", l'azione cerca gli avvisi 30 minuti prima e 30 minuti dopo l'ora dell'avviso. Lo stesso concetto si applica a "1 ora prima e dopo l'orario dell'avviso" e "5 minuti prima e dopo l'orario dell'avviso". Se è selezionata l'opzione "Personalizzato", devi fornire anche il parametro "Ora di inizio". |
| Ora di inizio | Stringa | N/D | No | Specifica l'ora di inizio per i risultati. Questo parametro è obbligatorio se è selezionato "Personalizzato" per il parametro "Intervallo di tempo". Formato: ISO 8601 |
| Ora di fine | Stringa | N/D | No | Specifica l'ora di fine per i risultati. Se non viene fornito nulla e per il parametro "Intervallo di tempo" è selezionato "Personalizzato", questo parametro utilizza l'ora corrente. Formato: ISO 8601 |
| Campo di ordinamento | Stringa | timestamp | No | Specifica il parametro da utilizzare per l'ordinamento. |
| Ordinamento | DDL | ASC Possible Valori:
|
No | Specifica l'ordine di ordinamento. |
| Numero massimo di eventi da restituire | Numero intero | 50 | No | Specifica il numero di eventi da restituire per entità. Massimo: 500 |
Pubblica su
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato dello script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
{
"events": [
{
"create_time": "2022-01-18 11:59:52.000",
"end_time": null,
"exit_code": null,
"pid": 2,
"process_path": "kthreadd",
"id": "72057594037927939",
"process_table_id": "72057594037927939",
"parent_process_table_id": "72057594037927937",
"parent_pid": -1,
"user_name": "root",
"group_name": "root",
"hash_type_name": null,
"hash": null,
"process_command_line": null,
"parent_path": "<Unknown Process>",
"parent_command_line": "<Unknown Process>",
"parent_hash": null,
"create_time_raw": 1642507192000,
"end_time_raw": null
}
]
}
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se viene trovato almeno un evento per un endpoint (is_success=true): "Successfully returned events for the following endpoints in Tanium:\n".format(entity)." Se non vengono trovati eventi per un endpoint (is_success=true): "Non sono stati trovati eventi per i seguenti endpoint in Tanium:\n".format(entity)." Se non vengono trovati eventi per tutti gli endpoint (is_success=true): "Non sono stati trovati eventi per gli endpoint forniti in Tanium." Se non è stato possibile creare la connessione o non è stata trovata alcuna connessione per alcuni endpoint (is_success=true): "L'azione non è riuscita a recuperare informazioni sugli eventi dai seguenti endpoint in Tanium a causa di problemi di connettività dell'agente: {entity}. Assicurati che questi nomi host siano connessi al modulo Tanium Threat Response." Se l'arricchimento non è stato completato (is_success=false): "Non sono state trovate informazioni sugli IOC". L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Arricchisci IOC". Motivo: {0}''.format(error.Stacktrace) Se non è stato possibile creare la connessione o non è stata trovata alcuna connessione per tutti gli endpoint (is_success=false): "Error executing action "List Endpoint Events". Motivo: l'azione non è riuscita a recuperare informazioni sugli eventi dagli endpoint forniti in Tanium a causa di problemi di connettività dell'agente. Assicurati che questi nomi host siano connessi al modulo Tanium Threat Response." |
Generale |
Endpoint di quarantena
Metti in quarantena gli endpoint in Tanium. L'azione funziona con l'API Tanium Threat Response.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Solo avvia | Casella di controllo | Deselezionata | Sì | Se abilitata, l'azione avvia solo l'esecuzione dell'attività senza attendere i risultati. |
| Nomi pacchetto | Stringa |
|
Sì | Un oggetto JSON contenente tutti i nomi dei pacchetti per ogni sistema operativo. |
Pubblica su
Questa azione viene eseguita sulle seguenti entità:
- Indirizzo IP
- Nome host
Risultati dell'azione
Risultato dello script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
{
"id": 82,
"type": "responseAction",
"status": "COMPLETED",
"metadata": {
"id": 2,
"type": "gatherSnapshot",
"status": "RUNNING",
"computerName": "EX01.exlab.local",
"userId": 1,
"userName": "tanium",
"options": {},
"results": {
"taskIds": [
73
],
"actionIds": []
},
"expirationTime": "2022-03-08T14:31:50.211Z",
"createdAt": "2022-03-01T14:31:50.212Z",
"updatedAt": "2022-03-01T14:36:19.533Z"
},
"results": {
"didActionComplete": false,
"stopped": true,
"finished": true
},
"error": null,
"startTime": "2022-03-01T14:42:10.390Z",
"endTime": "2022-03-01T15:29:50.495Z",
"createdAt": "2022-03-01T14:42:10.379Z",
"updatedAt": "2022-03-01T14:42:10.379Z"
}
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se almeno un endpoint è in quarantena (is_success=true): "Successfully initiated quarantine on the following endpoints in Tanium:\n".format(entity) Se almeno un endpoint non è in quarantena, ma non a causa del timeout (is_success=false): "L'azione non è riuscita a mettere in quarantena i seguenti endpoint in Tanium: {entity}. Assicurati che l'agente Tanium Threat Response sia connesso correttamente e che il nome host/l'indirizzo IP sia corretto." Se non tutti gli endpoint sono in quarantena, ma non a causa del timeout (is_success=false): "L'azione non è riuscita a mettere in quarantena gli endpoint forniti in Tanium. Assicurati che l'agente Tanium Threat Response sia connesso correttamente e che il nome host/l'indirizzo IP sia corretto." Entità asincrone in attesa: {entities} L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Arricchisci IOC". Motivo: {0}''.format(error.Stacktrace) Se non è stato possibile creare la connessione o non è stata trovata alcuna connessione per tutti gli endpoint (is_success=false): "Errore durante l'esecuzione dell'azione "Metti in quarantena l'endpoint". Motivo: l'azione non è riuscita a mettere in quarantena gli endpoint forniti in Tanium a causa di problemi di connettività dell'agente. Assicurati che gli endpoint siano connessi al modulo Tanium Threat Response e che il nome host/l'indirizzo IP sia corretto." Se si verifica un timeout: "Errore durante l'esecuzione dell'azione "Metti in quarantena l'endpoint". Motivo: l'azione ha raggiunto il timeout durante l'esecuzione. Entità in attesa: {entities that are still in progress}. Aumenta il timeout nell'IDE o attiva "Solo avvia"." |
Generale |
Scarica file
Scarica un file dagli endpoint in Tanium. L'azione funziona con l'API Tanium Threat Response.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Percorsi file | CSV | N/D | Sì | Specifica il percorso assoluto dei file sull'endpoint da scaricare. |
| Percorso cartella di download | Stringa | N/D | Sì | Specifica il percorso della cartella in cui vuoi archiviare i file. |
| Sovrascrivi | Casella di controllo | Deselezionata | Sì | Se abilitata, l'azione sovrascrive il file con lo stesso nome. |
Pubblica su
Questa azione viene eseguita sulle seguenti entità:
- Indirizzo IP
- Nome host
Risultati dell'azione
Risultato dello script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
{
"absolute_file_path": [
"file_path_1",
"file_path_2"
],
"entity": [
{
"identifier": "",
"task_details": {
"id": 81,
"type": "fileDownload",
"status": "COMPLETED",
"metadata": {
"connection": "remote:centos-003:3864230059:1",
"paths": [
"/tmp/saaj-impl.jar"
],
"compress": "true"
},
"results": {
"completed": [
"/tmp/saaj-impl.jar"
],
"failed": [],
"fileResults": [
{
"response": {
"source": "/tmp/saaj-impl.jar",
"target": "/opt/Tanium/TaniumModuleServer/services/threat-response-service/tmp/4965e791-db87-4f31-ba60-2e52c9bac3de",
"totalBytes": 503502,
"transferHash": "5402c16c3873a722b94d8a3101cb98f5e4f862acc69cdee3a94cf40c1b04b265",
"totalTimeMs": 260,
"avgBytesPerSecond": 504123.0769230769
},
"uuid": "eb5077b3-9b02-42e2-bba4-58d9668a14e4",
"finalPath": "/opt/Tanium/TaniumModuleServer/services/threat-response-files/evidence/files/eb5077b3-9b02-42e2-bba4-58d9668a14e4.zip"
}
]
},
"error": null,
"startTime": "2022-03-01T14:38:23.952Z",
"endTime": "2022-03-01T14:38:24.559Z",
"createdAt": "2022-03-01T14:38:23.943Z",
"updatedAt": "2022-03-01T14:38:23.943Z"
}
}
]
}
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se viene scaricato almeno un file per entità (is_success=true): "Successfully downloaded the following files from the endpoint {entity} in Tanium:\n".format(downloaded files)." Se non viene scaricato almeno un file per entità, ma non a causa del timeout (is_success=false): "L'azione non è riuscita a scaricare i seguenti file dall'endpoint {entity} in Tanium: {pending files}. Assicurati che l'agente Tanium Threat Response sia connesso correttamente e che il nome host/indirizzo IP sia corretto. Il risultato JSON contiene maggiori dettagli sulle attività." Entità asincrone in attesa: {entities} L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Scarica file". Motivo: {0}''.format(error.Stacktrace)" Se esiste già un file con lo stesso nome, ma "Sovrascrivi" == false: "Errore durante l'esecuzione dell'azione "Scarica file". Motivo: i file con percorso {0} esistono già. Elimina i file o imposta "Sovrascrivi" su true." Se si verifica un timeout: "Errore durante l'esecuzione dell'azione "Scarica file". Motivo: l'azione ha raggiunto il timeout durante l'esecuzione. Entità in attesa: {entities that are still in progress}. Aumenta il timeout nell'IDE." |
Generale |
Elimina file
Scarica un file dagli endpoint in Tanium. L'azione funziona con l'API Tanium Threat Response.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Percorsi file | CSV | N/D | Sì | Specifica il percorso assoluto dei file sull'endpoint da eliminare. |
Pubblica su
Questa azione funziona con le seguenti entità:
- Indirizzo IP
- Nome host
Risultati dell'azione
Risultato dello script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
{
"success": [],
"not_exist_already_or_errors": []
}
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se almeno un file viene eliminato (codice di stato: 204, is_success=true): "Successfully deleted files from the following endpoints in Tanium:\n".format(entity)." Se almeno un file non esiste su un endpoint (codice di stato: 500, is_success=true): "Lo stato di alcuni file non è chiaro, controlla il risultato JSON. Tanium restituisce il codice di stato 500 nel caso in cui il file non venga trovato, ma anche in caso di altri problemi." Se almeno un file non esiste su tutti gli endpoint (codice di stato: 500, is_success=false): "Lo stato di tutti i file non è chiaro, controlla il risultato JSON. Tanium restituisce il codice di stato 500 nel caso in cui il file non venga trovato, ma anche in caso di altri problemi." Se non viene trovato almeno un endpoint (is_success=true): "L'azione non è riuscita a eliminare i file dai seguenti endpoint in Tanium: {entity}. Assicurati che l'agente Tanium Threat Response sia connesso correttamente e che il nome host/l'indirizzo IP sia corretto." Se non vengono trovati tutti gli endpoint (is_success=false): "L'azione non è riuscita a eliminare i file dagli endpoint forniti in Tanium. Assicurati che l'agente Tanium Threat Response sia connesso correttamente e che il nome host/l'indirizzo IP sia corretto." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Elimina file". Motivo: {0}''.format(error.Stacktrace) |
Generale |
Recupera dettagli attività
Recupera i dettagli di un'attività in Tanium. L'azione funziona con l'API Tanium Threat Response.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID attività | CSV | N/D | Sì | Specifica un elenco separato da virgole di ID attività per i quali vuoi recuperare i dettagli. |
| Attendi il completamento | Casella di controllo | Selezionata | No | Se abilitata, l'azione attende che l'attività abbia uno dei seguenti stati:
|
Pubblica su
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato dello script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
{
"id": 81,
"type": "fileDownload",
"status": "COMPLETED",
"metadata": {
"connection": "remote:centos-003:3864230059:1",
"paths": [
"/tmp/saaj-impl.jar"
],
"compress": "true"
},
"results": {
"completed": [
"/tmp/saaj-impl.jar"
],
"failed": [],
"fileResults": [
{
"response": {
"source": "/tmp/saaj-impl.jar",
"target": "/opt/Tanium/TaniumModuleServer/services/threat-response-service/tmp/4965e791-db87-4f31-ba60-2e52c9bac3de",
"totalBytes": 503502,
"transferHash": "5402c16c3873a722b94d8a3101cb98f5e4f862acc69cdee3a94cf40c1b04b265",
"totalTimeMs": 260,
"avgBytesPerSecond": 504123.0769230769
},
"uuid": "eb5077b3-9b02-42e2-bba4-58d9668a14e4",
"finalPath": "/opt/Tanium/TaniumModuleServer/services/threat-response-files/evidence/files/eb5077b3-9b02-42e2-bba4-58d9668a14e4.zip"
}
]
},
"error": null,
"startTime": "2022-03-01T14:38:23.952Z",
"endTime": "2022-03-01T14:38:24.559Z",
"createdAt": "2022-03-01T14:38:23.943Z",
"updatedAt": "2022-03-01T14:38:23.943Z"
}
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se viene recuperata almeno un'attività (is_success=true): "Successfully fetched details about the following tasks in Tanium:\n".format(id)." Se non viene trovata almeno un'attività (is_success=true): "L'azione non è riuscita a trovare le seguenti attività in Tanium:\n".format(id)." Se non viene trovata almeno un'attività (is_success=true): "Non sono state trovate attività in Tanium". Recupero asincrono dei dettagli delle attività: {task ids} L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Recupera dettagli attività". Motivo: {0}''.format(error.Stacktrace)" Se si verifica un timeout e il parametro "Attendi il completamento" è attivato: "Errore durante l'esecuzione dell'azione "Ottieni dettagli attività". Motivo: l'azione ha raggiunto il timeout durante l'esecuzione. Attività in sospeso: {attività ancora in corso}. Aumenta il timeout nell'IDE." |
Generale |
Crea connessione
Crea una connessione all'endpoint in Tanium.
Entità
Questa azione viene eseguita sulle entità Nome host e Indirizzo IP.
Input azione
N/D
Output dell'azione
| Tipo di output dell'azione | |
|---|---|
| Allegato della bacheca casi | N/D |
| Link alla bacheca richieste | N/D |
| Tabella della bacheca casi | N/D |
| Tabella di arricchimento | N/D |
| Risultato JSON | N/D |
| Risultato dello script | Disponibile |
Risultato dello script
| Nome del risultato dello script | Valore |
|---|---|
| is_success | Vero/Falso |
Bacheca casi
L'azione fornisce i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
Azione riuscita. |
|
Azione non riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Elenco connessioni
Elenca le connessioni degli endpoint in Tanium.
Entità
Questa azione non viene eseguita sulle entità.
Input azione
N/D
Output dell'azione
| Tipo di output dell'azione | |
|---|---|
| Allegato della bacheca casi | N/D |
| Link alla bacheca richieste | N/D |
| Tabella della bacheca casi | N/D |
| Tabella di arricchimento | N/D |
| Risultato JSON | N/D |
| Risultato dello script | Disponibile |
Risultato dello script
| Nome del risultato dello script | Valore |
|---|---|
| is_success | Vero/Falso |
Bacheca casi
L'azione fornisce i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
Azione riuscita. |
Error executing action "List Connections". Reason:
ERROR_REASON |
Azione non riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.