Tanium
統合バージョン: 11.0
前提条件
Tanium は、API トークンを使用して REST API への呼び出しを認証します。API トークンを生成する方法の詳細については、Tanium ドキュメントの API トークンの管理をご覧ください。
Tanium と Google Security Operations を統合する
Google SecOps で統合を構成する方法について詳しくは、統合を構成するをご覧ください。
統合のパラメータ
次のパラメータを使用して統合を構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| API ルート | URL | なし | ○ | 統合で使用する Tanium API ルートを指定します。 |
| API トークン | パスワード | なし | ○ | 統合で使用する Tanium API トークンを指定します。 |
| SSL を確認 | チェックボックス | オン | いいえ | 有効にすると、Google SecOps サーバーは、証明書が API ルート用に構成されていることを確認します。 |
操作
Ping
[Google Security Operations Marketplace] タブの統合構成ページで提供されているパラメータを使用して、Tanium のインストールへの接続性をテストします。
実行
このアクションはエンティティに対しては実行されず、必須入力パラメータもありません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功した場合: 「指定された接続パラメータを使用して Tanium インストールに正常に接続されました。」 アクションが失敗し、Playbook の実行が停止します。 認証情報の誤りや接続の切断などの重大なエラーが報告された場合: 「Tanium インストールに接続できませんでした。エラー: {0}".format(exception.stacktrace) |
一般 |
エンティティの拡充
Tanium の情報を使用してエンティティを拡充します。アクションは Google SecOps の非同期アクションです。サポートされるエンティティ: ホスト名、IP アドレス。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 追加フィールド | CSV | なし | いいえ | エンティティの拡充のために Tanium から取得する追加のフィールドを指定します。 このパラメータは、カンマ区切りの文字列として複数の値を受け入れます。 |
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"data": {
"now": "2022/01/28 10:18:54 GMT-0000",
"max_available_age": "",
"result_sets": [
{
"age": 0,
"id": X,
"report_count": 2,
"saved_question_id": 0,
"question_id": X,
"archived_question_id": 0,
"seconds_since_issued": 0,
"issue_seconds": 0,
"expire_seconds": 0,
"tested": 4,
"passed": 1,
"mr_tested": 4,
"mr_passed": 4,
"estimated_total": 4,
"select_count": 10,
"error_count": 0,
"no_results_count": 0,
"columns": [
{
"hash": X,
"name": "Computer ID",
"type": 1
},
{
"hash": 0,
"name": "Count",
"type": 3
}
],
"cache_id": "X",
"expiration": 0,
"filtered_row_count": 1,
"filtered_row_count_machines": 1,
"row_count": 1,
"row_count_machines": 1,
"item_count": 1,
"rows": [
{
"id": x,
"cid": x,
"data": [
[
{
"text": "X"
}
],
[
{
"text": "No User"
}
],
[
{
"text": "1"
}
]
]
}
]
}
]
}
}
拡充テーブル
接頭辞: Tanium_
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| Computer_ID | JSON で利用可能な場合 |
| Operating_System | JSON で利用可能な場合 |
| OS_Platform | JSON で利用可能な場合 |
| Service_Pack | JSON で利用可能な場合 |
| Domain_Name | JSON で利用可能な場合 |
| 稼働率 | JSON で利用可能な場合 |
| System_UUID | JSON で利用可能な場合 |
| IP_Address | JSON で利用可能な場合 |
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 1 つのエンティティにデータが利用可能な場合(is_success = true): 「Tanium の情報を使用して次のエンティティを拡充しました: {entity.identifier}」 1 つのエンティティにデータが利用できない場合(is_success=true): 「アクションは、Tanium の情報を使用して次のエンティティを拡充できませんでした: {entity.identifier}」 指定されたエンティティ(is_success=true)について Tanium に複数の一致がある場合: 「エンティティについて Tanium に複数の結果が見つかったため、最初の一致を取得しました: {entity.identifier}」 すべてのエンティティでデータが利用できない場合(is_success=false): 「指定されたエンティティはいずれも拡充されませんでした。」 アクションが失敗し、Playbook の実行が停止します。 400 ステータス コード(質問の構文が不適切)が報告された場合: 「指定された質問のテキストが無効なため、"エンティティの拡充" アクションの実行中にエラーが発生しました。「 認証情報が誤っているなどの致命的なエラーで、サーバーへの接続がない場合、その他の情報が報告されます: 「"エンティティの拡充" アクションの実行中にエラーが発生しました。」理由: {0}''.format(error.Stacktrace) |
一般 |
| Case Wall テーブル | テーブル名: {entity.identifier} テーブル列:
|
エンティティ |
Create Question
指定されたパラメータに基づいて新しい Tanium の質問を作成し、その質問がすぐに送信されます。アクションは、質問の結果を取得するために「質問の結果を取得」アクションに渡すことができる質問 ID を返します。このアクションは Google SecOps エンティティでは機能しません。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 質問テキスト | 文字列 | なし | ○ | Tanium の質問の内容を指定します。 例: すべてのマシンからオペレーティング システムを取得する |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"data": {
"id": X
}
}
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 データが利用可能な場合(is_success = true): 「IDを使用して Tanium の質問が作成されました {question_id_from_response}」 アクションが失敗し、Playbook の実行が停止します。 400 ステータス コード(質問の構文が不適切)が報告された場合: 「指定された質問のテキストが無効なため、"質問の作成" アクションの実行中にエラーが発生しました。「 認証情報が誤っているなどの致命的なエラーで、サーバーへの接続がない場合、その他の情報が報告されます: 「"質問の作成" アクションの実行中にエラーが発生しました。理由: {0}''.format(error.Stacktrace) |
一般 |
質問の結果を取得する
Tanium の質問の結果を取得します。Action は Google SecOps の非同期アクションです。このアクションは Google SecOps エンティティでは機能しません。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 質問 ID | 整数 | なし | ○ | 結果を取得する Tanium の質問 ID を指定します。 |
| ケースウォール テーブルの作成 | チェックボックス | オン | いいえ | 有効にすると、アクションの結果の一部としてケースウォール テーブルが作成されます。 |
| 返される最大行数 | 整数 | 50 | ○ | アクションが質問に対して返す行の最大数を指定します。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"data": {
"now": "2022/01/29 04:09:29 GMT-0000",
"max_available_age": "",
"result_sets": [
{
"age": 0,
"id": X,
"report_count": 3,
"saved_question_id": 0,
"question_id": X,
"archived_question_id": 0,
"seconds_since_issued": 0,
"issue_seconds": 0,
"expire_seconds": 0,
"tested": 4,
"passed": 4,
"mr_tested": 4,
"mr_passed": 4,
"estimated_total": 4,
"select_count": 1,
"error_count": 0,
"no_results_count": 0,
"columns": [
{
"hash": 45421433,
"name": "Operating System",
"type": 1
}
],
"cache_id": "X",
"expiration": 0,
"filtered_row_count": 4,
"filtered_row_count_machines": 4,
"row_count": 4,
"row_count_machines": 4,
"item_count": 4,
"rows": [
{
"id": X,
"cid": 0,
"data": [
[
{
"text": "X"
}
],
[
{
"text": X
}
]
]
},
{
"id": X,
"cid": 0,
"data": [
[
{
"text": X
}
],
[
{
"text": X
}
]
]
},
{
"id": X,
"cid": 0,
"data": [
[
{
"text": X
}
],
[
{
"text": X
}
]
]
},
{
"id": X,
"cid": 0,
"data": [
[
{
"text": X
}
],
[
{
"text": X
}
]
]
}
]
}
]
}
}
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 データが利用可能な場合(is_success=true): 「次の Tanium の質問 ID の結果が正常に取得されました: {question id}」 データが利用できない場合(is_success=false): 「Tanium の質問 ID の結果が見つかりませんでした:{question id} 」 アクションが失敗し、Playbook の実行が停止します。 404 ステータス コード(質問が存在しない)が報告された場合: 「質問 ID {question_id} の Tanium の質問が見つかりませんでした。「 認証情報が間違っている、サーバーに接続されていないなどの致命的なエラーの場合、その他の情報が報告されます: 「"質問結果の取得" アクションの実行中にエラーが発生しました。理由: {0}''.format(error.Stacktrace) |
一般 |
| Table | テーブル名: Tanium の質問 {question_id} の結果 テーブル列: 列は、質問から返されたデータに基づいて生成されます。 |
一般 |
エンドポイント イベントの一覧を取得する
Tanium からエンドポイントに関連するイベントを一覧表示します。アクションは Tanium Threat Response API と連携しています。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| Event Type | DDL | 両方を合わせた値 指定できる値は次のとおりです。
|
いいえ | 返されるイベントのタイプを指定します。 |
| 期間 | DDL | Last Hour 有効な値:
|
いいえ | 結果の期間を指定します。 [現在までのアラート時間] が選択されている場合、アクションでは、アラートの開始時刻が検索の開始時刻として使用され、終了時刻が現在の時刻になります。 [アラート時間の前後 30 分] を選択した場合、アクションでは、アラートが発生する 30 分前からアラート発生の 30 分後までアラートが検索されます。「アラート時間の前後 1 時間」と「アラート時間の前後 5 分」にも同じ考え方が適用されます。[カスタム] を選択した場合は、[開始時刻] パラメータも指定する必要があります。 |
| 開始時刻 | 文字列 | なし | いいえ | 結果の開始時刻を指定します。 [期間] パラメータに [カスタム] が選択されている場合、このパラメータは必須です。 形式: ISO 8601 |
| 終了時刻 | 文字列 | なし | いいえ | 結果の終了時刻を指定します。 何も指定されず、「期間」パラメータで「カスタム」が選択されている場合、このパラメータでは現在の時刻が使用されます。 形式: ISO 8601 |
| フィールドの並べ替え | 文字列 | timestamp | いいえ | 並べ替えに使用するパラメータを指定します。 |
| 並べ替え順序 | DDL | ASC が可能 値:
|
いいえ | 並べ替えの順序を指定します。 |
| 返されるイベントの最大数 | 整数 | 50 | いいえ | エンティティごとに返されるイベント数を指定します。 最大: 500 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"events": [
{
"create_time": "2022-01-18 11:59:52.000",
"end_time": null,
"exit_code": null,
"pid": 2,
"process_path": "kthreadd",
"id": "72057594037927939",
"process_table_id": "72057594037927939",
"parent_process_table_id": "72057594037927937",
"parent_pid": -1,
"user_name": "root",
"group_name": "root",
"hash_type_name": null,
"hash": null,
"process_command_line": null,
"parent_path": "<Unknown Process>",
"parent_command_line": "<Unknown Process>",
"parent_hash": null,
"create_time_raw": 1642507192000,
"end_time_raw": null
}
]
}
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 エンドポイントに対して少なくとも 1 つのイベントが見つかった場合(is_success=true): 「Tanium で、次のエンドポイントに対してイベントが正常に返されました: \n".format(entity)」 エンドポイントにイベントが見つからない場合(is_success=true): 「Tanium で次のエンドポイントにイベントが見つかりませんでした: \n".format(entity)」 すべてのエンドポイントにイベントが見つからない場合(is_success=true): 「Tanium で指定されたエンドポイントにイベントが見つかりませんでした。」 接続を作成できない、または一部のエンドポイントで接続が見つからない場合(is_success=true): 「アクションでは、エージェントの接続に関する問題により、Tanium で次のエンドポイントからイベントに関する情報を取得できませんでした: {entity}これらのホスト名が Tanium Threat Response モジュールに接続されていることを確認してください。」 すべて拡充しなかった場合(is_success=false): 「IOC に関する情報が見つかりませんでした。」 アクションが失敗し、Playbook の実行が停止します。 認証情報が誤っているなどの致命的なエラーで、サーバーへの接続がない場合、その他の情報が報告されます: 「"IOC の拡張" アクションの実行中にエラーが発生しました。理由: {0}''.format(error.Stacktrace) 接続を作成できない、またはすべてのエンドポイントで接続が見つからない場合(is_success=false): 「"エンドポイント イベントの一覧表示" アクションの実行中にエラーが発生しました。理由: エージェントの接続の問題により、アクションでは Tanium で指定されたエンドポイントからイベントに関する情報を取得できませんでした。これらのホスト名が Tanium Threat Response モジュールに接続されていることを確認してください。」 |
一般 |
エンドポイントを隔離する
Tanium でエンドポイントを隔離します。アクションは Tanium Threat Response API と連携しています。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| Only Initiate(開始のみ) | チェックボックス | オフ | ○ | 有効にすると、アクションは結果を待たずにタスクの実行を開始するだけになります。 |
| パッケージ名 | 文字列 |
|
はい | すべてのオペレーティング システムのすべてのパッケージ名を含む JSON オブジェクト。 |
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"id": 82,
"type": "responseAction",
"status": "COMPLETED",
"metadata": {
"id": 2,
"type": "gatherSnapshot",
"status": "RUNNING",
"computerName": "EX01.exlab.local",
"userId": 1,
"userName": "tanium",
"options": {},
"results": {
"taskIds": [
73
],
"actionIds": []
},
"expirationTime": "2022-03-08T14:31:50.211Z",
"createdAt": "2022-03-01T14:31:50.212Z",
"updatedAt": "2022-03-01T14:36:19.533Z"
},
"results": {
"didActionComplete": false,
"stopped": true,
"finished": true
},
"error": null,
"startTime": "2022-03-01T14:42:10.390Z",
"endTime": "2022-03-01T15:29:50.495Z",
"createdAt": "2022-03-01T14:42:10.379Z",
"updatedAt": "2022-03-01T14:42:10.379Z"
}
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 少なくとも 1 つのエンドポイントが隔離されている場合(is_success=true): 「Tanium の次のエンドポイントで正常に隔離を開始しました: \n".format(entity) 少なくとも 1 つのエンドポイントも隔離されていないが、タイムアウトが発生していない場合(is_success=false): 「アクションは Tanium の次のエンドポイントを隔離できませんでした: {entity}Tanium Threat Response エージェントが正しく接続され、ホスト名/IP アドレスが正しいことを確認してください。」 すべてのエンドポイントが隔離されていないが、タイムアウトが発生していない場合(is_success=false): 「アクションは、Tanium で提供されたエンドポイントを隔離できませんでした。Tanium Threat Response エージェントが正しく接続され、ホスト名/IP アドレスが正しいことを確認してください。」 非同期保留中のエンティティ: {エンティティ} アクションが失敗し、Playbook の実行が停止します。 認証情報に誤りがあるなどの致命的なエラーで、サーバーへの接続がない場合、その他の情報が報告されます: 「"IOC の拡充" アクションの実行中にエラーが発生しました。理由: {0}''.format(error.Stacktrace) すべてのエンドポイントで接続を作成できなかったか、接続が見つからなかった場合(is_success=false): 「"エンドポイントの隔離" アクションの実行中にエラーが発生しました。理由: エージェントの接続に関する問題により、Tanium で指定されたエンドポイントを隔離できませんでした。エンドポイントが Tanium Threat Response モジュールに接続され、ホスト名/IP アドレスが正しいことを確認してください。」 タイムアウトが発生した場合: 「"エンドポイントの隔離" アクションの実行中にエラーが発生しました。理由: アクションの実行中にタイムアウトしました。保留中のエンティティ: {entities that are still in progress}。IDE でタイムアウトを長くするか、「開始のみ」を有効にしてください。」 |
一般 |
ファイルをダウンロード
Tanium のエンドポイントからファイルをダウンロードします。アクションは Tanium Threat Response API と連携しています。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| File Paths | CSV | なし | ○ | ダウンロードする必要があるエンドポイント上のファイルの絶対パスを指定します。 |
| ダウンロード フォルダ パス | 文字列 | なし | ○ | ファイルを保存するフォルダのパスを指定します。 |
| 上書き | チェックボックス | オフ | ○ | 有効にすると、同じ名前のファイルが上書きされます。 |
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"absolute_file_path": [
"file_path_1",
"file_path_2"
],
"entity": [
{
"identifier": "",
"task_details": {
"id": 81,
"type": "fileDownload",
"status": "COMPLETED",
"metadata": {
"connection": "remote:centos-003:3864230059:1",
"paths": [
"/tmp/saaj-impl.jar"
],
"compress": "true"
},
"results": {
"completed": [
"/tmp/saaj-impl.jar"
],
"failed": [],
"fileResults": [
{
"response": {
"source": "/tmp/saaj-impl.jar",
"target": "/opt/Tanium/TaniumModuleServer/services/threat-response-service/tmp/4965e791-db87-4f31-ba60-2e52c9bac3de",
"totalBytes": 503502,
"transferHash": "5402c16c3873a722b94d8a3101cb98f5e4f862acc69cdee3a94cf40c1b04b265",
"totalTimeMs": 260,
"avgBytesPerSecond": 504123.0769230769
},
"uuid": "eb5077b3-9b02-42e2-bba4-58d9668a14e4",
"finalPath": "/opt/Tanium/TaniumModuleServer/services/threat-response-files/evidence/files/eb5077b3-9b02-42e2-bba4-58d9668a14e4.zip"
}
]
},
"error": null,
"startTime": "2022-03-01T14:38:23.952Z",
"endTime": "2022-03-01T14:38:24.559Z",
"createdAt": "2022-03-01T14:38:23.943Z",
"updatedAt": "2022-03-01T14:38:23.943Z"
}
}
]
}
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 エンティティごとに少なくとも 1 つのファイルがダウンロードされた場合(is_success=true): 「Tanium のエンドポイント {エンティティ} から次のファイルが正常にダウンロードされました :\n".format(downloaded files)」 エンティティごとに少なくとも 1 つもファイルがダウンロードされていないものの、タイムアウトが発生していない場合(is_success=false): 「アクションでは Tanium のエンドポイント {エンティティ} から次のファイルをダウンロードできませんでした: {保留中のファイル}Tanium Threat Response エージェントが正しく接続され、ホスト名/IP アドレスが正しいことを確認してください。JSON 結果にはタスクの詳細が記載されています。」 非同期保留中のエンティティ: {エンティティ} アクションが失敗し、Playbook の実行が停止します。 認証情報が誤っているなどの致命的なエラーで、サーバーへの接続がない場合、その他の情報が報告されます: 「"ファイルをダウンロード" アクションの実行中にエラーが発生しました。理由: {0}''.format(error.Stacktrace)」 同じ名前のファイルがすでに存在するが、「上書き」 == false の場合: 「"ファイルをダウンロード" アクションの実行中にエラーが発生しました。理由: パス {0} のファイルはすでに存在します。ファイルを削除するか、「上書き」を true に設定してください。 タイムアウトが発生した場合: 「"ファイルをダウンロード" アクションの実行中にエラーが発生しました。理由: アクションの実行中にタイムアウトしました。保留中のエンティティ: {entities that are still in progress}。IDE でタイムアウトを長くしてください。」 |
一般 |
ファイルを削除
Tanium のエンドポイントからファイルをダウンロードします。アクションは Tanium Threat Response API と連携しています。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| File Paths | CSV | なし | ○ | 削除する必要があるエンドポイント上のファイルの絶対パスを指定します。 |
実行
このアクションは、次のエンティティと連携しています。
- IP アドレス
- ホスト名
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"success": [],
"not_exist_already_or_errors": []
}
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 少なくとも 1 つのファイルが削除された場合(ステータス コード: 204、is_success=true): 「Tanium の次のエンドポイントからファイルを正常に削除しました: \n".format(entity)」 1 つのエンドポイントに少なくともファイルが 1 つも存在しない場合(ステータス コード: 500、is_success=true): 「一部のファイルのステータスが明確ではありません。JSON の結果を確認してください。この場合 Tanium は、ファイルが見つからない場合だけでなく、その他の課題がある場合にもステータス コード 500 を返します。 すべてのエンドポイントにファイルが 1 つも存在しない場合(ステータス コード: 500、is_success=false): 「すべてのファイルのステータスが明確ではありません。JSON の結果を確認してください。この場合 Tanium は、ファイルが見つからない場合だけでなく、その他の課題がある場合にもステータス コード 500 を返します。 少なくとも 1 つのエンドポイントも見つからない場合(is_success=true): 「アクションは Tanium の次のエンドポイントからファイルを削除できませんでした: {エンティティ}Tanium Threat Response エージェントが正しく接続され、ホスト名/IP アドレスが正しいことを確認してください。」 すべてのエンドポイントが見つからない場合(is_success=false): 「アクションは、Tanium で指定されたエンドポイントからファイルを削除できませんでした。Tanium Threat Response エージェントが正しく接続され、ホスト名/IP アドレスが正しいことを確認してください。」 アクションが失敗し、Playbook の実行が停止します。 認証情報が誤っているなどの致命的なエラーで、サーバーへの接続がない場合、その他の情報が報告されます: 「"ファイルの削除" アクションの実行中にエラーが発生しました。理由: {0}''.format(error.Stacktrace) |
一般 |
タスクの詳細を取得する
Tanium のタスクの詳細を取得します。アクションは Tanium Threat Response API と連携しています。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| タスク ID | CSV | なし | ○ | 詳細を取得するタスク ID のカンマ区切りのリストを指定します。 |
| 完了まで待機 | チェックボックス | オン | いいえ | 有効にすると、アクションはタスクのステータスが次のいずれかになるまで待機します。
|
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"id": 81,
"type": "fileDownload",
"status": "COMPLETED",
"metadata": {
"connection": "remote:centos-003:3864230059:1",
"paths": [
"/tmp/saaj-impl.jar"
],
"compress": "true"
},
"results": {
"completed": [
"/tmp/saaj-impl.jar"
],
"failed": [],
"fileResults": [
{
"response": {
"source": "/tmp/saaj-impl.jar",
"target": "/opt/Tanium/TaniumModuleServer/services/threat-response-service/tmp/4965e791-db87-4f31-ba60-2e52c9bac3de",
"totalBytes": 503502,
"transferHash": "5402c16c3873a722b94d8a3101cb98f5e4f862acc69cdee3a94cf40c1b04b265",
"totalTimeMs": 260,
"avgBytesPerSecond": 504123.0769230769
},
"uuid": "eb5077b3-9b02-42e2-bba4-58d9668a14e4",
"finalPath": "/opt/Tanium/TaniumModuleServer/services/threat-response-files/evidence/files/eb5077b3-9b02-42e2-bba4-58d9668a14e4.zip"
}
]
},
"error": null,
"startTime": "2022-03-01T14:38:23.952Z",
"endTime": "2022-03-01T14:38:24.559Z",
"createdAt": "2022-03-01T14:38:23.943Z",
"updatedAt": "2022-03-01T14:38:23.943Z"
}
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 少なくとも 1 つのタスクが取得された場合(is_success=true): Tanium の次のタスクに関する詳細を正常に取得しました: \n".format(id) 少なくとも 1 つのタスクも見つからない場合(is_success=true): 「アクションでは、Tanium で次のタスクを見つけられませんでした: \n".format(id)」 少なくとも 1 つもタスクが見つからない場合(is_success=true): 「Tanium でタスクが見つかりませんでした。」 タスクに関する非同期取得の詳細: {タスク ID} アクションが失敗し、Playbook の実行が停止します。 認証情報が誤っているなどの致命的なエラーで、サーバーへの接続がない場合、その他の情報が報告されます: 「"タスクの詳細を取得" アクションの実行中にエラーが発生しました。理由: {0}''.format(error.Stacktrace)」 タイムアウトが発生し、「完了を待機」パラメータが有効になっている場合: 「"タスクの詳細を取得" アクションの実行中にエラーが発生しました。理由: アクションの実行中にタイムアウトしました。保留中のタスク: {進行中のタスク}。IDE でタイムアウトを長くしてください。」 |
全般 |
接続を作成
Tanium のエンドポイントへの接続を作成します。
エンティティ
このアクションは、ホスト名エンティティと IP アドレス エンティティに対して実行されます。
アクション入力
なし
アクションの出力
| アクションの出力タイプ | |
|---|---|
| ケースウォールのアタッチメント | なし |
| ケースのウォールのリンク | なし |
| ケースウォール テーブル | なし |
| 拡充テーブル | なし |
| JSON の結果 | なし |
| スクリプトの結果 | 利用可能 |
スクリプトの結果
| スクリプトの結果名 | 値 |
|---|---|
| is_success | True/False |
ケースウォール
このアクションでは、次の出力メッセージが表示されます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
|
操作を実行できませんでした。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
接続の一覧表示
Tanium でエンドポイント接続を一覧表示します。
エンティティ
このアクションはエンティティでは実行されません。
アクション入力
なし
アクションの出力
| アクションの出力タイプ | |
|---|---|
| ケースウォールのアタッチメント | なし |
| ケースのウォールのリンク | なし |
| ケースウォール テーブル | なし |
| 拡充テーブル | なし |
| JSON の結果 | なし |
| スクリプトの結果 | 利用可能 |
スクリプトの結果
| スクリプトの結果名 | 値 |
|---|---|
| is_success | True/False |
ケースウォール
このアクションでは、次の出力メッセージが表示されます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "List Connections". Reason:
ERROR_REASON |
操作を実行できませんでした。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。