Tanium
통합 버전: 11.0
기본 요건
Tanium은 API 토큰을 사용하여 REST API에 대한 호출을 인증합니다. API 토큰을 생성하는 방법에 대한 자세한 내용은 Tanium 문서의 API 토큰 관리를 참고하세요.
Tanium을 Google Security Operations와 통합
Google SecOps에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.
통합 매개변수
다음 매개변수를 사용하여 통합을 구성합니다.
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| API 루트 | URL | 해당 사항 없음 | 예 | 통합에서 사용해야 하는 Tanium API 루트를 지정합니다. |
| API 토큰 | 비밀번호 | 해당 사항 없음 | 예 | 통합에서 사용해야 하는 Tanium API 토큰을 지정합니다. |
| SSL 확인 | 체크박스 | 선택 | 아니요 | 사용 설정되면 Google SecOps 서버에서 인증서가 API 루트에 대해 구성되었는지 확인합니다. |
작업
핑
Google Security Operations Marketplace 탭의 통합 구성 페이지에서 제공되는 매개변수를 사용하여 Tanium 설치에 대한 연결을 테스트합니다.
실행
이 작업은 항목에서 실행되지 않거나 필수 입력 매개변수가 없습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하지 않거나 플레이북 실행을 중지하지 않아야 합니다. 성공한 경우: '제공된 연결 매개변수를 사용하여 Tanium 설치에 성공적으로 연결되었습니다.' 작업이 실패하고 플레이북 실행을 중지해야 합니다. 잘못된 사용자 인증 정보 또는 연결 손실과 같은 중대한 오류가 보고되는 경우: 'Tanium 설치에 연결할 수 없습니다. 오류: {0}".format(exception.stacktrace) |
일반 |
항목 보강
Tanium의 정보를 사용하여 항목을 보강합니다. 작업은 Google SecOps 비동기 작업입니다. 지원되는 항목: 호스트 이름, IP 주소
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 추가 입력란 | CSV | 해당 사항 없음 | No | 항목 보강을 위해 Tanium에서 가져올 추가 필드를 지정합니다. 매개변수는 여러 값을 쉼표로 구분된 문자열로 허용합니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- IP 주소
- 호스트 이름
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"data": {
"now": "2022/01/28 10:18:54 GMT-0000",
"max_available_age": "",
"result_sets": [
{
"age": 0,
"id": X,
"report_count": 2,
"saved_question_id": 0,
"question_id": X,
"archived_question_id": 0,
"seconds_since_issued": 0,
"issue_seconds": 0,
"expire_seconds": 0,
"tested": 4,
"passed": 1,
"mr_tested": 4,
"mr_passed": 4,
"estimated_total": 4,
"select_count": 10,
"error_count": 0,
"no_results_count": 0,
"columns": [
{
"hash": X,
"name": "Computer ID",
"type": 1
},
{
"hash": 0,
"name": "Count",
"type": 3
}
],
"cache_id": "X",
"expiration": 0,
"filtered_row_count": 1,
"filtered_row_count_machines": 1,
"row_count": 1,
"row_count_machines": 1,
"item_count": 1,
"rows": [
{
"id": x,
"cid": x,
"data": [
[
{
"text": "X"
}
],
[
{
"text": "No User"
}
],
[
{
"text": "1"
}
]
]
}
]
}
]
}
}
보강 테이블
프리픽스: Tanium_
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| Computer_ID | JSON으로 제공되는 경우 |
| Operating_System | JSON으로 제공되는 경우 |
| OS_Platform | JSON으로 제공되는 경우 |
| Service_Pack | JSON으로 제공되는 경우 |
| Domain_Name | JSON으로 제공되는 경우 |
| 업타임 | JSON으로 제공되는 경우 |
| System_UUID | JSON으로 제공되는 경우 |
| IP_Address | JSON으로 제공되는 경우 |
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하지 않거나 플레이북 실행을 중지하지 않아야 합니다. 항목 하나에 데이터를 사용할 수 있는 경우(is_success = true): 'Tanium: {entity.identifier}의 정보를 사용하여 다음 항목을 성공적으로 보강했습니다.' 항목 하나에 데이터를 사용할 수 없는 경우(is_success=true): '작업에서 Tanium: {entity.identifier}의 정보를 사용하여 다음 항목을 보강할 수 없습니다.' 제공된 항목에 대해 Tanium에 일치하는 항목이 여러 개 있는 경우(is_success=true): '첫 번째 일치 항목: {entity.identifier}을 사용하여 항목의 Tanium에서 여러 결과가 발견되었습니다.' 모든 항목에 데이터를 사용할 수 없는 경우(is_success=false): '제공된 항목이 보강되지 않았습니다.' 작업이 실패하고 플레이북 실행을 중지해야 합니다. 400 상태 코드(잘못된 질문 구문)가 보고된 경우: '제공된 질문 텍스트가 잘못되어 '항목 보강' 작업 실행 중에 오류가 발생했습니다. " 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''항목 보강' 작업 실행 중에 오류가 발생했습니다.' 이유: {0}''.format(error.Stacktrace) |
일반 |
| 케이스 월 테이블 | 테이블 이름: {entity.identifier} 테이블 열:
|
항목 |
질문 만들기
지정된 매개변수에 따라 새로운 Tanium 질문을 만들면 즉시 질문이 표시됩니다. 작업은 질문 결과를 가져오기 위해 '질문 결과 가져오기' 작업에 전달할 수 있는 질문 ID를 반환합니다. 이 작업은 Google SecOps 항목에서 작동하지 않습니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 질문 텍스트 | 문자열 | 해당 사항 없음 | 예 | Tanium 질문 콘텐츠를 지정합니다. 예시: 모든 머신에서 운영체제 가져오기 |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"data": {
"id": X
}
}
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하지 않거나 플레이북 실행을 중지하지 않아야 합니다. 데이터를 사용할 수 있는 경우(is_success = true): 'id {question_id_from_response}를 사용하여 Tanium 질문을 성공적으로 만들었습니다.' 작업이 실패하고 플레이북 실행을 중지해야 합니다. 400 상태 코드(잘못된 질문 구문)가 보고된 경우: '제공된 질문 텍스트가 잘못되어 '질문 만들기' 작업 실행 중에 오류가 발생했습니다. " 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''질문 만들기' 작업 실행 중에 오류가 발생했습니다.' 이유: {0}''.format(error.Stacktrace) |
일반 |
질문 결과 가져오기
Tanium 질문 결과를 가져옵니다. 작업은 Google SecOps 비동기 작업입니다. 이 작업은 Google SecOps 항목에서 작동하지 않습니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 질문 ID | 정수 | 해당 사항 없음 | 예 | 결과를 가져올 Tanium 질문 ID를 지정합니다. |
| 케이스 월 테이블 만들기 | 체크박스 | 선택 | No | 사용 설정하면 작업에서 작업 결과의 일부로 케이스 월 테이블을 만듭니다. |
| 반환할 최대 행 수 | 정수 | 50 | 예 | 작업에서 질문에 반환해야 하는 최대 행 수를 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"data": {
"now": "2022/01/29 04:09:29 GMT-0000",
"max_available_age": "",
"result_sets": [
{
"age": 0,
"id": X,
"report_count": 3,
"saved_question_id": 0,
"question_id": X,
"archived_question_id": 0,
"seconds_since_issued": 0,
"issue_seconds": 0,
"expire_seconds": 0,
"tested": 4,
"passed": 4,
"mr_tested": 4,
"mr_passed": 4,
"estimated_total": 4,
"select_count": 1,
"error_count": 0,
"no_results_count": 0,
"columns": [
{
"hash": 45421433,
"name": "Operating System",
"type": 1
}
],
"cache_id": "X",
"expiration": 0,
"filtered_row_count": 4,
"filtered_row_count_machines": 4,
"row_count": 4,
"row_count_machines": 4,
"item_count": 4,
"rows": [
{
"id": X,
"cid": 0,
"data": [
[
{
"text": "X"
}
],
[
{
"text": X
}
]
]
},
{
"id": X,
"cid": 0,
"data": [
[
{
"text": X
}
],
[
{
"text": X
}
]
]
},
{
"id": X,
"cid": 0,
"data": [
[
{
"text": X
}
],
[
{
"text": X
}
]
]
},
{
"id": X,
"cid": 0,
"data": [
[
{
"text": X
}
],
[
{
"text": X
}
]
]
}
]
}
]
}
}
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하지 않거나 플레이북 실행을 중지하지 않아야 합니다. 데이터를 사용할 수 있는 경우(is_success=true): '다음 Tanium 질문 id: {question id}의 결과를 성공적으로 가져왔습니다.' 데이터를 사용할 수 없는 경우(is_success=false): 'Tanium 질문 ID: {question id}에 대한 결과를 찾을 수 없습니다.' 작업이 실패하고 플레이북 실행을 중지해야 합니다. 404 상태 코드(질문이 존재하지 않음)가 보고된 경우: '질문 id {question_id}가 있는 Tanium 질문을 찾을 수 없습니다. " 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''질문 결과 가져오기' 작업 실행 중에 오류가 발생했습니다.' 이유: {0}''.format(error.Stacktrace) |
일반 |
| 테이블 | 테이블 이름: Tanium 질문 {question_id} 결과 테이블 열: 열은 질문에서 반환된 데이터를 기반으로 생성됩니다. |
일반 |
엔드포인트 이벤트 나열
Tanium의 엔드포인트와 관련된 이벤트를 나열합니다. 작업은 Tanium Threat Response API와 함께 작동합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 이벤트 유형 | DDL | 결합 가능한 값은 다음과 같습니다.
|
No | 반환해야 하는 이벤트의 유형을 지정합니다. |
| 기간 | DDL | 지난 1시간 가능한 값은 다음과 같습니다.
|
No | 결과 기간을 지정합니다. '현재까지의 알림 시간'을 선택하면 작업에서 알림 시작 시간을 검색 시작 시간으로 사용하고 종료 시간이 현재 시간입니다. '알림 시간 약 30분'을 선택하면 작업에서 알림 발생 30분 전부터 알림 발생 후 30분까지 알림을 검색합니다. '알림 시간 약 1시간'과 '알림 시간 약 5분'에도 같은 개념이 적용됩니다. '커스텀'을 선택한 경우 '시작 시간' 매개변수도 제공해야 합니다. |
| 시작 시간 | 문자열 | 해당 사항 없음 | No | 결과 시작 시간을 지정합니다. '기간' 매개변수에 '커스텀'을 선택한 경우 이 매개변수는 필수 항목입니다. 형식: ISO 8601 |
| 종료 시간 | 문자열 | 해당 사항 없음 | No | 결과 종료 시간을 지정합니다. 아무것도 제공하지 않고 '기간' 매개변수에 '커스텀'을 선택하면 이 매개변수는 현재 시간을 사용합니다. 형식: ISO 8601 |
| 필드 정렬 | 문자열 | timestamp | No | 정렬에 사용해야 하는 매개변수를 지정합니다. |
| 정렬 순서 | DDL | ASC 가능 값:
|
No | 정렬 순서를 지정합니다. |
| 반환할 최대 이벤트 수 | 정수 | 50 | No | 항목당 반환할 이벤트 수를 지정합니다. 최대: 500 |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"events": [
{
"create_time": "2022-01-18 11:59:52.000",
"end_time": null,
"exit_code": null,
"pid": 2,
"process_path": "kthreadd",
"id": "72057594037927939",
"process_table_id": "72057594037927939",
"parent_process_table_id": "72057594037927937",
"parent_pid": -1,
"user_name": "root",
"group_name": "root",
"hash_type_name": null,
"hash": null,
"process_command_line": null,
"parent_path": "<Unknown Process>",
"parent_command_line": "<Unknown Process>",
"parent_hash": null,
"create_time_raw": 1642507192000,
"end_time_raw": null
}
]
}
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하지 않거나 플레이북 실행을 중지하지 않아야 합니다. 엔드포인트에 대한 이벤트가 최소 하나 이상 발견된 경우(is_success=true): 'Tanium:\n'.format(entity)에서 다음 엔드포인트의 이벤트를 성공적으로 반환했습니다.' 엔드포인트에 대한 이벤트가 없는 경우(is_success=true): 'Tanium:\n'.format(entity)의 다음 엔드포인트에 대한 이벤트가 없습니다.' 모든 엔드포인트에 대한 이벤트가 없는 경우(is_success=true): 'Tanium에서 제공된 엔드포인트에 대한 이벤트를 찾을 수 없습니다.' 연결을 만들 수 없거나 일부 엔드포인트에서 연결을 찾을 수 없는 경우(is_success=true): '에이전트 연결 문제: {entity}로 인해 작업에서 Tanium의 다음 엔드포인트에서 이벤트에 대한 정보를 가져올 수 없습니다. 해당 호스트 이름이 Tanium Threat Response 모듈에 연결되어 있는지 확인하세요.' 모두 보강하지 않은 경우(is_success=false): 'IOC에 대한 정보를 찾을 수 없습니다.' 작업이 실패하고 플레이북 실행을 중지해야 합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''IOC 보강' 작업 실행 중에 오류가 발생했습니다.' 이유: {0}''.format(error.Stacktrace) 연결을 만들 수 없거나 모든 엔드포인트에서 연결을 찾을 수 없는 경우(is_success=false): ''엔드포인트 이벤트 나열' 작업 실행 중에 오류가 발생했습니다.' 이유: 에이전트 연결 문제로 인해 Tanium에서 제공된 엔드포인트에서 이벤트에 대한 정보를 가져올 수 없습니다. 해당 호스트 이름이 Tanium Threat Response 모듈에 연결되어 있는지 확인하세요.' |
일반 |
엔드포인트 격리
Tanium에서 엔드포인트를 격리합니다. 작업은 Tanium Threat Response API와 함께 작동합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 시작만 | 체크박스 | 선택 해제 | 예 | 사용 설정하면 작업에서 결과를 기다리지 않고 태스크 실행만 시작합니다. |
| 패키지 이름 | 문자열 |
|
예 | 모든 운영체제의 모든 패키지 이름을 포함하는 JSON 객체입니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- IP 주소
- 호스트 이름
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"id": 82,
"type": "responseAction",
"status": "COMPLETED",
"metadata": {
"id": 2,
"type": "gatherSnapshot",
"status": "RUNNING",
"computerName": "EX01.exlab.local",
"userId": 1,
"userName": "tanium",
"options": {},
"results": {
"taskIds": [
73
],
"actionIds": []
},
"expirationTime": "2022-03-08T14:31:50.211Z",
"createdAt": "2022-03-01T14:31:50.212Z",
"updatedAt": "2022-03-01T14:36:19.533Z"
},
"results": {
"didActionComplete": false,
"stopped": true,
"finished": true
},
"error": null,
"startTime": "2022-03-01T14:42:10.390Z",
"endTime": "2022-03-01T15:29:50.495Z",
"createdAt": "2022-03-01T14:42:10.379Z",
"updatedAt": "2022-03-01T14:42:10.379Z"
}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하지 않거나 플레이북 실행을 중지하지 않아야 합니다. 엔드포인트 최소 하나 이상이 격리된 경우(is_success=true): 'Tanium:\n'.format(entity)의 다음 엔드포인트에서 격리를 성공적으로 시작했습니다. 엔드포인트 최소 하나 이상이 격리되지 않았지만 원인이 제한 시간이 아닌 경우(is_success=false): '작업에서 Tanium: {entity}의 다음 엔드포인트를 격리할 수 없습니다. Tanium Threat Response 에이전트가 올바르게 연결되어 있고 호스트 이름/IP 주소가 올바른지 확인하세요.' 모든 엔드포인트가 격리되지 않았지만 원인이 제한 시간이 아닌 경우(is_success=false): "작업이 Tanium에서 제공된 엔드포인트를 격리할 수 없습니다. Tanium Threat Response 에이전트가 올바르게 연결되어 있고 호스트 이름/IP 주소가 올바른지 확인하세요.' 비동기 대기 중인 항목: {entities} 작업이 실패하고 플레이북 실행을 중지해야 합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''IOC 보강' 작업 실행 중에 오류가 발생했습니다.' 이유: {0}''.format(error.Stacktrace) 연결을 만들 수 없거나 모든 엔드포인트에서 연결을 찾을 수 없는 경우 (is_success=false): ''엔드포인트 격리' 작업을 실행하는 중에 오류가 발생했습니다. 이유: 에이전트 연결 문제로 인해 작업이 Tanium에서 제공된 엔드포인트를 격리할 수 없습니다. 엔드포인트가 Tanium Threat Response 모듈에 연결되어 있고 호스트 이름/IP 주소가 올바른지 확인하세요.' 제한 시간이 초과된 경우: ''엔드포인트 격리' 작업 실행 중에 오류가 발생했습니다. 이유: 실행 중에 작업 제한 시간이 초과되었습니다. 대기 중인 항목: {아직 진행 중인 항목}. IDE에서 제한 시간을 늘리거나 '시작만'을 사용 설정하세요.' |
일반 |
파일 다운로드
Tanium의 엔드포인트에서 파일을 다운로드합니다. 작업은 Tanium Threat Response API와 함께 작동합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| File Paths | CSV | 해당 사항 없음 | 예 | 다운로드해야 하는 엔드포인트에서 파일의 절대 경로를 지정합니다. |
| 다운로드 폴더 경로 | 문자열 | 해당 사항 없음 | 예 | 파일을 저장할 폴더의 경로를 지정합니다. |
| 덮어쓰기 | 체크박스 | 선택 해제 | 예 | 사용 설정하면 작업에서 같은 이름의 파일을 덮어씁니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- IP 주소
- 호스트 이름
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"absolute_file_path": [
"file_path_1",
"file_path_2"
],
"entity": [
{
"identifier": "",
"task_details": {
"id": 81,
"type": "fileDownload",
"status": "COMPLETED",
"metadata": {
"connection": "remote:centos-003:3864230059:1",
"paths": [
"/tmp/saaj-impl.jar"
],
"compress": "true"
},
"results": {
"completed": [
"/tmp/saaj-impl.jar"
],
"failed": [],
"fileResults": [
{
"response": {
"source": "/tmp/saaj-impl.jar",
"target": "/opt/Tanium/TaniumModuleServer/services/threat-response-service/tmp/4965e791-db87-4f31-ba60-2e52c9bac3de",
"totalBytes": 503502,
"transferHash": "5402c16c3873a722b94d8a3101cb98f5e4f862acc69cdee3a94cf40c1b04b265",
"totalTimeMs": 260,
"avgBytesPerSecond": 504123.0769230769
},
"uuid": "eb5077b3-9b02-42e2-bba4-58d9668a14e4",
"finalPath": "/opt/Tanium/TaniumModuleServer/services/threat-response-files/evidence/files/eb5077b3-9b02-42e2-bba4-58d9668a14e4.zip"
}
]
},
"error": null,
"startTime": "2022-03-01T14:38:23.952Z",
"endTime": "2022-03-01T14:38:24.559Z",
"createdAt": "2022-03-01T14:38:23.943Z",
"updatedAt": "2022-03-01T14:38:23.943Z"
}
}
]
}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하지 않거나 플레이북 실행을 중지하지 않아야 합니다. 항목당 파일이 최소 하나 이상 다운로드된 경우(is_success=true): 'Tanium:\n".format(다운로드된 파일)의 엔드포인트 {entity}에서 다음 파일을 성공적으로 다운로드했습니다.' 항목당 파일이 최소 하나 이상 다운로드되지 않았지만 원인이 제한 시간이 아닌 경우(is_success=false): '작업이 Tanium: {대기 중인 파일}의 엔드포인트 {entity}에서 다음 파일을 다운로드할 수 없습니다. Tanium Threat Response 에이전트가 올바르게 연결되어 있고 호스트 이름/IP 주소가 올바른지 확인하세요. JSON 결과에 태스크에 대한 세부정보가 있습니다.' 비동기 대기 중인 항목: {entities} 작업이 실패하고 플레이북 실행을 중지해야 합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''파일 다운로드' 작업 실행 중에 오류가 발생했습니다.' 이유: {0}''.format(error.Stacktrace)' 같은 이름의 파일이 이미 있지만 '덮어쓰기'가 false인 경우: ''파일 다운로드' 작업 실행 중에 오류가 발생했습니다. 이유: 경로 {0}에 파일이 이미 있습니다. 파일을 삭제하거나 '덮어쓰기'를 true로 설정하세요.' 제한 시간이 초과된 경우: ''파일 다운로드' 작업 실행 중에 오류가 발생했습니다. 이유: 실행 중에 작업 제한 시간이 초과되었습니다. 대기 중인 항목: {아직 진행 중인 항목}. IDE에서 제한 시간을 늘리세요.' |
일반 |
파일 삭제
Tanium의 엔드포인트에서 파일을 다운로드합니다. 작업은 Tanium Threat Response API와 함께 작동합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| File Paths | CSV | 해당 사항 없음 | 예 | 삭제해야 하는 엔드포인트에서 파일의 절대 경로를 지정합니다. |
실행
이 작업은 다음 항목에서 작동합니다.
- IP 주소
- 호스트 이름
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"success": [],
"not_exist_already_or_errors": []
}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하지 않거나 플레이북 실행을 중지하지 않아야 합니다. 파일이 최소 하나 이상 삭제된 경우(상태 코드: 204, is_success=true): 'Tanium:\n'.format(entity)의 다음 엔드포인트에서 파일을 성공적으로 삭제했습니다.' 엔드포인트 하나에 파일이 최소 하나 이상 없는 경우(상태 코드: 500, is_success=true): '일부 파일에 대한 상태가 명확하지 않습니다. JSON 결과를 확인하세요. 파일을 찾을 수 없는 경우뿐만 아니라 다른 문제가 있는 경우에도 Tanium은 상태 코드 500을 반환합니다.' 모든 엔드포인트에 파일이 최소 하나 이상 없는 경우(상태 코드: 500, is_success=false): '모든 파일에 대한 상태가 명확하지 않습니다. JSON 결과를 확인하세요. 파일을 찾을 수 없는 경우뿐만 아니라 다른 문제가 있는 경우에도 Tanium은 상태 코드 500을 반환합니다.' 엔드포인트를 최소 하나 이상 찾을 수 없는 경우(is_success=true): '작업이 Tanium: {entity}의 다음 엔드포인트에서 파일을 삭제할 수 없습니다. Tanium Threat Response 에이전트가 올바르게 연결되어 있고 호스트 이름/IP 주소가 올바른지 확인하세요.' 모든 엔드포인트를 찾을 수 없는 경우(is_success=false): '작업이 Tanium에 제공된 엔드포인트에서 파일을 삭제할 수 없습니다. Tanium Threat Response 에이전트가 올바르게 연결되어 있고 호스트 이름/IP 주소가 올바른지 확인하세요.' 작업이 실패하고 플레이북 실행을 중지해야 합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''파일 삭제' 작업 실행 중에 오류가 발생했습니다.' 이유: {0}''.format(error.Stacktrace) |
일반 |
태스크 세부정보 가져오기
Tanium의 태스크에 대한 세부정보를 가져옵니다. 작업은 Tanium Threat Response API와 함께 작동합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 태스크 ID | CSV | 해당 사항 없음 | 예 | 세부정보를 가져올 쉼표로 구분된 태스크 ID 목록을 지정합니다. |
| 완료될 때까지 대기 | 체크박스 | 선택 | No | 사용 설정되면 작업은 태스크가 다음 상태 중 하나가 될 때까지 기다립니다.
|
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"id": 81,
"type": "fileDownload",
"status": "COMPLETED",
"metadata": {
"connection": "remote:centos-003:3864230059:1",
"paths": [
"/tmp/saaj-impl.jar"
],
"compress": "true"
},
"results": {
"completed": [
"/tmp/saaj-impl.jar"
],
"failed": [],
"fileResults": [
{
"response": {
"source": "/tmp/saaj-impl.jar",
"target": "/opt/Tanium/TaniumModuleServer/services/threat-response-service/tmp/4965e791-db87-4f31-ba60-2e52c9bac3de",
"totalBytes": 503502,
"transferHash": "5402c16c3873a722b94d8a3101cb98f5e4f862acc69cdee3a94cf40c1b04b265",
"totalTimeMs": 260,
"avgBytesPerSecond": 504123.0769230769
},
"uuid": "eb5077b3-9b02-42e2-bba4-58d9668a14e4",
"finalPath": "/opt/Tanium/TaniumModuleServer/services/threat-response-files/evidence/files/eb5077b3-9b02-42e2-bba4-58d9668a14e4.zip"
}
]
},
"error": null,
"startTime": "2022-03-01T14:38:23.952Z",
"endTime": "2022-03-01T14:38:24.559Z",
"createdAt": "2022-03-01T14:38:23.943Z",
"updatedAt": "2022-03-01T14:38:23.943Z"
}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하지 않거나 플레이북 실행을 중지하지 않아야 합니다. 태스크를 최소 하나 이상 가져온 경우(is_success=true): 'Tanium:\n'.format(id)에서 다음 태스크에 대한 세부정보를 성공적으로 가져왔습니다.' 태스크를 최소 하나 이상 찾을 수 없는 경우(is_success=true): '작업이 Tanium:\n'.format(id)에서 다음 태스크를 찾을 수 없습니다.' 태스크를 최소 하나 이상 찾을 수 없는 경우(is_success=true): 'Tanium에서 태스크를 찾을 수 없습니다.' 태스크에 대한 세부정보 비동기 가져오기: {task ids} 작업이 실패하고 플레이북 실행을 중지해야 합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''태스크 세부정보 가져오기' 작업 실행 중에 오류가 발생했습니다.' 이유: {0}''.format(error.Stacktrace)' 제한 시간이 초과되고 '완료 대기' 매개변수가 사용 설정된 경우: ''태스크 세부정보 가져오기' 작업 실행 중에 오류가 발생했습니다. 이유: 실행 중에 작업 제한 시간이 초과되었습니다. 대기 중인 태스크: {아직 진행 중인 태스크}. IDE에서 제한 시간을 늘리세요.' |
일반 |
연결 만들기
Tanium에서 엔드포인트에 대한 연결을 만듭니다.
항목
이 작업은 호스트 이름 및 IP 주소 항목에서 실행됩니다.
작업 입력
해당 사항 없음
작업 출력
| 작업 출력 유형 | |
|---|---|
| 케이스 월 연결 | 해당 사항 없음 |
| 케이스 월 링크 | 해당 사항 없음 |
| 케이스 월 테이블 | 해당 사항 없음 |
| 보강 테이블 | 해당 사항 없음 |
| JSON 결과 | 해당 사항 없음 |
| 스크립트 결과 | 사용 가능 |
스크립트 결과
| 스크립트 결과 이름 | 값 |
|---|---|
| is_success | True/False |
케이스 월
이 작업은 다음 출력 메시지를 제공합니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
|
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
연결 나열
Tanium에서 엔드포인트 연결을 나열합니다.
항목
이 작업은 항목에서 실행되지 않습니다.
작업 입력
해당 사항 없음
작업 출력
| 작업 출력 유형 | |
|---|---|
| 케이스 월 연결 | 해당 사항 없음 |
| 케이스 월 링크 | 해당 사항 없음 |
| 케이스 월 테이블 | 해당 사항 없음 |
| 보강 테이블 | 해당 사항 없음 |
| JSON 결과 | 해당 사항 없음 |
| 스크립트 결과 | 사용 가능 |
스크립트 결과
| 스크립트 결과 이름 | 값 |
|---|---|
| is_success | True/False |
케이스 월
이 작업은 다음 출력 메시지를 제공합니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "List Connections". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.