Tanium
Versão da integração: 11.0
Pré-requisitos
O Tanium usa tokens de API para autenticar chamadas para as APIs REST. Para mais informações sobre como gerar tokens da API, consulte o artigo Gerir tokens da API na documentação do Tanium.
Integre o Tanium com o Google Security Operations
Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Raiz da API | URL | N/A | Sim | Especifique a raiz da API Tanium que a integração deve usar. |
| Chave da API | Palavra-passe | N/A | Sim | Especifique o token da API Tanium que a integração deve usar. |
| Validar SSL | Caixa de verificação | Marcado | Não | Se estiver ativado, o servidor do Google SecOps verifica se o certificado está configurado para a raiz da API. |
Ações
Tchim-tchim
Teste a conetividade à instalação do Tanium com os parâmetros fornecidos na página de configuração da integração no separador Google Security Operations Marketplace.
É apresentado em
Esta ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Parede da caixa
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se tiver êxito: "Ligação estabelecida com êxito à instalação do Tanium com os parâmetros de ligação fornecidos!" A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro crítico, como credenciais incorretas ou perda de conetividade: "Falha ao estabelecer ligação à instalação do Tanium! O erro é {0}".format(exception.stacktrace) |
Geral |
Enriquecer entidades
Enriqueça as entidades com informações do Tanium. A ação é uma ação assíncrona do Google SecOps. Entidades suportadas: nome de anfitrião e endereço IP.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Campos adicionais | CSV | N/A | Não | Especifique campos adicionais a obter do Tanium para o enriquecimento de entidades. O parâmetro aceita vários valores como uma string separada por vírgulas. |
É apresentado em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Nome do anfitrião
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"data": {
"now": "2022/01/28 10:18:54 GMT-0000",
"max_available_age": "",
"result_sets": [
{
"age": 0,
"id": X,
"report_count": 2,
"saved_question_id": 0,
"question_id": X,
"archived_question_id": 0,
"seconds_since_issued": 0,
"issue_seconds": 0,
"expire_seconds": 0,
"tested": 4,
"passed": 1,
"mr_tested": 4,
"mr_passed": 4,
"estimated_total": 4,
"select_count": 10,
"error_count": 0,
"no_results_count": 0,
"columns": [
{
"hash": X,
"name": "Computer ID",
"type": 1
},
{
"hash": 0,
"name": "Count",
"type": 3
}
],
"cache_id": "X",
"expiration": 0,
"filtered_row_count": 1,
"filtered_row_count_machines": 1,
"row_count": 1,
"row_count_machines": 1,
"item_count": 1,
"rows": [
{
"id": x,
"cid": x,
"data": [
[
{
"text": "X"
}
],
[
{
"text": "No User"
}
],
[
{
"text": "1"
}
]
]
}
]
}
]
}
}
Tabela de enriquecimento
Prefixo: Tanium_
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| Computer_ID | Quando estiver disponível em JSON |
| Operating_System | Quando estiver disponível em JSON |
| OS_Platform | Quando estiver disponível em JSON |
| Service_Pack | Quando estiver disponível em JSON |
| Domain_Name | Quando estiver disponível em JSON |
| Tempo de atividade | Quando estiver disponível em JSON |
| System_UUID | Quando estiver disponível em JSON |
| IP_Address | Quando estiver disponível em JSON |
Parede da caixa
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se os dados estiverem disponíveis para uma entidade (is_success = true): "Successfully enriched the following entities using information from Tanium: {entity.identifier}". Se os dados não estiverem disponíveis para uma entidade (is_success=true): "Não foi possível enriquecer as seguintes entidades com informações do Tanium: {entity.identifier}" Se existirem várias correspondências no Tanium para a entidade fornecida (is_success=true): "Foram encontrados vários resultados no Tanium para as entidades. Está a ser usada a primeira correspondência: {entity.identifier}" Se os dados não estiverem disponíveis para todas as entidades (is_success=false): "Nenhuma das entidades fornecidas foi enriquecida." A ação deve falhar e parar a execução de um guia interativo: Se for comunicado o código de estado 400 (sintaxe incorreta da pergunta): "Erro ao executar a ação "Enrich Entities" porque o texto da pergunta fornecido é inválido. " Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Enriquecer entidades"." Motivo: {0}''.format(error.Stacktrace) |
Geral |
| Tabela de parede da caixa | Nome da tabela: {entity.identifier} Colunas da tabela:
|
Entidade |
Criar pergunta
Crie uma nova pergunta do Tanium com base nos parâmetros especificados e a pergunta é feita imediatamente. A ação devolve o ID da pergunta que pode ser transmitido à ação "Get Question Results" para obter os resultados da pergunta. Tenha em atenção que a ação não está a funcionar com entidades do Google SecOps.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Texto da pergunta | String | N/A | Sim | Especifique o conteúdo da pergunta do Tanium. Exemplo: obter o sistema operativo de todas as máquinas |
É apresentado em
A ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"data": {
"id": X
}
}
Parede da caixa
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se os dados estiverem disponíveis (is_success = true): "A pergunta do Tanium com o ID {question_id_from_response} foi criada com êxito". A ação deve falhar e parar a execução de um guia interativo: Se for comunicado o código de estado 400 (sintaxe incorreta da pergunta): "Erro ao executar a ação "Criar pergunta" porque o texto da pergunta fornecido é inválido. " Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Criar pergunta". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Obtenha resultados de perguntas
Obter resultados para a pergunta do Tanium. A ação é uma ação assíncrona do Google SecOps. Tenha em atenção que a ação não funciona com entidades do Google SecOps.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| ID da pergunta | Número inteiro | N/A | Sim | Especifique o ID da pergunta do Tanium para obter resultados. |
| Crie uma tabela de registos | Caixa de verificação | Marcado | Não | Se estiver ativada, a ação cria uma tabela de registo de casos como parte dos resultados da ação. |
| Máximo de linhas a devolver | Número inteiro | 50 | Sim | Especifique o número máximo de linhas que a ação deve devolver para a pergunta. |
É apresentado em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"data": {
"now": "2022/01/29 04:09:29 GMT-0000",
"max_available_age": "",
"result_sets": [
{
"age": 0,
"id": X,
"report_count": 3,
"saved_question_id": 0,
"question_id": X,
"archived_question_id": 0,
"seconds_since_issued": 0,
"issue_seconds": 0,
"expire_seconds": 0,
"tested": 4,
"passed": 4,
"mr_tested": 4,
"mr_passed": 4,
"estimated_total": 4,
"select_count": 1,
"error_count": 0,
"no_results_count": 0,
"columns": [
{
"hash": 45421433,
"name": "Operating System",
"type": 1
}
],
"cache_id": "X",
"expiration": 0,
"filtered_row_count": 4,
"filtered_row_count_machines": 4,
"row_count": 4,
"row_count_machines": 4,
"item_count": 4,
"rows": [
{
"id": X,
"cid": 0,
"data": [
[
{
"text": "X"
}
],
[
{
"text": X
}
]
]
},
{
"id": X,
"cid": 0,
"data": [
[
{
"text": X
}
],
[
{
"text": X
}
]
]
},
{
"id": X,
"cid": 0,
"data": [
[
{
"text": X
}
],
[
{
"text": X
}
]
]
},
{
"id": X,
"cid": 0,
"data": [
[
{
"text": X
}
],
[
{
"text": X
}
]
]
}
]
}
]
}
}
Parede da caixa
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se os dados estiverem disponíveis (is_success=true): "Successfully fetched results for the following Tanium question id: {question id}" (Resultados obtidos com êxito para o seguinte ID da pergunta do Tanium: {question id}). Se os dados não estiverem disponíveis (is_success=false): "Não foram encontrados resultados para o ID da pergunta do Tanium: {question id}" A ação deve falhar e parar a execução de um guia interativo: Se for comunicado o código de estado 404 (a pergunta não existe): "Failed to find Tanium question with question id {question_id}. " Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor, entre outros: "Erro ao executar a ação "Qet Question Results". Motivo: {0}''.format(error.Stacktrace) |
Geral |
| Tabela | Nome da tabela: resultados de Tanium Question {question_id} Colunas da tabela: As colunas são geradas com base nos dados devolvidos por uma pergunta. |
Geral |
Apresentar eventos de pontos finais
Liste eventos relacionados com os pontos finais do Tanium. A ação funciona com a API Tanium Threat Response.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Tipo de evento | LDD | Combinado Valores possíveis:
|
Não | Especifique o tipo de evento que tem de ser devolvido. |
| Intervalo de tempo | LDD | Última hora Valores possíveis:
|
Não | Especifique um período para os resultados. Se a opção "Tempo de alerta até agora" estiver selecionada, a ação usa a hora de início do alerta como hora de início da pesquisa e a hora de fim é a hora atual. Se a opção "30 minutos antes e depois da hora do alerta" estiver selecionada, a ação procura os alertas 30 minutos antes de o alerta ocorrer até 30 minutos depois de o alerta ter ocorrido. A mesma ideia aplica-se a "1 hora antes/depois da hora do alerta" e "5 minutos antes/depois da hora do alerta". Se "Personalizado" estiver selecionado, também tem de fornecer o parâmetro "Hora de início". |
| Hora de início | String | N/A | Não | Especifique a hora de início dos resultados. Este parâmetro é obrigatório se "Personalizado" estiver selecionado para o parâmetro "Intervalo de tempo". Formato: ISO 8601 |
| Hora de fim | String | N/A | Não | Especifique a hora de fim dos resultados. Se não for fornecido nada e "Personalizado" for selecionado para o parâmetro "Intervalo de tempo", este parâmetro usa a hora atual. Formato: ISO 8601 |
| Campo de ordenação | String | timestamp | Não | Especifique o parâmetro que deve ser usado para a ordenação. |
| Disposição da Ordenação | LDD | ASC possível Valores:
|
Não | Especifique a ordem de ordenação. |
| Máximo de eventos a devolver | Número inteiro | 50 | Não | Especifique o número de eventos a devolver por entidade. Máximo: 500 |
É apresentado em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"events": [
{
"create_time": "2022-01-18 11:59:52.000",
"end_time": null,
"exit_code": null,
"pid": 2,
"process_path": "kthreadd",
"id": "72057594037927939",
"process_table_id": "72057594037927939",
"parent_process_table_id": "72057594037927937",
"parent_pid": -1,
"user_name": "root",
"group_name": "root",
"hash_type_name": null,
"hash": null,
"process_command_line": null,
"parent_path": "<Unknown Process>",
"parent_command_line": "<Unknown Process>",
"parent_hash": null,
"create_time_raw": 1642507192000,
"end_time_raw": null
}
]
}
Parede da caixa
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se for encontrado, pelo menos, um evento para um ponto final (is_success=true): "Successfully returned events for the following endpoints in Tanium:\n".format(entity)." Se não forem encontrados eventos para um ponto final (is_success=true): "No events were found for the following endpoints in Tanium:\n".format(entity)." Se não forem encontrados eventos para todos os pontos finais (is_success=true): "No events were found for the provided endpoints in Tanium." (Não foram encontrados eventos para os pontos finais fornecidos no Tanium.) Se não foi possível criar uma ligação ou não foi encontrada nenhuma ligação para alguns pontos finais (is_success=true): "Não foi possível obter informações sobre eventos dos seguintes pontos finais no Tanium devido a problemas de conetividade do agente: {entity}. Certifique-se de que esses nomes de anfitrião estão ligados ao módulo Tanium Threat Response." Se não tiver enriquecido tudo (is_success=false): "Não foram encontradas informações sobre IOCs." A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Enriquecer IOC". Motivo: {0}''.format(error.Stacktrace) Se não for possível criar uma ligação ou não for encontrada nenhuma ligação para todos os pontos finais (is_success=false): "Erro ao executar a ação "List Endpoint Events". Motivo: não foi possível obter informações sobre eventos dos endpoints fornecidos no Tanium devido a problemas de conetividade do agente. Certifique-se de que esses nomes de anfitrião estão ligados ao módulo Tanium Threat Response." |
Geral |
Ponto final de quarentena
Coloque os pontos finais em quarentena no Tanium. A ação funciona com a API Tanium Threat Response.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Apenas iniciar | Caixa de verificação | Desmarcado | Sim | Se estiver ativada, a ação inicia apenas a execução da tarefa sem aguardar os resultados. |
| Nomes de pacotes | String |
|
Sim | Um objeto JSON que contém todos os nomes de pacotes para todos os sistemas operativos. |
É apresentado em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Nome do anfitrião
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"id": 82,
"type": "responseAction",
"status": "COMPLETED",
"metadata": {
"id": 2,
"type": "gatherSnapshot",
"status": "RUNNING",
"computerName": "EX01.exlab.local",
"userId": 1,
"userName": "tanium",
"options": {},
"results": {
"taskIds": [
73
],
"actionIds": []
},
"expirationTime": "2022-03-08T14:31:50.211Z",
"createdAt": "2022-03-01T14:31:50.212Z",
"updatedAt": "2022-03-01T14:36:19.533Z"
},
"results": {
"didActionComplete": false,
"stopped": true,
"finished": true
},
"error": null,
"startTime": "2022-03-01T14:42:10.390Z",
"endTime": "2022-03-01T15:29:50.495Z",
"createdAt": "2022-03-01T14:42:10.379Z",
"updatedAt": "2022-03-01T14:42:10.379Z"
}
Parede da caixa
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se, pelo menos, um ponto final estiver em quarentena (is_success=true): "Successfully initiated quarantine on the following endpoints in Tanium:\n".format(entity) Se pelo menos um ponto final não estiver em quarentena, mas não devido a tempo limite (is_success=false): "Não foi possível colocar os seguintes pontos finais em quarentena no Tanium: {entity}. Certifique-se de que o agente do Tanium Threat Response está ligado corretamente e que o nome do anfitrião/endereço IP está correto." Se nem todos os pontos finais estiverem em quarentena, mas não devido a um limite de tempo (is_success=false): "Não foi possível colocar em quarentena os pontos finais fornecidos no Tanium. Certifique-se de que o agente do Tanium Threat Response está ligado corretamente e que o nome do anfitrião/endereço IP está correto." Entidades pendentes assíncronas: {entities} A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Enriquecer IOC". Motivo: {0}''.format(error.Stacktrace) Se não for possível criar uma ligação ou não for encontrada nenhuma ligação para todos os pontos finais (is_success=false): "Erro ao executar a ação "Ponto final em quarentena". Motivo: não foi possível colocar em quarentena os endpoints fornecidos no Tanium devido a problemas de conetividade do agente. Certifique-se de que os pontos finais estão ligados ao módulo Tanium Threat Response e que o nome do anfitrião/endereço IP está correto." Se ocorrer um limite de tempo: "Erro ao executar a ação "Pôr em quarentena o ponto final". Motivo: a ação excedeu o limite de tempo durante a execução. Entidades pendentes: {entities that are still in progress}. Aumente o limite de tempo no IDE ou ative a opção "Apenas iniciar"." |
Geral |
Transferir ficheiro
Transfira um ficheiro de pontos finais no Tanium. A ação funciona com a API Tanium Threat Response.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Caminhos de ficheiros | CSV | N/A | Sim | Especifique o caminho absoluto dos ficheiros no ponto final que têm de ser transferidos. |
| Caminho da pasta de transferência | String | N/A | Sim | Especifique o caminho para a pasta onde quer armazenar os ficheiros. |
| Substituir | Caixa de verificação | Desmarcado | Sim | Se estiver ativada, a ação substitui o ficheiro com o mesmo nome. |
É apresentado em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Nome do anfitrião
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"absolute_file_path": [
"file_path_1",
"file_path_2"
],
"entity": [
{
"identifier": "",
"task_details": {
"id": 81,
"type": "fileDownload",
"status": "COMPLETED",
"metadata": {
"connection": "remote:centos-003:3864230059:1",
"paths": [
"/tmp/saaj-impl.jar"
],
"compress": "true"
},
"results": {
"completed": [
"/tmp/saaj-impl.jar"
],
"failed": [],
"fileResults": [
{
"response": {
"source": "/tmp/saaj-impl.jar",
"target": "/opt/Tanium/TaniumModuleServer/services/threat-response-service/tmp/4965e791-db87-4f31-ba60-2e52c9bac3de",
"totalBytes": 503502,
"transferHash": "5402c16c3873a722b94d8a3101cb98f5e4f862acc69cdee3a94cf40c1b04b265",
"totalTimeMs": 260,
"avgBytesPerSecond": 504123.0769230769
},
"uuid": "eb5077b3-9b02-42e2-bba4-58d9668a14e4",
"finalPath": "/opt/Tanium/TaniumModuleServer/services/threat-response-files/evidence/files/eb5077b3-9b02-42e2-bba4-58d9668a14e4.zip"
}
]
},
"error": null,
"startTime": "2022-03-01T14:38:23.952Z",
"endTime": "2022-03-01T14:38:24.559Z",
"createdAt": "2022-03-01T14:38:23.943Z",
"updatedAt": "2022-03-01T14:38:23.943Z"
}
}
]
}
Parede da caixa
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se, pelo menos, um ficheiro for transferido por entidade (is_success=true): "Transferiu com êxito os seguintes ficheiros do ponto final {entity} no Tanium:\n".format(downloaded files)." Se, pelo menos, um ficheiro não for transferido por entidade, mas não devido ao limite de tempo (is_success=false): "Não foi possível transferir os seguintes ficheiros do ponto final {entity} no Tanium: {pending files}. Certifique-se de que o agente do Tanium Threat Response está ligado corretamente e que o nome do anfitrião/endereço IP está correto. O resultado JSON tem mais detalhes sobre as tarefas." Entidades pendentes assíncronas: {entities} A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Transferir ficheiro". Motivo: {0}''.format(error.Stacktrace)" Se já existir um ficheiro com o mesmo nome, mas "Overwrite" == false: "Erro ao executar a ação "Transferir ficheiro". Motivo: já existem ficheiros com o caminho {0}. Elimine os ficheiros ou defina "Overwrite" como verdadeiro." Se ocorrer um limite de tempo: "Erro ao executar a ação "Transferir ficheiro". Motivo: a ação excedeu o limite de tempo durante a execução. Entidades pendentes: {entities that are still in progress}. Aumente o limite de tempo no IDE." |
Geral |
Eliminar ficheiro
Transfira um ficheiro de pontos finais no Tanium. A ação funciona com a API Tanium Threat Response.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Caminhos de ficheiros | CSV | N/A | Sim | Especifique o caminho absoluto dos ficheiros no ponto final que têm de ser eliminados. |
É apresentado em
Esta ação funciona com as seguintes entidades:
- Endereço IP
- Nome do anfitrião
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"success": [],
"not_exist_already_or_errors": []
}
Parede da caixa
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se, pelo menos, um ficheiro for eliminado (código de estado: 204, is_success=true): "Os ficheiros foram eliminados com êxito dos seguintes pontos finais no Tanium:\n".format(entity)." Se, pelo menos, um ficheiro não existir num ponto final (código de estado: 500, is_success=true): "O estado de alguns dos ficheiros não é claro. Verifique o resultado JSON. O Tanium devolve o código de estado 500 no caso de o ficheiro não ser encontrado, mas também se existirem outros desafios." Se, pelo menos, um ficheiro não existir em todos os pontos finais (código de estado: 500, is_success=false): "O estado de todos os ficheiros não é claro. Verifique o resultado JSON. O Tanium devolve o código de estado 500 no caso de o ficheiro não ser encontrado, mas também se existirem outros desafios." Se não for encontrado, pelo menos, um ponto final (is_success=true): "Não foi possível eliminar ficheiros dos seguintes pontos finais no Tanium: {entity}. Certifique-se de que o agente do Tanium Threat Response está ligado corretamente e que o nome do anfitrião/endereço IP está correto." Se não forem encontrados todos os pontos finais (is_success=false): "Não foi possível eliminar ficheiros dos pontos finais fornecidos no Tanium. Certifique-se de que o agente do Tanium Threat Response está ligado corretamente e que o nome do anfitrião/endereço IP está correto." A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Eliminar ficheiro". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Obtenha detalhes da tarefa
Obtenha detalhes sobre uma tarefa no Tanium. A ação funciona com a API Tanium Threat Response.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| IDs das tarefas | CSV | N/A | Sim | Especifique uma lista de IDs de tarefas separados por vírgulas para os quais quer obter detalhes. |
| Aguardar conclusão | Caixa de verificação | Marcado | Não | Se estiver ativada, a ação aguarda que a tarefa tenha um dos seguintes estados:
|
É apresentado em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"id": 81,
"type": "fileDownload",
"status": "COMPLETED",
"metadata": {
"connection": "remote:centos-003:3864230059:1",
"paths": [
"/tmp/saaj-impl.jar"
],
"compress": "true"
},
"results": {
"completed": [
"/tmp/saaj-impl.jar"
],
"failed": [],
"fileResults": [
{
"response": {
"source": "/tmp/saaj-impl.jar",
"target": "/opt/Tanium/TaniumModuleServer/services/threat-response-service/tmp/4965e791-db87-4f31-ba60-2e52c9bac3de",
"totalBytes": 503502,
"transferHash": "5402c16c3873a722b94d8a3101cb98f5e4f862acc69cdee3a94cf40c1b04b265",
"totalTimeMs": 260,
"avgBytesPerSecond": 504123.0769230769
},
"uuid": "eb5077b3-9b02-42e2-bba4-58d9668a14e4",
"finalPath": "/opt/Tanium/TaniumModuleServer/services/threat-response-files/evidence/files/eb5077b3-9b02-42e2-bba4-58d9668a14e4.zip"
}
]
},
"error": null,
"startTime": "2022-03-01T14:38:23.952Z",
"endTime": "2022-03-01T14:38:24.559Z",
"createdAt": "2022-03-01T14:38:23.943Z",
"updatedAt": "2022-03-01T14:38:23.943Z"
}
Parede da caixa
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: If at least one task is fetched (is_success=true): "Successfully fetched details about the following tasks in Tanium:\n".format(id)." If at least one task is not found (is_success=true): "Action wasn't able to find the following tasks in Tanium:\n".format(id)." Se não for encontrada, pelo menos, uma tarefa (is_success=true): "Não foram encontradas tarefas no Tanium." Obtenção assíncrona de detalhes sobre tarefas: {task ids} A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Obter detalhes da tarefa". Motivo: {0}''.format(error.Stacktrace)" Se ocorrer um limite de tempo e o parâmetro "Aguardar conclusão" estiver ativado: "Erro ao executar a ação "Obter detalhes da tarefa". Motivo: a ação excedeu o limite de tempo durante a execução. Tarefas pendentes: {tasks that are still in progress}. Aumente o limite de tempo no IDE." |
Geral |
Criar ligação
Crie uma ligação ao ponto final no Tanium.
Entidades
Esta ação é executada nas entidades de nome do anfitrião e endereço IP.
Dados de ações
N/A
Resultados da ação
| Tipo de saída da ação | |
|---|---|
| Fixação à parede da caixa | N/A |
| Link da parede da caixa | N/A |
| Mesa de parede para caixas | N/A |
| Tabela de enriquecimento | N/A |
| Resultado JSON | N/A |
| Resultado do script | Disponível |
Resultado do script
| Nome do resultado do script | Valor |
|---|---|
| is_success | Verdadeiro/Falso |
Parede da caixa
A ação fornece as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
Ação efetuada com êxito. |
|
Falha na ação. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Apresentar associações
Liste as associações de pontos finais no Tanium.
Entidades
Esta ação não é executada em entidades.
Dados de ações
N/A
Resultados da ação
| Tipo de saída da ação | |
|---|---|
| Fixação à parede da caixa | N/A |
| Link da parede da caixa | N/A |
| Mesa de parede para caixas | N/A |
| Tabela de enriquecimento | N/A |
| Resultado JSON | N/A |
| Resultado do script | Disponível |
Resultado do script
| Nome do resultado do script | Valor |
|---|---|
| is_success | Verdadeiro/Falso |
Parede da caixa
A ação fornece as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
Ação efetuada com êxito. |
Error executing action "List Connections". Reason:
ERROR_REASON |
Falha na ação. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.