Tanium
Versão da integração: 11.0
Pré-requisitos
O Tanium usa tokens de API para autenticar chamadas nas APIs REST. Para mais informações sobre como gerar tokens de API, consulte Como gerenciar tokens de API na documentação do Tanium.
Integrar o Tanium ao Google Security Operations
Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Raiz da API | URL | N/A | Sim | Especifique a raiz da API do Tanium que a integração precisa usar. |
| Token da API | Senha | N/A | Sim | Especifique o token da API do Tanium que a integração deve usar. |
| Verificar SSL | Caixa de seleção | Selecionado | Não | Se ativado, o servidor do Google SecOps verifica se o certificado está configurado para a raiz da API. |
Ações
Ping
Teste a conectividade com a instalação do Tanium usando os parâmetros fornecidos na página de configuração da integração na guia "Marketplace" do Google Security Operations.
Data de execução
Essa ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Painel de casos
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se tudo der certo: "Conexão com a instalação do Tanium feita com sucesso usando os parâmetros fornecidos!" A ação precisa falhar e interromper a execução de um playbook: Se um erro crítico for informado, como credenciais incorretas ou perda de conectividade: "Não foi possível se conectar à instalação do Tanium. O erro é {0}".format(exception.stacktrace) |
Geral |
Enriquecer entidades
Aprimore entidades usando informações do Tanium. A ação é uma ação assíncrona do Google SecOps. Entidades aceitas: nome de host, endereço IP.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Campos adicionais | CSV | N/A | Não | Especifique outros campos para buscar no Tanium e enriquecer as entidades. O parâmetro aceita vários valores como uma string separada por vírgulas. |
Data de execução
Essa ação é executada nas seguintes entidades:
- Endereço IP
- Nome do host
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"data": {
"now": "2022/01/28 10:18:54 GMT-0000",
"max_available_age": "",
"result_sets": [
{
"age": 0,
"id": X,
"report_count": 2,
"saved_question_id": 0,
"question_id": X,
"archived_question_id": 0,
"seconds_since_issued": 0,
"issue_seconds": 0,
"expire_seconds": 0,
"tested": 4,
"passed": 1,
"mr_tested": 4,
"mr_passed": 4,
"estimated_total": 4,
"select_count": 10,
"error_count": 0,
"no_results_count": 0,
"columns": [
{
"hash": X,
"name": "Computer ID",
"type": 1
},
{
"hash": 0,
"name": "Count",
"type": 3
}
],
"cache_id": "X",
"expiration": 0,
"filtered_row_count": 1,
"filtered_row_count_machines": 1,
"row_count": 1,
"row_count_machines": 1,
"item_count": 1,
"rows": [
{
"id": x,
"cid": x,
"data": [
[
{
"text": "X"
}
],
[
{
"text": "No User"
}
],
[
{
"text": "1"
}
]
]
}
]
}
]
}
}
Tabela de enriquecimento
Prefixo:Tanium_
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| Computer_ID | Quando disponível em JSON |
| Operating_System | Quando disponível em JSON |
| OS_Platform | Quando disponível em JSON |
| Service_Pack | Quando disponível em JSON |
| Domain_Name | Quando disponível em JSON |
| Tempo de atividade | Quando disponível em JSON |
| System_UUID | Quando disponível em JSON |
| IP_Address | Quando disponível em JSON |
Painel de casos
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se os dados estiverem disponíveis para uma entidade (is_success = true): "As seguintes entidades foram enriquecidas com sucesso usando informações do Tanium: {entity.identifier}". Se os dados não estiverem disponíveis para uma entidade (is_success=true): "Não foi possível enriquecer as seguintes entidades usando informações do Tanium: {entity.identifier}" Se houver várias correspondências no Tanium para a entidade fornecida (is_success=true): "Vários resultados encontrados no Tanium para as entidades. Usando a primeira correspondência: {entity.identifier}" Se os dados não estiverem disponíveis para todas as entidades (is_success=false):Nenhuma das entidades fornecidas foi enriquecida. A ação precisa falhar e interromper a execução de um playbook: Se o código de status 400 (sintaxe incorreta da pergunta) for informado: "Erro ao executar a ação "Enriquecer entidades" porque o texto da pergunta fornecido é inválido. " Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro problema, for informado: "Erro ao executar a ação "Enriquecer entidades"." Motivo: {0}''.format(error.Stacktrace) |
Geral |
| Tabela do painel de casos | Nome da tabela: {entity.identifier} Colunas da tabela:
|
Entidade |
Create Question
Cria uma nova pergunta do Tanium com base nos parâmetros especificados, e a pergunta é feita imediatamente. A ação retorna o ID da pergunta, que pode ser transmitido para a ação "Get Question Results" para receber os resultados da pergunta. A ação não está funcionando com entidades do Google SecOps.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Texto da pergunta | String | N/A | Sim | Especifique o conteúdo da pergunta do Tanium. Exemplo: extrair o sistema operacional de todas as máquinas |
Data de execução
A ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"data": {
"id": X
}
}
Painel de casos
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se os dados estiverem disponíveis (is_success = true): "A pergunta do Tanium com o ID {question_id_from_response} foi criada". A ação precisa falhar e interromper a execução de um playbook: Se o código de status 400 (sintaxe incorreta da pergunta) for informado: "Erro ao executar a ação "Criar pergunta" porque o texto da pergunta fornecido é inválido. " Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Criar pergunta". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Receber resultados da pergunta
Extraia os resultados da pergunta do Tanium. A ação é uma ação assíncrona do Google SecOps. A ação não funciona com entidades do Google SecOps.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| ID da pergunta | Número inteiro | N/A | Sim | Especifique o ID da pergunta do Tanium para receber os resultados. |
| Criar tabela de quadro de casos | Caixa de seleção | Selecionado | Não | Se ativada, a ação cria uma tabela de painel de casos como parte dos resultados. |
| Número máximo de linhas a serem retornadas | Número inteiro | 50 | Sim | Especifique o número máximo de linhas que a ação deve retornar para a pergunta. |
Data de execução
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"data": {
"now": "2022/01/29 04:09:29 GMT-0000",
"max_available_age": "",
"result_sets": [
{
"age": 0,
"id": X,
"report_count": 3,
"saved_question_id": 0,
"question_id": X,
"archived_question_id": 0,
"seconds_since_issued": 0,
"issue_seconds": 0,
"expire_seconds": 0,
"tested": 4,
"passed": 4,
"mr_tested": 4,
"mr_passed": 4,
"estimated_total": 4,
"select_count": 1,
"error_count": 0,
"no_results_count": 0,
"columns": [
{
"hash": 45421433,
"name": "Operating System",
"type": 1
}
],
"cache_id": "X",
"expiration": 0,
"filtered_row_count": 4,
"filtered_row_count_machines": 4,
"row_count": 4,
"row_count_machines": 4,
"item_count": 4,
"rows": [
{
"id": X,
"cid": 0,
"data": [
[
{
"text": "X"
}
],
[
{
"text": X
}
]
]
},
{
"id": X,
"cid": 0,
"data": [
[
{
"text": X
}
],
[
{
"text": X
}
]
]
},
{
"id": X,
"cid": 0,
"data": [
[
{
"text": X
}
],
[
{
"text": X
}
]
]
},
{
"id": X,
"cid": 0,
"data": [
[
{
"text": X
}
],
[
{
"text": X
}
]
]
}
]
}
]
}
}
Painel de casos
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se os dados estiverem disponíveis (is_success=true): "Resultados buscados com sucesso para o seguinte ID de pergunta do Tanium: {question id}". Se os dados não estiverem disponíveis (is_success=false): "Nenhum resultado foi encontrado para o ID da pergunta do Tanium: {question id}" A ação precisa falhar e interromper a execução de um playbook: Se o código de status 404 (a pergunta não existe) for informado: "Não foi possível encontrar a pergunta do Tanium com o ID {question_id}. " Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro problema for informado: "Erro ao executar a ação "Receber resultados da pergunta". Motivo: {0}''.format(error.Stacktrace) |
Geral |
| Tabela | Nome da tabela:resultados da pergunta {question_id} do Tanium Colunas da tabela: As colunas são geradas com base nos dados retornados de uma pergunta. |
Geral |
Listar eventos de endpoint
Liste eventos relacionados aos endpoints do Tanium. A ação funciona com a API Tanium Threat Response.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Tipo de evento | DDL | Combinado Valores possíveis:
|
Não | Especifique o tipo de evento que precisa ser retornado. |
| Período | DDL | Última hora Valores possíveis:
|
Não | Especifique um período para os resultados. Se "Tempo de alerta até agora" estiver selecionado, a ação usará o horário de início do alerta como horário de início da pesquisa, e o horário de término será o horário atual. Se a opção "30 minutos antes e depois do horário do alerta" estiver selecionada, a ação vai pesquisar os alertas 30 minutos antes e depois do horário do alerta. A mesma ideia se aplica a "1 hora antes e depois do horário do alerta" e "5 minutos antes e depois do horário do alerta". Se "Personalizado" estiver selecionado, você também precisará informar o parâmetro "Horário de início". |
| Horário de início | String | N/A | Não | Especifique o horário de início dos resultados. Esse parâmetro é obrigatório se "Personalizado" for selecionado para o parâmetro "Período". Formato: ISO 8601 |
| Horário de término | String | N/A | Não | Especifique o horário de término dos resultados. Se nada for fornecido e "Personalizado" for selecionado para o parâmetro "Período", esse parâmetro usará a hora atual. Formato: ISO 8601 |
| Campo de classificação | String | timestamp | Não | Especifique o parâmetro que será usado para a classificação. |
| Ordem de classificação | DDL | ASC Possible Valores:
|
Não | Especifique a ordem de classificação. |
| Número máximo de eventos a serem retornados | Número inteiro | 50 | Não | Especifique o número de eventos a serem retornados por entidade. Máximo: 500 |
Data de execução
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"events": [
{
"create_time": "2022-01-18 11:59:52.000",
"end_time": null,
"exit_code": null,
"pid": 2,
"process_path": "kthreadd",
"id": "72057594037927939",
"process_table_id": "72057594037927939",
"parent_process_table_id": "72057594037927937",
"parent_pid": -1,
"user_name": "root",
"group_name": "root",
"hash_type_name": null,
"hash": null,
"process_command_line": null,
"parent_path": "<Unknown Process>",
"parent_command_line": "<Unknown Process>",
"parent_hash": null,
"create_time_raw": 1642507192000,
"end_time_raw": null
}
]
}
Painel de casos
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se pelo menos um evento for encontrado para um endpoint (is_success=true): "Eventos retornados com sucesso para os seguintes endpoints no Tanium:\n".format(entity)." Se nenhum evento for encontrado para um endpoint (is_success=true): "Nenhum evento foi encontrado para os seguintes endpoints no Tanium:\n".format(entity)." Se nenhum evento for encontrado para todos os endpoints (is_success=true): "Nenhum evento foi encontrado para os endpoints fornecidos no Tanium." Se não foi possível criar uma conexão ou nenhuma conexão foi encontrada para alguns endpoints (is_success=true): "Não foi possível recuperar informações sobre eventos dos seguintes endpoints no Tanium devido a problemas de conectividade do agente: {entity}. Verifique se esses nomes de host estão conectados ao módulo Tanium Threat Response." Se não enriquecer tudo (is_success=false): "Nenhuma informação sobre IOCs foi encontrada". A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Enriquecer IOC". Motivo: {0}''.format(error.Stacktrace) Se não for possível criar uma conexão ou nenhuma conexão for encontrada para todos os endpoints (is_success=false): "Erro ao executar a ação "List Endpoint Events". Motivo: a ação não conseguiu recuperar informações sobre eventos dos endpoints fornecidos no Tanium devido a problemas de conectividade do agente. Verifique se esses nomes de host estão conectados ao módulo Tanium Threat Response." |
Geral |
Endpoint de quarentena
Coloque os endpoints em quarentena no Tanium. A ação funciona com a API Tanium Threat Response.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Apenas iniciar | Caixa de seleção | Desmarcado | Sim | Se ativada, a ação só inicia a execução da tarefa sem esperar os resultados. |
| Nomes de pacote | String |
|
Sim | Um objeto JSON que contém todos os nomes de pacotes para cada sistema operacional. |
Data de execução
Essa ação é executada nas seguintes entidades:
- Endereço IP
- Nome do host
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"id": 82,
"type": "responseAction",
"status": "COMPLETED",
"metadata": {
"id": 2,
"type": "gatherSnapshot",
"status": "RUNNING",
"computerName": "EX01.exlab.local",
"userId": 1,
"userName": "tanium",
"options": {},
"results": {
"taskIds": [
73
],
"actionIds": []
},
"expirationTime": "2022-03-08T14:31:50.211Z",
"createdAt": "2022-03-01T14:31:50.212Z",
"updatedAt": "2022-03-01T14:36:19.533Z"
},
"results": {
"didActionComplete": false,
"stopped": true,
"finished": true
},
"error": null,
"startTime": "2022-03-01T14:42:10.390Z",
"endTime": "2022-03-01T15:29:50.495Z",
"createdAt": "2022-03-01T14:42:10.379Z",
"updatedAt": "2022-03-01T14:42:10.379Z"
}
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se pelo menos um endpoint estiver em quarentena (is_success=true): "A quarentena foi iniciada com sucesso nos seguintes endpoints no Tanium:\n".format(entity) Se pelo menos um endpoint não estiver em quarentena, mas não devido a um tempo limite (is_success=false): "Não foi possível colocar os seguintes endpoints em quarentena no Tanium: {entity}. Verifique se o agente do Tanium Threat Response está conectado corretamente e se o nome do host/endereço IP está correto." Se nem todos os endpoints forem colocados em quarentena, mas não por causa de um tempo limite (is_success=false): "Não foi possível colocar em quarentena os endpoints fornecidos no Tanium. Verifique se o agente do Tanium Threat Response está conectado corretamente e se o nome do host/endereço IP está correto." Entidades assíncronas pendentes: {entities} A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Enriquecer IOC". Motivo: {0}''.format(error.Stacktrace) Se não for possível criar uma conexão ou se nenhuma conexão for encontrada para todos os endpoints (is_success=false): "Erro ao executar a ação "Quarentena do endpoint". Motivo: não foi possível colocar em quarentena os endpoints fornecidos no Tanium devido a problemas de conectividade do agente. Verifique se os endpoints estão conectados ao módulo Tanium Threat Response e se o nome do host/endereço IP está correto." Se ocorrer um tempo limite: "Erro ao executar a ação "Quarentena do endpoint". Motivo: a ação atingiu o tempo limite durante a execução. Entidades pendentes: {entidades que ainda estão em andamento}. Aumente o tempo limite no ambiente de desenvolvimento integrado ou ative "Apenas iniciar"." |
Geral |
Baixar o arquivo
Baixe um arquivo dos endpoints no Tanium. A ação funciona com a API Tanium Threat Response.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Caminhos de arquivos | CSV | N/A | Sim | Especifique o caminho absoluto dos arquivos no endpoint que precisam ser baixados. |
| Caminho da pasta de download | String | N/A | Sim | Especifique o caminho da pasta em que você quer armazenar os arquivos. |
| Substituir | Caixa de seleção | Desmarcado | Sim | Se ativada, a ação vai substituir o arquivo com o mesmo nome. |
Data de execução
Essa ação é executada nas seguintes entidades:
- Endereço IP
- Nome do host
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"absolute_file_path": [
"file_path_1",
"file_path_2"
],
"entity": [
{
"identifier": "",
"task_details": {
"id": 81,
"type": "fileDownload",
"status": "COMPLETED",
"metadata": {
"connection": "remote:centos-003:3864230059:1",
"paths": [
"/tmp/saaj-impl.jar"
],
"compress": "true"
},
"results": {
"completed": [
"/tmp/saaj-impl.jar"
],
"failed": [],
"fileResults": [
{
"response": {
"source": "/tmp/saaj-impl.jar",
"target": "/opt/Tanium/TaniumModuleServer/services/threat-response-service/tmp/4965e791-db87-4f31-ba60-2e52c9bac3de",
"totalBytes": 503502,
"transferHash": "5402c16c3873a722b94d8a3101cb98f5e4f862acc69cdee3a94cf40c1b04b265",
"totalTimeMs": 260,
"avgBytesPerSecond": 504123.0769230769
},
"uuid": "eb5077b3-9b02-42e2-bba4-58d9668a14e4",
"finalPath": "/opt/Tanium/TaniumModuleServer/services/threat-response-files/evidence/files/eb5077b3-9b02-42e2-bba4-58d9668a14e4.zip"
}
]
},
"error": null,
"startTime": "2022-03-01T14:38:23.952Z",
"endTime": "2022-03-01T14:38:24.559Z",
"createdAt": "2022-03-01T14:38:23.943Z",
"updatedAt": "2022-03-01T14:38:23.943Z"
}
}
]
}
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se pelo menos um arquivo for baixado por entidade (is_success=true): "Os seguintes arquivos foram baixados com sucesso do endpoint {entity} no Tanium:\n".format(downloaded files)." Se pelo menos um arquivo não for baixado por entidade, mas não devido ao tempo limite (is_success=false): "A ação não conseguiu baixar os seguintes arquivos do endpoint {entity} no Tanium: {pending files}. Verifique se o agente do Tanium Threat Response está conectado corretamente e se o nome do host/endereço IP está correto. O resultado em JSON tem mais detalhes sobre as tarefas." Entidades assíncronas pendentes: {entities} A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro problema, for informado: "Erro ao executar a ação "Fazer o download do arquivo". Motivo: {0}''.format(error.Stacktrace)" Se já existir um arquivo com o mesmo nome, mas "Overwrite" == false: "Erro ao executar a ação "Fazer o download do arquivo". Motivo: já existem arquivos com o caminho {0}. Exclua os arquivos ou defina "Overwrite" como "true"." Se ocorrer um tempo limite: "Erro ao executar a ação "Fazer o download do arquivo". Motivo: a ação atingiu o tempo limite durante a execução. Entidades pendentes: {entidades que ainda estão em andamento}. Aumente o tempo limite no ambiente de desenvolvimento integrado." |
Geral |
Excluir arquivo
Baixe um arquivo dos endpoints no Tanium. A ação funciona com a API Tanium Threat Response.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Caminhos de arquivos | CSV | N/A | Sim | Especifique o caminho absoluto dos arquivos no endpoint que precisam ser excluídos. |
Data de execução
Essa ação funciona com as seguintes entidades:
- Endereço IP
- Nome do host
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"success": [],
"not_exist_already_or_errors": []
}
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se pelo menos um arquivo for excluído (código de status: 204, is_success=true): "Os arquivos foram excluídos dos seguintes endpoints no Tanium:\n".format(entity)." Se pelo menos um arquivo não existir em um endpoint (código de status: 500, is_success=true): "O status de alguns arquivos não está claro. Verifique o resultado JSON. O Tanium retorna o código de status 500 no caso, quando o arquivo não é encontrado, mas também se houver outros desafios". Se pelo menos um arquivo não existir em todos os endpoints (código de status: 500, is_success=false): "O status de todos os arquivos não está claro. Verifique o resultado JSON. O Tanium retorna o código de status 500 no caso, quando o arquivo não é encontrado, mas também se houver outros desafios". Se pelo menos um endpoint não for encontrado (is_success=true): "Não foi possível excluir arquivos dos seguintes endpoints no Tanium: {entity}. Verifique se o agente do Tanium Threat Response está conectado corretamente e se o nome do host/endereço IP está correto." Se todos os endpoints não forem encontrados (is_success=false): "Não foi possível excluir arquivos dos endpoints fornecidos no Tanium. Verifique se o agente do Tanium Threat Response está conectado corretamente e se o nome do host/endereço IP está correto." A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Excluir arquivo". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Receber detalhes da tarefa
Recupera detalhes sobre uma tarefa no Tanium. A ação funciona com a API Tanium Threat Response.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| IDs de tarefas | CSV | N/A | Sim | Especifique uma lista separada por vírgulas de IDs de tarefas para as quais você quer buscar detalhes. |
| Aguardar a conclusão | Caixa de seleção | Selecionado | Não | Se ativada, a ação aguarda que a tarefa tenha um dos seguintes status:
|
Data de execução
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"id": 81,
"type": "fileDownload",
"status": "COMPLETED",
"metadata": {
"connection": "remote:centos-003:3864230059:1",
"paths": [
"/tmp/saaj-impl.jar"
],
"compress": "true"
},
"results": {
"completed": [
"/tmp/saaj-impl.jar"
],
"failed": [],
"fileResults": [
{
"response": {
"source": "/tmp/saaj-impl.jar",
"target": "/opt/Tanium/TaniumModuleServer/services/threat-response-service/tmp/4965e791-db87-4f31-ba60-2e52c9bac3de",
"totalBytes": 503502,
"transferHash": "5402c16c3873a722b94d8a3101cb98f5e4f862acc69cdee3a94cf40c1b04b265",
"totalTimeMs": 260,
"avgBytesPerSecond": 504123.0769230769
},
"uuid": "eb5077b3-9b02-42e2-bba4-58d9668a14e4",
"finalPath": "/opt/Tanium/TaniumModuleServer/services/threat-response-files/evidence/files/eb5077b3-9b02-42e2-bba4-58d9668a14e4.zip"
}
]
},
"error": null,
"startTime": "2022-03-01T14:38:23.952Z",
"endTime": "2022-03-01T14:38:24.559Z",
"createdAt": "2022-03-01T14:38:23.943Z",
"updatedAt": "2022-03-01T14:38:23.943Z"
}
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se pelo menos uma tarefa for buscada (is_success=true): "Os detalhes das seguintes tarefas no Tanium foram buscados com sucesso:\n".format(id)." Se pelo menos uma tarefa não for encontrada (is_success=true): "Não foi possível encontrar as seguintes tarefas no Tanium:\n".format(id)." Se pelo menos uma tarefa não for encontrada (is_success=true): "Nenhuma tarefa foi encontrada no Tanium." Busca assíncrona de detalhes sobre tarefas: {task ids} A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Receber detalhes da tarefa". Motivo: {0}''.format(error.Stacktrace)" Se ocorrer um tempo limite e o parâmetro "Aguardar conclusão" estiver ativado: "Erro ao executar a ação "Receber detalhes da tarefa". Motivo: a ação atingiu o tempo limite durante a execução. Tarefas pendentes: {tarefas que ainda estão em andamento}. Aumente o tempo limite no ambiente de desenvolvimento integrado." |
Geral |
Criar conexão
Crie uma conexão com o endpoint no Tanium.
Entidades
Essa ação é executada nas entidades "Nome do host" e "Endereço IP".
Entradas de ação
N/A
Saídas de ação
| Tipo de saída da ação | |
|---|---|
| Anexo do Painel de Casos | N/A |
| Link do Painel de Casos | N/A |
| Tabela do painel de casos | N/A |
| Tabela de enriquecimento | N/A |
| Resultado JSON | N/A |
| Resultado do script | Disponível |
Resultado do script
| Nome do resultado do script | Valor |
|---|---|
| is_success | Verdadeiro/Falso |
Painel de casos
A ação fornece as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
|
Falha na ação. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Listar conexões
Liste as conexões de endpoint no Tanium.
Entidades
Essa ação não é executada em entidades.
Entradas de ação
N/A
Saídas de ação
| Tipo de saída da ação | |
|---|---|
| Anexo do Painel de Casos | N/A |
| Link do Painel de Casos | N/A |
| Tabela do painel de casos | N/A |
| Tabela de enriquecimento | N/A |
| Resultado JSON | N/A |
| Resultado do script | Disponível |
Resultado do script
| Nome do resultado do script | Valor |
|---|---|
| is_success | Verdadeiro/Falso |
Painel de casos
A ação fornece as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "List Connections". Reason:
ERROR_REASON |
Falha na ação. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.