Tanium
整合版本:11.0
必要條件
Tanium 會使用 API 權杖驗證 REST API 的呼叫。如要進一步瞭解如何產生 API 權杖,請參閱 Tanium 說明文件中的「管理 API 權杖」。
將 Tanium 與 Google Security Operations 整合
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
整合參數
請使用下列參數設定整合:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| API 根層級 | 網址 | 不適用 | 是 | 指定整合功能應使用的 Tanium API 根目錄。 |
| API 權杖 | 密碼 | 不適用 | 是 | 指定整合功能應使用的 Tanium API 權杖。 |
| 驗證 SSL | 核取方塊 | 已勾選 | 否 | 如果啟用這項功能,Google SecOps 伺服器會檢查憑證是否已為 API 根目錄設定。 |
動作
乒乓
使用 Google Security Operations Marketplace 分頁中整合設定頁面提供的參數,測試與 Tanium 安裝項目的連線。
執行日期
這項動作不會在實體上執行,也沒有強制輸入參數。
動作結果
指令碼結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果成功:「Successfully connected to the Tanium installation with the provided connection parameters!」(已使用提供的連線參數,成功連線至 Tanium 安裝項目!) 動作應會失敗並停止執行應對手冊: 如果系統回報重大錯誤,例如憑證錯誤或連線中斷:「Failed to connect to the Tanium installation! Error is {0}".format(exception.stacktrace) |
一般 |
充實實體
使用 Tanium 的資訊擴充實體。動作是 Google SecOps 非同步動作。支援的實體:主機名稱、IP 位址。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 其他欄位 | CSV | 不適用 | 否 | 指定要從 Tanium 擷取的其他欄位,用於實體擴充。 參數接受以半形逗號分隔的多個值。 |
執行日期
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
動作結果
指令碼結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
{
"data": {
"now": "2022/01/28 10:18:54 GMT-0000",
"max_available_age": "",
"result_sets": [
{
"age": 0,
"id": X,
"report_count": 2,
"saved_question_id": 0,
"question_id": X,
"archived_question_id": 0,
"seconds_since_issued": 0,
"issue_seconds": 0,
"expire_seconds": 0,
"tested": 4,
"passed": 1,
"mr_tested": 4,
"mr_passed": 4,
"estimated_total": 4,
"select_count": 10,
"error_count": 0,
"no_results_count": 0,
"columns": [
{
"hash": X,
"name": "Computer ID",
"type": 1
},
{
"hash": 0,
"name": "Count",
"type": 3
}
],
"cache_id": "X",
"expiration": 0,
"filtered_row_count": 1,
"filtered_row_count_machines": 1,
"row_count": 1,
"row_count_machines": 1,
"item_count": 1,
"rows": [
{
"id": x,
"cid": x,
"data": [
[
{
"text": "X"
}
],
[
{
"text": "No User"
}
],
[
{
"text": "1"
}
]
]
}
]
}
]
}
}
補充資訊表格
前置字串:Tanium_
| 補充資料欄位名稱 | 邏輯 - 應用時機 |
|---|---|
| Computer_ID | 以 JSON 格式提供時 |
| Operating_System | 以 JSON 格式提供時 |
| OS_Platform | 以 JSON 格式提供時 |
| Service_Pack | 以 JSON 格式提供時 |
| Domain_Name | 以 JSON 格式提供時 |
| 運作時間 | 以 JSON 格式提供時 |
| System_UUID | 以 JSON 格式提供時 |
| IP_Address | 以 JSON 格式提供時 |
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果一個實體有資料 (is_success = true):「已使用 Tanium 的資訊成功擴充下列實體:{entity.identifier}」。 如果某個實體沒有資料 (is_success=true):「Action wasn't able to enrich the following entities using information from Tanium: {entity.identifier}」(動作無法使用 Tanium 的資訊擴充下列實體:{entity.identifier}) 如果 Tanium 中有多個與所提供實體相符的項目 (is_success=true):「Tanium 中有多個與實體相符的結果,將採用第一個相符項目:{entity.identifier}」 如果並非所有實體都有資料 (is_success=false):「None of the provided entities were enriched.」 動作應會失敗並停止執行應對手冊: 如果系統回報 400 狀態碼 (問題語法錯誤):「Error executing action "Enrich Entities" because provided question text is invalid. 」 如果系統回報嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤:「執行『Enrich Entities』動作時發生錯誤。」原因:{0}''.format(error.Stacktrace) |
一般 |
| 案件總覽表格 | 資料表名稱:{entity.identifier} 資料表資料欄:
|
實體 |
建立問題
根據指定參數建立新的 Tanium 問題,並立即提出該問題。動作會傳回問題 ID,該 ID 可傳遞至「取得問題結果」動作,以取得問題結果。請注意,這項動作不適用於 Google SecOps 實體。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 問題文字 | 字串 | 不適用 | 是 | 指定 Tanium 問題的內容。 示例:從所有電腦取得作業系統 |
執行日期
系統不會對實體執行這項操作。
動作結果
指令碼結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
{
"data": {
"id": X
}
}
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果資料可用 (is_success = true):「Successfully created Tanium question with id {question_id_from_response}」(已成功建立 Tanium 問題,ID 為 {question_id_from_response})。 動作應會失敗並停止執行應對手冊: 如果系統回報 400 狀態碼 (問題語法錯誤):「Error executing action "Create Question" because provided question text is invalid. 」 如果系統回報嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤:「執行『建立問題』動作時發生錯誤。原因:{0}''.format(error.Stacktrace) |
一般 |
取得問題結果
擷取 Tanium 問題的結果。動作是 Google SecOps 異步動作。請注意,這項動作不適用於 Google SecOps 實體。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 問題 ID | 整數 | 不適用 | 是 | 指定要取得結果的 Tanium 問題 ID。 |
| 建立案件牆資料表 | 核取方塊 | 已勾選 | 否 | 啟用後,這項動作會在動作結果中建立案件總覽資料表。 |
| 要傳回的列數上限 | 整數 | 50 | 是 | 指定動作應為問題傳回的資料列數量上限。 |
執行日期
這項操作不會對實體執行。
動作結果
指令碼結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
{
"data": {
"now": "2022/01/29 04:09:29 GMT-0000",
"max_available_age": "",
"result_sets": [
{
"age": 0,
"id": X,
"report_count": 3,
"saved_question_id": 0,
"question_id": X,
"archived_question_id": 0,
"seconds_since_issued": 0,
"issue_seconds": 0,
"expire_seconds": 0,
"tested": 4,
"passed": 4,
"mr_tested": 4,
"mr_passed": 4,
"estimated_total": 4,
"select_count": 1,
"error_count": 0,
"no_results_count": 0,
"columns": [
{
"hash": 45421433,
"name": "Operating System",
"type": 1
}
],
"cache_id": "X",
"expiration": 0,
"filtered_row_count": 4,
"filtered_row_count_machines": 4,
"row_count": 4,
"row_count_machines": 4,
"item_count": 4,
"rows": [
{
"id": X,
"cid": 0,
"data": [
[
{
"text": "X"
}
],
[
{
"text": X
}
]
]
},
{
"id": X,
"cid": 0,
"data": [
[
{
"text": X
}
],
[
{
"text": X
}
]
]
},
{
"id": X,
"cid": 0,
"data": [
[
{
"text": X
}
],
[
{
"text": X
}
]
]
},
{
"id": X,
"cid": 0,
"data": [
[
{
"text": X
}
],
[
{
"text": X
}
]
]
}
]
}
]
}
}
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果資料可用 (is_success=true):「Successfully fetched results for the following Tanium question id: {question id}」(已成功擷取下列 Tanium 問題 ID 的結果:{問題 ID})。 如果沒有資料 (is_success=false):「找不到 Tanium 問題 ID:{問題 ID} 的結果」 動作應會失敗並停止執行應對手冊: 如果系統回報 404 狀態碼 (問題不存在):「Failed to find Tanium question with question id {question_id}. 」 如果系統回報嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤:「執行動作『取得問題結果』時發生錯誤。原因:{0}''.format(error.Stacktrace) |
一般 |
| 資料表 | 資料表名稱:Tanium Question {question_id} Results 資料表資料欄: 系統會根據問題傳回的資料生成資料欄。 |
一般 |
列出端點事件
列出與 Tanium 端點相關的事件。動作會搭配 Tanium Threat Response API 運作。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 事件類型 | DDL | 合併 可能的值:
|
否 | 指定要傳回的事件類型。 |
| 時間範圍 | DDL | 過去 1 小時 可能的值:
|
否 | 指定結果的時間範圍。 如果選取「Alert Time Till Now」,動作會使用快訊的開始時間做為搜尋的開始時間,並以目前時間做為結束時間。 如果選取「在快訊時間前後 30 分鐘」,系統會在快訊發生前 30 分鐘到快訊發生後 30 分鐘內,搜尋快訊。「在警報時間前後 1 小時」和「在警報時間前後 5 分鐘」也是同樣的道理。如果選取「自訂」,您也需要提供「開始時間」參數。 |
| 開始時間 | 字串 | 不適用 | 否 | 指定結果的開始時間。 如果為「時間範圍」參數選取「自訂」,則必須提供這個參數。 格式:ISO 8601 |
| 結束時間 | 字串 | 不適用 | 否 | 指定結果的結束時間。 如果未提供任何值,且「時間範圍」參數選取「自訂」,則這個參數會使用目前時間。 格式:ISO 8601 |
| 排序欄位 | 字串 | 時間戳記 | 否 | 指定用於排序的參數。 |
| 排序順序 | DDL | ASC 可能 值:
|
否 | 指定排序順序。 |
| 要傳回的事件數量上限 | 整數 | 50 | 否 | 指定每個實體要傳回的事件數量。 上限:500 個 |
執行日期
這項操作不會對實體執行。
動作結果
指令碼結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
{
"events": [
{
"create_time": "2022-01-18 11:59:52.000",
"end_time": null,
"exit_code": null,
"pid": 2,
"process_path": "kthreadd",
"id": "72057594037927939",
"process_table_id": "72057594037927939",
"parent_process_table_id": "72057594037927937",
"parent_pid": -1,
"user_name": "root",
"group_name": "root",
"hash_type_name": null,
"hash": null,
"process_command_line": null,
"parent_path": "<Unknown Process>",
"parent_command_line": "<Unknown Process>",
"parent_hash": null,
"create_time_raw": 1642507192000,
"end_time_raw": null
}
]
}
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果系統為端點找到至少一個事件 (is_success=true):「Successfully returned events for the following endpoints in Tanium:\n".format(entity)." 如果找不到端點的任何事件 (is_success=true):「在 Tanium 中找不到下列端點的任何事件:\n」。format(entity)。 如果所有端點都找不到事件 (is_success=true):「No events were found for the provided endpoints in Tanium.」(在 Tanium 中找不到所提供端點的事件)。 如果無法建立連線,或系統找不到部分端點的連線 (is_success=true):「由於代理程式連線問題,動作無法從 Tanium 中下列端點擷取事件相關資訊:{entity}。請確認這些主機名稱已連線至 Tanium Threat Response 模組。」 如果未擴充所有項目 (is_success=false):「找不到入侵指標相關資訊。」 動作應會失敗並停止執行應對手冊: 如果系統回報嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤:「Error executing action "Enrich IOC". 原因:{0}''.format(error.Stacktrace) 如果無法建立連線,或系統找不到所有端點的連線 (is_success=false):「Error executing action "List Endpoint Events". 原因:由於代理程式連線問題,動作無法從 Tanium 中提供的端點擷取事件資訊。請確認這些主機名稱已連線至 Tanium Threat Response 模組。」 |
一般 |
隔離端點
在 Tanium 中隔離端點。這項動作會搭配 Tanium Threat Response API 運作。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 僅限發起 | 核取方塊 | 已取消勾選 | 是 | 啟用後,動作只會啟動工作執行作業,不會等待結果。 |
| 套件名稱 | 字串 |
|
是 | 包含每個作業系統所有套件名稱的 JSON 物件。 |
執行日期
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
動作結果
指令碼結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
{
"id": 82,
"type": "responseAction",
"status": "COMPLETED",
"metadata": {
"id": 2,
"type": "gatherSnapshot",
"status": "RUNNING",
"computerName": "EX01.exlab.local",
"userId": 1,
"userName": "tanium",
"options": {},
"results": {
"taskIds": [
73
],
"actionIds": []
},
"expirationTime": "2022-03-08T14:31:50.211Z",
"createdAt": "2022-03-01T14:31:50.212Z",
"updatedAt": "2022-03-01T14:36:19.533Z"
},
"results": {
"didActionComplete": false,
"stopped": true,
"finished": true
},
"error": null,
"startTime": "2022-03-01T14:42:10.390Z",
"endTime": "2022-03-01T15:29:50.495Z",
"createdAt": "2022-03-01T14:42:10.379Z",
"updatedAt": "2022-03-01T14:42:10.379Z"
}
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果至少有一個端點遭到隔離 (is_success=true):「Successfully initiated quarantine on the following endpoints in Tanium:\n".format(entity) 如果 至少有一個端點未隔離,但不是因為逾時 (is_success=false):「Action wasn't able to quarantine the following endpoints in Tanium: {entity}。請確認 Tanium Threat Response 代理程式已正確連線,且主機名稱/IP 位址正確無誤。」 如果所有端點都未隔離,但並非因為逾時 (is_success=false):「Action wasn't able to quarantine the provided endpoints in Tanium. 請確認 Tanium Threat Response 代理程式已正確連線,且主機名稱/IP 位址正確無誤。」 待處理的非同步實體:{entities} 動作應會失敗並停止執行應對手冊: 如果系統回報嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤:「執行動作『Enrich IOC』時發生錯誤。原因:{0}''.format(error.Stacktrace) 如果無法建立連線,或找不到所有端點的連線 (is_success=false):「執行『隔離端點』動作時發生錯誤。原因:由於代理程式連線問題,動作無法在 Tanium 中隔離提供的端點。請確認端點已連線至 Tanium Threat Response 模組,且主機名稱/IP 位址正確無誤。」 如果發生逾時問題:「Error executing action "Quarantine Endpoint". 原因:動作在執行期間逾時。待處理的實體:{entities that are still in progress}。請在 IDE 中增加逾時時間,或啟用「僅啟動」。 |
一般 |
下載檔案
從 Tanium 中的端點下載檔案。動作會搭配 Tanium Threat Response API 運作。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 檔案路徑 | CSV | 不適用 | 是 | 指定端點上需要下載的檔案絕對路徑。 |
| 下載資料夾路徑 | 字串 | 不適用 | 是 | 指定要儲存檔案的資料夾路徑。 |
| 覆寫 | 核取方塊 | 已取消勾選 | 是 | 如果啟用這項設定,系統會覆寫名稱相同的檔案。 |
執行日期
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
動作結果
指令碼結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
{
"absolute_file_path": [
"file_path_1",
"file_path_2"
],
"entity": [
{
"identifier": "",
"task_details": {
"id": 81,
"type": "fileDownload",
"status": "COMPLETED",
"metadata": {
"connection": "remote:centos-003:3864230059:1",
"paths": [
"/tmp/saaj-impl.jar"
],
"compress": "true"
},
"results": {
"completed": [
"/tmp/saaj-impl.jar"
],
"failed": [],
"fileResults": [
{
"response": {
"source": "/tmp/saaj-impl.jar",
"target": "/opt/Tanium/TaniumModuleServer/services/threat-response-service/tmp/4965e791-db87-4f31-ba60-2e52c9bac3de",
"totalBytes": 503502,
"transferHash": "5402c16c3873a722b94d8a3101cb98f5e4f862acc69cdee3a94cf40c1b04b265",
"totalTimeMs": 260,
"avgBytesPerSecond": 504123.0769230769
},
"uuid": "eb5077b3-9b02-42e2-bba4-58d9668a14e4",
"finalPath": "/opt/Tanium/TaniumModuleServer/services/threat-response-files/evidence/files/eb5077b3-9b02-42e2-bba4-58d9668a14e4.zip"
}
]
},
"error": null,
"startTime": "2022-03-01T14:38:23.952Z",
"endTime": "2022-03-01T14:38:24.559Z",
"createdAt": "2022-03-01T14:38:23.943Z",
"updatedAt": "2022-03-01T14:38:23.943Z"
}
}
]
}
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果每個實體至少下載一個檔案 (is_success=true):「已成功從 Tanium 的端點 {entity} 下載下列檔案:\n」。format(downloaded files)。 如果每個實體至少有一個檔案未下載,但並非因為逾時 (is_success=false):「Action wasn't able to download the following files from the endpoint {entity} in Tanium: {pending files}。請確認 Tanium Threat Response 代理程式已正確連線,且主機名稱/IP 位址正確無誤。JSON 結果包含更多工作詳細資料。」 待處理的非同步實體:{entities} 動作應會失敗並停止執行應對手冊: 如果系統回報嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤:「執行『下載檔案』動作時發生錯誤。Reason: {0}''.format(error.Stacktrace)" 如果已有同名檔案,但「Overwrite」== false:「Error executing action "Download File"」。原因:路徑為「{0}」的檔案已存在。Please delete the files or set "Overwrite" to true." 如果發生逾時問題:「執行『下載檔案』動作時發生錯誤。原因:動作在執行期間逾時。待處理的實體:{entities that are still in progress}。請在 IDE 中增加逾時時間。」 |
一般 |
刪除檔案
從 Tanium 中的端點下載檔案。動作會搭配 Tanium Threat Response API 運作。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 檔案路徑 | CSV | 不適用 | 是 | 指定端點上要刪除檔案的絕對路徑。 |
執行日期
這項動作適用於下列實體:
- IP 位址
- 主機名稱
動作結果
指令碼結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
{
"success": [],
"not_exist_already_or_errors": []
}
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果至少刪除一個檔案 (狀態碼:204,is_success=true):「已成功從 Tanium 中下列端點刪除檔案:\n」。format(entity)。 如果至少有一個檔案不存在於某個端點 (狀態碼:500,is_success=true):「部分檔案的狀態不明,請檢查 JSON 結果。如果找不到檔案,Tanium 會傳回狀態碼 500,但如果發生其他問題,也會傳回這個狀態碼。」 如果至少有一個檔案在所有端點上都不存在 (狀態碼:500,is_success=false):「所有檔案的狀態不明,請檢查 JSON 結果。如果找不到檔案,Tanium 會傳回狀態碼 500,但如果發生其他問題,也會傳回這個狀態碼。」 如果找不到至少一個端點 (is_success=true):「Action wasn't able to delete files from the following endpoints in Tanium: {entity}。請確認 Tanium Threat Response 代理程式已正確連線,且主機名稱/IP 位址正確無誤。」 如果找不到所有端點 (is_success=false):「Action wasn't able to delete files from the provided endpoints in Tanium. 請確認 Tanium Threat Response 代理程式已正確連線,且主機名稱/IP 位址正確無誤。」 動作應會失敗並停止執行應對手冊: 如果系統回報嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤:「執行動作『刪除檔案』時發生錯誤。原因:{0}''.format(error.Stacktrace) |
一般 |
取得工作詳細資料
擷取 Tanium 中工作的詳細資料。動作會搭配 Tanium Threat Response API 運作。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 工作 ID | CSV | 不適用 | 是 | 指定要擷取詳細資料的任務 ID 清單 (以半形逗號分隔)。 |
| 等待完成 | 核取方塊 | 已勾選 | 否 | 如果啟用這項功能,動作會等待工作處於下列其中一種狀態:
|
執行日期
這項操作不會對實體執行。
動作結果
指令碼結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
{
"id": 81,
"type": "fileDownload",
"status": "COMPLETED",
"metadata": {
"connection": "remote:centos-003:3864230059:1",
"paths": [
"/tmp/saaj-impl.jar"
],
"compress": "true"
},
"results": {
"completed": [
"/tmp/saaj-impl.jar"
],
"failed": [],
"fileResults": [
{
"response": {
"source": "/tmp/saaj-impl.jar",
"target": "/opt/Tanium/TaniumModuleServer/services/threat-response-service/tmp/4965e791-db87-4f31-ba60-2e52c9bac3de",
"totalBytes": 503502,
"transferHash": "5402c16c3873a722b94d8a3101cb98f5e4f862acc69cdee3a94cf40c1b04b265",
"totalTimeMs": 260,
"avgBytesPerSecond": 504123.0769230769
},
"uuid": "eb5077b3-9b02-42e2-bba4-58d9668a14e4",
"finalPath": "/opt/Tanium/TaniumModuleServer/services/threat-response-files/evidence/files/eb5077b3-9b02-42e2-bba4-58d9668a14e4.zip"
}
]
},
"error": null,
"startTime": "2022-03-01T14:38:23.952Z",
"endTime": "2022-03-01T14:38:24.559Z",
"createdAt": "2022-03-01T14:38:23.943Z",
"updatedAt": "2022-03-01T14:38:23.943Z"
}
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果擷取至少一項工作 (is_success=true):「Successfully fetched details about the following tasks in Tanium:\n".format(id)."」 如果找不到至少一項工作 (is_success=true):「Action wasn't able to find the following tasks in Tanium:\n".format(id)." 如果找不到至少一項工作 (is_success=true):「No tasks were found in Tanium.」 非同步擷取工作詳細資料:{工作 ID} 動作應會失敗並停止執行應對手冊: 如果系統回報嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤:「執行『取得工作詳細資料』動作時發生錯誤。Reason: {0}''.format(error.Stacktrace)" 如果發生逾時問題,且已啟用「等待完成」參數:「Error executing action "Get Task Details". 原因:動作在執行期間逾時。待處理工作:{仍在進行中的工作}。請在 IDE 中增加逾時時間。」 |
一般 |
建立連線
在 Tanium 中建立端點連線。
實體
這項操作會對主機名稱和 IP 位址實體執行。
動作輸入內容
不適用
動作輸出內容
| 動作輸出類型 | |
|---|---|
| 案件總覽附件 | 不適用 |
| 案件總覽連結 | 不適用 |
| 案件訊息牆表格 | 不適用 |
| 補充資訊表格 | 不適用 |
| JSON 結果 | 不適用 |
| 指令碼結果 | 可用 |
指令碼結果
| 指令碼結果名稱 | 值 |
|---|---|
| is_success | True/False |
案件總覽
這個動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
|
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
列出連線
列出 Tanium 中的端點連線。
實體
這項操作不會對實體執行。
動作輸入內容
不適用
動作輸出內容
| 動作輸出類型 | |
|---|---|
| 案件總覽附件 | 不適用 |
| 案件總覽連結 | 不適用 |
| 案件訊息牆表格 | 不適用 |
| 補充資訊表格 | 不適用 |
| JSON 結果 | 不適用 |
| 指令碼結果 | 可用 |
指令碼結果
| 指令碼結果名稱 | 值 |
|---|---|
| is_success | True/False |
案件總覽
這個動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Error executing action "List Connections". Reason:
ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。