RSA NetWitness EDR
Versão da integração: 4.0
Exemplos de utilização
- Realize ações de enriquecimento: obtenha dados do RSA NetWitness para enriquecer dados em alertas do Google Security Operations.
- Realizar ações de remediação: adicionar IPs/URLs a listas negras.
Configure a integração do RSA NetWitness EDR no Google SecOps
Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da instância | String | N/A | Não | Nome da instância para a qual pretende configurar a integração. |
| Descrição | String | N/A | Não | Descrição da instância. |
| Raiz da API | String | https:// |
Sim | Raiz da API da instância do RSA NetWitness EDR. |
| Nome de utilizador | String | N/A | Sim | Nome de utilizador da conta do RSA NetWitness EDR. |
| Palavra-passe | Palavra-passe | N/A | Sim | A palavra-passe da conta do RSA NetWitness EDR. |
| Validar SSL | Caixa de verificação | Marcado | Não | Se estiver ativada, verifica se o certificado SSL para a ligação ao servidor RSA NetWitness EDR é válido. |
| Executar remotamente | Caixa de verificação | Desmarcado | Não | Selecione o campo para executar a integração configurada remotamente. Depois de selecionada, a opção aparece para selecionar o utilizador remoto (agente). |
Ações
Tchim-tchim
Descrição
Teste a conetividade ao RSA NetWitness EDR com os parâmetros fornecidos na página de configuração da integração no separador Google Security Operations Marketplace.
Executar em
Esta ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se for bem-sucedido: Imprima "Ligação estabelecida com êxito ao servidor RSA NetWitness EDR com os parâmetros de ligação fornecidos!" A ação deve falhar e parar a execução de um guia interativo: Se não for bem-sucedido: Imprime "Failed to connect to the RSA NetWitness EDR server! O erro é {0}".format(exception.stacktrace) |
Geral |
Ponto final de enriquecimento
Descrição
Obter as informações do sistema do ponto final pelo respetivo nome do anfitrião ou endereço IP.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Limite da pontuação IIOC | Número inteiro | 50 | Não | Especifique o limite da pontuação de IIOC para o ponto final. Se o ponto final exceder o limite, a entidade relacionada é marcada como suspeita. Se nada for especificado, a ação não verifica a pontuação de IIOC. |
| Inclua informações de IOC | Caixa de verificação | Desmarcado | Não | Se estiver ativada, a ação obtém informações sobre os IOCs associados ao endpoint. |
| Máximo de IOCs a devolver | Número inteiro | 50 | Não | Especifique o número de IOCs a devolver. O máximo é 50. Esta é uma limitação do RSA NetWitness EDR. |
Executar em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Anfitrião
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| RSA_EDR_DriverErrorCode | Devolve se existir no resultado JSON |
| RSA_EDR_ServicePackOS | Devolve se existir no resultado JSON |
| RSA_EDR_MachineStatus | Devolve se existir no resultado JSON |
| RSA_EDR_Type | Devolve se existir no resultado JSON |
| RSA_EDR_VersionInfo | Devolve se existir no resultado JSON |
| RSA_EDR_UserName | Devolve se existir no resultado JSON |
| RSA_EDR_OrganizationUnit | Devolve se existir no resultado JSON |
| RSA_EDR_LocalIP | Devolve se existir no resultado JSON |
| RSA_EDR_NetworkSegment | Devolve se existir no resultado JSON |
| RSA_EDR_Gateway | Devolve se existir no resultado JSON |
| RSA_EDR_RemoteIP | Devolve se existir no resultado JSON |
| RSA_EDR_Group | Devolve se existir no resultado JSON |
| RSA_EDR_AdminStatus | Devolve se existir no resultado JSON |
| RSA_EDR_KernelDebuggerDetected | Devolve se existir no resultado JSON |
| RSA_EDR_EarlyStart | Devolve se existir no resultado JSON |
| RSA_EDR_NotifyShutdownModule | Devolve se existir no resultado JSON |
| RSA_EDR_LoadedModuleModule | Devolve se existir no resultado JSON |
| RSA_EDR_NotifyRoutineModule | Devolve se existir no resultado JSON |
| RSA_EDR_UnloadedDriverModule | Devolve se existir no resultado JSON |
| RSA_EDR_ErrorLogModule | Devolve se existir no resultado JSON |
| RSA_EDR_LowLevelReaderModule | Devolve se existir no resultado JSON |
| RSA_EDR_ProcessModule | Devolve se existir no resultado JSON |
| RSA_EDR_WorkerThreadModule | Devolve se existir no resultado JSON |
| RSA_EDR_WindowsHooksModule | Devolve se existir no resultado JSON |
| RSA_EDR_DebuggerAttachedToProcess | Devolve se existir no resultado JSON |
| RSA_EDR_ProcessMonitorModule | Devolve se existir no resultado JSON |
| RSA_EDR_ThreadMonitorModule | Devolve se existir no resultado JSON |
| RSA_EDR_ObjectMonitorModule | Devolve se existir no resultado JSON |
| RSA_EDR_ImageMonitorModule | Devolve se existir no resultado JSON |
| RSA_EDR_DriverMonitorModule | Devolve se existir no resultado JSON |
| RSA_EDR_TdiMonitorModule | Devolve se existir no resultado JSON |
| RSA_EDR_TrackingModule | Devolve se existir no resultado JSON |
| RSA_EDR_TrackingRegistryMonitor | Devolve se existir no resultado JSON |
| RSA_EDR_TrackingObjectMonitor | Devolve se existir no resultado JSON |
| RSA_EDR_TrackingFileMonitor | Devolve se existir no resultado JSON |
| RSA_EDR_TrackingRemoteThreadMonitor | Devolve se existir no resultado JSON |
| RSA_EDR_TrackingCreateProcessMonitor | Devolve se existir no resultado JSON |
| RSA_EDR_TrackingHardLinkMonitor | Devolve se existir no resultado JSON |
| RSA_EDR_TrackingFileBlockMonitor | Devolve se existir no resultado JSON |
| RSA_EDR_TrackingNetworkMonitor | Devolve se existir no resultado JSON |
| RSA_EDR_ECATServerName | Devolve se existir no resultado JSON |
| RSA_EDR_Online | Devolve se existir no resultado JSON |
| RSA_EDR_IIOCScore | Devolve se existir no resultado JSON |
| RSA_EDR_ChassisType | Devolve se existir no resultado JSON |
| RSA_EDR_ContainmentSupported | Devolve se existir no resultado JSON |
| RSA_EDR_AgentID | Devolve se existir no resultado JSON |
| RSA_EDR_BIOS | Devolve se existir no resultado JSON |
| RSA_EDR_OSBuildNumber | Devolve se existir no resultado JSON |
| RSA_EDR_Comment | Devolve se existir no resultado JSON |
| RSA_EDR_ConnectionTime | Devolve se existir no resultado JSON |
| RSA_EDR_Language | Devolve se existir no resultado JSON |
| RSA_EDR_DNS | Devolve se existir no resultado JSON |
| RSA_EDR_DomainRole | Devolve se existir no resultado JSON |
| RSA_EDR_ECATServiceCompileTime | Devolve se existir no resultado JSON |
| RSA_EDR_ECATPackageTime | Devolve se existir no resultado JSON |
| RSA_EDR_StartTime | Devolve se existir no resultado JSON |
| RSA_EDR_ECATDriverCompileTime | Devolve se existir no resultado JSON |
| RSA_EDR_DomainName | Devolve se existir no resultado JSON |
| RSA_EDR_Idle | Devolve se existir no resultado JSON |
| RSA_EDR_IncludedinMonitoring | Devolve se existir no resultado JSON |
| RSA_EDR_IncludedinScanSchedule | Devolve se existir no resultado JSON |
| RSA_EDR_InstallationFailed | Devolve se existir no resultado JSON |
| RSA_EDR_InstallTime | Devolve se existir no resultado JSON |
| RSA_EDR_IIOCLevel0 | Devolve se existir no resultado JSON |
| RSA_EDR_IIOCLevel1 | Devolve se existir no resultado JSON |
| RSA_EDR_IIOCLevel2 | Devolve se existir no resultado JSON |
| RSA_EDR_IIOCLevel3 | Devolve se existir no resultado JSON |
| RSA_EDR_Country | Devolve se existir no resultado JSON |
| RSA_EDR_BootTime | Devolve se existir no resultado JSON |
| RSA_EDR_LastScan | Devolve se existir no resultado JSON |
| RSA_EDR_LastSeen | Devolve se existir no resultado JSON |
| RSA_EDR_MAC | Devolve se existir no resultado JSON |
| RSA_EDR_MachineID | Devolve se existir no resultado JSON |
| RSA_EDR_MachineName | Devolve se existir no resultado JSON |
| RSA_EDR_AllowAccessDataSourceDomain | Devolve se existir no resultado JSON |
| RSA_EDR_AllowDisplayMixedContent | Devolve se existir no resultado JSON |
| RSA_EDR_AntiVirusDisabled | Devolve se existir no resultado JSON |
| RSA_EDR_BadCertificateWarningDisabled | Devolve se existir no resultado JSON |
| RSA_EDR_CookiesCleanupDisabled | Devolve se existir no resultado JSON |
| RSA_EDR_CrosssiteScriptFilterDisabled | Devolve se existir no resultado JSON |
| RSA_EDR_FirewallDisabled | Devolve se existir no resultado JSON |
| RSA_EDR_IEDepDisabled | Devolve se existir no resultado JSON |
| RSA_EDR_IEEnhancedSecurityDisabled | Devolve se existir no resultado JSON |
| RSA_EDR_IntranetZoneNotificationDisabled | Devolve se existir no resultado JSON |
| RSA_EDR_LUADisabled | Devolve se existir no resultado JSON |
| RSA_EDR_NoAntivirusNotificationDisabled | Devolve se existir no resultado JSON |
| RSA_EDR_NoFirewallNotificationDisabled | Devolve se existir no resultado JSON |
| RSA_EDR_NoUACNotificationDisabled | Devolve se existir no resultado JSON |
| RSA_EDR_NoWindowsUpdateDisabled | Devolve se existir no resultado JSON |
| RSA_EDR_RegistryToolsDisabled | Devolve se existir no resultado JSON |
| RSA_EDR_SmartscreenFilterDisabled | Devolve se existir no resultado JSON |
| RSA_EDR_SystemRestoreDisabled | Devolve se existir no resultado JSON |
| RSA_EDR_TaskManagerDisabled | Devolve se existir no resultado JSON |
| RSA_EDR_UACDisabled | Devolve se existir no resultado JSON |
| RSA_EDR_WarningOnZoneCrossingDisabled | Devolve se existir no resultado JSON |
| RSA_EDR_WarningPostRedirectionDisabled | Devolve se existir no resultado JSON |
| RSA_EDR_Manufacturer | Devolve se existir no resultado JSON |
| RSA_EDR_Model | Devolve se existir no resultado JSON |
| RSA_EDR_NetworkAdapterPromiscModel | Devolve se existir no resultado JSON |
| RSA_EDR_OperatingSystem | Devolve se existir no resultado JSON |
| RSA_EDR_ProcessorArchitecture | Devolve se existir no resultado JSON |
| RSA_EDR_ProcessorCount | Devolve se existir no resultado JSON |
| RSA_EDR_Platform | Devolve se existir no resultado JSON |
| RSA_EDR_ProcessorIs32bits | Devolve se existir no resultado JSON |
| RSA_EDR_Processoris64 | Devolve se existir no resultado JSON |
| RSA_EDR_ProcessorName | Devolve se existir no resultado JSON |
| RSA_EDR_Scanning | Devolve se existir no resultado JSON |
| RSA_EDR_ScanStartTime | Devolve se existir no resultado JSON |
| RSA_EDR_Serial | Devolve se existir no resultado JSON |
| RSA_EDR_TimeZone | Devolve se existir no resultado JSON |
| RSA_EDR_TotalPhysicalMemory | Devolve se existir no resultado JSON |
| RSA_EDR_HTTPSFallbackMode | Devolve se existir no resultado JSON |
| RSA_EDR_BlockingActive | Devolve se existir no resultado JSON |
| RSA_EDR_RoamingAgentsRelaySystemActive | Devolve se existir no resultado JSON |
| RSA_EDR_UserID | Devolve se existir no resultado JSON |
| RSA_EDR_WindowsDirectory | Devolve se existir no resultado JSON |
| RSA_EDR_NetWitnessInvestigate | Devolve se existir no resultado JSON |
| RSA_EDR_ContainmentStatus | Devolve se existir no resultado JSON |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"Machine": {
"DriverErrorCode": "0xe0010014",
"ServicePackOS": "0",
"MachineStatus": "Offline-DriverError",
"Type": "Windows",
"VersionInfo": "4.4.0.0",
"UserName": "",
"OrganizationUnit": "",
"LocalIP": "172.30.203.155",
"NetworkSegment": "172.30.203.0",
"Gateway": "172.30.203.1",
"RemoteIP": "172.30.203.155",
"Group": "Default",
"AdminStatus": "",
"KernelDebuggerDetected": "False",
"EarlyStart": "False",
"NotifyShutdownModule": "False",
"LoadedModuleModule": "False",
"NotifyRoutineModule": "False",
"UnloadedDriverModule": "False",
"ErrorLogModule": "False",
"LowLevelReaderModule": "False",
"ProcessModule": "False",
"WorkerThreadModule": "False",
"WindowsHooksModule": "False",
"DebuggerAttachedToProcess": "False",
"ProcessMonitorModule": "False",
"ThreadMonitorModule": "False",
"ObjectMonitorModule": "False",
"ImageMonitorModule": "False",
"DriverMonitorModule": "False",
"TdiMonitorModule": "False",
"TrackingModule": "False",
"TrackingRegistryMonitor": "False",
"TrackingObjectMonitor": "False",
"TrackingFileMonitor": "False",
"TrackingRemoteThreadMonitor": "False",
"TrackingCreateProcessMonitor": "False",
"TrackingHardLinkMonitor": "False",
"TrackingFileBlockMonitor": "False",
"TrackingNetworkMonitor": "False",
"ECATServerName": "RSA-EDR",
"Online": "False",
"IIOCScore": "39",
"ChassisType": "Other",
"ContainmentSupported": "False",
"AgentID": "d96de745-c39b-b513-420d-598952bd463e",
"BIOS": "Phoenix Technologies LTD - 6.00 - PhoenixBIOS 4.0 Release 6.0",
"OSBuildNumber": "18363",
"Comment": "",
"ConnectionTime": "7/31/2020 9:01:11 AM",
"Language": "en-US",
"DNS": "172.30.202.237",
"DomainRole": "Member Workstation",
"ECATServiceCompileTime": "9/15/2017 10:26:23 PM",
"ECATPackageTime": "6/26/2020 6:39:59 AM",
"StartTime": "6/29/2020 11:56:36 AM",
"ECATDriverCompileTime": "9/15/2017 10:20:48 PM",
"DomainName": "ecat.local",
"Idle": "False",
"IncludedinMonitoring": "True",
"IncludedinScanSchedule": "True",
"InstallationFailed": "False",
"InstallTime": "6/26/2020 6:42:20 AM",
"IIOCLevel0": "0",
"IIOCLevel1": "0",
"IIOCLevel2": "4",
"IIOCLevel3": "9",
"Country": "USA",
"BootTime": "6/29/2020 11:56:31 AM",
"LastScan": "6/26/2020 6:47:54 AM",
"LastSeen": "7/31/2020 9:31:12 AM",
"MAC": "00:50:56:A2:10:9E",
"MachineID": "422518b6-54d8-4814-b5d7-02b043ca0103",
"MachineName": "RSA-HOST02",
"AllowAccessDataSourceDomain": "False",
"AllowDisplayMixedContent": "False",
"AntiVirusDisabled": "False",
"BadCertificateWarningDisabled": "False",
"CookiesCleanupDisabled": "False",
"CrosssiteScriptFilterDisabled": "False",
"FirewallDisabled": "False",
"IEDepDisabled": "False",
"IEEnhancedSecurityDisabled": "False",
"IntranetZoneNotificationDisabled": "False",
"LUADisabled": "False",
"NoAntivirusNotificationDisabled": "False",
"NoFirewallNotificationDisabled": "False",
"NoUACNotificationDisabled": "False",
"NoWindowsUpdateDisabled": "False",
"RegistryToolsDisabled": "False",
"SmartscreenFilterDisabled": "False",
"SystemRestoreDisabled": "False",
"TaskManagerDisabled": "False",
"UACDisabled": "False",
"WarningOnZoneCrossingDisabled": "False",
"WarningPostRedirectionDisabled": "False",
"Manufacturer": "VMware, Inc.",
"Model": "VMware Virtual Platform",
"NetworkAdapterPromiscMode": "False",
"OperatingSystem": "Microsoft Windows 10 Enterprise Evaluation",
"ProcessorArchitecture": "x64",
"ProcessorCount": "2",
"Platform": "64-bit (x64)",
"ProcessorIs32bits": "False",
"Processoris64": "True",
"ProcessorName": "Intel(R) Xeon(R) CPU E5-2698 v3 @ 2.30GHz",
"Scanning": "False",
"ScanStartTime": "7/31/2020 9:07:58 AM",
"Serial": "VMware-42 22 a8 f8 6a 01 41 ca-12 10 80 75 56 bf 21 4b",
"TimeZone": "Pacific Standard Time",
"TotalPhysicalMemory": "4294430720",
"HTTPSFallbackMode": "False",
"BlockingActive": "True",
"RoamingAgentsRelaySystemActive": "True",
"UserID": "00000000-0000-0000-0000-000000000000",
"WindowsDirectory": "C:\\Windows",
"NetWitnessInvestigate": "True",
"ContainmentStatus": "Not Contained"
},
"Iocs": [
{
"Alertable": "False",
"EvaluationDate": "6/26/2020 6:48:11 AM",
"IOCContext": "0",
"IOCTriggeredOnMachine": "True",
"BiasStatus": "Undefined",
"Active": "True",
"Description": "Likely packed",
"Type": "Module",
"IOCLevel": "2",
"LastExecuted": "7/31/2020 9:08:11 AM",
"Name": "Likely Packed.sql",
"Priority": "0",
"Query": "\r\n\r\nSELECT DISTINCT\r\n\t[mp].[FK_Machines] AS [FK_Machines],\r\n\t[mp].[PK_MachineModulePaths] AS [FK_MachineModulePaths] \r\nFROM\r\n\t[dbo].[MachineModulePaths] AS [mp] WITH(NOLOCK)\r\n\tINNER JOIN [dbo].[MachinesToEvaluate] AS [me] WITH(NOLOCK) ON ([me].[RK_Machines] = [mp].[FK_Machines])\r\n\tINNER JOIN [dbo].[Modules] AS [mo] WITH(NOLOCK) ON ([mo].[PK_Modules] = [mp].[FK_Modules])\r\nWHERE \r\n\t[mo].[ModulePacked] = 0 AND\r\n\t(\r\n\t\t[mo].[ModuleCodeSectionWritable] = 1 OR\r\n\t\t[mo].[ModuleDuplicateSectionName] = 1 OR\r\n\t\t[mo].[ModuleEmptySectionName] = 1\r\n\t) AND\r\n\t[mo].[Entropy] >= 6.8 AND\r\n\t[mp].[MarkedAsDeleted] = 0\r\n\r\n",
"MachineCount": "1",
"ModuleCount": "2"
}
]
}
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se for bem-sucedido e, pelo menos, uma das entidades fornecidas tiver sido enriquecida (is_success = true): Imprima "Successfully enriched the following endpoints from RSA NetWitness EDR: \n {0}".format(entity.identifier list) Se não for possível enriquecer entidades específicas(is_success = true): Imprimir "Não foi possível enriquecer os seguintes endpoints a partir do RSA NetWitness EDR \n: {0}".format([entity.identifier]) If fail to enrich for all entities (is_success = false): Imprimir: "Nenhuma entidade foi enriquecida." A ação deve falhar e parar a execução de um guia interativo: Se ocorrer um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: Imprimir "Erro ao executar a ação "Enrich Endpoint". Motivo: {0}''.format(error.Stacktrace) |
Geral |
| Tabela de parede da caixa | Se "Include IOCs Information" == True Nome da tabela: "{0} - IOCs".format(entity.identifier) Coluna da tabela:
|
Geral |
Obtenha detalhes do IOC
Descrição
Enriqueça as entidades do Google SecOps com informações sobre IOCs do RSA NetWitness EDR.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É Mandatório | Descrição |
|---|---|---|---|---|
| Limite do nível de IOC | LDD | Médio Valores possíveis: Crítico Alto Médio Baixo |
Sim | Especifique o limite do nível de IOC para a entidade. Se a entidade exceder o limite, a entidade relacionada é marcada como suspeita. |
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| RSA_EDR_Active | Devolve se existir no resultado JSON |
| RSA_EDR_Alertable | Devolve se existir no resultado JSON |
| RSA_EDR_BlacklistedCount | Devolve se existir no resultado JSON |
| RSA_EDR_GraylistedCount | Devolve se existir no resultado JSON |
| RSA_EDR_Description | Devolve se existir no resultado JSON |
| RSA_EDR_ErrorMessage | Devolve se existir no resultado JSON |
| RSA_EDR_EvaluationMachineCount | Devolve se existir no resultado JSON |
| RSA_EDR_Type | Devolve se existir no resultado JSON |
| RSA_EDR_IOCLevel | Devolve se existir no resultado JSON |
| RSA_EDR_LastEvaluationDuration | Devolve se existir no resultado JSON |
| RSA_EDR_LastExecuted | Devolve se existir no resultado JSON |
| RSA_EDR_MachineCount | Devolve se existir no resultado JSON |
| RSA_EDR_ModuleCount | Devolve se existir no resultado JSON |
| RSA_EDR_Name | Devolve se existir no resultado JSON |
| RSA_EDR_Persistent | Devolve se existir no resultado JSON |
| RSA_EDR_Priority | Devolve se existir no resultado JSON |
| RSA_EDR_UserDefined | Devolve se existir no resultado JSON |
| RSA_EDR_WhitelistedCount | Devolve se existir no resultado JSON |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"iocQuery": {
"Active": "True",
"Alertable": "False",
"BlacklistedCount": "0",
"GraylistedCount": "0",
"Description": "Autorun unsigned BHO",
"ErrorMessage": "",
"EvaluationMachineCount": "1",
"Type": "Windows",
"IOCLevel": "2",
"LastEvaluationDuration": "0",
"LastExecutionDuration": "0",
"LastExecuted": "7/31/2020 9:08:12 AM",
"MachineCount": "0",
"ModuleCount": "0",
"Name": "Autorun_Unsigned_BHO.sql",
"Persistent": "True",
"Priority": "5",
"Query": "\r\n\r\nSELECT DISTINCT\r\n\t[mp].[FK_Machines] AS [FK_Machines],\r\n\t[mp].[PK_MachineModulePaths] AS [FK_MachineModulePaths] \r\nFROM\r\n\t[dbo].[mocAutoruns] AS [ar] WITH(NOLOCK)\r\n\tINNER JOIN [dbo].[MachinesToEvaluate] AS [me] WITH(NOLOCK) ON ([me].[RK_Machines] = [ar].[FK_Machines])\r\n\tINNER JOIN [dbo].[Paths] AS [pa] WITH(NOLOCK) ON ([pa].[PK_Paths] = [ar].[FK_Paths__RegistryPath])\r\n\tINNER JOIN [dbo].[MachineModulePaths] AS [mp] WITH(NOLOCK) ON ([mp].[PK_MachineModulePaths] = [ar].[FK_MachineModulePaths] AND [mp].[FK_Machines] = [ar].[FK_Machines])\r\n\tINNER JOIN [dbo].[Modules] AS [mo] WITH(NOLOCK) ON ([mo].[PK_Modules] = [mp].[FK_Modules])\r\nWHERE \r\n\t[ar].[Type] = 5 AND\r\n\t[pa].[Path] LIKE N'%\\SOFTWARE%Microsoft\\Windows\\CurrentVersion\\Explorer\\Browser Helper Objects\\%' AND\r\n\t[mo].[ModuleSignaturePresent] = 0 AND\r\n\t[ar].[MarkedAsDeleted] = 0\r\n\r\n",
"UserDefined": "False",
"WhitelistedCount": "0"
}
}
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um manual de soluções: Se não for possível enriquecer entidades específicas(is_success = true): Se a ação de enriquecimento falhar para todas as entidades (is_success = false): A ação deve falhar e parar a execução de um guia interativo: Se erro fatal, como credenciais incorretas, sem ligação ao servidor, outro: Imprimir "Erro ao executar a ação "Enrich Entities". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Adicione um IP à lista negra
Descrição
Adicione o IP à lista negra no RSA NetWitness EDR.
Parâmetros
N/A
Executar em
Esta ação é executada na entidade de endereço IP.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"Ips": [
"10.0.0.2"
],
"ResponseStatus": {
"ErrorCode": "200",
"Message": "Some of the IPs could not be processed. The HTTP response body contains all successfully processed IPs"
}
}
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um playbook: Se não for possível enriquecer entidades específicas(is_success = true): Se a ação falhar para todas as entidades (is_success = false): A ação deve falhar e parar a execução de um guia interativo: Se erro fatal, como credenciais incorretas, sem ligação ao servidor, outro: Imprimir "Error executing action "Add IP To Blacklist". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Adicione o URL à lista negra
Descrição
Adicione o URL à lista negra no RSA NetWitness EDR.
Executar em
Esta ação é executada na entidade URL.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"Domains": [
"фів"
]
}
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um manual de soluções: Se não for possível enriquecer entidades específicas(is_success = true): Se a ação falhar ao enriquecer todas as entidades (is_success = false): A ação deve falhar e parar a execução de um guia interativo: Se erro fatal, como credenciais incorretas, sem ligação ao servidor, outro: Imprimir "Error executing action "Add URL To Blacklist". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.