Tanium - 실행 중인 프로세스 워크플로우 가져오기
이 워크플로우는 감사 추적을 생성하고 Tanium: Get-Processes 질문 활동은 CI의 IPV4 주소를 입력으로 받아 Tanium 서버에서 쿼리를 실행합니다. 출력은 영향을 받는 CI에서 실행 중인 모든 프로세스의 목록입니다.
보안 인시던트의 구성 항목 필드가 수정되면 이 워크플로우가 시작됩니다.
워크플로우 작동 방식
문자열 질문 ID(일반적으로 AddObject 명령의 결과)가 주어지면 Tanium: 완료 여부 확인 활동은 Tanium 서버에 쿼리하여 데이터 수집이 완료되었는지 확인합니다. 이 활동은 sn_sec_tanium 사용합니다 . TaniumEndpointUtil 스크립트는 GetResultInfo Tanium 서버 SOAP 메시지를 포함하고 의존합니다.
Tanium: Check if Done 활동이 true를 리턴하면 Tanium: 응답에서 결과 데이터 가져오기 활동은 Get-Processes 질문에 대한 응답으로 Tanium 서버에서 리턴된 모든 데이터를 수집합니다. 출력은 객체 배열로 구성되며, 각 객체에는 서버에서 반환된 열과 값으로 구성된 키-값 쌍이 포함됩니다. 서버에서 데이터를 받지 못하면 출력은 빈 배열입니다.
이 통합과 관련된 활동은 여기에 설명되어 있습니다. 다른 활동에 대한 자세한 내용은 다음 문서를 참조하십시오 공통 통합 워크플로우 활동.
CI 활동에서 IP 가져오기
이 워크플로우 활동은 CI(구성 항목)와 연결된 IPV4 주소를 결정합니다.
CI에서 IP 가져오기 활동은 CI의 IPv4 주소를 검색하는 모든 워크플로우와 함께 사용할 수 있습니다.
입력 변수
입력 변수는 활동의 초기 동작을 결정합니다.
| 변수 | 설명 |
|---|---|
| ci_sys_id [문자열] | 구성 항목 시스템 식별자 |
출력 변수
출력 변수에는 후속 활동에 사용할 수 있는 데이터가 포함되어 있습니다.
| 변수 | 설명 |
|---|---|
| ip_addr [문자열] | IPv4 주소입니다. IP 주소를 확인할 수 없는 경우 이 값은 비어 있습니다. |
종료 조건
이 활동의 가능한 결과는 다음과 같습니다.
| 조건 | 설명 |
|---|---|
| 성공 | IPv4 주소가 반환되었습니다. |
| 실패 | IPv4 주소를 확인할 수 없습니다. |
Tanium: Get-Processes 요청 활동 빌드
이 워크플로우 활동은 보안 인시던트에 추가된 CI의 IPV4 주소를 사용하고 해당 CI에 대해 실행 중인 모든 프로세스에 대해 Tanium 서버에 요청을 빌드합니다. 출력은 페이로드가 암호화된 요청을 실행하는 데 필요한 세부 정보입니다.
입력 변수
입력 변수는 활동의 초기 동작을 결정합니다.
| 변수 | 설명 |
|---|---|
| ci_ip_address [문자열] | 보안 인시던트에 추가된 CI의 IPV4 주소입니다. 이 입력 필드는 필수입니다. |
출력 변수
출력 변수에는 후속 활동에 사용할 수 있는 데이터가 포함되어 있습니다.
| 변수 | 설명 |
|---|---|
| 엔드포인트 [string] | 데이터베이스에서 암호화된 엔드포인트입니다. |
| request_body [암호화됨] | SOAP 요청 본문입니다. |
| http_timeout [정수] | HTTP 제한 시간 값(초)입니다. |
| use_mid [부울] | MID Server를 사용할지 여부를 나타내는 부울 플래그입니다. |
Tanium: 완료 여부 확인 요청 활동 빌드
이 워크플로우 활동은 질문에 대한 데이터 수집이 완료되었는지 확인하기 위해 서버의 요청을 Tanium 빌드합니다. 암호화된 요청과 요청을 실행하는 데 필요한 기타 구성 요소를 반환합니다.
입력 변수
입력 변수는 활동의 초기 동작을 결정합니다.
| 변수 | 설명 |
|---|---|
| question_id [정수] | 서버에서 반환된 질문 ID입니다 Tanium . |
출력 변수
출력 변수에는 후속 활동에 사용할 수 있는 데이터가 포함되어 있습니다.
| 변수 | 설명 |
|---|---|
| 엔드포인트 [string] | 데이터베이스에서 암호화된 엔드포인트입니다. |
| request_body [암호화됨] | SOAP 요청 본문입니다. |
| http_timeout [정수] | HTTP 제한 시간 값(초)입니다. |
| use_mid [부울] | MID Server를 사용할지 여부를 나타내는 부울 플래그입니다. |
Tanium: 결과 데이터 요청 활동 빌드
이 워크플로우는 질문에 대한 답변으로 Tanium에서 반환된 모든 데이터를 수집하는 요청을 빌드합니다. 질문 ID를 입력으로 사용하고 암호화된 SOAP 봉투 페이로드를 포함하여 요청을 실행하기 위한 출력을 제공합니다.
입력 변수
입력 변수는 활동의 초기 동작을 결정합니다.
| 변수 | 설명 |
|---|---|
| question_id [문자열] | Tanium에 제기된 질문의 질문 ID입니다. |
출력 변수
출력 변수에는 후속 활동에 사용할 수 있는 데이터가 포함되어 있습니다.
| 변수 | 설명 |
|---|---|
| 엔드포인트 [string] | 데이터베이스에서 암호화된 엔드포인트입니다. |
| request_body [암호화됨] | SOAP 요청 본문입니다. |
| http_timeout [정수] | HTTP 제한 시간 값(초)입니다. |
| use_mid [부울] | MID Server를 사용할지 여부를 나타내는 부울 플래그입니다. |
Tanium: 응답 활동에서 수행되었는지 확인
이 워크플로우 활동은 응답 본문을 기반으로 요청이 완료되었는지 여부를 결정합니다.
입력 변수
입력 변수는 활동의 초기 동작을 결정합니다.
| 변수 | 설명 |
|---|---|
| response_body [문자열] | Tanium에서 반환된 SOAP 요청 본문입니다. |
출력 변수
출력 변수에는 후속 활동에 사용할 수 있는 데이터가 포함되어 있습니다.
| 변수 | 설명 |
|---|---|
| done [부울] | 요청 처리가 완료되면 true를 반환합니다. |
Tanium: 요청 실행 활동
이 워크플로우 활동은 HTTP 요청을 실행합니다. 입력은 엔드포인트와 예상되는 요청 본문을 정의합니다. 요청 본문 자체는 암호화된 SOAP 봉투입니다.
입력 변수
입력 변수는 활동의 초기 동작을 결정합니다.
| 변수 | 설명 |
|---|---|
| request_body [암호화됨] | SOAP 요청 본문입니다. 이 입력 필드는 필수입니다. |
| use_mid [부울] | MID Server를 사용할지 여부를 나타내는 부울 플래그입니다. |
| 엔드포인트 [string] | 데이터베이스에서 암호화된 엔드포인트입니다. 이 입력 필드는 필수입니다. |
| http_timeout [정수] | HTTP 제한 시간 값(초)입니다. |
출력 변수
출력 변수에는 후속 활동에 사용할 수 있는 데이터가 포함되어 있습니다.
| 변수 | 설명 |
|---|---|
| status_code [정수] | 표준 HTTP 상태 코드. |
| header [문자열] | SOAP 헤더입니다. |
| body [문자열] | SOAP 본문입니다. |
| error [문자열] | 서버에서 제공한 오류입니다. |
Tanium: 응답 활동에서 질문 ID 가져오기
이 워크플로우 활동은 응답 본문을 처리하여 질문 ID를 가져옵니다.
입력 변수
입력 변수는 활동의 초기 동작을 결정합니다.
| 변수 | 설명 |
|---|---|
| response_body [문자열] | SOAP 응답 본문입니다. |
출력 변수
출력 변수에는 후속 활동에 사용할 수 있는 데이터가 포함되어 있습니다.
| 변수 | 설명 |
|---|---|
| question_id [정수] | Tanium 서버에서 반환된 질문 ID입니다. |
Tanium: 응답 활동에서 결과 데이터 가져오기
Tanium: 응답에서 결과 데이터 가져오기 워크플로우 활동은 결과 데이터에서 응답 본문을 처리하고 Tanium의 결과를 나타내는 JSON 객체의 배열을 출력합니다.
다음 Tanium: 응답 활동에서 결과 데이터 가져오기는 워크플로우에서 사용할 결과 데이터를 검색하기 위해 모든 워크플로우와 함께 사용할 수 있습니다.
결과
이 활동의 가능한 결과는 다음과 같습니다.
| 결과 | 설명 |
|---|---|
| 성공 | 검색된 결과 데이터입니다. |
| 실패 | 검색된 데이터가 없습니다. 자세한 오류 정보는 활동 출력 오류에서 확인할 수 있습니다. |
입력 변수
입력 변수는 활동의 초기 동작을 결정합니다.
| 변수 | 설명 |
|---|---|
| response_body | 암호화된 SOAP 응답 내용 |
| implementation_id | 구현 식별자입니다. |
| affected_ci | 영향을 받는 구성 항목입니다. |
출력 변수
출력 변수에는 후속 활동에 사용할 수 있는 데이터가 포함되어 있습니다.
| 변수 | 설명 |
|---|---|
| result_data | API 변수의 배열 요소 유형입니다. 각 배열에는 서버에서 반환된 값과 열로 구성된 키-값 쌍이 포함되어 있습니다. 서버에서 데이터를 받지 못하면 출력은 빈 배열입니다. |
| output | 추상 워크플로우에서 사용하는 실행 중인 프로세스의 형식화된 반환 데이터입니다. |