Tanium – Workflow „Laufende Prozesse abrufen“.

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 5 Minuten Lesedauer

    • Dieser Workflow erstellt einen Audit-Pfad, und die Aktivität Tanium: Get-Processes Question verwendet die IPv4-Adresse des CI als Eingabe und führt eine Abfrage auf dem Tanium-Server aus. Die Ausgabe ist eine Liste aller laufenden Prozesse auf dem betroffenen CI.

    Abbildung : 1. Sicherheitsvorgänge Tanium-Integration – Laufende Prozesse abrufen Workflow

    Wenn das Feld Configuration Item in einem Security Incident geändert wird, wird dieser Workflow gestartet.

    Workflow „Laufende Prozesse abrufen“.

    Funktionsweise des Workflows

    Bei Angabe einer Zeichenfolgen-Frage-ID (normalerweise das Ergebnis eines AddObject-Befehls) fragt die Aktivität „ Tanium: Überprüfen, ob abgeschlossen“ den Tanium-Server ab, um zu überprüfen, ob die Datenerfassung abgeschlossen ist. Diese Aktivität verwendet die Skripteinbindung sn_sec_tanium.TaniumEndpointUtil und basiert auf der SOAP-Nachricht GetResultInfo Tanium-Server.

    Wenn die Aktivität „Tanium: Überprüfen, ob abgeschlossen“ „ true“ zurückgibt, erfasst die Aktivität „Tanium: Ergebnisdaten aus Antwort abrufen“ alle Daten, die vom Tanium-Server als Antwort auf die Frage „Get-Processes“ zurückgegeben werden. Die Ausgabe besteht aus einem Array von Objekten, die jeweils Schlüssel-Wert-Paare enthalten, die aus der Spalte und den vom Server zurückgegebenen Werten bestehen. Wenn keine Daten vom Server empfangen werden, ist die Ausgabe ein leeres Array.

    Spezifische Aktivitäten für diese Integration werden hier beschrieben. Weitere Informationen zu anderen Aktivitäten finden Sie unter Allgemeine Integrations-Workflow-Aktivitäten.

    IP aus CI-Aktivität abrufen

    Diese Workflow-Aktivität bestimmt die IPv4-Adresse, die einem Konfigurationselement (CI) zugeordnet ist.

    Die Aktivität IP aus CI abrufen kann mit jedem Workflow verwendet werden, um die IPv4-Adresse eines CI abzurufen.

    Eingabevariablen

    Eingabevariablen bestimmen das anfängliche Verhalten der Aktivität.

    Tabelle : 1. Eingabevariablen
    Variable Beschreibung
    ci_sys_id [Zeichenfolge] Systembezeichner des Konfigurationselements

    Ausgabevariablen

    Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktivitäten verwendet werden können.

    Tabelle : 2. Ausgabevariablen
    Variable Beschreibung
    ip_addr [Zeichenfolge] IPv4-Adresse Wenn die IP-Adresse nicht bestimmt werden kann, ist dieser Wert leer.

    Austrittsbedingungen

    Mögliche Ergebnisse für diese Aktivität sind:

    Tabelle : 3. Bedingungen
    Bedingung Beschreibung
    Erfolg Eine IPv4-Adresse wurde zurückgegeben.
    Fehler Es konnte keine IPv4-Adresse ermittelt werden.

    Tanium: Anforderungsaktivität „Get-Processes“ erstellen

    Diese Workflow-Aktivität verwendet die IPv4-Adresse eines CI, das einem Security Incident hinzugefügt wurde, und erstellt eine Anforderung an den Tanium-Server für alle laufenden Prozesse für dieses CI. Die Ausgabe sind die Details, die für die Ausführung der Anforderung erforderlich sind, wobei die Nutzlast verschlüsselt ist.

    Eingabevariablen

    Eingabevariablen bestimmen das anfängliche Verhalten der Aktivität.

    Tabelle : 4. Eingabevariablen
    Variable Beschreibung
    ci_ip_address [Zeichenfolge] Die IPv4-Adresse des CI, das einem Security Incident hinzugefügt wurde Dieses Eingabefeld ist ein Pflichtfeld.

    Ausgabevariablen

    Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktivitäten verwendet werden können.

    Tabelle : 5. Ausgabevariablen
    Variable Beschreibung
    Endpunkt [Zeichenfolge] Der verschlüsselte Endpunkt aus der Datenbank.
    request_body [Verschlüsselt] Der SOAP-Anforderungstext.
    http_timeout [Ganzzahl] Der HTTP-Zeitüberschreitungswert in Sekunden.
    use_mid [Boolean] Eine boolesche Kennzeichnung, die angibt, ob der MID Server verwendet werden soll.

    Tanium: Aktivität „Überprüfen, ob fertig“ erstellt

    Diese Workflow-Aktivität erstellt eine Anforderung des Tanium -Servers, um zu überprüfen, ob die Datenerfassung für die Frage abgeschlossen ist. Sie gibt die verschlüsselte Anforderung und andere Komponenten zurück, die zum Ausführen der Anforderung erforderlich sind.

    Eingabevariablen

    Eingabevariablen bestimmen das anfängliche Verhalten der Aktivität.

    Tabelle : 6. Eingabevariablen
    Variable Beschreibung
    question_id [Ganzzahl] Die vom Server Tanium zurückgegebene Frage-ID.

    Ausgabevariablen

    Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktivitäten verwendet werden können.

    Tabelle : 7. Ausgabevariablen
    Variable Beschreibung
    Endpunkt [Zeichenfolge] Der verschlüsselte Endpunkt aus der Datenbank.
    request_body [Verschlüsselt] Der SOAP-Anforderungstext.
    http_timeout [Ganzzahl] Der HTTP-Zeitüberschreitungswert in Sekunden.
    use_mid [Boolean] Eine boolesche Kennzeichnung, die angibt, ob der MID Server verwendet werden soll.

    Tanium: Aktivität „Ergebnisdatenanforderung abrufen“ erstellen

    Dieser Workflow erstellt eine Anforderung zum Sammeln aller Daten, die von Tanium als Antwort auf eine Frage zurückgegeben werden. Er verwendet eine Frage-ID als Eingabe und stellt die Ausgabe zur Ausführung der Anforderung bereit, einschließlich einer verschlüsselten SOAP-Umschlagnutzlast.

    Eingabevariablen

    Eingabevariablen bestimmen das anfängliche Verhalten der Aktivität.

    Tabelle : 8. Eingabevariablen
    Variable Beschreibung
    question_id [Zeichenfolge] Frage-ID der an Tanium gestellten Frage

    Ausgabevariablen

    Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktivitäten verwendet werden können.

    Tabelle : 9. Ausgabevariablen
    Variable Beschreibung
    Endpunkt [Zeichenfolge] Der verschlüsselte Endpunkt aus der Datenbank.
    request_body [Verschlüsselt] Der SOAP-Anforderungstext.
    http_timeout [Ganzzahl] Der HTTP-Zeitüberschreitungswert in Sekunden.
    use_mid [Boolean] Eine boolesche Kennzeichnung, die angibt, ob der MID Server verwendet werden soll.

    Tanium: Bestimmen Sie, ob dies über die Antwortaktivität erfolgt

    Diese Workflow-Aktivität bestimmt basierend auf dem Antworttext, ob eine Anforderung abgeschlossen wurde.

    Eingabevariablen

    Eingabevariablen bestimmen das anfängliche Verhalten der Aktivität.

    Tabelle : 10. Eingabevariablen
    Variable Beschreibung
    response_body [Zeichenfolge] Der von Tanium zurückgegebene SOAP-Anforderungstext.

    Ausgabevariablen

    Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktivitäten verwendet werden können.

    Tabelle : 11. Ausgabevariablen
    Variable Beschreibung
    fertig [Boolean] Gibt „true“ zurück, wenn die Anforderungsverarbeitung abgeschlossen ist.

    Tanium: Anforderungsaktivität ausführen

    Diese Workflow-Aktivität führt eine HTTP-Anforderung aus. Die Eingaben definieren den Endpunkt und den erwarteten Anforderungstext. Der Anforderungstext selbst ist der verschlüsselte SOAP-Umschlag.

    Eingabevariablen

    Eingabevariablen bestimmen das anfängliche Verhalten der Aktivität.

    Tabelle : 12. Eingabevariablen
    Variable Beschreibung
    request_body [Verschlüsselt] Der SOAP-Anforderungstext. Dieses Eingabefeld ist ein Pflichtfeld.
    use_mid [Boolesch] Eine boolesche Kennzeichnung, die angibt, ob der MID Server verwendet werden soll.
    Endpunkt [Zeichenfolge] Der verschlüsselte Endpunkt aus der Datenbank. Dieses Eingabefeld ist ein Pflichtfeld.
    http_timeout [Ganzzahl] Der HTTP-Zeitüberschreitungswert in Sekunden.

    Ausgabevariablen

    Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktivitäten verwendet werden können.

    Tabelle : 13. Ausgabevariablen
    Variable Beschreibung
    status_code [Ganzzahl] Standard-HTTP-Statuscodes.
    Header [Zeichenfolge] Die SOAP-Kopfzeile.
    Textkörper [Zeichenfolge] Der SOAP-Text.
    Fehler [Zeichenfolge] Alle vom Server bereitgestellten Fehler.

    Tanium: Frage-ID aus Antwortaktivität abrufen

    Diese Workflow-Aktivität verarbeitet den Antworttext, um die Frage-ID zu erhalten.

    Eingabevariablen

    Eingabevariablen bestimmen das anfängliche Verhalten der Aktivität.

    Tabelle : 14. Eingabevariablen
    Variable Beschreibung
    response_body [Zeichenfolge] Der SOAP-Antworttext.

    Ausgabevariablen

    Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktivitäten verwendet werden können.

    Tabelle : 15. Ausgabevariablen
    Variable Beschreibung
    question_id [Ganzzahl] Die vom Tanium-Server zurückgegebene Frage-ID.

    Tanium: Ergebnisdaten aus Antwortaktivität abrufen

    Die Workflow-Aktivität „Tanium: Ergebnisdaten aus Antwort abrufen“ verarbeitet den Antworttext aus den Ergebnisdaten und gibt ein Array von JSON-Objekten aus, die die Ergebnisse von Tanium darstellen.

    Die Aktivität „Tanium: Ergebnisdaten aus Antwort abrufen“ kann mit jedem Workflow verwendet werden, um Ergebnisdaten abzurufen, die im Workflow verwendet werden sollen.

    Ergebnisse

    Mögliche Ergebnisse für diese Aktivität sind:

    Tabelle : 16. Ergebnisse
    Ergebnis Beschreibung
    Erfolg Ergebnisdaten abgerufen.
    Fehler Keine Daten abgerufen. Weitere Fehlerinformationen sind im Aktivitätsausgabefehler verfügbar.

    Eingabevariablen

    Eingabevariablen bestimmen das anfängliche Verhalten der Aktivität.

    Variable Beschreibung
    response_body Verschlüsselte SOAP-Antwortinhalte
    „implementierung_id“. Implementierungsbezeichner.
    impacted_ci Betroffenes Konfigurationselement.

    Ausgabevariablen

    Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktivitäten verwendet werden können.

    Tabelle : 17. Ausgabevariablen
    Variable Beschreibung
    result_data Array-Elementtyp von API-Variablen. Jedes Array enthält Schlüssel-Wert-Paare, die aus der Spalte und den vom Server zurückgegebenen Werten bestehen. Wenn keine Daten vom Server empfangen werden, ist die Ausgabe ein leeres Array.
    Ausgabe Formatierte Rückgabedaten zu laufenden Prozessen, die vom abstrakten Workflow verwendet werden.