Tanium : workflow d’obtention des processus en cours d’exécution
Ce workflow crée une piste d’audit, et l’activité Tanium : question Get-Processes prend l’adresse IPV4 du CI comme entrée et exécute une requête sur le serveur Tanium. La sortie est une liste de tous les processus en cours d’exécution sur le CI affecté.
Lorsque le champ Élément de configuration d’un incident de sécurité est modifié, ce workflow est lancé.
Fonctionnement du workflow
À partir d’un ID de question de chaîne (normalement le résultat d’une commande AddObject), l’activité Tanium : Check if Done interroge le serveur Tanium pour vérifier si la collecte de données est terminée. Cette activité utilise le sn_sec_tanium. Script include TaniumEndpointUtil qui s’appuie sur le message SOAP du serveur Tanium GetResultInfo .
Lorsque l’activité Tanium : Vérifier si terminé renvoie la valeur true, l’activité Tanium : obtenir les données de résultat à partir de la réponse collecte toutes les données renvoyées par le serveur Tanium en réponse à la question Get-Processes. La sortie se compose d’un tableau d’objets, chacun contenant des paires clé-valeur composées de la colonne et des valeurs renvoyées par le serveur. Si aucune donnée n’est reçue du serveur, la sortie est un tableau vide.
Les activités spécifiques à cette intégration sont décrites ici. Pour plus d’informations sur d’autres activités, voir Activités courantes du workflow d’intégration.
Obtenir l’adresse IP à partir de l’activité du CI
Cette activité de workflow détermine l’adresse IPV4 associée à un élément de configuration (CI).
L’activité Obtenir l’adresse IP à partir du CI peut être utilisée avec n’importe quel workflow pour récupérer l’adresse IPv4 d’un CI.
Variables d'entrée
Les variables d'entrée déterminent le comportement initial de l'activité.
| Variable | Description |
|---|---|
| ci_sys_id [chaîne] | Identificateur système de l’élément de configuration |
Variables de sortie
Les variables de sortie contiennent des données qui peuvent être utilisées dans les activités suivantes.
| Variable | Description |
|---|---|
| ip_addr [chaîne] | Adresse IPv4. Si l’adresse IP ne peut pas être déterminée, cette valeur est vide. |
Conditions de sortie
Les résultats possibles pour cette activité sont les suivants :
| Condition | Description |
|---|---|
| Succès | Une adresse IPv4 a été renvoyée. |
| Échec | Une adresse IPv4 n’a pas pu être déterminée. |
Tanium : créer une activité de demande Get-Processes
Cette activité de workflow utilise l’adresse IPV4 d’un CI ajouté à un incident de sécurité et génère une demande au serveur Tanium pour tous les processus en cours d’exécution pour ce CI. La sortie contient les détails nécessaires à l’exécution de la requête, avec la charge utile chiffrée.
Variables d'entrée
Les variables d'entrée déterminent le comportement initial de l'activité.
| Variable | Description |
|---|---|
| ci_ip_address [chaîne] | Adresse IPV4 du CI qui a été ajouté à un incident de sécurité. Ce champ d’entrée est obligatoire. |
Variables de sortie
Les variables de sortie contiennent des données qui peuvent être utilisées dans les activités suivantes.
| Variable | Description |
|---|---|
| Point de terminaison [chaîne] | Point de terminaison chiffré issu de la base de données. |
| request_body [Chiffré] | Le corps de la demande SOAP. |
| http_timeout [entier] | Valeur du délai d’expiration HTTP, en secondes. |
| use_mid [booléen] | Marqueur booléen indiquant s’il faut utiliser le MID Server. |
Tanium: activité de demande de vérification de version si terminé
Cette activité de workflow génère une demande du serveur pour vérifier si la Tanium collecte des données de la question est terminée. Elle renvoie la demande chiffrée et les autres composants nécessaires à l’exécution de la demande.
Variables d'entrée
Les variables d'entrée déterminent le comportement initial de l'activité.
| Variable | Description |
|---|---|
| question_id [entier] | ID de question renvoyé par le Tanium serveur. |
Variables de sortie
Les variables de sortie contiennent des données qui peuvent être utilisées dans les activités suivantes.
| Variable | Description |
|---|---|
| Point de terminaison [chaîne] | Point de terminaison chiffré issu de la base de données. |
| request_body [Chiffré] | Le corps de la demande SOAP. |
| http_timeout [entier] | Valeur du délai d’expiration HTTP, en secondes. |
| use_mid [booléen] | Marqueur booléen indiquant s’il faut utiliser le MID Server. |
Tanium : créer une activité de demande d’obtention de données de résultat
Ce workflow génère une demande pour collecter toutes les données renvoyées par Tanium en réponse à une question. Il utilise un ID de question comme entrée et fournit la sortie pour exécuter la demande, y compris une charge utile d’enveloppe SOAP chiffrée.
Variables d'entrée
Les variables d'entrée déterminent le comportement initial de l'activité.
| Variable | Description |
|---|---|
| question_id [chaîne] | ID de la question posée à Tanium. |
Variables de sortie
Les variables de sortie contiennent des données qui peuvent être utilisées dans les activités suivantes.
| Variable | Description |
|---|---|
| Point de terminaison [chaîne] | Point de terminaison chiffré issu de la base de données. |
| request_body [Chiffré] | Le corps de la demande SOAP. |
| http_timeout [entier] | Valeur du délai d’expiration HTTP, en secondes. |
| use_mid [booléen] | Marqueur booléen indiquant s’il faut utiliser le MID Server. |
Tanium : déterminer si effectué à partir de l’activité de réponse
Cette activité de workflow détermine si une demande est terminée en fonction du corps de la réponse.
Variables d'entrée
Les variables d'entrée déterminent le comportement initial de l'activité.
| Variable | Description |
|---|---|
| response_body [chaîne] | Le corps de la demande SOAP renvoyé par Tanium. |
Variables de sortie
Les variables de sortie contiennent des données qui peuvent être utilisées dans les activités suivantes.
| Variable | Description |
|---|---|
| done [booléen] | Renvoie la valeur true si le traitement de la demande est terminé. |
Tanium : Exécuter l’activité de demande
Cette activité de workflow exécute une demande HTTP. Les entrées définissent le point de terminaison et le corps de la demande attendu. Le corps de la demande proprement dit est l’enveloppe SOAP chiffrée.
Variables d'entrée
Les variables d'entrée déterminent le comportement initial de l'activité.
| Variable | Description |
|---|---|
| request_body [Chiffré] | Le corps de la demande SOAP. Ce champ d’entrée est obligatoire. |
| use_mid [booléen] | Marqueur booléen indiquant s’il faut utiliser le MID Server. |
| Point de terminaison [chaîne] | Point de terminaison chiffré issu de la base de données. Ce champ d’entrée est obligatoire. |
| http_timeout [entier] | Valeur du délai d’expiration HTTP, en secondes. |
Variables de sortie
Les variables de sortie contiennent des données qui peuvent être utilisées dans les activités suivantes.
| Variable | Description |
|---|---|
| status_code [entier] | Codes d’état HTTP standard. |
| en-tête [chaîne] | L’en-tête SOAP. |
| corps [chaîne] | Le corps SOAP. |
| Erreur [chaîne] | Toutes les erreurs fournies par le serveur. |
Tanium : obtenir l’ID de question à partir de l’activité Réponse
Cette activité de workflow traite le corps de la réponse pour obtenir l’ID de question.
Variables d'entrée
Les variables d'entrée déterminent le comportement initial de l'activité.
| Variable | Description |
|---|---|
| response_body [chaîne] | Le corps de la réponse SOAP. |
Variables de sortie
Les variables de sortie contiennent des données qui peuvent être utilisées dans les activités suivantes.
| Variable | Description |
|---|---|
| question_id [entier] | L’ID de question renvoyé par le serveur Tanium. |
Tanium : obtenir les données de résultat à partir de l’activité de réponse
L’activité de workflow Tanium : obtenir les données de résultat à partir de la réponse traite le corps de la réponse à partir des données de résultat et génère un tableau d’objets JSON représentant les résultats de Tanium.
L’activité Tanium : obtenir les données de résultat à partir de la réponse peut être utilisée avec n’importe quel workflow pour récupérer les données de résultat à utiliser dans le workflow.
Résultats
Les résultats possibles pour cette activité sont les suivants :
| Résultat | Description |
|---|---|
| Succès | Données de résultat récupérées. |
| Échec | Aucune donnée récupérée. D’autres informations sur l’erreur sont disponibles dans l’erreur de sortie d’activité. |
Variables d'entrée
Les variables d'entrée déterminent le comportement initial de l'activité.
| Variable | Description |
|---|---|
| response_body | Contenus des réponses SOAP chiffrées |
| implementation_id | Identificateur d’implémentation. |
| affected_ci | Élément de configuration affecté. |
Variables de sortie
Les variables de sortie contiennent des données qui peuvent être utilisées dans les activités suivantes.
| Variable | Description |
|---|---|
| result_data | Type d’élément de tableau des variables d’API. Chaque tableau contient des paires clé-valeur composées de la colonne et des valeurs renvoyées par le serveur. Si aucune donnée n’est reçue du serveur, la sortie est un tableau vide. |
| sortie | Données de retour formatées sur les processus en cours utilisés par le workflow abstrait. |