Tanium - 実行中のプロセスを取得ワークフロー

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む7読むのに数分

    • このワークフローでは、監査記録を作成し、Tanium:Get-Processes の質問アクティビティにより CI の IPV4 アドレスを入力として取得し、Tanium サーバーでクエリを実行します。出力は、影響を受ける CI 上のすべての実行中のプロセスのリストです。

    図 : 1. [Security Operations Tanium Integration - 実行中のプロセスを取得] ワークフロー

    セキュリティインシデントの [構成アイテム] フィールドが変更されると、このワークフローが開始されます。

    実行中のプロセスを取得ワークフロー

    ワークフローの仕組み

    文字列の質問 ID (通常は AddObject コマンドの結果) が指定されている場合、Tanium:完了の確認アクティビティにより、データ収集が完了したかどうかを Tanium サーバーに確認します。このアクティビティは、sn_sec_tanium.TaniumEndpointUtil スクリプトインクルードを使用し、GetResultInfo Tanium サーバーの SOAP メッセージに依存しています。

    Tanium:完了の確認アクティビティが true を返す場合、Tanium:応答から結果データを取得アクティビティにより、Get-Processes の質問に対する回答として Tanium サーバーから返されたすべてのデータを収集します。出力はオブジェクトのアレイで構成され、それぞれにサーバーから返された列と値で構成されるキー値のペアが含まれます。サーバーからデータを受信しない場合、出力は空のアレイになります。

    この統合に固有のアクティビティについては、ここで説明します。他のアクティビティの詳細については、「一般的な統合ワークフローアクティビティ」を参照してください。

    [CI から IP を取得] アクティビティ

    このワークフローアクティビティは、構成アイテム (CI) に関連付けられた IPV4 アドレスを決定します。

    [CI から IP を取得] アクティビティを任意のワークフローで使用して、CI の IPv4 アドレスを取得できます。

    入力変数

    アクティビティの初期動作が、入力変数によって決まります。

    表 : 1. 入力変数
    変数 説明
    ci_sys_id [文字列] 構成アイテムのシステム識別子。

    出力変数

    出力変数には、後続のアクティビティで使用できるデータが含まれています。

    表 : 2. 出力変数
    変数 説明
    ip_addr [文字列] IPv4 アドレス。IP アドレスを特定できない場合、この値は空になります。

    終了条件

    このアクティビティの考えられる結果は次のとおりです。

    表 : 3. 条件
    条件 説明
    成功 IPv4 アドレスが返されました。
    失敗 IPv4 アドレスを特定できませんでした。

    Tanium:Get-Processes 要求の構築アクティビティ

    このワークフローアクティビティでは、セキュリティインシデントに追加された CI の IPV4 アドレスを取得し、その CI のすべての実行中プロセスに対して Tanium サーバーへの要求を構築します。出力は、要求の実行に必要な詳細で、ペイロードは暗号化されています。

    入力変数

    アクティビティの初期動作が、入力変数によって決まります。

    表 : 4. 入力変数
    変数 説明
    ci_ip_address [文字列] セキュリティインシデントに追加された CI の IPV4 アドレス。この入力フィールドは必須です。

    出力変数

    出力変数には、後続のアクティビティで使用できるデータが含まれています。

    表 : 5. 出力変数
    変数 説明
    endpoint [文字列] データベースの暗号化されたエンドポイント。
    request_body [暗号化] SOAP 要求の本文。
    http_timeout [整数] HTTP タイムアウト値 (秒単位)。
    use_mid [ブール] MID Server を使用するかどうかを示すブールフラグ。

    Tanium:完了の確認要求を構築アクティビティ

    このワークフローアクティビティは、質問のデータ収集が完了したかどうかを確認するために Tanium サーバーの要求を構築します。暗号化された要求と、要求の実行に必要なその他のコンポーネントを返します。

    入力変数

    アクティビティの初期動作が、入力変数によって決まります。

    表 : 6. 入力変数
    変数 説明
    question_id [整数] Tanium サーバーから返された質問 ID。

    出力変数

    出力変数には、後続のアクティビティで使用できるデータが含まれています。

    表 : 7. 出力変数
    変数 説明
    endpoint [文字列] データベースの暗号化されたエンドポイント。
    request_body [暗号化] SOAP 要求の本文。
    http_timeout [整数] HTTP タイムアウト値 (秒単位)。
    use_mid [ブール] MID Server を使用するかどうかを示すブールフラグ。

    Tanium:結果データの取得要求を構築アクティビティ

    このワークフローは、質問に対する回答として Tanium から返されたすべてのデータを収集する要求を構築します。質問 ID を入力として受け取り、要求を実行するための出力 (暗号化された SOAP エンベロープペイロードを含む) を提供します。

    入力変数

    アクティビティの初期動作が、入力変数によって決まります。

    表 : 8. 入力変数
    変数 説明
    question_id [文字列] Tanium に提示された質問の質問 ID。

    出力変数

    出力変数には、後続のアクティビティで使用できるデータが含まれています。

    表 : 9. 出力変数
    変数 説明
    endpoint [文字列] データベースの暗号化されたエンドポイント。
    request_body [暗号化] SOAP 要求の本文。
    http_timeout [整数] HTTP タイムアウト値 (秒単位)。
    use_mid [ブール] MID Server を使用するかどうかを示すブールフラグ。

    Tanium:応答から完了確認アクティビティ

    このワークフローアクティビティでは、応答の本文に基づいて要求が完了したかどうかを判断します。

    入力変数

    アクティビティの初期動作が、入力変数によって決まります。

    表 : 10. 入力変数
    変数 説明
    response_body [文字列] Tanium から返された SOAP 要求本文。

    出力変数

    出力変数には、後続のアクティビティで使用できるデータが含まれています。

    表 : 11. 出力変数
    変数 説明
    done [ブール] 要求処理が完了した場合は true を返します。

    Tanium:要求を実行アクティビティ

    このワークフローアクティビティでは、HTTP 要求を実行します。入力は、エンドポイントと想定される要求本文を定義します。要求本体自体が暗号化された SOAP エンベロープです。

    入力変数

    アクティビティの初期動作が、入力変数によって決まります。

    表 : 12. 入力変数
    変数 説明
    request_body [暗号化] SOAP 要求の本文。この入力フィールドは必須です。
    use_mid [ブール] MID Server を使用するかどうかを示すブールフラグ。
    endpoint [文字列] データベースの暗号化されたエンドポイント。この入力フィールドは必須です。
    http_timeout [整数] HTTP タイムアウト値 (秒単位)。

    出力変数

    出力変数には、後続のアクティビティで使用できるデータが含まれています。

    表 : 13. 出力変数
    変数 説明
    status_code [整数] 標準 HTTP ステータスコード。
    header [文字列] SOAP ヘッダー。
    body [文字列] SOAP の本文。
    error [文字列] サーバーによって提供されたすべてのエラー。

    Tanium:応答から質問 ID を取得アクティビティ

    このワークフローアクティビティは、応答本文を処理して質問 ID を取得します。

    入力変数

    アクティビティの初期動作が、入力変数によって決まります。

    表 : 14. 入力変数
    変数 説明
    response_body [文字列] SOAP の応答本文。

    出力変数

    出力変数には、後続のアクティビティで使用できるデータが含まれています。

    表 : 15. 出力変数
    変数 説明
    question_id [整数] Tanium サーバーから返された質問 ID。

    Tanium:応答から結果データを取得アクティビティ

    Tanium:応答から結果データを取得ワークフローアクティビティでは、結果データから応答本文を処理し、Tanium からの結果を表す JSON オブジェクトのアレイを出力します。

    Tanium:応答から結果データを取得アクティビティを任意のワークフローで使用して、ワークフローで使用する結果データを取得できます。

    結果

    このアクティビティの考えられる結果は次のとおりです。

    表 : 16. 結果
    結果 説明
    成功 取得された結果データ。
    失敗 データは取得されませんでした。その他のエラー情報は、アクティビティ出力エラーで確認できます。

    入力変数

    アクティビティの初期動作が、入力変数によって決まります。

    変数 説明
    response_body 暗号化された SOAP 応答コンテンツ。
    Implementation_id 実装識別子。
    affected_ci 影響を受けた構成アイテム。

    出力変数

    出力変数には、後続のアクティビティで使用できるデータが含まれています。

    表 : 17. 出力変数
    変数 説明
    result_data API 変数のアレイ要素タイプ。各アレイには、サーバーから返された列と値で構成されるキー値のペアが含まれます。サーバーからデータを受信しない場合、出力は空のアレイになります。
    output 抽象ワークフローで使用される実行中のプロセスに関する書式設定済みの返されるデータ。