Tanium - Obter fluxo de trabalho de processos em execução
Este fluxo de trabalho cria uma trilha de auditoria e a atividade Tanium: Get-Processs Question usa o endereço IPV4 do IC como entrada e executa uma consulta no servidor Tanium. A saída é uma lista de todos os processos em execução no IC afetado.
Quando o campo Item de configuração em um incidente de segurança é modificado, este fluxo de trabalho é iniciado.
Como funciona o fluxo de trabalho
Dado um ID de pergunta de cadeia de caracteres (normalmente o resultado de um comando AddObject), a atividade Tanium: Verificar se concluído consulta o servidor Tanium para verificar se a coleta de dados foi concluída. Esta atividade usa a inclusão de script sn_sec_tanium.TaniumEndpointUtil e se baseia na mensagem SOAP do servidor Tanium GetResultInfo.
Quando a atividade Tanium: Verificar se concluído retorna verdadeiro, a atividade Tanium: Obter dados de resultado da resposta coleta todos os dados retornados do servidor Tanium em resposta à pergunta Get-Processes. A saída consiste em uma matriz de objetos, cada um contendo pares de chave-valor compostos pela coluna e valores retornados do servidor. Se nenhum dado for recebido do servidor, a saída será uma matriz vazia.
Atividades específicas para esta integração são descritas aqui. Para obter mais informações sobre outras atividades, consulte Atividades de fluxo de trabalho de integração comuns.
Obter IP da atividade de IC
Esta atividade de fluxo de trabalho determina o endereço IPV4 associado a um item de configuração (IC).
A atividade Obter IP do IC pode ser usada com qualquer fluxo de trabalho para recuperar o endereço IPv4 de um IC.
Variáveis de entrada
As variáveis de entrada determinam o comportamento inicial da atividade.
| Variável | Descrição |
|---|---|
| ci_sys_id [cadeia de caracteres] | Identificador do sistema do item de configuração |
Variáveis de saída
As variáveis de saída contêm dados que podem ser usados em atividades subsequentes.
| Variável | Descrição |
|---|---|
| ip_addr [cadeia de caracteres] | Endereço IPv4. Se o endereço IP não puder ser determinado, este valor ficará em branco. |
Condições de Saída
Os resultados possíveis para esta atividade são:
| Condição | Descrição |
|---|---|
| Êxito | Um endereço IPv4 foi retornado. |
| Falha | Não foi possível determinar um endereço IPv4. |
Tanium: criar atividade de solicitação Get-Process
Esta atividade de fluxo de trabalho usa o endereço IPV4 de um IC adicionado a um incidente de segurança e cria uma solicitação ao servidor Tanium para todos os processos em execução para esse IC. A saída são os detalhes necessários para executar a solicitação, com a carga criptografada.
Variáveis de entrada
As variáveis de entrada determinam o comportamento inicial da atividade.
| Variável | Descrição |
|---|---|
| ci_ip_address [cadeia de caracteres] | O endereço IPV4 do IC que foi adicionado a um incidente de segurança. Este campo de entrada é obrigatório. |
Variáveis de saída
As variáveis de saída contêm dados que podem ser usados em atividades subsequentes.
| Variável | Descrição |
|---|---|
| endpoint [cadeia de caracteres] | O endpoint criptografado do banco de dados. |
| request_body [Criptografado] | O corpo da solicitação SOAP. |
| http_timeout [inteiro] | O valor do tempo limite de HTTP, em segundos. |
| use_mid [booliano] | Um sinalizador booliano que indica se o MID Server deve ser usado. |
Tanium: Criar atividade de solicitação Verificar se concluído
Esta atividade de fluxo de trabalho cria uma solicitação do servidor Tanium para verificar se a coleta de dados para a pergunta foi concluída. Ele retorna a solicitação criptografada e outros componentes necessários para executar a solicitação.
Variáveis de entrada
As variáveis de entrada determinam o comportamento inicial da atividade.
| Variável | Descrição |
|---|---|
| question_id [integer] | O ID da pergunta retornado do servidor Tanium. |
Variáveis de saída
As variáveis de saída contêm dados que podem ser usados em atividades subsequentes.
| Variável | Descrição |
|---|---|
| endpoint [cadeia de caracteres] | O endpoint criptografado do banco de dados. |
| request_body [Criptografado] | O corpo da solicitação SOAP. |
| http_timeout [Inteiro] | O valor do tempo limite de HTTP, em segundos. |
| use_mid [booliano] | Um sinalizador booliano que indica se o MID Server deve ser usado. |
Tanium: criar atividade de solicitação de dados de resultado
Este fluxo de trabalho cria uma solicitação para coletar todos os dados retornados do Tanium em resposta a uma pergunta. Ele usa um ID de pergunta como entrada e fornece a saída para executar a solicitação, incluindo uma carga de envelope SOAP criptografada.
Variáveis de entrada
As variáveis de entrada determinam o comportamento inicial da atividade.
| Variável | Descrição |
|---|---|
| question_id [cadeia de caracteres] | O ID da pergunta apresentada ao Tanium. |
Variáveis de saída
As variáveis de saída contêm dados que podem ser usados em atividades subsequentes.
| Variável | Descrição |
|---|---|
| endpoint [cadeia de caracteres] | O endpoint criptografado do banco de dados. |
| request_body [Criptografado] | O corpo da solicitação SOAP. |
| http_timeout [inteiro] | O valor do tempo limite de HTTP, em segundos. |
| use_mid [booliano] | Um sinalizador booliano que indica se o MID Server deve ser usado. |
Tanium: determinar se foi concluído a partir da atividade de resposta
Esta atividade de fluxo de trabalho determina se uma solicitação foi concluída com base no corpo da resposta.
Variáveis de entrada
As variáveis de entrada determinam o comportamento inicial da atividade.
| Variável | Descrição |
|---|---|
| response_body [cadeia de caracteres] | O corpo da solicitação SOAP retornado do Tanium. |
Variáveis de saída
As variáveis de saída contêm dados que podem ser usados em atividades subsequentes.
| Variável | Descrição |
|---|---|
| concluído [Booliano] | Retorna verdadeiro se o processamento da solicitação estiver concluído. |
Tanium: executar atividade de solicitação
Esta atividade de fluxo de trabalho executa uma solicitação HTTP. As entradas definem o endpoint e o corpo da solicitação esperado. O próprio corpo da solicitação é o envelope SOAP criptografado.
Variáveis de entrada
As variáveis de entrada determinam o comportamento inicial da atividade.
| Variável | Descrição |
|---|---|
| request_body [Criptografado] | O corpo da solicitação SOAP. Este campo de entrada é obrigatório. |
| use_mid [booliano] | Um sinalizador booliano que indica se o MID Server deve ser usado. |
| endpoint [cadeia de caracteres] | O endpoint criptografado do banco de dados. Este campo de entrada é obrigatório. |
| http_timeout [integer] | O valor do tempo limite de HTTP, em segundos. |
Variáveis de saída
As variáveis de saída contêm dados que podem ser usados em atividades subsequentes.
| Variável | Descrição |
|---|---|
| status_code [integer] | Códigos de status HTTP padrão. |
| cabeçalho [cadeia de caracteres] | O cabeçalho SOAP. |
| corpo [cadeia de caracteres] | O corpo SOAP. |
| erro [cadeia de caracteres] | Quaisquer erros fornecidos pelo servidor. |
Tanium: obter ID de pergunta da atividade de resposta
Esta atividade de fluxo de trabalho processa o corpo da resposta para obter o ID da pergunta.
Variáveis de entrada
As variáveis de entrada determinam o comportamento inicial da atividade.
| Variável | Descrição |
|---|---|
| response_body [cadeia de caracteres] | O corpo da resposta SOAP. |
Variáveis de saída
As variáveis de saída contêm dados que podem ser usados em atividades subsequentes.
| Variável | Descrição |
|---|---|
| question_id [integer] | O ID da pergunta retornado do servidor Tanium. |
Tanium: obter dados de resultado da atividade de resposta
A atividade de fluxo de trabalho Tanium: obter dados de resultado da resposta processa o corpo da resposta dos dados de resultado e gera uma matriz de objetos JSON que representa os resultados do Tanium.
A atividade Tanium: obter dados de resultado da resposta pode ser usada com qualquer fluxo de trabalho para recuperar dados de resultado a serem usados no fluxo de trabalho.
Resultados
Os resultados possíveis para esta atividade são:
| Resultado | Descrição |
|---|---|
| Sucesso | Dados de resultado recuperados. |
| Falha | Nenhum dado recuperado. Mais informações de erro estão disponíveis no erro de saída da atividade. |
Variáveis de entrada
As variáveis de entrada determinam o comportamento inicial da atividade.
| Variável | Descrição |
|---|---|
| response_body | Conteúdos de resposta SOAP criptografados |
| Id_implementação | Identificador de implementação. |
| afetado_ci | Item de configuração afetado. |
Variáveis de saída
As variáveis de saída contêm dados que podem ser usados em atividades subsequentes.
| Variável | Descrição |
|---|---|
| data_resultado | Tipo de elemento de matriz de variáveis de API. Cada matriz contém pares de chave-valor compostos pela coluna e valores retornados do servidor. Se nenhum dado for recebido do servidor, a saída será uma matriz vazia. |
| saída | Dados de retorno formatados em processos em execução usados pelo fluxo de trabalho abstrato. |