CrowdStrike Falcon を Google SecOps と統合する
このドキュメントでは、CrowdStrike Falcon を Google Security Operations(Google SecOps)と統合する方法について説明します。
統合バージョン: 56.0
この統合では、1 つ以上のオープンソース コンポーネントを使用します。この統合の完全なソースコードのコピーを Cloud Storage バケットからダウンロードできます。
ユースケース
Google SecOps プラットフォームでは、CrowdStrike Falcon の統合により、次のユースケースが解決されます。
マルウェアの自動封じ込め: Google SecOps プラットフォームの機能を使用して、影響を受けたエンドポイントを自動的に隔離し、さらなる分析のためにファイル ハッシュを取得し、マルウェアの拡散を防ぎます。フィッシング メールによって不審なファイルのダウンロードに関する CrowdStrike Falcon アラートがトリガーされると、マルウェアの自動封じ込めが有効になります。
インシデント対応の迅速化: Google SecOps を使用して、プロセスツリーやネットワーク接続などのコンテキスト データを収集し、侵害されたホストを分離して、調査用のチケットを作成します。
脅威のハンティングと調査: Google SecOps プラットフォームの機能を使用して、定義された期間にわたる特定のユーザー アクション、ファイル変更、ネットワーク接続について CrowdStrike Falcon にクエリを実行します。脅威ハンティングと調査により、セキュリティ アナリストは、調査プロセスを効率化しながら、潜在的なインサイダー脅威を調査し、過去のエンドポイント アクティビティを分析できます。
フィッシングへの対応と修復: CrowdStrike Falcon と Google SecOps プラットフォームを使用して、メールの添付ファイルをスキャンし、サンドボックス環境で開き、悪意のあるアクティビティが検出された場合は送信者のメールアドレスを自動的にブロックします。
脆弱性管理: Google SecOps プラットフォームの機能を使用して、脆弱なシステムごとにチケットを自動的に作成し、重大度とアセット値に基づいて優先順位を付け、自動パッチ適用ワークフローをトリガーします。脆弱性管理は、複数のエンドポイントで重大な脆弱性を特定するのに役立ちます。
始める前に
Google SecOps で統合を構成する前に、次の手順を完了します。
CrowdStrike Falcon API クライアントを構成します。
アクションの権限を構成します。
コネクタの権限を構成します。
CrowdStrike Falcon API クライアントを構成する
CrowdStrike API クライアントを定義し、API クライアントまたはキーを表示、作成、変更するには、FalconAdministrator ロールが必要です。
シークレットは、新しい API クライアントを作成するか、API クライアントをリセットするときにのみ表示されます。
CrowdStrike Falcon API クライアントを構成する手順は次のとおりです。
- Falcon UI で、[Support and resources] > [Resources and tools] > [API clients and keys] に移動します。このページでは、既存のクライアントの確認、新しい API クライアントの追加、監査ログの表示を行うことができます。
- [Create API Client] をクリックします。
- 新しい API クライアントの名前を指定します。
- 適切な API スコープを選択します。
[作成] をクリックします。[クライアント ID] と [クライアント シークレット] の値が表示されます。
クライアント シークレットの値が表示されるのはこのときのみです。安全に保管してください。クライアント シークレットを紛失した場合は、API クライアントをリセットし、クライアント シークレットに依存するすべてのアプリケーションを新しい認証情報で更新します。
CrowdStrike API へのアクセスの詳細については、CrowdStrike ブログの Getting Access to the CrowdStrike API ガイドをご覧ください。
アクションの権限を構成する
次の表に示すように、アクションの最小権限を参照してください。
| アクション | 必要な権限 |
|---|---|
| 検出にコメントを追加する | Detections.ReadDetection.Write |
| Identity Protection の検出コメントを追加する | Alerts.ReadAlerts.Write |
| インシデントのコメントを追加する | Incidents.Write |
| 検出を終了 | Detections.ReadDetection.Write |
| エンドポイントを隔離する | Hosts.ReadHosts.Write |
| IOC を削除する | IOC Management.ReadIOC Management.Write |
| ファイルをダウンロード | Hosts.ReadReal time response.ReadReal time response.Write |
| コマンドを実行 | Hosts.ReadReal time response.ReadReal time response.WriteReal time response (admin).Write*(完全な権限コマンドの場合)。
|
| イベント オフセットを取得 | Event streams.Read |
| IOC でホストを取得する | 利用不可: 非推奨 |
| ホスト情報を取得する | Hosts.Read |
| IOC でプロセス名を取得する | 利用不可: 非推奨 |
| Lift Contained Endpoint | Hosts.ReadHosts.Write |
| ホストの一覧表示 | Hosts.Read |
| ホストの脆弱性を一覧表示する | Hosts.ReadSpotlight vulnerabilities.Read |
| アップロードされた IOC のリストを取得する | IOC Management.Read |
| オンデマンド スキャン | On-demand scans (ODS).ReadOn-demand scans (ODS).Write |
| Ping | Hosts.Read |
| ファイルの送信 | Reports (Falcon Intelligence).ReadSandbox (Falcon Intelligence).ReadSandbox (Falcon Intelligence).Write |
| URL を送信 | Reports (Falcon Intelligence).ReadSandbox (Falcon Intelligence).ReadSandbox (Falcon Intelligence).Write |
| 検出を更新 | Detections.ReadDetection.WriteUser management.Read |
| Identity Protection の検出を更新する | Alerts.ReadAlerts.Write |
| インシデントを更新 | Incidents.Write |
| IOC 情報を更新する | IOC Management.ReadIOC Management.Write |
| IOC をアップロードする | IOC Management.ReadIOC Management.Write |
コネクタの権限を構成する
次の表に示すように、コネクタの最小権限を参照してください。
| コネクタ | 必要な権限 |
|---|---|
| CrowdStrike 検出コネクタ | Detection.Read |
| CrowdStrike Falcon Streaming Events コネクタ | Event streams.Read |
| CrowdStrike Identity Protection Detections コネクタ | Alerts.Read |
| CrowdStrike インシデント コネクタ | Incidents.Read |
エンドポイント
CrowdStrike Falcon 統合は、次の CrowdStrike Falcon API エンドポイントとやり取りします。
一般的な API エンドポイント:
/oauth2/token
ホストとデバイス:
/devices/entities/devices/v1/devices/entities/devices-actions/v2
検出とイベント:
/detections/entities/detections/v2/detections/entities/summaries/GET/v1/protection/entities/detections/v1
セキュリティ侵害インジケーター(IOC):
/intel/entities/indicators/v1/intel/queries/devices/v1
脆弱性:
/devices/combined/devices/vulnerabilities/v1
対応と封じ込め:
/respond/entities/command-queues/v1/respond/entities/extracted-files/v1
インシデント:
/incidents/entities/incidents/GET/v1/incidents/entities/incidents/comments/GET/v1/incidents/entities/incidents/GET/v1
ファイルと URL の分析:
/malware-uploads/entities/submissions/v2/url/entities/scans/v1
統合のパラメータ
統合を適切に機能させるには、すべての機能を備えた CrowdStrike Falcon のプレミアム バージョンが必要です。CrowdStrike Falcon の基本バージョンでは、一部のアクションは機能しません。
CrowdStrike Falcon の統合には、次のパラメータが必要です。
| パラメータ | |
|---|---|
API Root |
CrowdStrike インスタンスの API ルート。 デフォルト値は |
Client API ID |
必須 CrowdStrike API のクライアント ID。 |
Client API Secret |
必須 CrowdStrike API のクライアント シークレット。 |
Verify SSL |
選択すると、統合によって CrowdStrike Falcon サーバーへの接続用の SSL 証明書が有効かどうかが検証されます。 デフォルトでは選択されていません。 |
Customer ID |
Optional 統合を実行するテナントの顧客 ID。マルチテナント(MSSP)環境で使用します。 |
Google SecOps で統合を構成する方法について詳しくは、統合を構成するをご覧ください。
必要に応じて、後の段階で変更できます。統合インスタンスを構成すると、ハンドブックで使用できるようになります。複数のインスタンスの構成とサポートの詳細については、複数のインスタンスのサポートをご覧ください。
操作
統合構成に進む前に、統合アイテムごとに必要な最小限の権限を構成します。詳しくは、このドキュメントのアクションの権限をご覧ください。
アラートのコメントを追加する
CrowdStrike Falcon のアラートにコメントを追加するには、[アラートのコメントを追加] アクションを使用します。
このアクションはエンティティに対しては実行されません。
アクション入力
[Add Alert Comment] アクションには、次のパラメータが必要です。
| パラメータ | |
|---|---|
Alert |
必須 更新するアラートの ID。 |
Comment |
必須 アラートに追加するコメント。 |
アクションの出力
[アラートのコメントを追加] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用不可 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
出力メッセージ
[アラートにコメントを追加] アクションでは、次の出力メッセージが表示されます。
| 出力メッセージ | メッセージの説明 |
|---|---|
Successfully added comment to the alert with ID
ALERT_ID in CrowdStrike |
アクションが成功しました。 |
|
操作を実行できませんでした。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、アラート コメントを追加アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
検出にコメントを追加する
検出にコメントを追加アクションを使用して、CrowdStrike Falcon の検出にコメントを追加します。
このアクションはすべてのエンティティに対して実行されます。
アクション入力
[Add Comment to Detection] アクションには、次のパラメータが必要です。
| パラメータ | |
|---|---|
Detection ID |
必須
コメントを追加する検出結果の ID。 |
Comment |
必須
検出に追加するコメント。 |
アクションの出力
[Add Comment to Detection] アクションは、次の出力を提供します。
| アクションの出力タイプ | |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用不可 |
| スクリプトの結果 | 利用可能 |
スクリプトの結果
次の表に、[検出にコメントを追加] アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
Identity Protection の検出コメントを追加する
ID 保護の検出にコメントを追加アクションを使用して、CrowdStrike の ID 保護の検出にコメントを追加します。
この操作には、Identity Protection ライセンスが必要です。
このアクションはエンティティに対しては実行されません。
アクション入力
[Add Identity Protection Detection Comment] アクションには、次のパラメータが必要です。
| パラメータ | |
|---|---|
Detection ID |
必須
更新する検出結果の ID。 |
Comment |
必須
検出に追加するコメント。 |
アクションの出力
[Add Identity Protection Detection Comment] アクションは、次の出力を提供します。
| アクションの出力タイプ | |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用不可 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
出力メッセージ
[Add Identity Protection Detection Comment] アクションでは、次の出力メッセージが表示されます。
| 出力メッセージ | メッセージの説明 |
|---|---|
Successfully added comment to the
identity protection detection with ID
DETECTION_ID in CrowdStrike |
アクションが成功しました。 |
Error executing action "Add Identity
Protection Detection Comment". Reason:
ERROR_REASON |
操作を実行できませんでした。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
Error executing action "Add Identity
Protection Detection Comment". Reason: identity protection detection with
ID DETECTION_ID wasn't found in
CrowdStrike. Please check the
spelling. |
操作を実行できませんでした。 スペルを確認してください。 |
スクリプトの結果
次の表に、Add Identity Protection Detection Comment アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
インシデントのコメントを追加する
CrowdStrike のインシデントにコメントを追加するには、[Add Incident Comment] アクションを使用します。
このアクションはエンティティに対しては実行されません。
アクション入力
[インシデントのコメントを追加] アクションには、次のパラメータが必要です。
| パラメータ | |
|---|---|
Incident ID |
必須
更新するインシデントの ID。 |
Comment |
必須
インシデントに追加するコメント。 |
アクションの出力
[インシデントのコメントを追加] アクションでは、次の出力が提供されます。
| アクションの出力タイプ | |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用不可 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
出力メッセージ
[インシデントのコメントを追加] アクションでは、次の出力メッセージが表示されます。
| 出力メッセージ | メッセージの説明 |
|---|---|
Successfully added comment to the
incident INCIDENT_ID in CrowdStrike
|
アクションが成功しました。 |
Error executing action "Add Incident Comment". Reason:
ERROR_REASON |
操作を実行できませんでした。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
Error executing action "Add Incident Comment". Reason: incident
with ID INCIDENT_ID wasn't found in
CrowdStrike. Please check the spelling. |
操作を実行できませんでした。 スペルを確認してください。 |
スクリプトの結果
次の表に、[インシデント コメントを追加] アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
検出を終了
Close Detection アクションを使用して、CrowdStrike Falcon の検出を閉じます。
このユースケースのベスト プラクティスは、[Update Detection] アクションです。
このアクションはすべてのエンティティに対して実行されます。
アクション入力
Close Detection アクションには、次のパラメータが必要です。
| パラメータ | |
|---|---|
Detection ID |
必須
クローズする検出結果の ID。 |
Hide Detection |
省略可 選択すると、アクションによって UI で検出が非表示になります。 デフォルトで選択されます。 |
アクションの出力
[検出を閉じる] アクションでは、次の出力が提供されます。
| アクションの出力タイプ | |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用不可 |
| スクリプトの結果 | 利用可能 |
スクリプトの結果
次の表に、[Close Detection] アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
エンドポイントを隔離する
エンドポイントの隔離アクションを使用して、CrowdStrike Falcon でエンドポイントを隔離します。
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクション入力
[Contain Endpoint] アクションには、次のパラメータが必要です。
| パラメータ | |
|---|---|
Fail If Timeout |
必須
選択されているが、すべてのエンドポイントが含まれていない場合、アクションは失敗します。 デフォルトで選択されています。 |
アクションの出力
[Contain Endpoint] アクションでは、次の出力が提供されます。
| アクションの出力タイプ | |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| エンティティ拡充テーブル | 利用可能 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
エンティティ拡充
[エンドポイントを隔離する] アクションは、次のエンティティの拡充ロジックをサポートしています。
| 拡充フィールド | ロジック |
|---|---|
status |
JSON の結果に存在する場合に返す |
modified_timestamp |
JSON の結果に存在する場合に返す |
major_version |
JSON の結果に存在する場合に返す |
policies |
JSON の結果に存在する場合に返す |
config_id_platform |
JSON の結果に存在する場合に返す |
bios_manufacturer |
JSON の結果に存在する場合に返す |
system_manufacturer |
JSON の結果に存在する場合に返す |
device_policies |
JSON の結果に存在する場合に返す |
meta |
JSON の結果に存在する場合に返す |
pointer_size |
JSON の結果に存在する場合に返す |
last_seen |
JSON の結果に存在する場合に返す |
agent_local_time |
JSON の結果に存在する場合に返す |
first_seen |
JSON の結果に存在する場合に返す |
service_pack_major |
JSON の結果に存在する場合に返す |
slow_changing_modified_timestamp |
JSON の結果に存在する場合に返す |
service_pack_minor |
JSON の結果に存在する場合に返す |
system_product_name |
JSON の結果に存在する場合に返す |
product_type_desc |
JSON の結果に存在する場合に返す |
build_number |
JSON の結果に存在する場合に返す |
cid |
JSON の結果に存在する場合に返す |
local_ip |
JSON の結果に存在する場合に返す |
external_ip |
JSON の結果に存在する場合に返す |
hostname |
JSON の結果に存在する場合に返す |
config_id_build |
JSON の結果に存在する場合に返す |
minor_version |
JSON の結果に存在する場合に返す |
platform_id |
JSON の結果に存在する場合に返す |
os_version |
JSON の結果に存在する場合に返す |
config_id_base |
JSON の結果に存在する場合に返す |
provision_status |
JSON の結果に存在する場合に返す |
mac_address |
JSON の結果に存在する場合に返す |
bios_version |
JSON の結果に存在する場合に返す |
platform_name |
JSON の結果に存在する場合に返す |
agent_load_flags |
JSON の結果に存在する場合に返す |
device_id |
JSON の結果に存在する場合に返す |
product_type |
JSON の結果に存在する場合に返す |
agent_version |
JSON の結果に存在する場合に返す |
JSON の結果
次の例は、エンドポイントの封じ込めアクションを使用した場合に受信する JSON 結果の出力を示しています。
{
"EntityResult":
{
"status": "contained",
"modified_timestamp": "2019-06-24T07:47:37Z",
"major_version": "6",
"policies":
[{
"applied": "True",
"applied_date": "2019-04-29T07:40:06.876850888Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-29T07:39:55.218651583Z",
"policy_id": ""
}],
"config_id_platform": "3",
"bios_manufacturer": "Example Inc.",
"system_manufacturer": "Example Corporation",
"device_policies":
{
"global_config":
{
"applied": "True",
"applied_date": "2019-06-03T23:24:04.893780991Z",
"settings_hash": "a75911b0",
"policy_type": "globalconfig",
"assigned_date": "2019-06-03T23:23:17.184432743Z",
"policy_id": ""
},
"Sensor_update":
{
"applied": "True",
"applied_date": "2019-05-30T23:13:55.23597658Z",
"settings_hash": "65994753|3|2|automatic;101",
"uninstall_protection": "ENABLED",
"policy_type": "sensor-update",
"assigned_date": "2019-05-30T23:04:31.485311459Z",
"policy_id": ""
},
"prevention":
{
"applied": "True",
"applied_date": "2019-04-29T07:40:06.876850888Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-29T07:39:55.218651583Z",
"policy_id": ""
},
"device_control":
{
"applied": "True",
"applied_date": "2019-06-03T23:14:29.800434222Z",
"policy_type": "device-control",
"assigned_date": "2019-06-03T23:05:17.425127539Z",
"policy_id": ""
},
"remote_response":
{
"applied": "True",
"applied_date": "2019-04-29T07:40:04.469808388Z",
"settings_hash": "f472bd8e",
"policy_type": "remote-response",
"assigned_date": "2019-04-29T07:39:55.218642441Z",
"policy_id": ""
}
},
"meta":
{
"Version":"12765"
},
"pointer_size": "8",
"last_seen": "2019-06-24T07:45:34Z",
"agent_local_time": "2019-06-18T12:17:06.259Z",
"first_seen": "2019-04-29T07:39:45Z",
"service_pack_major": "0",
"slow_changing_modified_timestamp": "2019-06-23T11:20:42Z",
"service_pack_minor": "0",
"system_product_name": "Virtual Machine",
"product_type_desc": "Server",
"build_number": "9600",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"hostname": "",
"config_id_build": "example-id",
"minor_version": "3",
"platform_id": "x",
"os_version": "Windows Server 2012 R2",
"config_id_base": "example-config",
"provision_status": "Provisioned",
"mac_address": "01:23:45:ab:cd:ef",
"bios_version": "090007 ",
"platform_name": "Windows",
"Agent_load_flags":"1",
"device_id": "",
"product_type": "3",
"agent_version": "5.10.9106.0"
},
"Entity": "198.51.100.255"
}
出力メッセージ
[Contain Endpoint] アクションでは、次の出力メッセージが表示されます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Contain
Endpoint". Reason: ERROR_REASON
|
操作を実行できませんでした。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
Error executing action "Contain
Endpoint". Reason: the following endpoints initiated containment, but were
not able to finish it during action execution:
ENTITY_ID
|
操作を実行できませんでした。 エンドポイントのステータスと |
スクリプトの結果
次の表に、エンドポイントの封じ込めアクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
IOC を削除する
[Delete IOC] アクションを使用して、CrowdStrike Falcon のカスタム IOC を削除します。
このアクションは、ホスト名エンティティをドメイン IOC として扱い、URL からドメイン部分を抽出します。このアクションは、MD5 ハッシュと SHA-256 ハッシュのみをサポートしています。
[IOC を削除] アクションは、次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
- URL
- ハッシュ
アクション入力
なし
アクションの出力
[IOC を削除] アクションでは、次の出力が提供されます。
| アクションの出力タイプ | |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用不可 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
スクリプトの結果
次の表に、IOC を削除アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
出力メッセージ
ケースウォールで [IOC を削除] アクションを実行すると、次の出力メッセージが表示されます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Delete IOC".
Reason: ERROR_REASON |
操作を実行できませんでした。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
ファイルをダウンロード
[Download File] アクションを使用して、CrowdStrike Falcon のホストからファイルをダウンロードします。
このアクションでは、ファイル名と IP アドレスの両方、またはホスト名エンティティが Google SecOps アラートのスコープ内にある必要があります。
ダウンロードしたファイルは、パスワードで保護された zip パッケージにあります。ファイルにアクセスするには、パスワード infected を入力します。
[Download File] アクションは、次のエンティティに対して実行されます。
- ファイル名
- IP アドレス
- ホスト
アクション入力
[Download File] アクションには、次のパラメータが必要です。
| パラメータ | |
|---|---|
Download Folder Path |
必須
ダウンロードしたファイルを保存するフォルダのパス。 形式はデプロイによって異なります。
|
Overwrite |
必須
選択すると、同じ名前のファイルが上書きされます。 デフォルトでは選択されていません。 |
アクションの出力
[Download File] アクションでは、次の出力が提供されます。
| アクションの出力タイプ | |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| エンティティ テーブル | 利用可能 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
エンティティ テーブル
[Download File] アクションは、次のエンティティ テーブルを提供します。
| エンティティ | |
|---|---|
filepath |
ファイルの絶対パス。 |
JSON の結果
次の例は、[Download File] アクションを使用した場合に受信する JSON 結果の出力を示しています。
{
"absolute_paths": ["/opt/file_1", "opt_file_2"]
}
出力メッセージ
[Download File] アクションでは、次の出力メッセージが表示されます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Download
File". Reason: ERROR_REASON
|
操作を実行できませんでした。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
Error executing action "Download
File". Reason: file with path PATH
already exists. Please delete the file or set "Overwrite" to true.
|
操作を実行できませんでした。
|
Waiting for results for the following
entities: ENTITY_ID |
非同期メッセージ。 |
スクリプトの結果
次の表に、[Download File] アクションを使用した場合のスクリプト結果の出力値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
コマンドを実行
Execute Command アクションを使用して、CrowdStrike Falcon のホストでコマンドを実行します。
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクション入力
[Execute Command] アクションには、次のパラメータが必要です。
| パラメータ | |
|---|---|
Command |
必須
ホストで実行するコマンド。 |
Admin Command |
省略可
|
アクションの出力
[Execute Command] アクションでは、次の出力が提供されます。
| アクションの出力タイプ | |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用不可 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
出力メッセージ
ケースウォールで、[Execute Command] アクションを実行すると、次の出力メッセージが表示されます。
| 出力メッセージ | メッセージの説明 |
|---|---|
Successfully executed command
"COMMAND" on the following
endpoints in CrowdStrike Falcon:
ENTITY_ID |
アクションが成功しました。 |
Error executing action "Execute Command". Reason:
ERROR_REASON |
操作を実行できませんでした。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
Waiting for results for the following
entities: ENTITY_ID |
非同期メッセージ。 |
スクリプトの結果
次の表に、コマンドの実行アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
アラートの詳細を取得する
アラートの詳細を取得アクションを使用して、CrowdStrike Falcon のアラートの詳細を取得します。
このアクションは Google SecOps エンティティに対して実行されません。
アクション入力
[アラートの詳細を取得] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Alert ID |
必須。 詳細情報を取得するアラートの一意の ID。 |
アクションの出力
[アラートの詳細を取得] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、[アラートの詳細を取得] アクションを使用したときに受信した JSON 結果の出力を示しています。
{
"added_privileges": [
"DomainAdminsRole"
],
"aggregate_id": "aggind:CID_VALUE:AGGREGATE_ID_VALUE",
"assigned_to_uid": "analyst@example.com",
"cid": "CID_VALUE",
"composite_id": "CID_VALUE:ind:CID_VALUE:COMPOSITE_ID_VALUE",
"confidence": 20,
"context_timestamp": "2022-11-15T12:58:15.629Z",
"crawl_edge_ids": {
"Sensor": [
"EDGE_ID_1_OBFUSCATED_STRING",
"EDGE_ID_2_OBFUSCATED_STRING",
"EDGE_ID_3_OBFUSCATED_STRING"
]
},
"crawl_vertex_ids": {
"Sensor": [
"aggind:CID_VALUE:AGGREGATE_ID_VALUE",
"idpind:CID_VALUE:IDP_DETECTION_ID",
"ind:CID_VALUE:DETECTION_ID",
"uid:CID_VALUE:SOURCE_SID_VALUE"
]
},
"crawled_timestamp": "2022-11-15T13:58:17.251061883Z",
"created_timestamp": "2022-11-15T12:59:17.239585706Z",
"description": "A user received new privileges",
"display_name": "Privilege escalation (user)",
"end_time": "2022-11-15T12:58:15.629Z",
"falcon_host_link": "https://falcon.crowdstrike.com/identity-protection/detections/DETECTION_ID?cid=CID_VALUE",
"id": "ind:CID_VALUE:DETECTION_ID",
"name": "IdpEntityPrivilegeEscalationUser",
"objective": "Gain Access",
"pattern_id": 51113,
"previous_privileges": "0",
"privileges": "8321",
"product": "idp",
"scenario": "privilege_escalation",
"severity": 2,
"show_in_ui": true,
"source_account_domain": "EXAMPLE.LOCAL",
"source_account_name": "TEST_MAILBOX",
"source_account_object_sid": "S-1-5-21-3479765008-4256118348-3151044947-3595",
"start_time": "2022-11-15T12:58:15.629Z",
"status": "new",
"tactic": "Privilege Escalation",
"tactic_id": "TA0004",
"tags": [
"red_team"
],
"technique": "Valid Accounts",
"technique_id": "T1078",
"timestamp": "2022-11-15T12:58:17.239Z",
"type": "idp-user-endpoint-app-info",
"updated_timestamp": "2022-11-23T15:22:20.271100181Z"
}
出力メッセージ
[アラートの詳細を取得] アクションは、次の出力メッセージを返すことがあります。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Get Alert Details". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、[アラートの詳細を取得] アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
true または false |
イベント オフセットを取得
イベント オフセットを取得アクションを使用して、ストリーミング イベント コネクタで使用されるイベント オフセットを取得します。
このアクションにより、30 日前のイベントの処理が開始されます。
このアクションはエンティティに対しては実行されません。
アクション入力
[Get Event Offset] アクションには、次のパラメータが必要です。
| パラメータ | |
|---|---|
Max Events To Process |
必須
30 日前から処理する必要があるイベントの数。 デフォルト値は |
アクションの出力
[Get Event Offset] アクションは次の出力を提供します。
| アクションの出力タイプ | |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、イベント オフセットを取得アクションを使用した場合に受信する JSON 結果の出力について説明しています。
{
"offset": 100000
"timestamp": "<code><var>EVENT_TIMESTAMP</var></code>"
}
出力メッセージ
[Get Event Offset] アクションは、次の出力メッセージを提供します。
| 出力メッセージ | メッセージの説明 |
|---|---|
Successfully retrieved event offset in CrowdStrike Falcon.
|
アクションが成功しました。 |
Error executing action "Get Event
Offset". Reason: ERROR_REASON
|
操作を実行できませんでした。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、Get Event Offset アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
ホスト情報を取得する
ホスト情報を取得アクションを使用して、CrowdStrike Falcon からホスト名に関する情報を取得します。
このアクションは次のエンティティに対して実行されます。
- ホスト名
- IP アドレス
アクション入力
[ホスト情報を取得] アクションには、次のパラメータが必要です。
| パラメータ | |
|---|---|
Create Insight |
省略可 選択すると、アクションによってエンティティに関する情報を含む分析情報が作成されます。 デフォルトで選択されています。 |
アクションの出力
[Get Host Information] アクションは、次の出力を提供します。
| アクションの出力タイプ | |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| エンティティ拡充テーブル | 利用可能 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
エンティティ拡充
ホスト情報の取得アクションは、次のエンティティの拡充ロジックをサポートしています。
| 拡充フィールド | ロジック |
|---|---|
modified_timestamp |
JSON の結果に存在する場合に返す |
major_version |
JSON の結果に存在する場合に返す |
site_name |
JSON の結果に存在する場合に返す |
platform_id |
JSON の結果に存在する場合に返す |
config_id_platform |
JSON の結果に存在する場合に返す |
system_manufacturer |
JSON の結果に存在する場合に返す |
meta |
JSON の結果に存在する場合に返す |
first_seen |
JSON の結果に存在する場合に返す |
service_pack_minor |
JSON の結果に存在する場合に返す |
product_type_desc |
JSON の結果に存在する場合に返す |
build_number |
JSON の結果に存在する場合に返す |
hostname |
JSON の結果に存在する場合に返す |
config_id_build |
JSON の結果に存在する場合に返す |
minor_version |
JSON の結果に存在する場合に返す |
os_version |
JSON の結果に存在する場合に返す |
provision_status |
JSON の結果に存在する場合に返す |
mac_address |
JSON の結果に存在する場合に返す |
bios_version |
JSON の結果に存在する場合に返す |
agent_load_flags |
JSON の結果に存在する場合に返す |
status |
JSON の結果に存在する場合に返す |
bios_manufacturer |
JSON の結果に存在する場合に返す |
machine_domain |
JSON の結果に存在する場合に返す |
agent_local_time |
JSON の結果に存在する場合に返す |
slow_changing_modified_timestamp |
JSON の結果に存在する場合に返す |
service_pack_major |
JSON の結果に存在する場合に返す |
device_id |
JSON の結果に存在する場合に返す |
system_product_name |
JSON の結果に存在する場合に返す |
product_type |
JSON の結果に存在する場合に返す |
local_ip |
JSON の結果に存在する場合に返す |
external_ip |
JSON の結果に存在する場合に返す |
cid |
JSON の結果に存在する場合に返す |
platform_name |
JSON の結果に存在する場合に返す |
config_id_base |
JSON の結果に存在する場合に返す |
last_seen |
JSON の結果に存在する場合に返す |
pointer_size |
JSON の結果に存在する場合に返す |
agent_version |
JSON の結果に存在する場合に返す |
JSON の結果
次の例は、ホスト情報の取得アクションを使用した場合に受信する JSON 結果の出力を示しています。
[
{
"EntityResult": [
{
"modified_timestamp": "2019-01-17T13: 44: 57Z",
"major_version": "10",
"site_name": "Default-First-Site-Name",
"platform_id": "0",
"config_id_platform": "3",
"system_manufacturer": "ExampleInc.",
"meta": {
"version": "1111"
},
"first_seen": "2018-04-22T13: 06: 53Z",
"service_pack_minor": "0",
"product_type_desc": "Workstation",
"build_number": "111",
"hostname": "name",
"config_id_build": "8104",
"minor_version": "0",
"os_version": "Windows10",
"provision_status": "Provisioned",
"mac_address": "64-00-6a-2a-43-3f",
"bios_version": "1.2.1",
"agent_load_flags": "1",
"status": "normal",
"bios_manufacturer": "ExampleInc.",
"machine_domain": "Domain name",
"agent_local_time": "2019-01-14T19: 41: 09.738Z",
"slow_changing_modified_timestamp": "2019-01-14T17: 44: 40Z",
"service_pack_major": "0",
"device_id": "example-id",
"system_product_name": "OptiPlex7040",
"product_type": "1",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"cid": "example-cid",
"platform_name": "Windows",
"config_id_base": "65994753",
"last_seen": "2019-01-17T13: 44: 46Z",
"pointer_size": "8",
"agent_version": "4.18.8104.0",
"recent_logins": [
{
"user_name": "test",
"login_time": "2022-08-10T07:36:38Z"
},
{
"user_name": "test",
"login_time": "2022-08-10T07:36:35Z"
}
],
"online_status": "offline"
}
],
"Entity": "198.51.100.255"
}
]
出力メッセージ
[ホスト情報を取得] アクションでは、次の出力メッセージが表示されます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Get Host
Information". Reason: ERROR_REASON
|
操作を実行できませんでした。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、ホスト情報の取得アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
IOC でホストを取得する - 非推奨
CrowdStrike Falcon で IOC に関連するホストを一覧表示します。サポートされるエンティティ: ホスト名、URL、IP アドレス、ハッシュ。
注: ホスト名エンティティはドメイン IOC として扱われます。このアクションは、URL からドメイン部分を抽出します。MD5 ハッシュと SHA-256 ハッシュのみがサポートされています。
エンティティ
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
- URL
- ハッシュ
アクション入力
なし
アクションの出力
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"hash":
[{
"modified_timestamp": "2019-01-17T13: 44: 57Z",
"major_version": "10",
"site_name": "Example-Name",
"platform_id": "ExampleID",
"config_id_platform": "3",
"system_manufacturer": "ExampleInc.",
"meta": {"version": "49622"},
"first_seen": "2018-04-22T13: 06: 53Z",
"service_pack_minor": "0",
"product_type_desc": "Workstation",
"build_number": "14393",
"hostname": "name",
"config_id_build": "ExampleID",
"minor_version": "0",
"os_version": "Windows10",
"provision_status": "Provisioned",
"mac_address": "01:23:45:ab:cd:ef",
"bios_version": "1.2.1",
"agent_load_flags": "1",
"status": "normal",
"bios_manufacturer": "ExampleInc.",
"machine_domain": "Example Domain",
"Device_policies":
{
"sensor_update":
{
"applied": true,
"applied_date": "2018-12-11T23: 09: 18.071417837Z",
"settings_hash": "65994753|3|2|automatic",
"policy_type": "sensor-update",
"assigned_date": "2018-12-11T23: 08: 38.16990705Z",
"policy_id": "Example ID"
}
},
"agent_local_time": "2019-01-14T19: 41: 09.738Z",
"slow_changing_modified_timestamp": "2019-01-14T17: 44: 40Z",
"service_pack_major": "0", "device_id": "2653595a063e4566519ef4fc813fcc56",
"system_product_name": "OptiPlex7040",
"product_type": "1",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"platform_name": "Windows",
"config_id_base": "ExampleID",
"policies":
[{
"applied": true,
"applied_date": "2019-01-02T22: 45: 21.315392338Z",
"settings_hash": "18db1203",
"policy_type": "prevention",
"assigned_date": "2019-01-02T22: 45: 11.214774996Z",
"policy_id": "Example ID"
}],
"last_seen": "2019-01-17T13: 44: 46Z",
"pointer_size": "8",
"agent_version": "4.18.8104.0"
}]
}
エンティティ拡充
| 拡充フィールド | ロジック |
|---|---|
| modified_timestamp | JSON の結果に存在する場合に返す |
| major_version | JSON の結果に存在する場合に返す |
| site_name | JSON の結果に存在する場合に返す |
| platform_id | JSON の結果に存在する場合に返す |
| config_id_platform | JSON の結果に存在する場合に返す |
| system_manufacturer | JSON の結果に存在する場合に返す |
| メタ | JSON の結果に存在する場合に返す |
| first_seen | JSON の結果に存在する場合に返す |
| service_pack_minor | JSON の結果に存在する場合に返す |
| product_type_desc | JSON の結果に存在する場合に返す |
| build_number | JSON の結果に存在する場合に返す |
| hostname | JSON の結果に存在する場合に返す |
| config_id_build | JSON の結果に存在する場合に返す |
| minor_version | JSON の結果に存在する場合に返す |
| os_version | JSON の結果に存在する場合に返す |
| provision_status | JSON の結果に存在する場合に返す |
| mac_address | JSON の結果に存在する場合に返す |
| bios_version | JSON の結果に存在する場合に返す |
| agent_load_flags | JSON の結果に存在する場合に返す |
| 設定されます。 | JSON の結果に存在する場合に返す |
| bios_manufacturer | JSON の結果に存在する場合に返す |
| machine_domain | JSON の結果に存在する場合に返す |
| Device_policies | JSON の結果に存在する場合に返す |
| agent_local_time | JSON の結果に存在する場合に返す |
| slow_changing_modified_timestamp | JSON の結果に存在する場合に返す |
| service_pack_major | JSON の結果に存在する場合に返す |
| system_product_name | JSON の結果に存在する場合に返す |
| product_type | JSON の結果に存在する場合に返す |
| local_ip | JSON の結果に存在する場合に返す |
| external_ip | JSON の結果に存在する場合に返す |
| cid | JSON の結果に存在する場合に返す |
| platform_name | JSON の結果に存在する場合に返す |
| config_id_base | JSON の結果に存在する場合に返す |
| ポリシー | JSON の結果に存在する場合に返す |
| last_seen | JSON の結果に存在する場合に返す |
| pointer_size | JSON の結果に存在する場合に返す |
| agent_version | JSON の結果に存在する場合に返す |
エンティティのインサイト
なし
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行が停止したりすることはありません。 成功し、指定された IOC に関連するホストが少なくとも 1 つ見つかった場合(is_success=true): 「CrowdStrike Falcon で指定された IOC に関連するホストが正常に取得されました。」 関連するホストが見つからない場合(is_success=false): 「CrowdStrike Falcon で指定された IOC に関連するホストが見つかりませんでした。」 アクションが失敗し、ハンドブックの実行が停止します。 重大なエラーが報告された場合: 「アクション「{アクション名}」の実行中にエラーが発生しました。理由: {トレースバック}。」 |
全般 |
IOC でプロセス名を取得 - 非推奨
CrowdStrike Falcon で、IOC と指定されたデバイスに関連するプロセスを取得します。サポートされるエンティティ: ホスト名、URL、IP アドレス、ハッシュ。
注: ホスト名エンティティはドメイン IOC として扱われます。このアクションは、URL からドメイン部分を抽出します。MD5、SHA-1、SHA-256 ハッシュのみがサポートされています。IP アドレス エンティティは IOC として扱われます。
パラメータ
| パラメータ名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| デバイス名 | 11 | なし | はい | エンティティに関連するプロセスを取得するデバイスのカンマ区切りのリストを指定します。 |
実行
このアクションは次のエンティティに対して実行されます。
- ホスト名
- URL
- ハッシュ
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"EntityResult":
[{
"Process Name": "example.exe",
"Indicator": "986a4715113359b527b15efe1ee09306", "Host Name": "example-name"
},{
"Process Name": "example.exe",
"Indicator": "986a4715113359b527b15efe1ee09306",
"Host Name": "example-name"
},{
"Process Name": "example.exe",
"Indicator": "986a4715113359b527b15efe1ee09306",
"Host Name": "example-name"
}],
"Entity": "example_entity"
}
エンティティ拡充
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| プロセス名 | JSON の結果に存在する場合に返す |
| インジケーター | JSON の結果に存在する場合に返す |
| ホスト名 | JSON の結果に存在する場合に返す |
エンティティの分析情報
なし
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行が停止したりすることはありません。 少なくとも 1 つのエンドポイントでエンティティに関連するプロセスが見つかった場合(is_success=true): 「CrowdStrike Falcon の次のエンドポイントで IOC に関連するプロセスが正常に取得されました: {デバイス名}。」 少なくとも 1 つのエンドポイントでプロセスが見つからない場合、またはデバイスが見つからない場合(is_success=true): 「CrowdStrike Falcon の次のエンドポイントで関連するプロセスが見つかりませんでした: {デバイス名}。」 すべてのエンドポイントでプロセスが見つからない場合、またはデバイスが見つからない場合(is_success=false): 「CrowdStrike Falcon で、指定されたエンドポイントに関連するプロセスが見つかりませんでした。 アクションが失敗し、ハンドブックの実行が停止します: 重大なエラーが報告された場合: 「「{アクション名}」の実行中にエラーが発生しました。理由: {トレースバック}。」 |
Vertex の詳細を取得する
[Get Vertex Details] アクションを使用して、特定のインジケーターに関連付けられているすべてのプロパティを一覧表示します。
Google SecOps エンティティは IOC とみなされます。
このアクションは次のエンティティに対して実行されます。
- ホスト名
- URL
- ハッシュ
アクション入力
なし
アクションの出力
[Get Vertex Details] アクションは、次の出力を提供します。
| アクションの出力タイプ | |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| エンティティ拡充テーブル | 利用可能 |
| JSON の結果 | 利用可能 |
| スクリプトの結果 | 利用可能 |
エンティティ拡充
[Get Vertex Details] アクションは、次の拡充をサポートしています。
| 拡充フィールド | ロジック |
|---|---|
vertex_type |
JSON の結果に存在する場合に返す |
timestamp |
JSON の結果に存在する場合に返す |
object_id |
JSON の結果に存在する場合に返す |
properties |
JSON の結果に存在する場合に返す |
edges |
JSON の結果に存在する場合に返す |
scope |
JSON の結果に存在する場合に返す |
customer_id |
JSON の結果に存在する場合に返す |
id |
JSON の結果に存在する場合に返す |
device_id |
JSON の結果に存在する場合に返す |
JSON の結果
次の例は、Vertex の詳細を取得アクションを使用した場合に受信する JSON 結果の出力を示しています。
[{
"EntityResult":
[{
"vertex_type": "module",
"timestamp": "2019-01-17T10: 52: 40Z",
"object_id":"example_id",
"properties":
{
"SHA256HashData": "7afb56dd48565c3c9804f683c80ef47e5333f847f2d3211ec11ed13ad36061e1",
"MD5HashData": "54cb91395cdaad9d47882533c21fc0e9",
"SHA1HashData": "3b1333f826e5fe36395042fe0f1b895f4a373f1b"
},
"edges":
{
"primary_module":
[{
"direction": "in",
"timestamp": "2019-01-13T10: 58: 51Z",
"object_id": "example-id",
"id": "pid: cb4493e4af2742b068efd16cb48b7260: 3738513791849",
"edge_type": "primary_module",
"path": "example-path",
"scope": "device",
"properties": {},
"device_id": "example-id"
}]
},
"scope": "device",
"customer_id": "example-id",
"id": "mod: cb4493e4af2742b068efd16cb48b7260: 7afb56dd48565c3c9804f683c80ef47e5333f847f2d3211ec11ed13ad36061e1",
"device_id": "example-id"
}],
"Entity": "198.51.100.255"
}]
スクリプトの結果
次の表に、Vertex の詳細を取得アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
Lift Contained Endpoint
[Lift Contained Endpoint] アクションを使用して、CrowdStrike Falcon でエンドポイントの封じ込めを解除します。
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクション入力
[Lift Contained Endpoint] アクションには、次のパラメータが必要です。
| パラメータ | |
|---|---|
Fail If Timeout |
必須
選択されている場合、すべてのエンドポイントで封じ込めが解除されないと、アクションは失敗します。 デフォルトで選択されています。 |
アクションの出力
[Lift Contained Endpoint] アクションでは、次の出力が提供されます。
| アクションの出力タイプ | |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| エンティティ拡充テーブル | 利用可能 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
エンティティ拡充
Lift Contained Endpoint アクションは、次のエンティティの拡充をサポートしています。
| 拡充フィールド | ロジック |
|---|---|
status |
JSON の結果に存在する場合に返す |
modified_timestamp |
JSON の結果に存在する場合に返す |
major_version |
JSON の結果に存在する場合に返す |
config_id_platform |
JSON の結果に存在する場合に返す |
system_manufacturer |
JSON の結果に存在する場合に返す |
device_policies |
JSON の結果に存在する場合に返す |
meta |
JSON の結果に存在する場合に返す |
pointer_size |
JSON の結果に存在する場合に返す |
last_seen |
JSON の結果に存在する場合に返す |
agent_local_time |
JSON の結果に存在する場合に返す |
first_seen |
JSON の結果に存在する場合に返す |
service_pack_major |
JSON の結果に存在する場合に返す |
slow_changing_modified_timestamp |
JSON の結果に存在する場合に返す |
service_pack_minor |
JSON の結果に存在する場合に返す |
system_product_name |
JSON の結果に存在する場合に返す |
product_type_desc |
JSON の結果に存在する場合に返す |
build_number |
JSON の結果に存在する場合に返す |
cid |
JSON の結果に存在する場合に返す |
local_ip |
JSON の結果に存在する場合に返す |
external_ip |
JSON の結果に存在する場合に返す |
hostname |
JSON の結果に存在する場合に返す |
config_id_build |
JSON の結果に存在する場合に返す |
minor_version |
JSON の結果に存在する場合に返す |
platform_id |
JSON の結果に存在する場合に返す |
os_version |
JSON の結果に存在する場合に返す |
config_id_base |
JSON の結果に存在する場合に返す |
provision_status |
JSON の結果に存在する場合に返す |
mac_address |
JSON の結果に存在する場合に返す |
bios_version |
JSON の結果に存在する場合に返す |
platform_name |
JSON の結果に存在する場合に返す |
agent_load_flags |
JSON の結果に存在する場合に返す |
device_id |
JSON の結果に存在する場合に返す |
product_type |
JSON の結果に存在する場合に返す |
agent_version |
JSON の結果に存在する場合に返す |
JSON の結果
次の例では、Lift Contained Endpoint アクションを使用した場合に受信する JSON 結果の出力を示します。
{
"EntityResult":
{
"status": "contained",
"modified_timestamp": "2019-06-24T07:47:37Z",
"major_version": "6", "policies":
[{
"applied": "True",
"applied_date": "2019-04-29T07:40:06.876850888Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-29T07:39:55.218651583Z",
"policy_id": ""
}],
"config_id_platform": "example-id",
"bios_manufacturer": "Example Inc.",
"system_manufacturer": "Example Corporation",
"Device_policies":
{
"global_config":
{
"applied": "True",
"applied_date": "2019-06-03T23:24:04.893780991Z",
"settings_hash": "a75911b0",
"policy_type": "globalconfig",
"assigned_date": "2019-06-03T23:23:17.184432743Z",
"policy_id": ""
},
"Sensor_update":
{
"applied": "True",
"applied_date": "2019-05-30T23:13:55.23597658Z",
"settings_hash": "65994753|3|2|automatic;101",
"uninstall_protection": "ENABLED",
"policy_type": "sensor-update",
"assigned_date": "2019-05-30T23:04:31.485311459Z",
"policy_id": "9d1e405846de4ebdb63f674866d390dc"
},
"Prevention":
{
"applied": "True",
"applied_date": "2019-04-29T07:40:06.876850888Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-29T07:39:55.218651583Z",
"policy_id": ""
},
"device_control":
{
"applied": "True",
"applied_date": "2019-06-03T23:14:29.800434222Z",
"policy_type": "device-control",
"assigned_date": "2019-06-03T23:05:17.425127539Z",
"policy_id": ""
},
"Remote_response":
{
"applied": "True",
"applied_date": "2019-04-29T07:40:04.469808388Z",
"settings_hash": "f472bd8e",
"policy_type": "remote-response",
"assigned_date": "2019-04-29T07:39:55.218642441Z",
"policy_id": ""
}
},
"meta":
{"version": "12765"},
"pointer_size": "8",
"last_seen": "2019-06-24T07:45:34Z",
"agent_local_time": "2019-06-18T12:17:06.259Z",
"first_seen": "2019-04-29T07:39:45Z",
"service_pack_major": "0",
"slow_changing_modified_timestamp": "2019-06-23T11:20:42Z",
"service_pack_minor": "0",
"system_product_name":"Virtual Machine",
"product_type_desc": "Server",
"build_number": "9600",
"cid": "",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"hostname": "example-hostname",
"config_id_build": "9106",
"minor_version": "3",
"platform_id": "0",
"os_version": "Windows Server 2012 R2",
"config_id_base": "example-id",
"provision_status": "Provisioned",
"mac_address": "01-23-45-ab-cd-ef",
"bios_version": "090007 ",
"platform_name": "Windows",
"agent_load_flags": "1",
"device_id": "",
"product_type": "3",
"agent_version": "5.10.9106.0"
},
"Entity": "198.51.100.255"
}
出力メッセージ
[Lift Contained Endpoint] アクションでは、次の出力メッセージが表示されます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Waiting for containment lift to finish for the following
endpoints: ENTITY_ID |
非同期メッセージ。 |
Error executing action "Lift
Contained Endpoint". Reason: the following endpoints initiated containment
lift, but were not able to finish it during action execution:
ENTITY_ID |
操作を実行できませんでした。 エンドポイントのステータスと |
Error executing action "Lift Contained Endpoint". Reason:
ERROR_REASON |
操作を実行できませんでした。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、Lift Contained Endpoint アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
ホストの脆弱性を一覧表示する
ホストの脆弱性の一覧表示アクションを使用して、CrowdStrike Falcon でホストで見つかった脆弱性の一覧を取得します。
この操作には、Falcon Spotlight のライセンスと権限が必要です。
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクション入力
ホストの脆弱性を一覧表示アクションには、次のパラメータが必要です。
| パラメータ | |
|---|---|
Severity Filter |
省略可 脆弱性の重大度のカンマ区切りリスト。 値を指定しないと、アクションは関連するすべての脆弱性を取り込みます。 値は次のいずれかになります。
|
Create Insight |
省略可 選択すると、関連する脆弱性に関する統計情報を含むエンティティごとに分析情報が作成されます。 デフォルトで選択されています。 |
Max Vulnerabilities To Return |
省略可 単一ホストに対して返す脆弱性の数。 値を指定しない場合、アクションは関連するすべての脆弱性を処理します。 デフォルト値は |
アクションの出力
ホストの脆弱性を一覧表示するアクションは、次の出力を提供します。
| アクションの出力タイプ | |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用可能 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
ケースウォール テーブル
ケースウォールで [ホストの脆弱性を一覧表示] アクションを実行すると、次の表が表示されます。
タイプ: エンティティ
列:
- 名前
- スコア
- 重大度
- ステータス
- アプリ
- Has Remediation
JSON の結果
次の例は、ホストの脆弱性を一覧表示アクションを使用した場合に受信する JSON 結果の出力を示しています。
{
"statistics": {
"total": 123,
"severity": {
"critical": 1,
"high": 1,
"medium": 1,
"low": 1,
"unknown": 1
},
"status": {
"open": 1,
"reopened": 1
},
"has_remediation": 1
},
"details": [
{
"id": "74089e36ac3a4271ab14abc076ed18eb_fff6de34c1b7352babdf7c7d240749e7",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"aid": "74089e36ac3a4271ab14abc076ed18eb",
"created_timestamp": "2021-05-12T22:45:47Z",
"updated_timestamp": "2021-05-12T22:45:47Z",
"status": "open",
"cve": {
"id": "CVE-2021-28476",
"base_score": 9.9,
"severity": "CRITICAL",
"exploit_status": 0
},
"app": {
"product_name_version": "Example 01"
},
"apps": [
{
"product_name_version": "Example 01",
"sub_status": "open",
"remediation": {
"ids": [
"acc34cd461023ff8a966420fa8839365"
]
}
}
],
"host_info": {
"hostname": "example-hostname",
"local_ip": "192.0.2.1",
"machine_domain": "",
"os_version": "Windows 10",
"ou": "",
"site_name": "",
"system_manufacturer": "Example Inc.",
"groups": [],
"tags": [],
"platform": "Windows"
},
"remediation": [
{
"id": "acc34cd461023ff8a966420fa8839365",
"reference": "KB5003169",
"title": "Update Microsoft Windows 10 1909",
"action": "Install patch for Microsoft Windows 10 1909 x64 (Workstation): Security Update ABCDEF",
"link": "https://example.com/ABCDEF"
}
]
}
]
}
出力メッセージ
[ホストの脆弱性を一覧表示] アクションでは、次の出力メッセージが表示されます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "List Host Vulnerabilities". Reason:
ERROR_REASON |
操作を実行できませんでした。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
Error executing action "List Host
Vulnerabilities". Reason: Invalid value provided in the Severity Filter
parameter. Possible values: Critical, High, Medium, Low, Unknown.
|
操作を実行できませんでした。
|
スクリプトの結果
次の表に、ホストの脆弱性を一覧表示アクションを使用する場合のスクリプト結果の出力値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
ホストの一覧表示
ホストの一覧表示アクションを使用して、CrowdStrike Falcon で使用可能なホストを一覧表示します。
このアクションはすべてのエンティティに対して実行されます。
アクション入力
[ホストを一覧表示] アクションには、次のパラメータが必要です。
| パラメータ | |
|---|---|
Filter Logic |
省略可 ホストの検索時に使用するロジック。 デフォルト値は
|
Filter Value |
省略可 ホスト フィルタリングに使用する値。 |
Max Hosts To Return |
省略可 返すホストの数。 デフォルト値は 最大値は |
アクションの出力
[ホストを一覧表示] アクションは、次の出力を提供します。
| アクションの出力タイプ | |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、ホストを一覧表示アクションを使用した場合に受信する JSON 結果の出力を示しています。
[{
"modified_timestamp": "2019-05-15T15:03:12Z",
"platform_id": "0",
"config_id_platform": "3",
"system_manufacturer": "Example Corporation",
"meta": {"version": "4067"},
"first_seen": "2019-04-29T07:39:45Z",
"service_pack_minor": "0",
"product_type_desc": "Server",
"build_number": "9600",
"hostname": "example-hostname",
"config_id_build": "8904",
"minor_version": "3",
"os_version": "Windows Server 2012 R2",
"provision_status": "Provisioned",
"mac_address": "01:23:45:ab:cd:ef",
"bios_version": "090007 ",
"agent_load_flags": "0",
"status": "normal",
"bios_manufacturer": "Example Inc.",
"device_policies":
{
"Sensor_update":
{
"applied": true,
"applied_date": "2019-05-02T22:05:09.577000651Z",
"settings_hash": "65994753|3|2|automatic",
"policy_type": "sensor-update",
"assigned_date": "2019-05-02T22:03:36.804382667Z",
"policy_id": "9d1e405846de4ebdb63f674866d390dc"
},
"remote_response":
{
"applied": true,
"applied_date": "2019-04-29T07:40:04.469808388Z",
"settings_hash": "f472bd8e",
"policy_type": "remote-response",
"assigned_date": "2019-04-29T07:39:55.218642441Z",
"policy_id": "21e4fb4dedd74c6fb0bcd6a348aa046c"
},
"device_control":
{
"applied": true,
"applied_date": "2019-04-29T07:40:06.896362608Z",
"assigned_date": "2019-04-29T07:39:55.218637999Z",
"policy_type": "device-control",
"policy_id": "c360df7193364b23aa4fc47f0238c899"
},
"prevention":
{
"applied": true,
"applied_date": "2019-04-29T07:40:06.876850888Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-29T07:39:55.218651583Z",
"policy_id": "7efdf97d7805402186b61151e8abd745"
},
"global_config":
{
"applied": true,
"applied_date": "2019-04-29T07:45:18.94807838Z",
"settings_hash": "3d78f9ab",
"policy_type": "globalconfig",
"assigned_date": "2019-04-29T07:45:08.165941325Z",
"policy_id": "985b1a25afcb489ea442d2d1430b1679"
}
},
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"agent_local_time": "2019-05-02T22:05:00.015Z",
"slow_changing_modified_timestamp": "2019-05-02T22:05:09Z",
"service_pack_major": "0",
"device_id": "0ab8bc6d968b473b72a5d11a41a24c21",
"system_product_name": "Virtual Machine",
"product_type": "3",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"major_version": "6",
"platform_name": "Windows",
"config_id_base": "65994753",
"policies":
[{
"applied": true,
"applied_date": "2019-04-29T07:40:06.876850888Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-29T07:39:55.218651583Z",
"policy_id": "7efdf97d7805402186b61151e8abd745"
}],
"agent_version": "4.26.8904.0",
"pointer_size": "8",
"last_seen": "2019-05-15T15:01:23Z"
},
{
"modified_timestamp": "2019-05-13T07:24:36Z",
"site_name": "Example-Site-Name",
"config_id_platform": "3",
"system_manufacturer": "Example Inc.",
"meta": {"version": "14706"},
"first_seen": "2018-04-17T11:02:20Z",
"platform_name": "Windows",
"service_pack_minor": "0",
"product_type_desc": "Workstation",
"build_number": "17134",
"hostname": "example-hostname",
"config_id_build": "8904",
"minor_version": "0",
"os_version": "Windows 10",
"provision_status": "Provisioned",
"mac_address": "01:23:45:ab:cd:ef",
"bios_version": "1.6.5",
"agent_load_flags": "0",
"status": "normal",
"bios_manufacturer": "Example Inc.",
"machine_domain": "example.com",
"device_policies":
{
"sensor_update":
{
"applied": true,
"applied_date": "2019-05-05T12:52:23.121596885Z",
"settings_hash": "65994753|3|2|automatic",
"policy_type": "sensor-update",
"assigned_date": "2019-05-05T12:51:37.544605747Z",
"policy_id": "9d1e405846de4ebdb63f674866d390dc"
},
"Remote_response":
{
"applied": true,
"applied_date": "2019-02-10T07:57:59.064362539Z",
"settings_hash": "f472bd8e",
"policy_type": "remote-response",
"assigned_date": "2019-02-10T07:57:50.610924385Z",
"policy_id": "21e4fb4dedd74c6fb0bcd6a348aa046c"
},
"device_control":
{
"applied": true,
"applied_date": "2019-03-25T15:01:28.51681072Z",
"assigned_date": "2019-03-25T15:00:22.442519168Z",
"policy_type": "device-control",
"policy_id": "c360df7193364b23aa4fc47f0238c899"
},
"Prevention":
{
"applied": true,
"applied_date": "2019-04-04T06:54:06.909774295Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-04T06:53:57.135897343Z",
"policy_id": "7efdf97d7805402186b61151e8abd745"
},
"global_config":
{
"applied": true,
"applied_date": "2019-02-10T07:57:53.70275875Z",
"settings_hash": "3d78f9ab",
"policy_type": "globalconfig",
"assigned_date": "2019-02-10T07:57:50.610917888Z",
"policy_id": "985b1a25afcb489ea442d2d1430b1679"
}
},
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"agent_local_time": "2019-05-05T15:52:08.172Z",
"slow_changing_modified_timestamp": "2019-05-12T12:37:35Z",
"service_pack_major": "0",
"device_id": "cb4493e4af2742b068efd16cb48b7260",
"system_product_name": "example-name",
"product_type": "1",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"major_version": "10",
"platform_id": "0",
"config_id_base": "65994753",
"policies":
[{
"applied": true,
"applied_date": "2019-04-04T06:54:06.909774295Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-04T06:53:57.135897343Z",
"policy_id": "7efdf97d7805402186b61151e8abd745"
}],
"agent_version": "4.26.8904.0",
"pointer_size": "8",
"last_seen": "2019-05-13T07:21:30Z"
},
{
"modified_timestamp": "2019-05-09T14:22:50Z",
"site_name": "Example-Site-Name",
"config_id_platform": "3",
"system_manufacturer": "Dell Inc.",
"meta": {"version": "77747"},
"first_seen": "2018-07-01T12:19:23Z",
"platform_name": "Windows",
"service_pack_minor": "0",
"product_type_desc": "Workstation",
"build_number": "17134",
"hostname":"example-hostname",
"config_id_build": "8904",
"minor_version": "0",
"os_version": "Windows 10",
"provision_status": "Provisioned",
"mac_address": "01:23:45:ab:cd:ef",
"bios_version": "1.2.1",
"agent_load_flags": "0",
"status": "normal",
"bios_manufacturer": "Example Inc.",
"machine_domain": "example.com",
"device_policies":
{
"sensor_update":
{
"applied": true,
"applied_date": "2019-05-02T22:10:50.336101107Z",
"settings_hash": "65994753|3|2|automatic",
"policy_type": "sensor-update",
"assigned_date": "2019-05-02T22:10:50.336100731Z",
"policy_id": "9d1e405846de4ebdb63f674866d390dc"
},
"remote_response":
{
"applied": true,
"applied_date": "2019-02-08T02:46:31.919442939Z",
"settings_hash": "f472bd8e",
"policy_type": "remote-response",
"assigned_date": "2019-02-08T02:46:22.219718098Z",
"policy_id": "21e4fb4dedd74c6fb0bcd6a348aa046c"
},
"device_control":
{
"applied": true,
"applied_date": "2019-03-24T16:43:31.777981725Z",
"assigned_date": "2019-03-24T16:42:21.395540493Z",
"policy_type": "device-control",
"policy_id": "c360df7193364b23aa4fc47f0238c899"
},
"prevention":
{
"applied": true,
"applied_date": "2019-04-03T23:58:50.870694195Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-03T23:57:22.534513932Z",
"policy_id": "7efdf97d7805402186b61151e8abd745"
},
"global_config":
{
"applied": true,
"applied_date": "2019-02-08T01:14:14.810607774Z",
"settings_hash": "3d78f9ab",
"policy_type": "globalconfig",
"assigned_date": "2019-02-08T01:14:05.585922067Z",
"policy_id": "985b1a25afcb489ea442d2d1430b1679"
}
},
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"agent_local_time": "2019-05-03T01:10:29.340Z",
"slow_changing_modified_timestamp": "2019-05-02T22:10:46Z",
"service_pack_major": "0",
"device_id": "1c2f1a7f88f8457f532f1c615f07617b",
"system_product_name": "Example Name",
"product_type": "1",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"major_version": "10",
"platform_id": "0",
"config_id_base": "65994753",
"policies":
[{
"applied": true,
"applied_date": "2019-04-03T23:58:50.870694195Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-03T23:57:22.534513932Z",
"policy_id": "7efdf97d7805402186b61151e8abd745"
}],
"agent_version": "4.26.8904.0",
"pointer_size": "8",
"last_seen": "2019-05-09T14:20:53Z"
}]
出力メッセージ
[ホストを一覧表示] アクションでは、次の出力メッセージが表示されます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "List Hosts".
Reason: ERROR_REASON |
操作を実行できませんでした。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、ホストを一覧表示アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
アップロードされた IOC のリストを取得する
[List Uploaded IOCs] アクションを使用して、CrowdStrike Falcon で使用可能なカスタム IOC を一覧表示します。
このアクションはすべてのエンティティに対して実行されます。
アクション入力
[List Uploaded IOCs] アクションには、次のパラメータが必要です。
| パラメータ | |
|---|---|
IOC Type Filter |
省略可 返す IOC タイプのカンマ区切りのリスト。 デフォルト値は
|
Value Filter Logic |
省略可 フィルタ ロジックの値。 デフォルト値は
|
Value Filter String |
省略可 IOC の検索対象となる文字列。 |
Max IOCs To Return |
省略可 返す IOC の数。 デフォルト値は 最大値は 500 です。 |
アクションの出力
[List Uploaded IOCs] アクションは、次の出力を提供します。
| アクションの出力タイプ | |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用可能 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
ケースウォール テーブル
ケースウォールで [アップロードされた IOC の一覧] アクションを実行すると、次の表が表示されます。
列:
- アクション
- 重大度
- 署名済み
- AV ヒット数
- プラットフォーム
- タグ
- 作成日
- 作成者
JSON の結果
次の例は、アップロードされた IOC の一覧表示アクションを使用した場合に受信する JSON 結果の出力について説明しています。
{
"id": "fbe8c2739f3c6df95e62e0ae54569974437b2d9306eaf6740134ccf1a05e23d3",
"type": "sha256",
"value": "8a86c4eecf12446ff273afc03e1b3a09a911d0b7981db1af58cb45c439161295",
"action": "no_action",
"severity": "",
"metadata": {
"signed": false,
"av_hits": -1
},
"platforms": [
"windows"
],
"tags": [
"Hashes 22.Nov.20 15:29 (Windows)"
],
"expired": false,
"deleted": false,
"applied_globally": true,
"from_parent": false,
"created_on": "2021-04-22T03:54:09.235120463Z",
"created_by": "internal@example.com",
"modified_on": "2021-04-22T03:54:09.235120463Z",
"modified_by": "internal@example.com"
}
出力メッセージ
[List Uploaded IOCs] アクションでは、次の出力メッセージが表示されます。
| 出力メッセージ | メッセージの説明 |
|---|---|
Successfully found custom IOCs for the provided criteria in
CrowdStrike Falcon. |
アクションが成功しました。 |
Error executing action "List Uploaded IOCs". Reason:
ERROR_REASON |
操作を実行できませんでした。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
Error executing action "List Uploaded IOCs". Reason: "IOC Type
Filter" contains an invalid value. Please check the spelling. Possible
values: ipv4, ipv6, md5, sha1, sha256, domain. |
操作を実行できませんでした。 スペルと |
スクリプトの結果
次の表に、[アップロードされた IOC を一覧表示] アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
オンデマンド スキャン
CrowdStrike で [オンデマンド スキャン] アクションを使用して、エンドポイントをオンデマンドでスキャンします。
このアクションは、Windows ホストと次のエンティティに対してのみ実行されます。
- IP アドレス
- ホスト名
[オンデマンド スキャン] アクションは非同期で実行されます。必要に応じて、Google SecOps IDE でスクリプト タイムアウト値を調整します。
アクション入力
[オンデマンド スキャン] アクションには、次のパラメータが必要です。
| パラメータ | |
|---|---|
File Paths To Scan |
必須 スキャンするパスのカンマ区切りのリスト。 デフォルト値は |
File Paths To Exclude From Scan |
Optional スキャンから除外するパスのカンマ区切りのリスト。 |
Host Group Name |
Optional スキャンを開始するホスト グループ名のカンマ区切りリスト。 このアクションにより、ホストグループごとに個別のスキャン プロセスが作成されます。 |
Scan Description |
Optional スキャン プロセスで使用する説明。値を設定しない場合、アクションは説明を |
CPU Priority |
Optional スキャン中に基盤となるホストで使用する CPU の量。次の値を指定できます。
デフォルト値は |
Sensor Anti-malware Detection Level |
Optional センサーのマルウェア対策検出レベルの値。検出レベルは、防止レベル以上である必要があります。次の値を指定できます。
デフォルト値は |
Sensor Anti-malware Prevention Level |
Optional センサーのマルウェア対策レベルの値。 検出レベルは、防止レベル以上である必要があります。次の値を指定できます。
デフォルト値は |
Cloud Anti-malware Detection Level |
Optional クラウドのマルウェア検出レベルの値。検出レベルは、防止レベル以上である必要があります。次の値を指定できます。
デフォルト値は |
Cloud Anti-malware Prevention Level |
Optional クラウド マルウェア防止レベルの値。検出レベルは、防止レベル以上である必要があります。次の値を指定できます。
デフォルト値は |
Quarantine Hosts |
Optional 選択すると、スキャンの一環として、基盤となるホストが隔離されます。 デフォルトでは選択されていません。 |
Create Endpoint Notification |
Optional 選択すると、スキャン プロセスでエンドポイント通知が作成されます。 デフォルトで選択されています。 |
Max Scan Duration |
Optional スキャンを実行する時間数。 値を指定しない場合、スキャンは継続的に実行されます。 |
アクションの出力
[オンデマンド スキャン] アクションでは、次の出力が提供されます。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、オンデマンド スキャン アクションを使用したときに受信される JSON 結果の出力について説明しています。
{
"id": "ID",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"profile_id": "c94149b9a52d4c76b027e63a88dcc710",
"description": "test APIS ",
"file_paths": [
"C:\\Windows"
],
"initiated_from": "falcon_adhoc",
"quarantine": true,
"cpu_priority": 1,
"preemption_priority": 1,
"metadata": [
{
"host_id": "HOST_ID",
"host_scan_id": "909262bd2fff664282a46464d8625a62",
"scan_host_metadata_id": "815dae51d8e543108ac01f6f139f42b1",
"filecount": {
"scanned": 16992,
"malicious": 0,
"quarantined": 0,
"skipped": 124998,
"traversed": 198822
},
"status": "completed",
"started_on": "2024-02-05T13:55:45.25066635Z",
"completed_on": "2024-02-05T14:11:18.092427363Z",
"last_updated": "2024-02-05T14:11:18.092431457Z"
}
],
"filecount": {
"scanned": 16992,
"malicious": 0,
"quarantined": 0,
"skipped": 124998,
"traversed": 198822
},
"targeted_host_count": 1,
"completed_host_count": 1,
"status": "completed",
"hosts": [
"86db81f390394cb080417a1ffb7d46fd"
],
"endpoint_notification": true,
"pause_duration": 2,
"max_duration": 1,
"max_file_size": 60,
"sensor_ml_level_detection": 2,
"sensor_ml_level_prevention": 2,
"cloud_ml_level_detection": 2,
"cloud_ml_level_prevention": 2,
"policy_setting": [
26439818674573,
],
"scan_started_on": "2024-02-05T13:55:45.25Z",
"scan_completed_on": "2024-02-05T14:11:18.092Z",
"created_on": "2024-02-05T13:55:43.436807525Z",
"created_by": "88f5d9e8284f4b85b92dab2389cb349d",
"last_updated": "2024-02-05T14:14:18.776620391Z"
}
出力メッセージ
[オンデマンド スキャン] アクションでは、次の出力メッセージが表示されます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
|
操作を実行できませんでした。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、オンデマンド スキャン アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
Ping
Ping アクションを使用して、CrowdStrike Falcon への接続をテストします。
このアクションはすべてのエンティティに対して実行されます。
アクション入力
なし
アクションの出力
[Ping] アクションでは、次の出力が提供されます。
| アクションの出力タイプ | |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用不可 |
| スクリプトの結果 | 利用可能 |
スクリプトの結果
次の表に、Ping アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
スクリプトを実行する
[Run Script] アクションを使用して、CrowdStrike のエンドポイントで PowerShell スクリプトを実行します。
このアクションは非同期です。必要に応じて、Google SecOps IDE でスクリプト タイムアウト値を調整します。
このアクションは IP アドレス エンティティとホスト名エンティティに対して実行されます。
アクション入力
[Run Script] アクションには、次のパラメータが必要です。
| パラメータ | |
|---|---|
Customer ID |
Optional アクションを実行する顧客の ID。 |
Script Name |
Optional 実行するスクリプト ファイルの名前。
|
Raw Script |
Optional エンドポイントで実行する未加工の PowerShell スクリプト ペイロード。
|
アクションの出力
[スクリプトを実行] アクションでは、次の出力が提供されます。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用不可 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
出力メッセージ
ケースウォールで [Run Script] アクションを実行すると、次の出力メッセージが表示されます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
|
操作を実行できませんでした。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、スクリプトを実行アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
検索イベント
このアクションを使用して、CrowdStrike でイベントを検索します。注: アクションは非同期として実行されます。必要に応じて、アクションの Google SecOps IDE でスクリプト タイムアウト値を調整してください。
このアクションはエンティティに対しては実行されません。
アクション入力
検索イベント アクションには、次のパラメータが必要です。
| パラメータ | |
|---|---|
Repository |
必須
検索するリポジトリ。 次の値を指定できます。
|
Query |
必須
CrowdStrike で実行する必要があるクエリ。注: クエリの一部として「head」を指定しないでください。アクションは、「返される最大結果数」パラメータで指定された値に基づいて、この値を自動的に提供します。 |
Time Frame |
省略可 結果の時間枠。「カスタム」を選択した場合は、「開始時刻」も指定する必要があります。 [Last Hour] の値は次のとおりです。
|
Start Time |
省略可 結果の開始時刻。[期間] パラメータで [カスタム] が選択されている場合、このパラメータは必須です。 形式: ISO 8601。 |
End Time |
省略可 クエリに対して返す結果の数。アクションは、指定されたクエリに「head」を追加します。 デフォルト: 50。 最大数は 1,000 です。 |
アクションの出力
[イベントを検索] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
出力メッセージ
ケースウォールで [イベントを検索] アクションを実行すると、次の出力メッセージが表示されます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
|
アクションが失敗したり、ハンドブックの実行が停止したりすることはありません。 |
|
|
操作を実行できませんでした。 |
スクリプトの結果
次の表に、イベントを検索アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
ファイルの送信
Submit File アクションを使用して、CrowdStrike のサンドボックスにファイルを送信します。
この操作には Falcon Sandbox ライセンスが必要です。
このアクションはエンティティに対しては実行されません。
サポートされているファイル形式とアーカイブ形式
CrowdStrike ポータルによると、サンドボックスは次のファイル形式をサポートしています。
| サポートされているファイル形式 | |
|---|---|
.exe、.scr、.pif、.dll、.com、.cpl |
ポータブル実行可能ファイル |
.doc、.docx、.ppt、.pps、.pptx、.ppsx、.xls、.xlsx、.rtf、.pub |
Office ドキュメント |
.pdf |
|
.apk |
APK |
.jar |
実行可能な JAR |
.sct |
Windows スクリプト コンポーネント |
.lnk |
Windows ショートカット |
.chm |
Windows ヘルプ |
.hta |
HTML アプリケーション |
.wsf |
Windows スクリプト ファイル |
.js |
JavaScript |
.vbs、.vbe |
Visual Basic |
.swf |
Shockwave Flash |
.pl |
Perl |
.ps1、.psd1、.psm1 |
Powershell |
.svg |
スケーラブル ベクター グラフィック |
.py |
Python |
.elf |
Linux ELF 実行可能ファイル |
.eml |
メールファイル: MIME RFC 822 |
.msg |
メールファイル: Outlook |
CrowdStrike ポータルによると、サンドボックスは次のアーカイブ形式をサポートしています。
.zip.7z
アクション入力
[Submit File] アクションには、次のパラメータが必要です。
| パラメータ | |
|---|---|
File Paths |
必須
送信されたファイルの絶対パスのリスト。 形式はデプロイによって異なります。
サポートされているファイル形式の一覧については、サポートされているファイル形式とアーカイブ形式をご覧ください。 |
Sandbox Environment |
省略可 分析するサンドボックス環境。 デフォルト値は
|
Network Environment |
省略可 分析するネットワーク環境。 デフォルト値は
|
Archive Password |
省略可 アーカイブ ファイルを操作するときに使用するパスワード。 |
Document Password |
省略可 Adobe ファイルまたは Office ファイルを扱うときに使用するパスワード。 パスワードの最大文字数は 32 文字です。 |
Check Duplicate |
省略可 選択すると、ファイルが以前に送信されたかどうかを確認し、利用可能なレポートを返します。 検証中、アクションは デフォルトで選択されています。 |
Comment |
省略可 送信するコメント。 |
Confidential Submission |
省略可 選択すると、ファイルは顧客アカウント内のユーザーにのみ表示されます。 デフォルトでは選択されていません。 |
アクションの出力
[Submit File] アクションは次の出力を提供します。
| アクションの出力タイプ | |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用可能 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用不可 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
ケースウォール テーブル
ケースウォールで [Submit File] アクションを実行すると、次の表が表示されます。
列:
- 結果
- 名前
- 脅威スコア
- 判定
- タグ
出力メッセージ
[Submit File] アクションでは、次の出力メッセージが表示されます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
|
アクションがエラーを返しました。 このアクションでサポートされているファイル形式を確認します。 |
Waiting for results for the following
files: PATHS |
非同期メッセージ。 |
Error executing action "Submit File".
Reason: ERROR_REASON |
操作を実行できませんでした。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
Error executing action "Submit File".
Reason: action ran into a timeout during execution. Pending files:
FILES_IN_PROGRESS. Please increase
the timeout in IDE.
|
操作を実行できませんでした。 IDE でタイムアウトを長くします。 |
スクリプトの結果
次の表に、[Submit File] アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
URL を送信
URL を送信アクションを使用して、CrowdStrike のサンドボックスに URL を送信します。
この操作には Falcon Sandbox ライセンスが必要です。サンドボックスでサポートされているファイル形式を確認するには、このドキュメントのサポートされているファイル形式とアーカイブ形式のセクションをご覧ください。
このアクションはエンティティに対しては実行されません。
アクション入力
[URL を送信] アクションには、次のパラメータが必要です。
| パラメータ | |
|---|---|
URLs |
必須
送信する URL。 |
Sandbox Environment |
省略可 分析するサンドボックス環境。 デフォルト値は
|
Network Environment |
省略可 分析するネットワーク環境。 デフォルト値は
|
Check Duplicate |
省略可 選択すると、URL が以前に送信されたかどうかを確認し、利用可能なレポートを返します。 検証中、アクションは デフォルトで選択されています。 |
アクションの出力
[URL を送信] アクションでは、次の出力が提供されます。
| アクションの出力タイプ | |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用不可 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
出力メッセージ
[URL を送信] アクションでは、次の出力メッセージが表示されます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Waiting for results for the following
URLs: PATHS |
非同期メッセージ。 |
Error executing action "Submit URL".
Reason: ERROR_REASON |
操作を実行できませんでした。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
Error executing action "Submit URL".
Reason: action ran into a timeout during execution. Pending files:
FILES_IN_PROGRESS. Please increase
the timeout in IDE. |
操作を実行できませんでした。 IDE でタイムアウトを長くします。 |
スクリプトの結果
次の表に、[URL を送信] アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
アラートを更新
[Update Alert] アクションを使用して、CrowdStrike Falcon のアラートを更新します。
このアクションはエンティティに対しては実行されません。
アクション入力
[アラートを更新] アクションには、次のパラメータが必要です。
| パラメータ | |
|---|---|
Alert ID |
必須 更新するアラートの ID。 |
Status |
Optional アラートのステータス。 指定できる値は次のとおりです。
|
Verdict |
Optional アラートの判定。 指定できる値は次のとおりです。
|
Assign To |
Optional アラートの割り当て先のアナリストの名前。 パラメータ値として 指定されたユーザーがシステムに存在しない場合でも、API は任意の値を受け入れます。 |
アクションの出力
[アラートを更新] アクションでは、次の出力が提供されます。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、[アラートを更新] アクションを使用したときに受信した JSON 結果の出力を示しています。
{
"added_privileges": [
"DomainAdminsRole"
],
"aggregate_id": "aggind:ID",
"assigned_to_uid": "example@example.com",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"composite_id": "27fe4e476ca3490b8476b2b6650e5a74:ind:ID",
"confidence": 20,
"context_timestamp": "2022-11-15T12:58:15.629Z",
"crawl_edge_ids": {
"Sensor": [
"N6KIZ`%V`&d#&#sRaHNV[f3[CA4lr/C_N;.JnbglJpdg8TCCTqnr!9D\\['ALM&eNbPq?kt$#@]+01Ac[&th0-0]E'J8:]mFV?'g5HZ/$B.%BC29_`4U_?%a)_&#k>,G>:=E>%[7^<aLSVj=`UCMcRUH[a9/*^hO_7Ft(js#P<M<(eG3(B=I8rr",
"XNXnKK.mi:ckQ^2c7AGRMK^'rd:p[_JkD_5ZM$W:d'J8oN:42nj.Ho1-^E5D16b0VALJ`2cDEEJTVdY\\n.-WQ^_B[7$1pH[Glgm@go]-LB%M1,c#2F)nli-Ge#V<=[!c_jh8e3D8E-S0FheDm*BHh-P/s6q!!*'!",
"N6L*L\">LGfi/.a$IkpaFlWjT.YU#P@Gu8Qe6'0SK=M]ChI,FQXqo=*M(QR+@6c8@m1pIc)Dqs+WLXjbpom5@$T+oqC5RJk!9atPF/<mG'H`V9P0YII;!>C8YL)XS&ATORi>!U.7<Ds\"<dT/Mkp\\V%!U[RS_YC/Wrn[Z`S(^4NU,lV#X3/#pP7K*>g!<<'"
]
},
"crawl_vertex_ids": {
"Sensor": [
"aggind:ID",
"idpind:ID",
"ind:ID",
"uid:ID"
]
},
"crawled_timestamp": "2022-11-15T13:58:17.251061883Z",
"created_timestamp": "2022-11-15T12:59:17.239585706Z",
"description": "A user received new privileges",
"display_name": "Privilege escalation (user)",
"end_time": "2022-11-15T12:58:15.629Z",
"falcon_host_link": "https://falcon.crowdstrike.com/identity-protection/detections/ID",
"id": "ind:ID",
"name": "IdpEntityPrivilegeEscalationUser",
"objective": "Gain Access",
"pattern_id": 51113,
"previous_privileges": "0",
"privileges": "8321",
"product": "idp",
"scenario": "privilege_escalation",
"severity": 2,
"show_in_ui": true,
"source_account_domain": "EXAMPLE.EXAMPLE",
"source_account_name": "ExampleMailbox",
"source_account_object_sid": "S-1-5-21-3479765008-4256118348-3151044947-3595",
"start_time": "2022-11-15T12:58:15.629Z",
"status": "new",
"tactic": "Privilege Escalation",
"tactic_id": "TA0004",
"tags": [
"red_team"
],
"technique": "Valid Accounts",
"technique_id": "T1078",
"timestamp": "2022-11-15T12:58:17.239Z",
"type": "idp-user-endpoint-app-info",
"updated_timestamp": "2022-11-23T15:22:20.271100181Z"
}
出力メッセージ
[アラートを更新] アクションでは、次の出力メッセージが表示されます。
| 出力メッセージ | メッセージの説明 |
|---|---|
Successfully updated alert with ID
ALERT_ID in CrowdStrike |
アクションが成功しました。 |
|
操作を実行できませんでした。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、アラートの更新アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
検出を更新
CrowdStrike Falcon で検出を更新するには、[Update Detection] アクションを使用します。
このアクションはすべてのエンティティに対して実行されます。
アクション入力
[更新の検出] アクションには、次のパラメータが必要です。
| パラメータ | |
|---|---|
Detection ID |
必須
更新する検出結果の ID。 |
Status |
必須
検出ステータス。 デフォルト値は
|
Assign Detection to |
省略可 検出の割り当て先である CrowdStrike Falcon ユーザーのメールアドレス。 |
アクションの出力
[Update Detection] アクションは、次の出力を提供します。
| アクションの出力タイプ | |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用不可 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
出力メッセージ
[Update Detection] アクションでは、次の出力メッセージが表示されます。
| 出力メッセージ | メッセージの説明 |
|---|---|
Successfully updated detection
DETECTION_ID in CrowdStrike Falcon.
|
アクションが成功しました。 |
Error executing action "Update
Detection". Reason: ERROR_REASON
|
操作を実行できませんでした。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
Error executing action "Update
Detection". Reason: Either "Status" or "Assign Detection To" should have a
proper value. |
操作を実行できませんでした。
|
スクリプトの結果
次の表に、更新検出アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
Identity Protection の検出を更新する
Update Identity Protection Detection を使用して、CrowdStrike の ID 保護検出を更新します。
この操作には、Identity Protection ライセンスが必要です。
このアクションはエンティティに対しては実行されません。
アクション入力
[Update Identity Protection Detection] アクションには、次のパラメータが必要です。
| パラメータ | |
|---|---|
Detection ID |
必須
更新する検出結果の ID。 |
Status |
省略可 検出のステータス。 デフォルト値は 使用できる値は次のとおりです。
|
Assign to |
省略可 割り当てられたアナリストの名前。
無効な値が指定された場合、アクションは現在の担当者を変更しません。 |
アクションの出力
[Update Identity Protection Detection] アクションは、次の出力を提供します。
| アクションの出力タイプ | |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、Update Identity Protection Detection アクションを使用した場合に受信する JSON 結果の出力について説明しています。
{
"added_privileges": [
"DomainAdminsRole"
],
"aggregate_id": "aggind:ID",
"assigned_to_uid": "example@example.com",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"composite_id": "27fe4e476ca3490b8476b2b6650e5a74:ind:ID",
"confidence": 20,
"context_timestamp": "2022-11-15T12:58:15.629Z",
"crawl_edge_ids": {
"Sensor": [
"N6KIZ`%V`&d#&#sRaHNV[f3[CA4lr/C_N;.JnbglJpdg8TCCTqnr!9D\\['ALM&eNbPq?kt$#@]+01Ac[&th0-0]E'J8:]mFV?'g5HZ/$B.%BC29_`4U_?%a)_&#k>,G>:=E>%[7^<aLSVj=`UCMcRUH[a9/*^hO_7Ft(js#P<M<(eG3(B=I8rr",
"XNXnKK.mi:ckQ^2c7AGRMK^'rd:p[_JkD_5ZM$W:d'J8oN:42nj.Ho1-^E5D16b0VALJ`2cDEEJTVdY\\n.-WQ^_B[7$1pH[Glgm@go]-LB%M1,c#2F)nli-Ge#V<=[!c_jh8e3D8E-S0FheDm*BHh-P/s6q!!*'!",
"N6L*L\">LGfi/.a$IkpaFlWjT.YU#P@Gu8Qe6'0SK=M]ChI,FQXqo=*M(QR+@6c8@m1pIc)Dqs+WLXjbpom5@$T+oqC5RJk!9atPF/<mG'H`V9P0YII;!>C8YL)XS&ATORi>!U.7<Ds\"<dT/Mkp\\V%!U[RS_YC/Wrn[Z`S(^4NU,lV#X3/#pP7K*>g!<<'"
]
},
"crawl_vertex_ids": {
"Sensor": [
"aggind:ID",
"idpind:ID",
"ind:ID",
"uid:ID"
]
},
"crawled_timestamp": "2022-11-15T13:58:17.251061883Z",
"created_timestamp": "2022-11-15T12:59:17.239585706Z",
"description": "A user received new privileges",
"display_name": "Privilege escalation (user)",
"end_time": "2022-11-15T12:58:15.629Z",
"falcon_host_link": "https://example.com/",
"id": "ind:ID",
"name": "IdpEntityPrivilegeEscalationUser",
"objective": "Gain Access",
"pattern_id": 51113,
"previous_privileges": "0",
"privileges": "8321",
"product": "idp",
"scenario": "privilege_escalation",
"severity": 2,
"show_in_ui": true,
"source_account_domain": "EXAMPLE.COM",
"source_account_name": "ExampleName",
"source_account_object_sid": "S-1-5-21-3479765008-4256118348-3151044947-3595",
"start_time": "2022-11-15T12:58:15.629Z",
"status": "new",
"tactic": "Privilege Escalation",
"tactic_id": "TA0004",
"tags": [
"red_team"
],
"technique": "Valid Accounts",
"technique_id": "T1078",
"timestamp": "2022-11-15T12:58:17.239Z",
"type": "idp-user-endpoint-app-info",
"updated_timestamp": "2022-11-23T15:22:20.271100181Z"
}
出力メッセージ
ケースウォールで、[Update Identity Protection Detection] アクションは次の出力メッセージを提供します。
| 出力メッセージ | メッセージの説明 |
|---|---|
Successfully updated identity protection detection with ID
DETECTION_ID in CrowdStrike.
|
アクションが成功しました。 |
Error executing action "Update Identity Protection Detection".
Reason: ERROR_REASON |
操作を実行できませんでした。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
Error executing action "Update Identity Protection Detection".
Reason: identity protection detection with ID
DETECTION_ID wasn't found in
CrowdStrike. Please check the spelling. |
操作を実行できませんでした。 スペルを確認してください。 |
Error executing action "Update
Identity Protection Detection". Reason: at least one of the "Status" or
"Assign To" parameters should have a value. |
操作を実行できませんでした。
|
スクリプトの結果
次の表に、Update Identity Protection Detection アクションを使用する場合のスクリプト結果の出力値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
インシデントを更新
[Update Incident] アクションを使用して、CrowdStrike のインシデントを更新します。
このアクションはエンティティに対しては実行されません。
アクション入力
[Update Incident] アクションには、次のパラメータが必要です。
| パラメータ | |
|---|---|
Incident ID |
必須
更新するインシデントの ID。 |
Status |
省略可 インシデントのステータス。 値は次のいずれかになります。
|
Assign to |
省略可 割り当てられたアナリストの名前またはメールアドレス。
名前を指定するには、アナリストの姓と名を次の形式で指定します。
|
アクションの出力
[インシデントを更新] アクションは、次の出力を提供します。
| アクションの出力タイプ | |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、[インシデントを更新] アクションを使用した場合に受信する JSON 結果の出力を示しています。
{
"data_type": "Incident"
"incident_id": "inc:fee8a6ef0cb3412e9a781dcae0287c85:9dfa480ae6214309bff0c8dc2ad8af7c",
"incident_type": 1,
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"host_ids": [
"fee8a6ef0cb3412e9a781dcae0287c85"
],
"hosts": [
{
"device_id": "fee8a6ef0cb3412e9a781dcae0287c85",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"agent_load_flags": "1",
"agent_local_time": "2023-01-09T11:28:59.170Z",
"agent_version": "6.48.16207.0",
"bios_manufacturer": "Example Inc.",
"bios_version": "1.20.0",
"config_id_base": "65994753",
"config_id_build": "16207",
"config_id_platform": "3",
"external_ip": "198.51.100.1",
"hostname": "DESKTOP-EXAMPLE",
"first_seen": "2022-09-26T09:56:42Z",
"last_seen": "2023-01-09T12:11:35Z",
"local_ip": "192.0.2.1",
"mac_address": "00-15-5d-65-39-86",
"major_version": "10",
"minor_version": "0",
"os_version": "Windows 10",
"platform_id": "0",
"platform_name": "Windows",
"product_type": "1",
"product_type_desc": "Workstation",
"status": "contained",
"system_manufacturer": "Example Inc.",
"system_product_name": "G5 5500",
"modified_timestamp": "2023-01-09T12:11:48Z"
}
],
"created": "2023-01-09T12:12:51Z",
"start": "2023-01-09T11:23:27Z",
"end": "2023-01-09T12:52:01Z",
"state": "closed",
"status": 20,
"tactics": [
"Defense Evasion",
"Privilege Escalation",
"Credential Access"
],
"techniques": [
"Disable or Modify Tools",
"Access Token Manipulation",
"Input Capture",
"Bypass User Account Control"
],
"objectives": [
"Keep Access",
"Gain Access"
],
"users": [
"DESKTOP-EXAMPLE$",
"EXAMPLE"
],
"fine_score": 21
}
出力メッセージ
[インシデントを更新] アクションでは、次の出力メッセージが表示されます。
| 出力メッセージ | メッセージの説明 |
|---|---|
Successfully Successfully updated incident with ID
INCIDENT_ID in
CrowdStrike |
アクションが成功しました。 |
Error executing action "Update
Incident". Reason: ERROR_REASON
|
操作を実行できませんでした。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
Error executing action "Update Incident". Reason: incident with
ID INCIDENT_ID wasn't found in
CrowdStrike. Please check the spelling. |
操作を実行できませんでした。 スペルを確認してください。 |
Error executing action "Update
Incident". Reason: user USER_ID
wasn't found in CrowdStrike. Please check the spelling. |
操作を実行できませんでした。 スペルを確認してください。 |
Error executing action "Update
Incident". Reason: at least one of the "Status" or "Assign To" parameters
should have a value. |
操作を実行できませんでした。 入力パラメータを確認します。 |
スクリプトの結果
次の表に、[インシデントを更新] アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
IOC 情報を更新する
CrowdStrike Falcon のカスタム IOC に関する情報を更新するには、[Update IOC Information] アクションを使用します。
このアクションは、ホスト名エンティティをドメイン IOC として扱い、URL からドメイン部分を抽出します。このアクションは、MD5 ハッシュと SHA-256 ハッシュのみをサポートしています。
[IOC 情報を更新] アクションは、次のエンティティに対して実行されます。
- ホスト名
- URL
- IP アドレス
- ハッシュ
アクション入力
[IOC 情報を更新] アクションには、次のパラメータが必要です。
| パラメータ | |
|---|---|
Description |
省略可 カスタム IOC の新しい説明。 |
Source |
省略可 カスタム IOC のソース。 |
Expiration days |
省略可 有効期限までの残り日数。 このパラメータは、URL、IP アドレス、ホスト名エンティティにのみ影響します。 |
Detect policy |
省略可 選択すると、アクションによって特定された IOC の通知が送信されます。選択されていない場合、アクションは通知を送信しません。 デフォルトで選択されています。 |
アクションの出力
[IOC 情報を更新] アクションは、次の出力を提供します。
| アクションの出力タイプ | |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、[IOC 情報を更新] アクションを使用したときに受信した JSON 結果の出力を示しています。
{
"id": "563df6a812f2e7020a17f77ccd809176ca3209cf7c9447ee36c86b4215860856",
"type": "md5",
"value": "7e4b0f81078f27fde4aeb87b78b6214c",
"source": "testSource",
"action": "detect",
"severity": "high",
"description": "test description update",
"platforms": [
"example"
],
"tags": [
"Hashes 17.Apr.18 12:20 (Example)"
],
"expiration": "2022-05-01T12:00:00Z",
"expired": false,
"deleted": false,
"applied_globally": true,
"from_parent": false,
"created_on": "2021-04-22T03:54:09.235120463Z",
"created_by": "internal@example.com",
"modified_on": "2021-09-16T10:09:07.755804336Z",
"modified_by": "c16fd3a055eb46eda81e064fa6dd43de"
}
出力メッセージ
ケースウォールで、[IOC 情報を更新] アクションは次の出力メッセージを提供します。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Update IOC
Information". Reason: ERROR_REASON
|
操作を実行できませんでした。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、[IOC 情報を更新] アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
IOC をアップロードする
[Upload IOCs] アクションを使用して、CrowdStrike Falcon にカスタム IOC を追加します。
このアクションは、ホスト名エンティティをドメイン IOC として扱い、URL からドメイン部分を抽出します。このアクションは、MD5 ハッシュと SHA-256 ハッシュのみをサポートしています。
[IOC をアップロード] アクションは、次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
- URL
- ハッシュ
アクション入力
[IOC をアップロード] アクションには、次のパラメータが必要です。
| パラメータ | |
|---|---|
Platform |
必須
IOC に関連するプラットフォームのカンマ区切りのリスト。 デフォルト値は
|
Severity |
必須
IOC の重大度。 デフォルト値は
|
Comment |
省略可 IOC に関連するコンテキストを含むコメント。 |
Host Group Name |
必須
ホストグループの名前。 |
Action |
省略可 アップロードされた IOC のアクション。 デフォルト値は 使用できる値は次のとおりです。
|
アクションの出力
[IOC をアップロード] アクションは、次の出力を提供します。
| アクションの出力タイプ | |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用不可 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
出力メッセージ
[IOC をアップロード] アクションでは、次の出力メッセージが表示されます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Upload IOCs".
Reason: ERROR_REASON |
操作を実行できませんでした。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
Error executing action "Upload IOCs". Reason: Host group
"HOST_GROUP_NAME" was not found.
Please check the spelling. |
操作を実行できませんでした。
|
Error executing action "Upload IOCs".
Invalid value provided for the parameter "Platform". Possible values:
Windows, Linux, Mac. |
操作を実行できませんでした。
|
スクリプトの結果
次の表に、[IOC をアップロード] アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
コネクタ
すべての CrowdStrike コネクタに最小限の権限が構成されていることを確認します。詳細については、このドキュメントのコネクタの権限のセクションをご覧ください。
Google SecOps でコネクタを構成する手順については、データを取り込む(コネクタ)をご覧ください。
CrowdStrike イベント
イベントは、ホスト上の Falcon センサーによって収集された情報です。CrowdStrike には次の 4 種類のイベントがあります。
| CrowdStrike のイベントタイプ | |
|---|---|
| 認証アクティビティの監査イベント | エンドポイントで認証がリクエスト、許可、完了されるたびに生成されるイベント。 |
| 検出の概要イベント | エンドポイントで脅威が検出されたときに生成されるイベント。 |
| リモート レスポンス セッション終了イベント | エンドポイントのリモート セッションから生成されたイベント。 |
| ユーザー アクティビティの監査イベント | エンドポイントでアクティブ ユーザーが行ったアクティビティをモニタリングするために生成されるイベント。 |
コネクタは、イベントを Google SecOps に取り込んでアラートを作成し、イベントデータでケースを拡充します。Google SecOps に取り込むイベント(すべてのイベントタイプまたは選択したイベントタイプ)を選択できます。
CrowdStrike 検出コネクタ
CrowdStrike Detections Connector を使用して、CrowdStrike から検出結果を取得します。
動的リストは、CrowdStrike API でサポートされているフィルタと連携して動作します。
動的リストの使用方法
動的リストを使用する場合は、次の推奨事項に従ってください。
- CrowdStrike FQL 言語を使用して、コネクタから送信されたフィルタを変更します。
- フィルタごとに動的リストに個別のエントリを指定します。
特定のアナリストに割り当てられたすべての検出を取り込むには、アナリストが次の動的リスト エントリを提供していることを確認します。
assigned_to_name:'ANALYST_USER_NAME'
動的リストは、次のパラメータをサポートしています。
| サポートされるパラメータ | |
|---|---|
q |
すべてのメタデータ フィールドを対象とした全文検索。 |
date_updated |
最新の検出更新の日付。 |
assigned_to_name |
検出の割り当て先のユーザー名(人が読める形式)。 |
max_confidence |
検出に複数の関連する動作があり、信頼度が異なる場合、このフィールドにはすべての動作の信頼度の最大値が記録されます。 パラメータ値は 1 ~ 100 の任意の整数にできます。 |
detection_id |
Detection Details API や Resolve Detection API などの他の API と組み合わせて使用できる検出 ID。 |
max_severity |
検出に関連付けられた動作が複数あり、重大度レベルが異なる場合、このフィールドにはすべての動作の重大度のうち最も高い値が記録されます。 パラメータ値は 1 ~ 100 の任意の整数にできます。 |
max_severity_displayname |
検出の重大度を判断するために UI で使用される名前。 値は次のいずれかになります。
|
seconds_to_triaged |
検出のステータスが new から in_progress に変わるまでに必要な時間。 |
seconds_to_resolved |
検出のステータスが new から解決済みの状態(true_positive、false_positive、ignored、closed)のいずれかに変わるまでに必要な時間。 |
status |
検出の現在のステータス。 使用できる値は次のとおりです。
|
adversary_ids |
CrowdStrike Falcon Intelligence によって追跡される攻撃者は、検出された属性付きの動作または指標に関連付けられた ID を持っています。これらの ID は、Detection Details API を介してアクセスできる検出メタデータにあります。 |
cid |
組織のお客様 ID(CID)。 |
コネクタ パラメータ
CrowdStrike Detections Connector には、次のパラメータが必要です。
| パラメータ | |
|---|---|
Product Field Name |
必須
デフォルト値は |
Event Field Name |
必須
デフォルト値は |
Environment Field Name |
省略可 環境名が保存されるフィールドの名前。 環境フィールドが見つからない場合は、デフォルトの環境が使用されます。 デフォルト値は |
Environment Regex Pattern |
省略可
デフォルト値 正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果はデフォルト環境になります。 |
Script Timeout (Seconds) |
必須 現在のスクリプトを実行している Python プロセスのタイムアウト上限(秒単位)。 デフォルト値は |
API Root |
必須
CrowdStrike インスタンスの API ルート。 デフォルト値は |
Client ID |
必須
CrowdStrike アカウントのクライアント ID。 |
Client Secret |
必須
CrowdStrike アカウントのクライアント シークレット。 |
Lowest Severity Score To Fetch |
省略可
取得する検出の最小重大度スコア。 値が指定されていない場合、コネクタはこのフィルタを適用しません。 最大値は デフォルト値は |
Lowest Confidence Score To Fetch |
省略可
取得する検出の最小信頼度スコア。 値が指定されていない場合、コネクタはこのフィルタを適用しません。 最大値は デフォルト値は |
Max Hours Backwards |
省略可
検出を取得する時間数。 デフォルト値は |
Max Detections To Fetch |
省略可
1 回のコネクタのイテレーションで処理する検出の数。 デフォルト値は |
Disable Overflow |
Optional 選択すると、コネクタはオーバーフロー メカニズムを無視します。 デフォルトでは選択されていません。 |
Verify SSL |
必須
選択すると、統合によって CrowdStrike サーバーへの接続用の SSL 証明書が有効かどうかが検証されます。 デフォルトでは選択されていません。 |
Proxy Server Address |
省略可
使用するプロキシ サーバーのアドレス。 |
Proxy Username |
省略可
認証に使用するプロキシのユーザー名。 |
Proxy Password |
省略可
認証に使用するプロキシ パスワード。 |
Case Name Template |
省略可
指定された場合、コネクタは プレースホルダは [ 注: コネクタは、プレースホルダに最初の Google SecOps イベントを使用します。このパラメータでは、文字列値を持つキーのみが許可されます。 |
Alert Name Template |
省略可
指定すると、コネクタはこの値を Google SecOps アラート名に使用します。 プレースホルダは [ 注: 値を指定しない場合や無効なテンプレートを指定した場合、コネクタはデフォルトのアラート名を使用します。コネクタは、プレースホルダに最初の Google SecOps イベントを使用します。このパラメータでは、文字列値を持つキーのみが許可されます。 |
Padding Period |
省略可
コネクタがパディングに使用する時間数。 最大値は |
Include Hidden Alerts |
省略可
有効にすると、コネクタは CrowdStrike によって「非表示」とラベル付けされたアラートも取得します。 |
Fallback Severity |
省略可
重大度情報が欠落している CrowdStrike アラートに適用される Google SecOps アラートのフォールバック重大度。有効な値: 情報、低、中、高、重大。何も指定しないと、コネクタは「Informational」の重大度を使用します。 |
Customer ID |
Optional コネクタを実行するテナントの顧客 ID。マルチテナント(MSSP)環境で使用します。 |
コネクタルール
コネクタはプロキシをサポートしています。
コネクタ イベント
コネクタ イベントの例を次に示します。
{
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"created_timestamp": "2021-01-12T16:19:08.651448357Z",
"detection_id": "ldt:74089e36ac3a4271ab14abc076ed18eb:4317290676",
"device": {
"device_id": "74089e36ac3a4271ab14abc076ed18eb",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"agent_load_flags": "0",
"agent_local_time": "2021-01-12T16:07:16.205Z",
"agent_version": "6.13.12708.0",
"bios_manufacturer": "Example LTD",
"bios_version": "6.00",
"config_id_base": "65994753",
"config_id_build": "12708",
"config_id_platform": "3",
"external_ip": "203.0.113.1",
"hostname": "EXAMPLE-01",
"first_seen": "2021-01-12T16:01:43Z",
"last_seen": "2021-01-12T16:17:21Z",
"local_ip": "192.0.2.1",
"mac_address": "00-50-56-a2-5d-a3",
"major_version": "10",
"minor_version": "0",
"os_version": "Windows 10",
"platform_id": "0",
"platform_name": "Windows",
"product_type": "1",
"product_type_desc": "Workstation",
"status": "normal",
"system_manufacturer": "Example, Inc.",
"system_product_name": "Example ",
"modified_timestamp": "2021-01-12T16:17:29Z",
"behaviors":
{
"device_id": "74089e36ac3a4271ab14abc076ed18eb",
"timestamp": "2021-01-12T16:17:19Z",
"template_instance_id": "10",
"behavior_id": "10146",
"filename": "reg.exe",
"filepath": "\\Device\\HarddiskVolume2\\Windows\\System32\\reg.exe",
"alleged_filetype": "exe",
"cmdline": "REG ADD HKCU\\Environment /f /v UserInitMprLogonScript /t REG_MULTI_SZ /d \"C:\\TMP\\mim.exe sekurlsa::LogonPasswords > C:\\TMP\\o.txt\"",
"scenario": "credential_theft",
"objective": "Gain Access",
"tactic": "Credential Access",
"tactic_id": "TA0006",
"technique": "Credential Dumping",
"technique_id": "T1003",
"display_name": "Example-Name",
"severity": 70,
"confidence": 80,
"ioc_type": "hash_sha256",
"ioc_value": "b211c25bf0b10a82b47e9d8da12155aad95cff14cebda7c4acb35a94b433ddfb",
"ioc_source": "library_load",
"ioc_description": "\\Device\\HarddiskVolume2\\Windows\\System32\\reg.exe",
"user_name": "Admin",
"user_id": "example-id",
"control_graph_id": "ctg:74089e36ac3a4271ab14abc076ed18eb:4317290676",
"triggering_process_graph_id": "pid:74089e36ac3a4271ab14abc076ed18eb:4746437404",
"sha256": "b211c25bf0b10a82b47e9d8da12155aad95cff14cebda7c4acb35a94b433ddfb",
"md5": "05cf3ce225b05b669e3118092f4c8eab",
"parent_details": {
"parent_sha256": "d0ceb18272966ab62b8edff100e9b4a6a3cb5dc0f2a32b2b18721fea2d9c09a5",
"parent_md5": "9d59442313565c2e0860b88bf32b2277",
"parent_cmdline": "C:\\Windows\\system32\\cmd.exe /c \"\"C:\\Users\\Admin\\Desktop\\APTSimulator-master\\APTSimulator-master\\APTSimulator.bat\" \"",
"parent_process_graph_id": "pid:74089e36ac3a4271ab14abc076ed18eb:4520199381"
},
"pattern_disposition": 2048,
"pattern_disposition_details": {
"indicator": false,
"detect": false,
"inddet_mask": false,
"sensor_only": false,
"rooting": false,
"kill_process": false,
"kill_subprocess": false,
"quarantine_machine": false,
"quarantine_file": false,
"policy_disabled": false,
"kill_parent": false,
"operation_blocked": false,
"process_blocked": true,
"registry_operation_blocked": false,
"critical_process_disabled": false,
"bootup_safeguard_enabled": false,
"fs_operation_blocked": false,
"handle_operation_downgraded": false
}
}
},
"email_sent": false,
"first_behavior": "2021-01-12T16:17:19Z",
"last_behavior": "2021-01-12T16:17:19Z",
"max_confidence": 80,
"max_severity": 70,
"max_severity_displayname": "High",
"show_in_ui": true,
"status": "new",
"hostinfo": {
"domain": ""
},
"seconds_to_triaged": 0,
"seconds_to_resolved": 0,
}
CrowdStrike Falcon Streaming Events コネクタ
CrowdStrike Falcon Streaming Events Connector は、次のユースケースに対応します。
検出イベントのデータ取り込み。
CrowdStrike Falcon は、エンドポイントで悪意のある
SophosCleanM.exeファイルを実行しようとする試みを検出します。CrowdStrike はオペレーションを停止し、イベントデータにファイル ハッシュを含むアラートを作成します。ファイルの評価に関心のあるアナリストが、検出されたハッシュを VirusTotal で実行し、ハッシュが悪意のあるものであることを確認します。次のステップとして、Mcafee EDR アクションによって悪意のあるファイルが隔離されます。
ユーザー アクティビティ監査イベントのデータ取り込み。
CrowdStrike ユーザーの Dani が、検出ステータスを
newからfalse-positiveに更新します。このユーザー アクションにより、detection_update という名前のイベントが作成されます。アナリストは、Dani がアクションを誤検出としてマークした理由を把握するためにフォローアップを行い、Dani の ID に関する情報を含む取り込まれたイベントを確認します。
次のステップとして、アナリストは Active Directory の [エンティティを拡充] アクションを実行して、インシデントの詳細情報を取得し、Dani の追跡を簡素化します。
認証アクティビティ監査イベントのデータ取り込み。
このイベントは、Dani が新しいユーザー アカウントを作成し、そのアカウントにユーザーロールを付与したことを示しています。
アナリストは、イベントを調査してユーザーが作成された理由を把握するために、Dani のユーザー ID を使用して Active Directory の [エンティティを拡充] アクションを実行し、Dani のユーザーロールを調べて、新しいユーザーを追加する権限があるかどうかを確認します。
リモート対応終了イベントのデータ取り込み。
リモート イベントは、Dani が特定のホストにリモート接続し、root ユーザーとしてコマンドを実行してウェブサーバー ディレクトリにアクセスしたことを示しています。
Dani と関連するホストの両方に関する詳細情報を取得するために、アナリストは Active Directory アクションを実行して、ユーザーとホストの両方を拡充します。返された情報に基づいて、アナリストはリモート接続の目的が明確になるまで Dani を一時停止することを決定する可能性があります。
コネクタの入力
CrowdStrike Falcon Streaming Event Connector には、次のパラメータが必要です。
| パラメータ | |
|---|---|
Product Field Name |
必須
デフォルト値は |
Event Field Name |
必須
デフォルト値は |
Environment Field Name |
省略可 環境名が保存されるフィールドの名前。 環境フィールドが見つからない場合は、デフォルトの環境が使用されます。 デフォルト値は |
Environment Regex Pattern |
省略可
デフォルト値 正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果はデフォルト環境になります。 |
Alert Name Template |
省略可
指定すると、コネクタはこの値を Google SecOps アラート名に使用します。 プレースホルダは [ 注: 値を指定しない場合や無効なテンプレートを指定した場合、コネクタはデフォルトのアラート名を使用します。コネクタは、プレースホルダに最初の Google SecOps イベントを使用します。このパラメータでは、文字列値を持つキーのみが許可されます。 |
API Root |
必須
CrowdStrike インスタンスの API ルート。 デフォルト値は |
Client ID |
必須
CrowdStrike アカウントのクライアント ID。 |
Client Secret |
必須
CrowdStrike アカウントのクライアント シークレット。 |
Event types |
省略可
イベントタイプのカンマ区切りのリスト。 イベントタイプの例は次のとおりです。
|
Max Days Backwards |
省略可
検出結果を取得する今日までの日数。 デフォルト値は |
Max Events Per Cycle |
省略可
1 回のコネクタのイテレーションで処理するイベントの数。 デフォルト値は |
Min Severity |
Optional イベントの重大度(検出イベント)に基づいて取り込むイベント。値の範囲は 0 ~ 5 です。 検出以外の他のイベントタイプが取り込まれた場合、それらの重大度は |
Disable Overflow |
Optional 選択すると、コネクタはオーバーフロー メカニズムを無視します。 デフォルトでは選択されていません。 |
Verify SSL |
必須
選択すると、統合によって CrowdStrike サーバーへの接続用の SSL 証明書が有効かどうかが検証されます。 デフォルトでは選択されていません。 |
Script Timeout (Seconds) |
必須 現在のスクリプトを実行している Python プロセスのタイムアウト上限。 デフォルト値は 60 秒です。 |
Proxy Server Address |
省略可
使用するプロキシ サーバーのアドレス。 |
Proxy Username |
省略可
認証に使用するプロキシのユーザー名。 |
Proxy Password |
省略可
認証に使用するプロキシ パスワード。 |
Rule Generator Template |
省略可
指定すると、コネクタはこの値を Google SecOps ルール ジェネレータに使用します。 プレースホルダは [ 値が指定されていない場合や、無効なテンプレートが指定されている場合、コネクタはデフォルトのルール ジェネレータを使用します。 コネクタは、プレースホルダに最初の Google SecOps イベントを使用します。 このパラメータでは、文字列値を持つキーのみが許可されます。 |
Customer ID |
Optional コネクタを実行するテナントの顧客 ID。マルチテナント(MSSP)環境で使用します。 |
コネクタルール
このコネクタはプロキシをサポートしています。
このコネクタは動的リストをサポートしていません。
CrowdStrike Identity Protection Detections コネクタ
CrowdStrike Identity Protection Detections Connector を使用して、CrowdStrike から ID 保護の検出を取得します。動的リストは display_name パラメータと連携して動作します。
このコネクタには Identity Protection ライセンスが必要です。
コネクタの入力
CrowdStrike Identity Protection Detections Connector には、次のパラメータが必要です。
| パラメータ | |
|---|---|
Product Field Name |
必須
デフォルト値は |
Event Field Name |
必須
デフォルト値は |
Environment Field Name |
省略可 環境名が保存されるフィールドの名前。 環境フィールドが見つからない場合は、デフォルトの環境が使用されます。 デフォルト値は |
Environment Regex Pattern |
省略可
デフォルト値 正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果はデフォルト環境になります。 |
Script Timeout (Seconds) |
必須 現在のスクリプトを実行している Python プロセスのタイムアウト上限(秒単位)。 デフォルト値は |
API Root |
必須
CrowdStrike インスタンスの API ルート。 デフォルト値は |
Client ID |
必須
CrowdStrike アカウントのクライアント ID。 |
Client Secret |
必須
CrowdStrike アカウントのクライアント シークレット。 |
Lowest Severity Score To Fetch |
省略可
取得する検出の最小重大度スコア。 値が指定されていない場合、コネクタはこのフィルタを適用しません。 最大値は デフォルト値は コネクタは、このパラメータに対して次の値もサポートしています。
|
Lowest Confidence Score To Fetch |
省略可
取得する検出の信頼度スコアの最小値。 値が指定されていない場合、コネクタはこのフィルタを適用しません。 最大値は デフォルト値は |
Max Hours Backwards |
省略可
検出を取得する現在までの時間数。 デフォルト値は |
Max Detections To Fetch |
省略可
1 回のコネクタのイテレーションで処理する検出の数。 デフォルト値は |
Case Name Template |
省略可
指定された場合、コネクタは プレースホルダは [ 注: コネクタは、プレースホルダに最初の Google SecOps イベントを使用します。このパラメータでは、文字列値を持つキーのみが許可されます。 |
Alert Name Template |
省略可
指定すると、コネクタはこの値を Google SecOps アラート名に使用します。 プレースホルダは [ 注: 値を指定しない場合や無効なテンプレートを指定した場合、コネクタはデフォルトのアラート名を使用します。コネクタは、プレースホルダに最初の Google SecOps イベントを使用します。このパラメータでは、文字列値を持つキーのみが許可されます。 |
Disable Overflow |
Optional 選択すると、コネクタはオーバーフロー メカニズムを無視します。 デフォルトでは選択されていません。 |
Verify SSL |
必須
選択すると、統合によって CrowdStrike サーバーへの接続用の SSL 証明書が有効かどうかが検証されます。 デフォルトでは選択されていません。 |
Proxy Server Address |
省略可
使用するプロキシ サーバーのアドレス。 |
Proxy Username |
省略可
認証に使用するプロキシのユーザー名。 |
Proxy Password |
省略可
認証に使用するプロキシ パスワード。 |
Customer ID |
Optional コネクタを実行するテナントの顧客 ID。マルチテナント(MSSP)環境で使用します。 |
コネクタルール
このコネクタはプロキシをサポートしています。
コネクタ イベント
コネクタ イベントの例を次に示します。
{
"added_privileges": [
"DomainAdminsRole"
],
"aggregate_id": "aggind:27fe4e476ca3490b8476b2b6650e5a74:C34185DF-C3BA-4F69-93EB-1B61A213AF86",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"composite_id": "27fe4e476ca3490b8476b2b6650e5a74:ind:27fe4e476ca3490b8476b2b6650e5a74:C34185DF-C3BA-4F69-93EB-1B61A213AF86",
"confidence": 20,
"context_timestamp": "2022-11-15T12:58:13.155Z",
"crawl_edge_ids": {
"Sensor": [
"N6Fq4_]TKjckDDWI$fKO`l>_^KFO4!,Z/&o<H7_)4[Ip*h@KUG8%Xn3Fm3@]<gF_c,c1eeW\\O-J9l;HhVHA\"DH#\\pO1M#>X^dZWWg%V:`[+@g9@3h\"Q\"7r8&lj-o[K@24f;Xl.rlhgWC8%j5\\O7p/G7iQ*ST&12];a_!REjkIUL.R,/U^?]I!!*'!",
"XNXPaK.m]6i\"HhDPGX=XlMl2?8Mr#H;,A,=7aF9N)>5*/Hc!D_>MmDTO\\t1>Oi6ENO`QkWK=@M9q?[I+pm^)mj5=T_EJ\"4cK99U+!/ERSdo(X^?.Z>^]kq!ECXH$T.sfrJpT:TE+(k]<'Hh]..+*N%h_5<Z,63,n!!*'!",
"N6L$J`'>\":d#'I2pLF4-ZP?S-Qu#75O,>ZD+B,m[\"eGe@(]>?Nqsh8T3*q=L%=`KI_C[Wmj3?D!=:`(K)7/2g&8cCuB`r9e\"jTp/QqK7.GocpPSq4\\-#t1Q*%5C0%S1$f>KT&a81dJ!Up@EZY*;ssFlh8$cID*qr1!)S<!m@A@s%JrG9Go-f^B\"<7s8N"
]
},
"crawl_vertex_ids": {
"Sensor": [
"uid:27fe4e476ca3490b8476b2b6650e5a74:S-1-5-21-3479765008-4256118348-3151044947-3195",
"ind:27fe4e476ca3490b8476b2b6650e5a74:C34185DF-C3BA-4F69-93EB-1B61A213AF86",
"aggind:27fe4e476ca3490b8476b2b6650e5a74:C34185DF-C3BA-4F69-93EB-1B61A213AF86",
"idpind:27fe4e476ca3490b8476b2b6650e5a74:715224EE-7AD6-33A1-ADA9-62C4608DA546"
]
},
"crawled_timestamp": "2022-11-15T14:33:50.641703679Z",
"created_timestamp": "2022-11-15T12:59:15.444106807Z",
"description": "A user received new privileges",
"display_name": "Privilege escalation (user)",
"end_time": "2022-11-15T12:58:13.155Z",
"falcon_host_link": "https://example.com/identity-protection/detections/",
"id": "ind:27fe4e476ca3490b8476b2b6650e5a74:C34185DF-C3BA-4F69-93EB-1B61A213AF86",
"name": "IdpEntityPrivilegeEscalationUser",
"objective": "Gain Access",
"pattern_id": 51113,
"previous_privileges": "0",
"privileges": "8321",
"product": "idp",
"scenario": "privilege_escalation",
"severity": 2,
"show_in_ui": true,
"source_account_domain": "EXAMPLE.COM",
"source_account_name": "ExampleName",
"source_account_object_sid": "S-1-5-21-3479765008-4256118348-3151044947-3195",
"start_time": "2022-11-15T12:58:13.155Z",
"status": "new",
"tactic": "Privilege Escalation",
"tactic_id": "TA0004",
"technique": "Valid Accounts",
"technique_id": "T1078",
"timestamp": "2022-11-15T12:58:15.397Z",
"type": "idp-user-endpoint-app-info",
"updated_timestamp": "2022-11-15T14:33:50.635238527Z"
}
CrowdStrike インシデント コネクタ
CrowdStrike インシデント コネクタを使用して、CrowdStrike からインシデントと関連する動作を取得します。
動的リストは incident_type パラメータと連動して機能します。
コネクタ パラメータ
CrowdStrike インシデント コネクタには、次のパラメータが必要です。
| パラメータ | |
|---|---|
Product Field Name |
必須
デフォルト値は |
Event Field Name |
必須
デフォルト値は |
Environment Field Name |
省略可 環境名が保存されるフィールドの名前。 環境フィールドが見つからない場合は、デフォルトの環境が使用されます。 デフォルト値は |
Environment Regex Pattern |
省略可
デフォルト値 正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果はデフォルト環境になります。 |
Script Timeout (Seconds) |
必須 現在のスクリプトを実行している Python プロセスのタイムアウト上限(秒単位)。 デフォルト値は |
API Root |
必須
CrowdStrike インスタンスの API ルート。 デフォルト値は |
Client ID |
必須
CrowdStrike アカウントのクライアント ID。 |
Client Secret |
必須
CrowdStrike アカウントのクライアント シークレット。 |
Lowest Severity Score To Fetch |
省略可
取得するインシデントの最も低い重大度スコア。 値を指定しない場合、コネクタはすべての重大度のインシデントを取り込みます。 最大値は
|
Max Hours Backwards |
省略可
インシデントを取得する時点までの時間数。 デフォルト値は |
Max Incidents To Fetch |
省略可
1 回のコネクタのイテレーションで処理するインシデントの数。 最大値は デフォルト値は |
Use dynamic list as a blocklist |
必須
選択すると、動的リストがブロックリストとして使用されます。 デフォルトでは選択されていません。 |
Disable Overflow |
Optional 選択すると、コネクタはオーバーフロー メカニズムを無視します。 デフォルトでは選択されていません。 |
Verify SSL |
必須
選択すると、統合によって CrowdStrike サーバーへの接続用の SSL 証明書が有効かどうかが検証されます。 デフォルトでは選択されていません。 |
Proxy Server Address |
省略可
使用するプロキシ サーバーのアドレス。 |
Proxy Username |
省略可
認証に使用するプロキシのユーザー名。 |
Proxy Password |
省略可
認証に使用するプロキシ パスワード。 |
Customer ID |
Optional コネクタを実行するテナントの顧客 ID。マルチテナント(MSSP)環境で使用します。 |
コネクタルール
このコネクタはプロキシをサポートしています。
コネクタ イベント
CrowdStrike インシデント コネクタには、インシデントに基づくイベントと動作に基づくイベントの 2 種類のイベントがあります。
インシデントに基づくイベントの例は次のとおりです。
{
"data_type": "Incident"
"incident_id": "inc:fee8a6ef0cb3412e9a781dcae0287c85:9dfa480ae6214309bff0c8dc2ad8af7c",
"incident_type": 1,
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"host_ids": [
"fee8a6ef0cb3412e9a781dcae0287c85"
],
"hosts": [
{
"device_id": "fee8a6ef0cb3412e9a781dcae0287c85",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"agent_load_flags": "1",
"agent_local_time": "2023-01-09T11:28:59.170Z",
"agent_version": "6.48.16207.0",
"bios_manufacturer": "Example Inc.",
"bios_version": "1.20.0",
"config_id_base": "65994753",
"config_id_build": "16207",
"config_id_platform": "3",
"external_ip": "203.0.113.1",
"hostname": "DESKTOP-EXAMPLE",
"first_seen": "2022-09-26T09:56:42Z",
"last_seen": "2023-01-09T12:11:35Z",
"local_ip": "192.0.2.1",
"mac_address": "00-15-5d-65-39-86",
"major_version": "01",
"minor_version": "0",
"os_version": "Windows 10",
"platform_id": "0",
"platform_name": "Windows",
"product_type": "1",
"product_type_desc": "Workstation",
"status": "contained",
"system_manufacturer": "Example Inc.",
"system_product_name": "G5 5500",
"modified_timestamp": "2023-01-09T12:11:48Z"
}
],
"created": "2023-01-09T12:12:51Z",
"start": "2023-01-09T11:23:27Z",
"end": "2023-01-09T12:52:01Z",
"state": "closed",
"status": 20,
"tactics": [
"Defense Evasion",
"Privilege Escalation",
"Credential Access"
],
"techniques": [
"Disable or Modify Tools",
"Access Token Manipulation",
"Input Capture",
"Bypass User Account Control"
],
"objectives": [
"Keep Access",
"Gain Access"
],
"users": [
"DESKTOP-EXAMPLE$",
"EXAMPLE"
],
"fine_score": 21
}
行動に基づくイベントの例は次のとおりです。
{
"behavior_id": "ind:fee8a6ef0cb3412e9a781dcae0287c85:1298143147841-372-840208",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"aid": "fee8a6ef0cb3412e9a781dcae0287c85",
"incident_id": "inc:fee8a6ef0cb3412e9a781dcae0287c85:9dfa480ae6214309bff0c8dc2ad8af7c",
"incident_ids": [
"inc:fee8a6ef0cb3412e9a781dcae0287c85:9dfa480ae6214309bff0c8dc2ad8af7c"
],
"pattern_id": 372,
"template_instance_id": 0,
"timestamp": "2023-01-09T11:24:25Z",
"cmdline": "\"C:\\WINDOWS\\system32\\SystemSettingsAdminFlows.exe\" SetNetworkAdapter {4ebe49ef-86f5-4c15-91b9-8da03d796416} enable",
"filepath": "\\Device\\HarddiskVolume3\\Windows\\System32\\SystemSettingsAdminFlows.exe",
"domain": "DESKTOP-EXAMPLE",
"pattern_disposition": -1,
"sha256": "78f926520799565373b1a8a42dc4f2fa328ae8b4de9df5eb885c0f7c971040d6",
"user_name": "EXAMPLE",
"tactic": "Privilege Escalation",
"tactic_id": "TA0004",
"technique": "Bypass User Account Control",
"technique_id": "T1548.002",
"display_name": "ProcessIntegrityElevationTarget",
"objective": "Gain Access",
"compound_tto": "GainAccess__PrivilegeEscalation__BypassUserAccountControl__1__0__0__0"
}
CrowdStrike - アラート コネクタ
CrowdStrike - Alerts Connector を使用して、CrowdStrike からアラートを取得します。動的リストは display_name パラメータと連動して機能します。
ID 保護の検出を取得するには、ID 保護検出コネクタを使用します。
コネクタの入力
CrowdStrike - Alerts Connector には、次のパラメータが必要です。
| パラメータ | |
|---|---|
Product Field Name |
必須
デフォルト値は |
Event Field Name |
必須
デフォルト値は |
Environment Field Name |
省略可 環境名が保存されるフィールドの名前。 環境フィールドが見つからない場合は、デフォルトの環境が使用されます。 デフォルト値は |
Environment Regex Pattern |
省略可
デフォルト値 正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果はデフォルト環境になります。 |
Script Timeout (Seconds) |
必須 現在のスクリプトを実行している Python プロセスのタイムアウト上限(秒単位)。 デフォルト値は |
API Root |
必須
CrowdStrike インスタンスの API ルート。 デフォルト値は |
Client ID |
必須
CrowdStrike アカウントのクライアント ID。 |
Client Secret |
必須
CrowdStrike アカウントのクライアント シークレット。 |
Case Name Template |
省略可
指定された場合、コネクタは プレースホルダは [ 注: コネクタは、プレースホルダに最初の Google SecOps イベントを使用します。このパラメータでは、文字列値を持つキーのみが許可されます。 |
Alert Name Template |
省略可
指定すると、コネクタはこの値を Google SecOps アラート名に使用します。 プレースホルダは [ 注: 値を指定しない場合や無効なテンプレートを指定した場合、コネクタはデフォルトのアラート名を使用します。コネクタは、プレースホルダに最初の Google SecOps イベントを使用します。このパラメータでは、文字列値を持つキーのみが許可されます。 |
Lowest Severity Score To Fetch |
省略可
取得するインシデントの最も低い重大度スコア。 値を指定しない場合、コネクタはすべての重大度のインシデントを取り込みます。 最大値は
CrowdStrike UI では、同じ値が 10 で割った値として表示されます。 |
Max Hours Backwards |
省略可
インシデントを取得する時点までの時間数。 デフォルト値は |
Max Alerts To Fetch |
省略可
1 回のコネクタの反復処理で処理するアラートの数。 最大値は デフォルト値は |
Use dynamic list as a blocklist |
必須
選択すると、コネクタは動的リストを拒否リストとして使用します。 デフォルトでは選択されていません。 |
Disable Overflow |
Optional 選択すると、コネクタはオーバーフロー メカニズムを無視します。 デフォルトでは選択されていません。 |
Verify SSL |
必須
選択すると、統合によって CrowdStrike サーバーへの接続用の SSL 証明書が有効かどうかが検証されます。 デフォルトでは選択されていません。 |
Proxy Server Address |
省略可
使用するプロキシ サーバーのアドレス。 |
Proxy Username |
省略可
認証に使用するプロキシのユーザー名。 |
Proxy Password |
省略可
認証に使用するプロキシ パスワード。 |
Customer ID |
Optional コネクタを実行するテナントの顧客 ID。マルチテナント(MSSP)環境で使用します。 |
コネクタルール
このコネクタはプロキシをサポートしています。
コネクタ イベント
アラートに基づくイベントの例は次のとおりです。
{
"added_privileges": [
"DomainAdminsRole"
],
"aggregate_id": "aggind:27fe4e476ca3490b8476b2b6650e5a74",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"composite_id": "27fe4e476ca3490b8476b2b6650e5a74:ind:27fe4e476ca3490b8476b2b6650e5a74",
"confidence": 20,
"context_timestamp": "2022-11-15T12:58:13.155Z",
"crawl_edge_ids": {
"Sensor": [
"N6Fq4_]TKjckDDWI$fKO`l>_^KFO4!,Z/&o<H7_)4[Ip*h@KUG8%Xn3Fm3@]<gF_c,c1eeW\\O-J9l;HhVHA\"DH#\\pO1M#>X^dZWWg%V:`[+@g9@3h\"Q\"7r8&lj-o[K@24f;Xl.rlhgWC8%j5\\O7p/G7iQ*ST&12];a_!REjkIUL.R,/U^?]I!!*'!",
"XNXPaK.m]6i\"HhDPGX=XlMl2?8Mr#H;,A,=7aF9N)>5*/Hc!D_>MmDTO\\t1>Oi6ENO`QkWK=@M9q?[I+pm^)mj5=T_EJ\"4cK99U+!/ERSdo(X^?.Z>^]kq!ECXH$T.sfrJpT:TE+(k]<'Hh]..+*N%h_5<Z,63,n!!*'!",
"N6L$J`'>\":d#'I2pLF4-ZP?S-Qu#75O,>ZD+B,m[\"eGe@(]>?Nqsh8T3*q=L%=`KI_C[Wmj3?D!=:`(K)7/2g&8cCuB`r9e\"jTp/QqK7.GocpPSq4\\-#t1Q*%5C0%S1$f>KT&a81dJ!Up@EZY*;ssFlh8$cID*qr1!)S<!m@A@s%JrG9Go-f^B\"<7s8N"
]
},
"crawl_vertex_ids": {
"Sensor": [
"uid:27fe4e476ca3490b8476b2b6650e5a74:S-1-5-21-3479765008-4256118348-3151044947-3195",
"ind:27fe4e476ca3490b8476b2b6650e5a74",
"aggind:27fe4e476ca3490b8476b2b6650e5a74",
"idpind:27fe4e476ca3490b8476b2b6650e5a74:715224EE-7AD6-33A1-ADA9-62C4608DA546"
]
},
"crawled_timestamp": "2022-11-15T14:33:50.641703679Z",
"created_timestamp": "2022-11-15T12:59:15.444106807Z",
"description": "A user received new privileges",
"display_name": "Privilege escalation (user)",
"end_time": "2022-11-15T12:58:13.155Z",
"falcon_host_link": "https://falcon.crowdstrike.com/identity-protection/detections/27fe4e476ca3490b8476b2b6650e5a74:ind:27fe4e476ca3490b8476b2b6650e5a74?cid=27fe4e476ca3490b8476b2b6650e5a74",
"id": "ind:27fe4e476ca3490b8476b2b6650e5a74",
"name": "IdpEntityPrivilegeEscalationUser",
"objective": "Gain Access",
"pattern_id": 51113,
"previous_privileges": "0",
"privileges": "8321",
"product": "idp",
"scenario": "privilege_escalation",
"severity": 2,
"show_in_ui": true,
"source_account_domain": "EXAMPLE.EXAMPLE",
"source_account_name": "ExampleMailbox",
"source_account_object_sid": "S-1-5-21-3479765008-4256118348-3151044947-3195",
"start_time": "2022-11-15T12:58:13.155Z",
"status": "new",
"tactic": "Privilege Escalation",
"tactic_id": "TA0004",
"technique": "Valid Accounts",
"technique_id": "T1078",
"timestamp": "2022-11-15T12:58:15.397Z",
"type": "idp-user-endpoint-app-info",
"updated_timestamp": "2022-11-15T14:33:50.635238527Z"
}
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。