Cisco Orbital
Integrationsversion: 5.0
Anwendungsbereiche
Aktive Aktionen ausführen – SQL-Abfragen ausführen, um weitere Informationen zum Endpunkt zu erhalten.
Cisco Orbital-Integration für die Verwendung mit Google Security Operations konfigurieren
Produktberechtigung
Zur Authentifizierung müssen Sie ein Token generieren und dieses Token in API-Anfragen verwenden.
Client-ID und Clientschlüssel generieren
So generieren Sie Client-ID und Clientschlüssel:
- Melden Sie sich in Cisco Orbital an.
- Rufen Sie die Kontoeinstellungen auf und klicken Sie auf API-Anmeldedaten erstellen.
- Füllen Sie die Felder aus.
- Kopieren Sie die Client-ID und den Clientschlüssel.
Cisco Orbital-Integration in Google SecOps konfigurieren
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Integrationsparameter
Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Instanzname | String | – | Nein | Name der Instanz, für die Sie die Integration konfigurieren möchten. |
| Beschreibung | String | – | Nein | Beschreibung der Instanz. |
| Client-ID | String | – | Ja | Client-ID des Cisco Orbital-Kontos. |
| Clientschlüssel | Passwort | – | Ja | Clientschlüssel des Cisco Orbital-Kontos. |
| SSL überprüfen | Kästchen | Aktiviert | Nein | Wenn diese Option aktiviert ist, wird geprüft, ob das SSL-Zertifikat für die Verbindung zum Cisco Orbital-Server gültig ist. |
| Remote ausführen | Kästchen | Deaktiviert | Nein | Aktivieren Sie das Feld, um die konfigurierte Integration remote auszuführen. Nachdem Sie das Kästchen angekreuzt haben, wird die Option zum Auswählen des Remote-Nutzers (Kundenservicemitarbeiters) angezeigt. |
Aktionen
Ping
Beschreibung
Testen Sie die Verbindung zum Cisco Orbital mit Parametern, die auf der Seite mit der Integrationskonfiguration auf dem Tab „Google Security Operations Marketplace“ angegeben sind.
Parameter
–
Ausführen am
Die Aktion wird nicht für Entitäten ausgeführt und hat keine erforderlichen Eingabeparameter.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg: „Successfully connected to the Cisco Orbital server with the provided connection parameters!“ (Die Verbindung zum Cisco Orbital-Server wurde mit den angegebenen Verbindungsparametern hergestellt.) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn nicht erfolgreich: „Verbindung zum Cisco Orbital-Server konnte nicht hergestellt werden. Fehler: {0}".format(exception.stacktrace) |
Allgemein |
Abfrage ausführen
Beschreibung
Führen Sie Abfragen für Endpunkte basierend auf IP- und Hostname-Entitäten in Cisco Orbital aus.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Abfrage | String | – | Ja | Geben Sie die Abfrage an, die ausgeführt werden muss. |
| Name | String | – | Nein | Geben Sie den Namen für den Abfragejob an. Wenn nichts angegeben ist, wird für die Aktion ein Name im folgenden Format verwendet:
PRODUCT_NAME-GUID |
| Benutzerdefinierte Kontextfelder | String | – | Nein | Geben Sie zusätzliche benutzerdefinierte Kontextfelder an, die dem Job hinzugefügt werden sollen. Format: key_1:value_1,key_2:value_1. |
| Maximale Anzahl zurückzugebender Ergebnisse | Ganzzahl | 100 | Nein | Geben Sie an, wie viele Ergebnisse zurückgegeben werden sollen. |
| Fall-Repository-Tabelle ausblenden | Kästchen | – | Nein | Wenn diese Option aktiviert ist, wird keine Fallwandtabelle erstellt. |
| Zeitlimit | Ganzzahl | 1 | Nein | Geben Sie an, wie viele Minuten gewartet werden soll, bis die Ausführung der Aktion abgeschlossen wird. Maximal: 5 Minuten. Standard: 1 Minute. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Host
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"results": [
{
"node": "eXHZw6pLMxepKQtf9B8VTQ",
"osQuery": [
{
"sql": "SELECT name,pid FROM processes;"
}
],
"osQueryResult": [
{
"types": [
"",
""
],
"columns": [
"name",
"pid"
],
"values": [
"[System Process]",
"0",
"System",
"4",
"Registry",
"88",
"smss.exe",
"516",
"csrss.exe",
"596",
"wininit.exe",
"672",
"csrss.exe",
"680",
"winlogon.exe",
"724",
"services.exe",
"796",
"lsass.exe",
"804",
"svchost.exe",
"916",
"fontdrvhost.exe",
"936",
"svchost.exe",
"944",
"svchost.exe",
"1020",
"svchost.exe",
"296",
"fontdrvhost.exe",
"560",
"dwm.exe",
"1048",
"svchost.exe",
"1136",
"svchost.exe",
"1144",
"svchost.exe",
"1192",
"svchost.exe",
"1256",
"svchost.exe",
"1280",
"svchost.exe",
"1372",
"svchost.exe",
"1392",
"svchost.exe",
"1488",
"svchost.exe",
"1504",
"svchost.exe",
"1552",
"svchost.exe",
"1604",
"svchost.exe",
"1716",
"svchost.exe",
"1724",
"svchost.exe",
"1804",
"svchost.exe",
"1812",
"svchost.exe",
"1964"
],
"error": "",
"secs": 0.06800670176744461,
"label": "",
"name": ""
}
],
"error": {
"en": ""
},
"hostinfo": {
"osinfo": {
"os": "windows",
"osname": "Windows 10 Enterprise Evaluation",
"release": "6.3",
"version": "10.0.18363",
"arch": "amd64"
},
"hostname": "TIP-HW-HOST-034",
"interfaces": {
"Ethernet0": {
"name": "Ethernet0",
"mac": "00:50:56:a2:05:8b",
"ipv4": "172.30.202.128/24",
"ipv6": "fe80::983:e8ed:c392:3e3e/64",
"active": true
}
},
"external": {
"name": "",
"mac": "",
"ipv4": "185.180.102.139",
"active": true
},
"updated": "2020-10-12T12:03:30.1329732Z",
"version": "v1.7.6"
},
"rowcount": 149,
"context": {
"description": "front desk",
"lol": "kek",
"value": "anything\"}"
}
},
{
"node": "oHNPQUeWwK1ql3R2J13GSw",
"osQuery": [
{
"sql": "SELECT name,pid FROM processes;"
}
],
"osQueryResult": [
{
"types": [
"",
""
],
"columns": [
"name",
"pid"
],
"values": [
"[System Process]",
"0",
"System",
"4",
"Registry",
"88",
"smss.exe",
"360",
"csrss.exe",
"440",
"wininit.exe",
"520",
"csrss.exe",
"536",
"winlogon.exe",
"616",
"services.exe",
"656",
"lsass.exe",
"664",
"svchost.exe",
"772",
"fontdrvhost.exe",
"784",
"fontdrvhost.exe",
"792",
"svchost.exe",
"864",
"svchost.exe",
"6852",
"SystemSettings.exe",
"7864",
"YourPhone.exe",
"5160",
"RuntimeBroker.exe",
"516",
"dllhost.exe",
"1496"
],
"error": "",
"secs": 0.025061199441552162,
"label": "",
"name": ""
}
],
"error": {
"en": ""
},
"hostinfo": {
"osinfo": {
"os": "windows",
"osname": "Windows 10 Enterprise Evaluation",
"release": "6.3",
"version": "10.0.18363",
"arch": "amd64"
},
"hostname": "TIP-HW-HOST-033",
"fqdn": {
"127.0.0.1": "www.virustotal.com"
},
"interfaces": {
"Ethernet0": {
"name": "Ethernet0",
"mac": "00:50:56:a2:66:8a",
"ipv4": "172.30.202.127/24",
"ipv6": "fe80::84:5a0f:7973:63/64",
"active": true
}
},
"external": {
"name": "",
"mac": "",
"ipv4": "185.180.102.139",
"active": true
},
"updated": "2020-10-07T00:11:31.0951018Z",
"version": "v1.7.6"
},
"rowcount": 132,
"context": {
"description": "front desk",
"lol": "kek",
"value": "anything\"}"
}
}
],
"error": {
"en": ""
},
"next": ""
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung\* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn die SQL-Abfrage für eine der Entitäten ohne Fehler ausgeführt wird (is_success=true): "Successfully executed query and retrieved results from Cisco Orbital on the following entities:\n".format(entity.identifier) Wenn die SQL-Abfrage für einige Entitäten nicht ausgeführt wird (is_success=true): „Die Aktion konnte die Abfrage für die folgenden Entitäten nicht erfolgreich ausführen und Ergebnisse von Cisco Orbital abrufen:\n“.format(entity.identifier) Wenn der Statuscode 400 in der ersten Antwort gemeldet wird (is_success=false): „Die Aktion konnte keine Anfragen in Cisco Orbital ausführen. Grund: {0}".format(comma-separated list of errors) Wenn alle Ergebnisse einen Fehler aufweisen: „Die Aktion konnte keine Abfragen für alle angegebenen Einheiten in Cisco Orbital ausführen. Grund: Fehler in der Abfrage.“ Asynchrone Nachricht: „Submitted Query. Warten auf Ergebnisse bis zum Zeitlimit.“ Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten oder keine Verbindung zum Server: „Error executing action ‚List Buckets‘.“ Grund: {0}''.format(error.Stacktrace) Wenn der Parameter „Timeout“ nicht im Bereich von 1 bis 5 liegt: „Timeout value should be in range from 1 to 5.“ (Der Timeout-Wert sollte im Bereich von 1 bis 5 liegen.) |
Allgemein |
Tabelle „Fall-Repository“ Für jedes Ergebnis ohne Fehler |
Wenn der Entitätstyp „Hostname“ ist: Tabellenname: „Ergebnisse für {0}“.format(entity.identifier) Bei anderen Entitätstypen: Tabellenname: „Results for {0} ({1})“.format(entity.identifier, hostinfo/hostname) Alle Spalten aus der Antwort werden als Tabellenspalten verwendet. |
Allgemein |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten