Cisco Orbital
Versión de integración: 5.0
Casos prácticos
Realizar acciones activas: ejecuta consultas de SQL para obtener más información sobre el endpoint.
Configurar la integración de Cisco Orbital para que funcione con Google Security Operations
Permiso de producto
Para autenticarte, debes generar un token y usarlo en las solicitudes de la API.
Cómo generar un ID de cliente y un secreto de cliente
Para generar el ID de cliente y el secreto de cliente, debes seguir estos pasos:
- Inicia sesión en Cisco Orbital.
- Ve a la configuración de la cuenta y haz clic en Crear credenciales de API.
- Rellena los campos.
- Copia el ID de cliente y el secreto de cliente.
Configurar la integración de Cisco Orbital en Google SecOps
Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre de la instancia | Cadena | N/A | No | Nombre de la instancia para la que quiere configurar la integración. |
| Descripción | Cadena | N/A | No | Descripción de la instancia. |
| ID de cliente | Cadena | N/A | Sí | ID de cliente de la cuenta de Cisco Orbital. |
| Secreto de cliente | Contraseña | N/A | Sí | Secreto de cliente de la cuenta de Cisco Orbital. |
| Verificar SSL | Casilla | Marcada | No | Si está habilitada, verifica que el certificado SSL de la conexión al servidor de Cisco Orbital sea válido. |
| Ejecutar de forma remota | Casilla | Desmarcada | No | Marca el campo para ejecutar la integración configurada de forma remota. Una vez marcada, aparece la opción para seleccionar al usuario remoto (agente). |
Acciones
Ping
Descripción
Prueba la conectividad con Cisco Orbital con los parámetros proporcionados en la página de configuración de la integración de la pestaña Google Security Operations Marketplace.
Parámetros
N/A
Fecha de ejecución
La acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se realiza correctamente: "Successfully connected to the Cisco Orbital server with the provided connection parameters!" ("Se ha conectado correctamente al servidor de Cisco Orbital con los parámetros de conexión proporcionados"). La acción debería fallar y detener la ejecución de la guía: Si no se resuelve correctamente: "No se ha podido conectar con el servidor de Cisco Orbital. Error: {0}".format(exception.stacktrace) |
General |
Ejecutar consulta
Descripción
Ejecuta consultas en endpoints basadas en entidades de IP y nombre de host en Cisco Orbital.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Consulta | Cadena | N/A | Sí | Especifica la consulta que se debe ejecutar. |
| Nombre | Cadena | N/A | No | Especifica el nombre de la tarea de consulta. Si no se especifica nada, la acción usa un nombre con el siguiente formato:
PRODUCT_NAME-GUID |
| Campos de contexto personalizados | Cadena | N/A | No | Especifica los campos de contexto personalizado adicionales que se deben añadir al trabajo. Formato: clave_1:valor_1,clave_2:valor_1. |
| Número máximo de resultados que se devolverán | Entero | 100 | No | Especifica cuántos resultados se deben devolver. |
| Ocultar tabla del panel de casos | Casilla | N/A | No | Si se habilita esta opción, la acción no preparará una tabla de casos. |
| Tiempo de espera | Entero | 1 | No | Especifica cuántos minutos hay que esperar para obtener los resultados antes de finalizar la ejecución de la acción. Máximo: 5 minutos. Valor predeterminado: 1 minuto. |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Host
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"results": [
{
"node": "eXHZw6pLMxepKQtf9B8VTQ",
"osQuery": [
{
"sql": "SELECT name,pid FROM processes;"
}
],
"osQueryResult": [
{
"types": [
"",
""
],
"columns": [
"name",
"pid"
],
"values": [
"[System Process]",
"0",
"System",
"4",
"Registry",
"88",
"smss.exe",
"516",
"csrss.exe",
"596",
"wininit.exe",
"672",
"csrss.exe",
"680",
"winlogon.exe",
"724",
"services.exe",
"796",
"lsass.exe",
"804",
"svchost.exe",
"916",
"fontdrvhost.exe",
"936",
"svchost.exe",
"944",
"svchost.exe",
"1020",
"svchost.exe",
"296",
"fontdrvhost.exe",
"560",
"dwm.exe",
"1048",
"svchost.exe",
"1136",
"svchost.exe",
"1144",
"svchost.exe",
"1192",
"svchost.exe",
"1256",
"svchost.exe",
"1280",
"svchost.exe",
"1372",
"svchost.exe",
"1392",
"svchost.exe",
"1488",
"svchost.exe",
"1504",
"svchost.exe",
"1552",
"svchost.exe",
"1604",
"svchost.exe",
"1716",
"svchost.exe",
"1724",
"svchost.exe",
"1804",
"svchost.exe",
"1812",
"svchost.exe",
"1964"
],
"error": "",
"secs": 0.06800670176744461,
"label": "",
"name": ""
}
],
"error": {
"en": ""
},
"hostinfo": {
"osinfo": {
"os": "windows",
"osname": "Windows 10 Enterprise Evaluation",
"release": "6.3",
"version": "10.0.18363",
"arch": "amd64"
},
"hostname": "TIP-HW-HOST-034",
"interfaces": {
"Ethernet0": {
"name": "Ethernet0",
"mac": "00:50:56:a2:05:8b",
"ipv4": "172.30.202.128/24",
"ipv6": "fe80::983:e8ed:c392:3e3e/64",
"active": true
}
},
"external": {
"name": "",
"mac": "",
"ipv4": "185.180.102.139",
"active": true
},
"updated": "2020-10-12T12:03:30.1329732Z",
"version": "v1.7.6"
},
"rowcount": 149,
"context": {
"description": "front desk",
"lol": "kek",
"value": "anything\"}"
}
},
{
"node": "oHNPQUeWwK1ql3R2J13GSw",
"osQuery": [
{
"sql": "SELECT name,pid FROM processes;"
}
],
"osQueryResult": [
{
"types": [
"",
""
],
"columns": [
"name",
"pid"
],
"values": [
"[System Process]",
"0",
"System",
"4",
"Registry",
"88",
"smss.exe",
"360",
"csrss.exe",
"440",
"wininit.exe",
"520",
"csrss.exe",
"536",
"winlogon.exe",
"616",
"services.exe",
"656",
"lsass.exe",
"664",
"svchost.exe",
"772",
"fontdrvhost.exe",
"784",
"fontdrvhost.exe",
"792",
"svchost.exe",
"864",
"svchost.exe",
"6852",
"SystemSettings.exe",
"7864",
"YourPhone.exe",
"5160",
"RuntimeBroker.exe",
"516",
"dllhost.exe",
"1496"
],
"error": "",
"secs": 0.025061199441552162,
"label": "",
"name": ""
}
],
"error": {
"en": ""
},
"hostinfo": {
"osinfo": {
"os": "windows",
"osname": "Windows 10 Enterprise Evaluation",
"release": "6.3",
"version": "10.0.18363",
"arch": "amd64"
},
"hostname": "TIP-HW-HOST-033",
"fqdn": {
"127.0.0.1": "www.virustotal.com"
},
"interfaces": {
"Ethernet0": {
"name": "Ethernet0",
"mac": "00:50:56:a2:66:8a",
"ipv4": "172.30.202.127/24",
"ipv6": "fe80::84:5a0f:7973:63/64",
"active": true
}
},
"external": {
"name": "",
"mac": "",
"ipv4": "185.180.102.139",
"active": true
},
"updated": "2020-10-07T00:11:31.0951018Z",
"version": "v1.7.6"
},
"rowcount": 132,
"context": {
"description": "front desk",
"lol": "kek",
"value": "anything\"}"
}
}
],
"error": {
"en": ""
},
"next": ""
}
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida\* | La acción no debe fallar ni detener la ejecución de una guía: Si la consulta de SQL se ejecuta sin errores en una de las entidades (is_success=true): "Successfully executed query and retrieved results from Cisco Orbital on the following entities:\n".format(entity.identifier) ("Consulta ejecutada correctamente y resultados obtenidos de Cisco Orbital en las siguientes entidades:\n".format(entity.identifier)) Si la consulta de SQL no se ejecuta en algunas entidades (is_success=true): "Action wasn't able to successfully execute query and retrieve results from Cisco Orbital on the following entities:\n".format(entity.identifier) ("La acción no ha podido ejecutar la consulta correctamente y obtener resultados de Cisco Orbital en las siguientes entidades:\n".format(entity.identifier)) Si el código de estado 400 se indica en la primera respuesta (is_success=false): "Action wasn't able to execute queries in Cisco Orbital. Motivo: {0}".format(lista de errores separada por comas) Si todos los resultados tienen un error: "Action wasn't able to execute queries on all provided entities in Cisco Orbital. Motivo: errores en la consulta". Mensaje asíncrono: "Consulta enviada. Esperando los resultados hasta el tiempo de espera". La acción debería fallar y detener la ejecución de la guía: Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro: "Error al ejecutar la acción "List Buckets". Motivo: {0}''.format(error.Stacktrace) Si el parámetro "Timeout" no está entre 1 y 5: "Timeout value should be in range from 1 to 5" ("El valor de tiempo de espera debe estar entre 1 y 5"). |
General |
Tabla del panel de casos Por cada resultado que no tenga ningún error |
Si el tipo de entidad es nombre de host: Nombre de la tabla: "Resultados de {0}".format(entity.identifier) Si se trata de otros tipos de entidades: Nombre de la tabla: "Resultados de {0} ({1})".format(entity.identifier, hostinfo/hostname) Todas las columnas de la respuesta se usarán como columnas de la tabla. |
General |
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.