Cisco Orbital
Versión de integración: 5.0
Casos de uso
Realizar acciones activas: Ejecutar consultas en SQL para obtener más información sobre el extremo
Configura la integración de Cisco Orbital para que funcione con Google Security Operations
Permiso del producto
Para autenticarte, debes generar un token y usarlo en las solicitudes a la API.
Cómo generar el ID de cliente y el secreto del cliente
Para generar el ID de cliente y el secreto del cliente, debes seguir estos pasos:
- Accede a Cisco Orbital.
- Navega a la configuración de la cuenta y haz clic en Crear credenciales de API.
- Completa los campos.
- Copia el ID de cliente y el secreto del cliente.
Configura la integración de Cisco Orbital en Google SecOps
Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre de la instancia | String | N/A | No | Nombre de la instancia para la que deseas configurar la integración. |
| Descripción | String | N/A | No | Es la descripción de la instancia. |
| ID de cliente | String | N/A | Sí | Es el ID de cliente de la cuenta de Cisco Orbital. |
| Secreto del cliente | Contraseña | N/A | Sí | Es el secreto del cliente de la cuenta de Cisco Orbital. |
| Verificar SSL | Casilla de verificación | Marcado | No | Si está habilitada, verifica que el certificado SSL para la conexión al servidor de Cisco Orbital sea válido. |
| Ejecutar de forma remota | Casilla de verificación | Desmarcado | No | Marca la casilla para ejecutar la integración configurada de forma remota. Una vez que se marca, aparece la opción para seleccionar al usuario remoto (agente). |
Acciones
Ping
Descripción
Prueba la conectividad con Cisco Orbital con los parámetros proporcionados en la página de configuración de la integración en la pestaña Google Security Operations Marketplace.
Parámetros
N/A
Ejecutar en
La acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si la conexión se realiza correctamente: "Successfully connected to the Cisco Orbital server with the provided connection parameters!" La acción debería fallar y detener la ejecución de la guía: Si no se realiza correctamente, haz lo siguiente: "No se pudo conectar al servidor de Cisco Orbital. Error is {0}".format(exception.stacktrace) |
General |
Ejecutar consulta
Descripción
Ejecuta consultas en los extremos según las entidades de IP y nombre de host en Cisco Orbital.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Consulta | String | N/A | Sí | Especifica la consulta que se debe ejecutar. |
| Nombre | String | N/A | No | Especifica el nombre del trabajo de búsqueda. Si no se especifica nada, la acción usa un nombre con el siguiente formato:
PRODUCT_NAME-GUID |
| Campos de contexto personalizados | String | N/A | No | Especifica campos de contexto personalizados adicionales que se deben agregar al trabajo. Formato: key_1:value_1,key_2:value_1. |
| Cantidad máxima de resultados para devolver | Número entero | 100 | No | Especifica cuántos resultados se deben devolver. |
| Ocultar la tabla del muro de casos | Casilla de verificación | N/A | No | Si se habilita, la acción no preparará una tabla de muro de casos. |
| Tiempo de espera | Número entero | 1 | No | Especifica cuántos minutos esperar los resultados antes de finalizar la ejecución de la acción. Máximo: 5 minutos. Valor predeterminado: 1 minuto. |
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Host
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"results": [
{
"node": "eXHZw6pLMxepKQtf9B8VTQ",
"osQuery": [
{
"sql": "SELECT name,pid FROM processes;"
}
],
"osQueryResult": [
{
"types": [
"",
""
],
"columns": [
"name",
"pid"
],
"values": [
"[System Process]",
"0",
"System",
"4",
"Registry",
"88",
"smss.exe",
"516",
"csrss.exe",
"596",
"wininit.exe",
"672",
"csrss.exe",
"680",
"winlogon.exe",
"724",
"services.exe",
"796",
"lsass.exe",
"804",
"svchost.exe",
"916",
"fontdrvhost.exe",
"936",
"svchost.exe",
"944",
"svchost.exe",
"1020",
"svchost.exe",
"296",
"fontdrvhost.exe",
"560",
"dwm.exe",
"1048",
"svchost.exe",
"1136",
"svchost.exe",
"1144",
"svchost.exe",
"1192",
"svchost.exe",
"1256",
"svchost.exe",
"1280",
"svchost.exe",
"1372",
"svchost.exe",
"1392",
"svchost.exe",
"1488",
"svchost.exe",
"1504",
"svchost.exe",
"1552",
"svchost.exe",
"1604",
"svchost.exe",
"1716",
"svchost.exe",
"1724",
"svchost.exe",
"1804",
"svchost.exe",
"1812",
"svchost.exe",
"1964"
],
"error": "",
"secs": 0.06800670176744461,
"label": "",
"name": ""
}
],
"error": {
"en": ""
},
"hostinfo": {
"osinfo": {
"os": "windows",
"osname": "Windows 10 Enterprise Evaluation",
"release": "6.3",
"version": "10.0.18363",
"arch": "amd64"
},
"hostname": "TIP-HW-HOST-034",
"interfaces": {
"Ethernet0": {
"name": "Ethernet0",
"mac": "00:50:56:a2:05:8b",
"ipv4": "172.30.202.128/24",
"ipv6": "fe80::983:e8ed:c392:3e3e/64",
"active": true
}
},
"external": {
"name": "",
"mac": "",
"ipv4": "185.180.102.139",
"active": true
},
"updated": "2020-10-12T12:03:30.1329732Z",
"version": "v1.7.6"
},
"rowcount": 149,
"context": {
"description": "front desk",
"lol": "kek",
"value": "anything\"}"
}
},
{
"node": "oHNPQUeWwK1ql3R2J13GSw",
"osQuery": [
{
"sql": "SELECT name,pid FROM processes;"
}
],
"osQueryResult": [
{
"types": [
"",
""
],
"columns": [
"name",
"pid"
],
"values": [
"[System Process]",
"0",
"System",
"4",
"Registry",
"88",
"smss.exe",
"360",
"csrss.exe",
"440",
"wininit.exe",
"520",
"csrss.exe",
"536",
"winlogon.exe",
"616",
"services.exe",
"656",
"lsass.exe",
"664",
"svchost.exe",
"772",
"fontdrvhost.exe",
"784",
"fontdrvhost.exe",
"792",
"svchost.exe",
"864",
"svchost.exe",
"6852",
"SystemSettings.exe",
"7864",
"YourPhone.exe",
"5160",
"RuntimeBroker.exe",
"516",
"dllhost.exe",
"1496"
],
"error": "",
"secs": 0.025061199441552162,
"label": "",
"name": ""
}
],
"error": {
"en": ""
},
"hostinfo": {
"osinfo": {
"os": "windows",
"osname": "Windows 10 Enterprise Evaluation",
"release": "6.3",
"version": "10.0.18363",
"arch": "amd64"
},
"hostname": "TIP-HW-HOST-033",
"fqdn": {
"127.0.0.1": "www.virustotal.com"
},
"interfaces": {
"Ethernet0": {
"name": "Ethernet0",
"mac": "00:50:56:a2:66:8a",
"ipv4": "172.30.202.127/24",
"ipv6": "fe80::84:5a0f:7973:63/64",
"active": true
}
},
"external": {
"name": "",
"mac": "",
"ipv4": "185.180.102.139",
"active": true
},
"updated": "2020-10-07T00:11:31.0951018Z",
"version": "v1.7.6"
},
"rowcount": 132,
"context": {
"description": "front desk",
"lol": "kek",
"value": "anything\"}"
}
}
],
"error": {
"en": ""
},
"next": ""
}
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida\* | La acción no debe fallar ni detener la ejecución de una guía: Si la consulta en SQL se ejecuta sin errores en una de las entidades (is_success=true): "Successfully executed query and retrieved results from Cisco Orbital on the following entities:\n".format(entity.identifier) Si la consulta en SQL no se ejecuta en algunas entidades (is_success=true): "No se pudo ejecutar la consulta correctamente ni recuperar los resultados de Cisco Orbital en las siguientes entidades:\n".format(entity.identifier) Si el código de estado 400 se informa en la primera respuesta (is_success=false): "La acción no pudo ejecutar consultas en Cisco Orbital. Motivo: {0}".format(lista de errores separados por comas) Si todos los resultados tienen un error: "La acción no pudo ejecutar consultas en todas las entidades proporcionadas en Cisco Orbital. Motivo: Hay errores en la consulta". Mensaje asíncrono: "Se envió la consulta. Se espera a los resultados hasta que se agota el tiempo de espera". La acción debería fallar y detener la ejecución de la guía: Si se informa un error fatal, como credenciales incorrectas, falta de conexión con el servidor, etc.: "Error al ejecutar la acción "List Buckets". Reason: {0}''.format(error.Stacktrace) Si el parámetro "Timeout" no está en el rango de 1 a 5: "El valor de tiempo de espera debe estar en el rango de 1 a 5". |
General |
Tabla del muro de casos Para cada resultado que no tenga un error |
Si el tipo de entidad es nombre de host: Nombre de la tabla: "Resultados para {0}".format(entity.identifier) Si se trata de otros tipos de entidades, haz lo siguiente: Nombre de la tabla: "Resultados para {0} ({1})".format(entity.identifier, hostinfo/hostname) Todas las columnas de la respuesta se usarán como columnas de la tabla. |
General |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.