Cisco Orbital
Version de l'intégration : 5.0
Cas d'utilisation
Effectuez des actions actives : exécutez des requêtes SQL pour obtenir plus d'informations sur le point de terminaison.
Configurer l'intégration de Cisco Orbital pour qu'elle fonctionne avec Google Security Operations
Autorisation du produit
Pour vous authentifier, vous devez générer un jeton et l'utiliser dans les requêtes d'API.
Générer un ID client et un code secret client
Pour générer un ID client et un code secret de client, procédez comme suit :
- Connectez-vous à Cisco Orbital.
- Accédez aux paramètres du compte, puis cliquez sur Créer des identifiants API.
- Remplissez les champs.
- Copiez l'ID client et le code secret du client.
Configurer l'intégration de Cisco Orbital dans Google SecOps
Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Paramètres d'intégration
Utilisez les paramètres suivants pour configurer l'intégration :
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom de l'instance | Chaîne | N/A | Non | Nom de l'instance pour laquelle vous souhaitez configurer l'intégration. |
| Description | Chaîne | N/A | Non | Description de l'instance. |
| ID client | Chaîne | N/A | Oui | ID client du compte Cisco Orbital. |
| Code secret du client | Mot de passe | N/A | Oui | Code secret du client du compte Cisco Orbital. |
| Vérifier le protocole SSL | Case à cocher | Cochée | Non | Si cette option est activée, elle vérifie que le certificat SSL pour la connexion au serveur Cisco Orbital est valide. |
| Exécuter à distance | Case à cocher | Décochée | Non | Cochez le champ pour exécuter l'intégration configurée à distance. Une fois la case cochée, l'option permettant de sélectionner l'utilisateur distant (agent) s'affiche. |
Actions
Ping
Description
Testez la connectivité à Cisco Orbital avec les paramètres fournis sur la page de configuration de l'intégration dans l'onglet Google Security Operations Marketplace.
Paramètres
N/A
Exécuter sur
L'action ne s'exécute pas sur les entités et ne comporte pas de paramètres d'entrée obligatoires.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si l'opération réussit : "Connexion au serveur Cisco Orbital établie avec les paramètres de connexion fournis" L'action doit échouer et arrêter l'exécution d'un playbook : Si l'opération échoue : "Échec de la connexion au serveur Cisco Orbital. Error is {0}".format(exception.stacktrace) |
Général |
Exécuter la requête
Description
Exécutez des requêtes sur les points de terminaison en fonction des entités d'adresse IP et de nom d'hôte dans Cisco Orbital.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Query | Chaîne | N/A | Oui | Spécifiez la requête à exécuter. |
| Nom | Chaîne | N/A | Non | Spécifiez le nom de la tâche de requête. Si rien n'est spécifié, l'action utilise un nom au format suivant :
PRODUCT_NAME-GUID |
| Champs de contexte personnalisés | Chaîne | N/A | Non | Spécifiez les champs de contexte personnalisés supplémentaires à ajouter au job. Format : key_1:value_1,key_2:value_1. |
| Nombre maximal de résultats à renvoyer | Integer | 100 | Non | Spécifiez le nombre de résultats à renvoyer. |
| Masquer le tableau du mur des cas | Case à cocher | N/A | Non | Si cette option est activée, l'action ne préparera pas de tableau de mur de cas. |
| Timeout | Integer | 1 | Non | Spécifiez le nombre de minutes à attendre avant de terminer l'exécution de l'action. La durée maximale est de cinq minutes. Par défaut : 1 minute. |
Exécuter sur
Cette action s'applique aux entités suivantes :
- Adresse IP
- Hôte
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"results": [
{
"node": "eXHZw6pLMxepKQtf9B8VTQ",
"osQuery": [
{
"sql": "SELECT name,pid FROM processes;"
}
],
"osQueryResult": [
{
"types": [
"",
""
],
"columns": [
"name",
"pid"
],
"values": [
"[System Process]",
"0",
"System",
"4",
"Registry",
"88",
"smss.exe",
"516",
"csrss.exe",
"596",
"wininit.exe",
"672",
"csrss.exe",
"680",
"winlogon.exe",
"724",
"services.exe",
"796",
"lsass.exe",
"804",
"svchost.exe",
"916",
"fontdrvhost.exe",
"936",
"svchost.exe",
"944",
"svchost.exe",
"1020",
"svchost.exe",
"296",
"fontdrvhost.exe",
"560",
"dwm.exe",
"1048",
"svchost.exe",
"1136",
"svchost.exe",
"1144",
"svchost.exe",
"1192",
"svchost.exe",
"1256",
"svchost.exe",
"1280",
"svchost.exe",
"1372",
"svchost.exe",
"1392",
"svchost.exe",
"1488",
"svchost.exe",
"1504",
"svchost.exe",
"1552",
"svchost.exe",
"1604",
"svchost.exe",
"1716",
"svchost.exe",
"1724",
"svchost.exe",
"1804",
"svchost.exe",
"1812",
"svchost.exe",
"1964"
],
"error": "",
"secs": 0.06800670176744461,
"label": "",
"name": ""
}
],
"error": {
"en": ""
},
"hostinfo": {
"osinfo": {
"os": "windows",
"osname": "Windows 10 Enterprise Evaluation",
"release": "6.3",
"version": "10.0.18363",
"arch": "amd64"
},
"hostname": "TIP-HW-HOST-034",
"interfaces": {
"Ethernet0": {
"name": "Ethernet0",
"mac": "00:50:56:a2:05:8b",
"ipv4": "172.30.202.128/24",
"ipv6": "fe80::983:e8ed:c392:3e3e/64",
"active": true
}
},
"external": {
"name": "",
"mac": "",
"ipv4": "185.180.102.139",
"active": true
},
"updated": "2020-10-12T12:03:30.1329732Z",
"version": "v1.7.6"
},
"rowcount": 149,
"context": {
"description": "front desk",
"lol": "kek",
"value": "anything\"}"
}
},
{
"node": "oHNPQUeWwK1ql3R2J13GSw",
"osQuery": [
{
"sql": "SELECT name,pid FROM processes;"
}
],
"osQueryResult": [
{
"types": [
"",
""
],
"columns": [
"name",
"pid"
],
"values": [
"[System Process]",
"0",
"System",
"4",
"Registry",
"88",
"smss.exe",
"360",
"csrss.exe",
"440",
"wininit.exe",
"520",
"csrss.exe",
"536",
"winlogon.exe",
"616",
"services.exe",
"656",
"lsass.exe",
"664",
"svchost.exe",
"772",
"fontdrvhost.exe",
"784",
"fontdrvhost.exe",
"792",
"svchost.exe",
"864",
"svchost.exe",
"6852",
"SystemSettings.exe",
"7864",
"YourPhone.exe",
"5160",
"RuntimeBroker.exe",
"516",
"dllhost.exe",
"1496"
],
"error": "",
"secs": 0.025061199441552162,
"label": "",
"name": ""
}
],
"error": {
"en": ""
},
"hostinfo": {
"osinfo": {
"os": "windows",
"osname": "Windows 10 Enterprise Evaluation",
"release": "6.3",
"version": "10.0.18363",
"arch": "amd64"
},
"hostname": "TIP-HW-HOST-033",
"fqdn": {
"127.0.0.1": "www.virustotal.com"
},
"interfaces": {
"Ethernet0": {
"name": "Ethernet0",
"mac": "00:50:56:a2:66:8a",
"ipv4": "172.30.202.127/24",
"ipv6": "fe80::84:5a0f:7973:63/64",
"active": true
}
},
"external": {
"name": "",
"mac": "",
"ipv4": "185.180.102.139",
"active": true
},
"updated": "2020-10-07T00:11:31.0951018Z",
"version": "v1.7.6"
},
"rowcount": 132,
"context": {
"description": "front desk",
"lol": "kek",
"value": "anything\"}"
}
}
],
"error": {
"en": ""
},
"next": ""
}
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie\* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si la requête SQL est exécutée sans erreur sur l'une des entités (is_success=true) : "Requête exécutée et résultats récupérés de Cisco Orbital sur les entités suivantes :\n".format(entity.identifier) Si la requête SQL n'est pas exécutée sur certaines entités (is_success=true) : "L'action n'a pas pu exécuter la requête et récupérer les résultats de Cisco Orbital sur les entités suivantes :\n".format(entity.identifier) Si le code d'état 400 est signalé dans la première réponse (is_success=false) : "L'action n'a pas pu exécuter les requêtes dans Cisco Orbital. Motif : {0}".format(liste d'erreurs séparées par une virgule) Si tous les résultats comportent une erreur : "L'action n'a pas pu exécuter les requêtes sur toutes les entités fournies dans Cisco Orbital. Motif : erreurs dans la requête." Message asynchrone : "Requête envoyée. En attente des résultats jusqu'au délai d'expiration." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, l'absence de connexion au serveur ou autre) : "Erreur lors de l'exécution de l'action "Lister les buckets". Raison : {0}''.format(error.Stacktrace) Si le paramètre "Timeout" n'est pas compris entre 1 et 5 : "La valeur du délai avant expiration doit être comprise entre 1 et 5." |
Général |
Tableau du mur des cas Pour chaque résultat sans erreur |
Si le type d'entité est "hostname" (nom d'hôte) : Nom de la table : "Résultats pour {0}".format(entity.identifier) Si vous avez sélectionné d'autres types d'entités : Nom de la table : "Résultats pour {0} ({1})".format(entity.identifier, hostinfo/hostname) Toutes les colonnes de la réponse seront utilisées comme colonnes de tableau. |
Général |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.