Cisco Orbital
Versi integrasi: 5.0
Kasus Penggunaan
Lakukan tindakan aktif - jalankan kueri SQL untuk mendapatkan informasi selengkapnya tentang endpoint.
Mengonfigurasi Integrasi Cisco Orbital agar dapat berfungsi dengan Google Security Operations
Izin Produk
Untuk melakukan autentikasi, Anda perlu membuat token dan menggunakan token ini dalam permintaan API.
Cara membuat Client ID dan Client Secret
Untuk membuat Client ID dan Client Secret, Anda harus melakukan langkah-langkah berikut:
- Login ke Cisco Orbital.
- Buka setelan akun, lalu klik Create API Credentials.
- Isi kolom.
- Salin Client ID dan Rahasia Klien.
Mengonfigurasi integrasi Cisco Orbital di Google SecOps
Untuk mendapatkan petunjuk mendetail terkait cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.
Parameter integrasi
Gunakan parameter berikut untuk mengonfigurasi integrasi:
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Nama Instance | String | T/A | Tidak | Nama Instance yang ingin Anda konfigurasi integrasinya. |
| Deskripsi | String | T/A | Tidak | Deskripsi Instance. |
| ID Klien | String | T/A | Ya | ID Klien akun Cisco Orbital. |
| Rahasia Klien | Sandi | T/A | Ya | Rahasia Klien akun Cisco Orbital. |
| Verifikasi SSL | Kotak centang | Dicentang | Tidak | Jika diaktifkan, akan memverifikasi bahwa sertifikat SSL untuk koneksi ke server Cisco Orbital valid. |
| Menjalankan dari Jarak Jauh | Kotak centang | Tidak dicentang | Tidak | Centang kolom untuk menjalankan integrasi yang dikonfigurasi dari jarak jauh. Setelah dicentang, opsi akan muncul untuk memilih pengguna jarak jauh (agen). |
Tindakan
Ping
Deskripsi
Uji konektivitas ke Cisco Orbital dengan parameter yang diberikan di halaman konfigurasi integrasi pada tab Google Security Operations Marketplace.
Parameter
T/A
Run On
Tindakan tidak berjalan pada entity, dan tidak memiliki parameter input wajib.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika berhasil: "Successfully connected to the Cisco Orbital server with the provided connection parameters!" (Berhasil terhubung ke server Cisco Orbital dengan parameter koneksi yang diberikan) Tindakan akan gagal dan menghentikan eksekusi playbook: Jika tidak berhasil: "Gagal terhubung ke server Cisco Orbital. Error adalah {0}".format(exception.stacktrace) |
Umum |
Jalankan Kueri
Deskripsi
Jalankan kueri di endpoint berdasarkan entity IP dan Nama Host di Cisco Orbital.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Kueri | String | T/A | Ya | Tentukan kueri yang perlu dijalankan. |
| Nama | String | T/A | Tidak | Tentukan nama untuk tugas kueri. Jika tidak ada yang ditentukan, tindakan akan menggunakan
nama dalam format berikut:
PRODUCT_NAME-GUID |
| Kolom Konteks Kustom | String | T/A | Tidak | Tentukan kolom konteks kustom tambahan yang harus ditambahkan ke tugas. Format: key_1:value_1,key_2:value_1. |
| Jumlah Hasil Maksimum yang Akan Ditampilkan | Bilangan bulat | 100 | Tidak | Tentukan jumlah hasil yang harus ditampilkan. |
| Menyembunyikan Tabel Repositori Kasus | Kotak centang | T/A | Tidak | Jika diaktifkan, tindakan tidak akan menyiapkan tabel repositori kasus. |
| Waktu habis | Bilangan bulat | 1 | Tidak | Tentukan berapa menit untuk menunggu hasil sebelum menyelesaikan eksekusi tindakan. Maksimum: 5 menit. Default: 1 menit. |
Run On
Tindakan ini berjalan di entity berikut:
- Alamat IP
- Host
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
{
"results": [
{
"node": "eXHZw6pLMxepKQtf9B8VTQ",
"osQuery": [
{
"sql": "SELECT name,pid FROM processes;"
}
],
"osQueryResult": [
{
"types": [
"",
""
],
"columns": [
"name",
"pid"
],
"values": [
"[System Process]",
"0",
"System",
"4",
"Registry",
"88",
"smss.exe",
"516",
"csrss.exe",
"596",
"wininit.exe",
"672",
"csrss.exe",
"680",
"winlogon.exe",
"724",
"services.exe",
"796",
"lsass.exe",
"804",
"svchost.exe",
"916",
"fontdrvhost.exe",
"936",
"svchost.exe",
"944",
"svchost.exe",
"1020",
"svchost.exe",
"296",
"fontdrvhost.exe",
"560",
"dwm.exe",
"1048",
"svchost.exe",
"1136",
"svchost.exe",
"1144",
"svchost.exe",
"1192",
"svchost.exe",
"1256",
"svchost.exe",
"1280",
"svchost.exe",
"1372",
"svchost.exe",
"1392",
"svchost.exe",
"1488",
"svchost.exe",
"1504",
"svchost.exe",
"1552",
"svchost.exe",
"1604",
"svchost.exe",
"1716",
"svchost.exe",
"1724",
"svchost.exe",
"1804",
"svchost.exe",
"1812",
"svchost.exe",
"1964"
],
"error": "",
"secs": 0.06800670176744461,
"label": "",
"name": ""
}
],
"error": {
"en": ""
},
"hostinfo": {
"osinfo": {
"os": "windows",
"osname": "Windows 10 Enterprise Evaluation",
"release": "6.3",
"version": "10.0.18363",
"arch": "amd64"
},
"hostname": "TIP-HW-HOST-034",
"interfaces": {
"Ethernet0": {
"name": "Ethernet0",
"mac": "00:50:56:a2:05:8b",
"ipv4": "172.30.202.128/24",
"ipv6": "fe80::983:e8ed:c392:3e3e/64",
"active": true
}
},
"external": {
"name": "",
"mac": "",
"ipv4": "185.180.102.139",
"active": true
},
"updated": "2020-10-12T12:03:30.1329732Z",
"version": "v1.7.6"
},
"rowcount": 149,
"context": {
"description": "front desk",
"lol": "kek",
"value": "anything\"}"
}
},
{
"node": "oHNPQUeWwK1ql3R2J13GSw",
"osQuery": [
{
"sql": "SELECT name,pid FROM processes;"
}
],
"osQueryResult": [
{
"types": [
"",
""
],
"columns": [
"name",
"pid"
],
"values": [
"[System Process]",
"0",
"System",
"4",
"Registry",
"88",
"smss.exe",
"360",
"csrss.exe",
"440",
"wininit.exe",
"520",
"csrss.exe",
"536",
"winlogon.exe",
"616",
"services.exe",
"656",
"lsass.exe",
"664",
"svchost.exe",
"772",
"fontdrvhost.exe",
"784",
"fontdrvhost.exe",
"792",
"svchost.exe",
"864",
"svchost.exe",
"6852",
"SystemSettings.exe",
"7864",
"YourPhone.exe",
"5160",
"RuntimeBroker.exe",
"516",
"dllhost.exe",
"1496"
],
"error": "",
"secs": 0.025061199441552162,
"label": "",
"name": ""
}
],
"error": {
"en": ""
},
"hostinfo": {
"osinfo": {
"os": "windows",
"osname": "Windows 10 Enterprise Evaluation",
"release": "6.3",
"version": "10.0.18363",
"arch": "amd64"
},
"hostname": "TIP-HW-HOST-033",
"fqdn": {
"127.0.0.1": "www.virustotal.com"
},
"interfaces": {
"Ethernet0": {
"name": "Ethernet0",
"mac": "00:50:56:a2:66:8a",
"ipv4": "172.30.202.127/24",
"ipv6": "fe80::84:5a0f:7973:63/64",
"active": true
}
},
"external": {
"name": "",
"mac": "",
"ipv4": "185.180.102.139",
"active": true
},
"updated": "2020-10-07T00:11:31.0951018Z",
"version": "v1.7.6"
},
"rowcount": 132,
"context": {
"description": "front desk",
"lol": "kek",
"value": "anything\"}"
}
}
],
"error": {
"en": ""
},
"next": ""
}
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output\* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika kueri SQL dieksekusi tanpa error pada salah satu entitas (is_success=true): "Berhasil mengeksekusi kueri dan mengambil hasil dari Cisco Orbital pada entitas berikut:\n".format(entity.identifier) Jika kueri SQL tidak dijalankan pada beberapa entitas (is_success=true): "Tindakan tidak dapat berhasil menjalankan kueri dan mengambil hasil dari Cisco Orbital pada entitas berikut:\n".format(entity.identifier) Jika kode status 400 dilaporkan dalam respons pertama (is_success=false): "Tindakan tidak dapat menjalankan kueri di Cisco Orbital. Alasan: {0}".format(daftar error yang dipisahkan koma) Jika semua hasil memiliki error: "Tindakan tidak dapat menjalankan kueri pada semua entitas yang diberikan di Cisco Orbital. Alasan: error dalam kueri." Pesan Asinkron: "Kueri Dikirim. Menunggu hasil hingga waktu tunggu habis." Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "List Buckets". Alasan: {0}''.format(error.Stacktrace) Jika parameter "Waktu tunggu" tidak berada dalam rentang 1-5: "Nilai waktu tunggu harus berada dalam rentang 1 hingga 5." |
Umum |
Tabel Repositori Kasus Untuk setiap hasil yang tidak memiliki error |
Jika jenis entitas adalah nama host: Nama Tabel: "Hasil untuk {0}".format(entity.identifier) Jika jenis entitas lainnya: Nama Tabel: "Hasil untuk {0} ({1})".format(entity.identifier, hostinfo/hostname) Semua kolom dari respons akan digunakan sebagai kolom tabel. |
Umum |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.