Cisco Orbital
Versione integrazione: 5.0
Casi d'uso
Esegui azioni attive: esegui query SQL per ottenere maggiori informazioni sull'endpoint.
Configura l'integrazione di Cisco Orbital in modo che funzioni con Google Security Operations
Autorizzazione del prodotto
Per l'autenticazione, devi generare un token e utilizzarlo nelle richieste API.
Come generare l'ID client e il client secret
Per generare l'ID client e il client secret, devi eseguire i seguenti passaggi:
- Accedi a Cisco Orbital.
- Vai alle impostazioni dell'account e fai clic su Crea credenziali API.
- Compila i campi.
- Copia l'ID client e il client secret.
Configura l'integrazione di Cisco Orbital in Google SecOps
Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.
Parametri di integrazione
Utilizza i seguenti parametri per configurare l'integrazione:
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome istanza | Stringa | N/D | No | Nome dell'istanza per cui intendi configurare l'integrazione. |
| Descrizione | Stringa | N/D | No | Descrizione dell'istanza. |
| ID client | Stringa | N/D | Sì | ID client dell'account Cisco Orbital. |
| Client secret | Password | N/D | Sì | Client secret dell'account Cisco Orbital. |
| Verifica SSL | Casella di controllo | Selezionata | No | Se abilitata, verifica che il certificato SSL per la connessione al server Cisco Orbital sia valido. |
| Esegui da remoto | Casella di controllo | Deselezionata | No | Seleziona il campo per eseguire l'integrazione configurata da remoto. Una volta selezionata, viene visualizzata l'opzione per selezionare l'utente remoto (agente). |
Azioni
Dindin
Descrizione
Testa la connettività a Cisco Orbital con i parametri forniti nella pagina di configurazione dell'integrazione nella scheda Google Security Operations Marketplace.
Parametri
N/D
Run On
L'azione non viene eseguita sulle entità e non ha parametri di input obbligatori.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se l'operazione va a buon fine: "Connessione al server Cisco Orbital riuscita con i parametri di connessione forniti." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: In caso contrario: "Impossibile connettersi al server Cisco Orbital. Error is {0}".format(exception.stacktrace) |
Generale |
Esegui query
Descrizione
Esegui query sugli endpoint in base alle entità IP e nome host in Cisco Orbital.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Query | Stringa | N/D | Sì | Specifica la query da eseguire. |
| Nome | Stringa | N/D | No | Specifica il nome del job di query. Se non viene specificato nulla, l'azione utilizza
un nome nel seguente formato:
PRODUCT_NAME-GUID |
| Campi di contesto personalizzati | Stringa | N/D | No | Specifica i campi di contesto personalizzati aggiuntivi da aggiungere al job. Formato: key_1:value_1,key_2:value_1. |
| Numero massimo di risultati da restituire | Numero intero | 100 | No | Specifica il numero di risultati da restituire. |
| Nascondi tabella della bacheca casi | Casella di controllo | N/D | No | Se abilitata, l'azione non preparerà una tabella della bacheca della richiesta. |
| Timeout | Numero intero | 1 | No | Specifica quanti minuti attendere i risultati prima di terminare l'esecuzione dell'azione. Massimo: 5 minuti. Predefinito: 1 minuto. |
Run On
Questa azione viene eseguita sulle seguenti entità:
- Indirizzo IP
- Host
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
{
"results": [
{
"node": "eXHZw6pLMxepKQtf9B8VTQ",
"osQuery": [
{
"sql": "SELECT name,pid FROM processes;"
}
],
"osQueryResult": [
{
"types": [
"",
""
],
"columns": [
"name",
"pid"
],
"values": [
"[System Process]",
"0",
"System",
"4",
"Registry",
"88",
"smss.exe",
"516",
"csrss.exe",
"596",
"wininit.exe",
"672",
"csrss.exe",
"680",
"winlogon.exe",
"724",
"services.exe",
"796",
"lsass.exe",
"804",
"svchost.exe",
"916",
"fontdrvhost.exe",
"936",
"svchost.exe",
"944",
"svchost.exe",
"1020",
"svchost.exe",
"296",
"fontdrvhost.exe",
"560",
"dwm.exe",
"1048",
"svchost.exe",
"1136",
"svchost.exe",
"1144",
"svchost.exe",
"1192",
"svchost.exe",
"1256",
"svchost.exe",
"1280",
"svchost.exe",
"1372",
"svchost.exe",
"1392",
"svchost.exe",
"1488",
"svchost.exe",
"1504",
"svchost.exe",
"1552",
"svchost.exe",
"1604",
"svchost.exe",
"1716",
"svchost.exe",
"1724",
"svchost.exe",
"1804",
"svchost.exe",
"1812",
"svchost.exe",
"1964"
],
"error": "",
"secs": 0.06800670176744461,
"label": "",
"name": ""
}
],
"error": {
"en": ""
},
"hostinfo": {
"osinfo": {
"os": "windows",
"osname": "Windows 10 Enterprise Evaluation",
"release": "6.3",
"version": "10.0.18363",
"arch": "amd64"
},
"hostname": "TIP-HW-HOST-034",
"interfaces": {
"Ethernet0": {
"name": "Ethernet0",
"mac": "00:50:56:a2:05:8b",
"ipv4": "172.30.202.128/24",
"ipv6": "fe80::983:e8ed:c392:3e3e/64",
"active": true
}
},
"external": {
"name": "",
"mac": "",
"ipv4": "185.180.102.139",
"active": true
},
"updated": "2020-10-12T12:03:30.1329732Z",
"version": "v1.7.6"
},
"rowcount": 149,
"context": {
"description": "front desk",
"lol": "kek",
"value": "anything\"}"
}
},
{
"node": "oHNPQUeWwK1ql3R2J13GSw",
"osQuery": [
{
"sql": "SELECT name,pid FROM processes;"
}
],
"osQueryResult": [
{
"types": [
"",
""
],
"columns": [
"name",
"pid"
],
"values": [
"[System Process]",
"0",
"System",
"4",
"Registry",
"88",
"smss.exe",
"360",
"csrss.exe",
"440",
"wininit.exe",
"520",
"csrss.exe",
"536",
"winlogon.exe",
"616",
"services.exe",
"656",
"lsass.exe",
"664",
"svchost.exe",
"772",
"fontdrvhost.exe",
"784",
"fontdrvhost.exe",
"792",
"svchost.exe",
"864",
"svchost.exe",
"6852",
"SystemSettings.exe",
"7864",
"YourPhone.exe",
"5160",
"RuntimeBroker.exe",
"516",
"dllhost.exe",
"1496"
],
"error": "",
"secs": 0.025061199441552162,
"label": "",
"name": ""
}
],
"error": {
"en": ""
},
"hostinfo": {
"osinfo": {
"os": "windows",
"osname": "Windows 10 Enterprise Evaluation",
"release": "6.3",
"version": "10.0.18363",
"arch": "amd64"
},
"hostname": "TIP-HW-HOST-033",
"fqdn": {
"127.0.0.1": "www.virustotal.com"
},
"interfaces": {
"Ethernet0": {
"name": "Ethernet0",
"mac": "00:50:56:a2:66:8a",
"ipv4": "172.30.202.127/24",
"ipv6": "fe80::84:5a0f:7973:63/64",
"active": true
}
},
"external": {
"name": "",
"mac": "",
"ipv4": "185.180.102.139",
"active": true
},
"updated": "2020-10-07T00:11:31.0951018Z",
"version": "v1.7.6"
},
"rowcount": 132,
"context": {
"description": "front desk",
"lol": "kek",
"value": "anything\"}"
}
}
],
"error": {
"en": ""
},
"next": ""
}
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se la query SQL viene eseguita senza errori su una delle entità (is_success=true): "Successfully executed query and retrieved results from Cisco Orbital on the following entities:\n".format(entity.identifier) Se la query SQL non viene eseguita su alcune entità (is_success=true): "Action wasn't able to successfully execute query and retrieve results from Cisco Orbital on the following entities:\n".format(entity.identifier) Se il codice di stato 400 viene segnalato nella prima risposta (is_success=false): "L'azione non è riuscita a eseguire query in Cisco Orbital. Motivo: {0}".format(comma-separated list of errors) Se tutti i risultati contengono un errore: "L'azione non è riuscita a eseguire query su tutte le entità fornite in Cisco Orbital. Motivo: errori nella query." Messaggio asincrono: "Query inviata. In attesa dei risultati fino al timeout." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Elenca bucket". Motivo: {0}''.format(error.Stacktrace) Se il parametro "Timeout" non è compreso tra 1 e 5: "Il valore del timeout deve essere compreso tra 1 e 5". |
Generale |
Tabella Bacheca casi Per ogni risultato che non presenta errori |
Se il tipo di entità è nome host: Nome tabella: "Results for {0}".format(entity.identifier) Se altri tipi di entità: Nome tabella: "Risultati per {0} ({1})".format(entity.identifier, hostinfo/hostname) Tutte le colonne della risposta verranno utilizzate come colonne della tabella. |
Generale |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.