Cisco Orbital
統合バージョン: 5.0
ユースケース
アクティブなアクションを実行する - SQL クエリを実行して、エンドポイントに関する詳細情報を取得します。
Google Security Operations と連携するように Cisco Orbital Integration を構成する
プロダクトの権限
認証を行うには、トークンを生成し、API リクエストでこのトークンを使用する必要があります。
クライアント ID とクライアント シークレットを生成する方法
クライアント ID とクライアント シークレットを生成するには、次の手順を行います。
- Cisco Orbital にログインします。
- アカウント設定に移動し、[API 認証情報を作成] をクリックします。
- 各項目に入力します。
- クライアント ID とクライアント シークレットをコピーします。
Google SecOps で Cisco Orbital 統合を構成する
Google SecOps で統合を構成する方法について詳しくは、統合を構成するをご覧ください。
統合のパラメータ
次のパラメータを使用して統合を構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| インスタンス名 | 文字列 | なし | いいえ | 統合を構成するインスタンスの名前。 |
| 説明 | 文字列 | なし | いいえ | インスタンスの説明。 |
| クライアント ID | 文字列 | なし | はい | Cisco Orbital アカウントのクライアント ID。 |
| クライアント シークレット | パスワード | なし | はい | Cisco Orbital アカウントのクライアント シークレット。 |
| SSL を確認する | チェックボックス | オン | いいえ | 有効になっている場合は、Cisco Orbital サーバーへの接続用の SSL 証明書が有効であることを確認します。 |
| リモートで実行 | チェックボックス | オフ | いいえ | 構成した統合をリモートで実行するには、フィールドのチェックボックスをオンにします。オンにすると、リモート ユーザー(エージェント)を選択するオプションが表示されます。 |
アクション
Ping
説明
[Google Security Operations Marketplace] タブの統合構成ページで提供されているパラメータを使用して、Cisco Orbital への接続をテストします。
パラメータ
なし
実行
このアクションはエンティティに対しては実行されず、必須入力パラメータもありません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功した場合: 「指定された接続パラメータを使用して Cisco Orbital サーバーに正常に接続されました。」 アクションが失敗し、ハンドブックの実行が停止します。 成功しなかった場合: 「Cisco Orbital サーバーへの接続に失敗しました。エラーは {0}」.format(exception.stacktrace) |
全般 |
クエリを実行
説明
Cisco Orbital の IP エンティティと Hostname エンティティに基づいて、エンドポイントでクエリを実行します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| クエリ | 文字列 | なし | はい | 実行する必要のあるクエリを指定します。 |
| 名前 | 文字列 | なし | いいえ | クエリジョブの名前を指定します。何も指定しない場合、アクションは PRODUCT_NAME-GUID という形式の名前を使用します。 |
| カスタム コンテキスト フィールド | 文字列 | なし | いいえ | ジョブに追加する追加のカスタム コンテキスト フィールドを指定します。形式: key_1:value_1,key_2:value_1。 |
| 返される結果の最大数 | 整数 | 100 | いいえ | 返す結果の数を指定します。 |
| ケースウォール テーブルを非表示にする | チェックボックス | なし | いいえ | 有効にした場合、ケースウォール テーブルは準備されません。 |
| タイムアウト | Integer | 1 | いいえ | アクションの実行を終了する前に結果を待つ時間を分単位で指定します。最大: 5 分。デフォルト: 1 分。 |
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"results": [
{
"node": "eXHZw6pLMxepKQtf9B8VTQ",
"osQuery": [
{
"sql": "SELECT name,pid FROM processes;"
}
],
"osQueryResult": [
{
"types": [
"",
""
],
"columns": [
"name",
"pid"
],
"values": [
"[System Process]",
"0",
"System",
"4",
"Registry",
"88",
"smss.exe",
"516",
"csrss.exe",
"596",
"wininit.exe",
"672",
"csrss.exe",
"680",
"winlogon.exe",
"724",
"services.exe",
"796",
"lsass.exe",
"804",
"svchost.exe",
"916",
"fontdrvhost.exe",
"936",
"svchost.exe",
"944",
"svchost.exe",
"1020",
"svchost.exe",
"296",
"fontdrvhost.exe",
"560",
"dwm.exe",
"1048",
"svchost.exe",
"1136",
"svchost.exe",
"1144",
"svchost.exe",
"1192",
"svchost.exe",
"1256",
"svchost.exe",
"1280",
"svchost.exe",
"1372",
"svchost.exe",
"1392",
"svchost.exe",
"1488",
"svchost.exe",
"1504",
"svchost.exe",
"1552",
"svchost.exe",
"1604",
"svchost.exe",
"1716",
"svchost.exe",
"1724",
"svchost.exe",
"1804",
"svchost.exe",
"1812",
"svchost.exe",
"1964"
],
"error": "",
"secs": 0.06800670176744461,
"label": "",
"name": ""
}
],
"error": {
"en": ""
},
"hostinfo": {
"osinfo": {
"os": "windows",
"osname": "Windows 10 Enterprise Evaluation",
"release": "6.3",
"version": "10.0.18363",
"arch": "amd64"
},
"hostname": "TIP-HW-HOST-034",
"interfaces": {
"Ethernet0": {
"name": "Ethernet0",
"mac": "00:50:56:a2:05:8b",
"ipv4": "172.30.202.128/24",
"ipv6": "fe80::983:e8ed:c392:3e3e/64",
"active": true
}
},
"external": {
"name": "",
"mac": "",
"ipv4": "185.180.102.139",
"active": true
},
"updated": "2020-10-12T12:03:30.1329732Z",
"version": "v1.7.6"
},
"rowcount": 149,
"context": {
"description": "front desk",
"lol": "kek",
"value": "anything\"}"
}
},
{
"node": "oHNPQUeWwK1ql3R2J13GSw",
"osQuery": [
{
"sql": "SELECT name,pid FROM processes;"
}
],
"osQueryResult": [
{
"types": [
"",
""
],
"columns": [
"name",
"pid"
],
"values": [
"[System Process]",
"0",
"System",
"4",
"Registry",
"88",
"smss.exe",
"360",
"csrss.exe",
"440",
"wininit.exe",
"520",
"csrss.exe",
"536",
"winlogon.exe",
"616",
"services.exe",
"656",
"lsass.exe",
"664",
"svchost.exe",
"772",
"fontdrvhost.exe",
"784",
"fontdrvhost.exe",
"792",
"svchost.exe",
"864",
"svchost.exe",
"6852",
"SystemSettings.exe",
"7864",
"YourPhone.exe",
"5160",
"RuntimeBroker.exe",
"516",
"dllhost.exe",
"1496"
],
"error": "",
"secs": 0.025061199441552162,
"label": "",
"name": ""
}
],
"error": {
"en": ""
},
"hostinfo": {
"osinfo": {
"os": "windows",
"osname": "Windows 10 Enterprise Evaluation",
"release": "6.3",
"version": "10.0.18363",
"arch": "amd64"
},
"hostname": "TIP-HW-HOST-033",
"fqdn": {
"127.0.0.1": "www.virustotal.com"
},
"interfaces": {
"Ethernet0": {
"name": "Ethernet0",
"mac": "00:50:56:a2:66:8a",
"ipv4": "172.30.202.127/24",
"ipv6": "fe80::84:5a0f:7973:63/64",
"active": true
}
},
"external": {
"name": "",
"mac": "",
"ipv4": "185.180.102.139",
"active": true
},
"updated": "2020-10-07T00:11:31.0951018Z",
"version": "v1.7.6"
},
"rowcount": 132,
"context": {
"description": "front desk",
"lol": "kek",
"value": "anything\"}"
}
}
],
"error": {
"en": ""
},
"next": ""
}
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ \* | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 1 つのエンティティでエラーなしで SQL クエリが実行された場合(is_success=true): 「次のエンティティでクエリが正常に実行され、Cisco Orbital から結果が取得されました:\n」.format(entity.identifier) 一部のエンティティで SQL クエリが実行されなかった場合(is_success=true): 「次のエンティティでクエリが正常に実行されず、Cisco Orbital から結果を取得できませんでした:\n」.format(entity.identifier) 最初のレスポンスでステータス コード 400 が報告された場合(is_success=false): 「アクションは Cisco Orbital でクエリを実行できませんでした。理由: {0}」.format(エラーのカンマ区切りリスト) すべての結果にエラーがある場合: 「Cisco Orbital で指定されたすべてのエンティティに対してクエリを実行できませんでした。理由: クエリにエラーがあります。」 非同期メッセージ: 「クエリを送信しました。タイムアウトになるまで結果を待機しています。」 アクションが失敗し、ハンドブックの実行が停止します。 間違った認証情報、サーバーへの接続なし、その他など、致命的なエラーが報告された場合: 「アクション「バケットの一覧表示」の実行エラー。理由: {0}」.format(error.Stacktrace) 「Timeout」パラメータが 1 ~ 5 の範囲にない場合: 「Timeout value should be in range from 1 to 5.」 |
全般 |
Case Wall テーブル エラーのない各結果について |
エンティティ タイプがホスト名の場合: テーブル名: "Results for {0}".format(entity.identifier) 他のエンティティ タイプの場合: テーブル名: "Results for {0} ({1})".format(entity.identifier, hostinfo/hostname) レスポンスのすべての列がテーブル列として使用されます。 |
全般 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。