Cisco Orbital
통합 버전: 5.0
사용 사례
능동적 작업 실행 - SQL 쿼리를 실행하여 엔드포인트에 관한 자세한 정보를 가져옵니다.
Google Security Operations와 함께 작동하도록 Cisco Orbital 통합 구성
제품 권한
인증하려면 토큰을 생성하고 API 요청에서 이 토큰을 사용해야 합니다.
클라이언트 ID 및 클라이언트 보안 비밀번호를 생성하는 방법
클라이언트 ID와 클라이언트 보안 비밀번호를 생성하려면 다음 단계를 실행해야 합니다.
- Cisco Orbital에 로그인합니다.
- 계정 설정으로 이동하여 API 사용자 인증 정보 만들기를 클릭합니다.
- 필드를 작성합니다.
- 클라이언트 ID와 클라이언트 보안 비밀을 복사합니다.
Google SecOps에서 Cisco Orbital 통합 구성
Google SecOps에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.
통합 매개변수
다음 매개변수를 사용하여 통합을 구성합니다.
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 인스턴스 이름 | 문자열 | 해당 사항 없음 | No | 통합을 구성할 인스턴스의 이름입니다. |
| 설명 | 문자열 | 해당 사항 없음 | No | 인스턴스에 대한 설명입니다. |
| 클라이언트 ID | 문자열 | 해당 사항 없음 | 예 | Cisco Orbital 계정의 클라이언트 ID입니다. |
| 클라이언트 보안 비밀번호 | 비밀번호 | 해당 사항 없음 | 예 | Cisco Orbital 계정의 클라이언트 보안 비밀번호입니다. |
| SSL 확인 | 체크박스 | 선택 | 아니요 | 사용 설정하면 Cisco Orbital 서버 연결에 사용되는 SSL 인증서가 유효한지 확인합니다. |
| 원격 실행 | 체크박스 | 선택 해제 | No | 구성된 통합을 원격으로 실행하려면 필드를 선택합니다. 선택하면 원격 사용자(에이전트)를 선택하는 옵션이 나타납니다. |
작업
핑
설명
Google Security Operations Marketplace 탭의 통합 구성 페이지에서 제공된 매개변수를 사용하여 Cisco Orbital에 대한 연결을 테스트합니다.
매개변수
해당 사항 없음
실행
작업이 항목에서 실행되지 않거나 필수 입력 매개변수가 없습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공한 경우: '제공된 연결 매개변수를 사용하여 Cisco Orbital 서버에 성공적으로 연결되었습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 실패한 경우: 'Cisco Orbital 서버에 연결할 수 없습니다. 오류: {0}".format(exception.stacktrace) |
일반 |
쿼리 실행
설명
Cisco Orbital의 IP 및 호스트 이름 항목을 기반으로 엔드포인트에서 쿼리를 실행합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 쿼리 | 문자열 | 해당 사항 없음 | 예 | 실행해야 하는 쿼리를 지정합니다. |
| 이름 | 문자열 | 해당 사항 없음 | 아니요 | 쿼리 작업의 이름을 지정합니다. 아무것도 지정하지 않으면 작업에서 다음 형식의 이름을 사용합니다.
PRODUCT_NAME-GUID |
| 맞춤 컨텍스트 필드 | 문자열 | 해당 사항 없음 | 아니요 | 작업에 추가해야 하는 추가 맞춤 컨텍스트 필드를 지정합니다. 형식: key_1:value_1,key_2:value_1 |
| 반환할 최대 결과 수 | 정수 | 100 | 아니요 | 반환할 결과 수를 지정합니다. |
| 케이스 월 테이블 숨기기 | 체크박스 | 해당 사항 없음 | 아니요 | 사용 설정하면 작업에서 케이스 월 테이블을 준비하지 않습니다. |
| 제한 시간 | 정수 | 1 | 아니요 | 작업 실행을 완료하기 전에 결과를 기다릴 시간(분)을 지정합니다. 최대: 5분 기본값: 1분 |
실행
이 작업은 다음 항목에서 실행됩니다.
- IP 주소
- 호스트
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"results": [
{
"node": "eXHZw6pLMxepKQtf9B8VTQ",
"osQuery": [
{
"sql": "SELECT name,pid FROM processes;"
}
],
"osQueryResult": [
{
"types": [
"",
""
],
"columns": [
"name",
"pid"
],
"values": [
"[System Process]",
"0",
"System",
"4",
"Registry",
"88",
"smss.exe",
"516",
"csrss.exe",
"596",
"wininit.exe",
"672",
"csrss.exe",
"680",
"winlogon.exe",
"724",
"services.exe",
"796",
"lsass.exe",
"804",
"svchost.exe",
"916",
"fontdrvhost.exe",
"936",
"svchost.exe",
"944",
"svchost.exe",
"1020",
"svchost.exe",
"296",
"fontdrvhost.exe",
"560",
"dwm.exe",
"1048",
"svchost.exe",
"1136",
"svchost.exe",
"1144",
"svchost.exe",
"1192",
"svchost.exe",
"1256",
"svchost.exe",
"1280",
"svchost.exe",
"1372",
"svchost.exe",
"1392",
"svchost.exe",
"1488",
"svchost.exe",
"1504",
"svchost.exe",
"1552",
"svchost.exe",
"1604",
"svchost.exe",
"1716",
"svchost.exe",
"1724",
"svchost.exe",
"1804",
"svchost.exe",
"1812",
"svchost.exe",
"1964"
],
"error": "",
"secs": 0.06800670176744461,
"label": "",
"name": ""
}
],
"error": {
"en": ""
},
"hostinfo": {
"osinfo": {
"os": "windows",
"osname": "Windows 10 Enterprise Evaluation",
"release": "6.3",
"version": "10.0.18363",
"arch": "amd64"
},
"hostname": "TIP-HW-HOST-034",
"interfaces": {
"Ethernet0": {
"name": "Ethernet0",
"mac": "00:50:56:a2:05:8b",
"ipv4": "172.30.202.128/24",
"ipv6": "fe80::983:e8ed:c392:3e3e/64",
"active": true
}
},
"external": {
"name": "",
"mac": "",
"ipv4": "185.180.102.139",
"active": true
},
"updated": "2020-10-12T12:03:30.1329732Z",
"version": "v1.7.6"
},
"rowcount": 149,
"context": {
"description": "front desk",
"lol": "kek",
"value": "anything\"}"
}
},
{
"node": "oHNPQUeWwK1ql3R2J13GSw",
"osQuery": [
{
"sql": "SELECT name,pid FROM processes;"
}
],
"osQueryResult": [
{
"types": [
"",
""
],
"columns": [
"name",
"pid"
],
"values": [
"[System Process]",
"0",
"System",
"4",
"Registry",
"88",
"smss.exe",
"360",
"csrss.exe",
"440",
"wininit.exe",
"520",
"csrss.exe",
"536",
"winlogon.exe",
"616",
"services.exe",
"656",
"lsass.exe",
"664",
"svchost.exe",
"772",
"fontdrvhost.exe",
"784",
"fontdrvhost.exe",
"792",
"svchost.exe",
"864",
"svchost.exe",
"6852",
"SystemSettings.exe",
"7864",
"YourPhone.exe",
"5160",
"RuntimeBroker.exe",
"516",
"dllhost.exe",
"1496"
],
"error": "",
"secs": 0.025061199441552162,
"label": "",
"name": ""
}
],
"error": {
"en": ""
},
"hostinfo": {
"osinfo": {
"os": "windows",
"osname": "Windows 10 Enterprise Evaluation",
"release": "6.3",
"version": "10.0.18363",
"arch": "amd64"
},
"hostname": "TIP-HW-HOST-033",
"fqdn": {
"127.0.0.1": "www.virustotal.com"
},
"interfaces": {
"Ethernet0": {
"name": "Ethernet0",
"mac": "00:50:56:a2:66:8a",
"ipv4": "172.30.202.127/24",
"ipv6": "fe80::84:5a0f:7973:63/64",
"active": true
}
},
"external": {
"name": "",
"mac": "",
"ipv4": "185.180.102.139",
"active": true
},
"updated": "2020-10-07T00:11:31.0951018Z",
"version": "v1.7.6"
},
"rowcount": 132,
"context": {
"description": "front desk",
"lol": "kek",
"value": "anything\"}"
}
}
],
"error": {
"en": ""
},
"next": ""
}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지\* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. SQL 쿼리가 항목 중 하나에서 오류 없이 실행된 경우 (is_success=true): '다음 항목에서 Cisco Orbital의 쿼리를 실행하고 결과를 가져왔습니다.\n'.format(entity.identifier) 일부 항목에서 SQL 쿼리가 실행되지 않은 경우 (is_success=true): '작업이 다음 항목에서 Cisco Orbital의 쿼리를 성공적으로 실행하고 결과를 가져올 수 없습니다.\n'.format(entity.identifier) 첫 번째 응답에서 400 상태 코드가 보고된 경우 (is_success=false): "Cisco Orbital에서 작업을 통해 쿼리를 실행할 수 없습니다. 이유: {0}".format(쉼표로 구분된 오류 목록) 모든 결과에 오류가 있는 경우: '작업이 Cisco Orbital에서 제공된 모든 항목에 대해 쿼리를 실행할 수 없습니다. 이유: 쿼리에 오류가 있습니다.' 비동기 메시지: '질문이 제출되었습니다. 타임아웃까지 결과를 기다리는 중' 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''버킷 나열' 작업을 실행하는 중에 오류가 발생했습니다.' 이유: {0}'.format(error.Stacktrace) '제한 시간' 매개변수가 1~5 범위에 있지 않은 경우: '제한 시간 값은 1~5 범위에 있어야 합니다.' |
일반 |
케이스 월 테이블 오류가 없는 각 결과 |
항목 유형이 호스트 이름인 경우: 표 이름: '{0}의 결과'.format(entity.identifier) 기타 항목 유형인 경우: 표 이름: '{0} ({1}) 결과'.format(entity.identifier, hostinfo/hostname) 대답의 모든 열이 표 열로 사용됩니다. |
일반 |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.