Cisco Orbital
Versão de integração: 5.0
Exemplos de utilização
Executar ações ativas: executar consultas SQL para receber mais informações sobre o ponto final.
Configure a integração do Cisco Orbital para funcionar com o Google Security Operations
Autorização do produto
Para se autenticar, tem de gerar um token e usá-lo em pedidos da API.
Como gerar o ID de cliente e o segredo do cliente
Para gerar o ID de cliente e o segredo do cliente, tem de seguir os seguintes passos:
- Inicie sessão no Cisco Orbital.
- Navegue até às definições da conta e clique em Criar credenciais da API.
- Preencha os campos.
- Copie o ID de cliente e o segredo do cliente.
Configure a integração do Cisco Orbital no Google SecOps
Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da instância | String | N/A | Não | Nome da instância para a qual pretende configurar a integração. |
| Descrição | String | N/A | Não | Descrição da instância. |
| ID do cliente | String | N/A | Sim | ID de cliente da conta do Cisco Orbital. |
| Segredo do cliente | Palavra-passe | N/A | Sim | Segredo do cliente da conta do Cisco Orbital. |
| Validar SSL | Caixa de verificação | Marcado | Não | Se estiver ativada, verifica se o certificado SSL para a ligação ao servidor Cisco Orbital é válido. |
| Executar remotamente | Caixa de verificação | Desmarcado | Não | Selecione o campo para executar a integração configurada remotamente. Depois de selecionada, a opção aparece para selecionar o utilizador remoto (agente). |
Ações
Tchim-tchim
Descrição
Teste a conetividade ao Cisco Orbital com os parâmetros fornecidos na página de configuração da integração no separador Google Security Operations Marketplace.
Parâmetros
N/A
Executar em
A ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se for bem-sucedido: "Ligação estabelecida com êxito ao servidor Cisco Orbital com os parâmetros de ligação fornecidos!" A ação deve falhar e parar a execução de um guia interativo: Se não for bem-sucedido: "Não foi possível estabelecer ligação ao servidor Cisco Orbital! O erro é {0}".format(exception.stacktrace) |
Geral |
Executar consulta
Descrição
Executar consultas em pontos finais com base em entidades de IP e nome de anfitrião no Cisco Orbital.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Consulta | String | N/A | Sim | Especifique a consulta que tem de ser executada. |
| Nome | String | N/A | Não | Especifique o nome da tarefa de consulta. Se não for especificado nada, a ação usa um nome no seguinte formato:
PRODUCT_NAME-GUID |
| Campos de contexto personalizados | String | N/A | Não | Especifique campos de contexto personalizados adicionais que devem ser adicionados à tarefa. Formato: key_1:value_1,key_2:value_1. |
| Máximo de resultados a devolver | Número inteiro | 100 | Não | Especifique quantos resultados devem ser devolvidos. |
| Oculte a tabela de casos da parede | Caixa de verificação | N/A | Não | Se estiver ativado, a ação não prepara uma tabela de parede de registos. |
| Tempo limite | Número inteiro | 1 | Não | Especifique quantos minutos deve aguardar pelos resultados antes de terminar a execução da ação. Máximo: 5 minutos. Predefinição: 1 minuto. |
Executar em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Anfitrião
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"results": [
{
"node": "eXHZw6pLMxepKQtf9B8VTQ",
"osQuery": [
{
"sql": "SELECT name,pid FROM processes;"
}
],
"osQueryResult": [
{
"types": [
"",
""
],
"columns": [
"name",
"pid"
],
"values": [
"[System Process]",
"0",
"System",
"4",
"Registry",
"88",
"smss.exe",
"516",
"csrss.exe",
"596",
"wininit.exe",
"672",
"csrss.exe",
"680",
"winlogon.exe",
"724",
"services.exe",
"796",
"lsass.exe",
"804",
"svchost.exe",
"916",
"fontdrvhost.exe",
"936",
"svchost.exe",
"944",
"svchost.exe",
"1020",
"svchost.exe",
"296",
"fontdrvhost.exe",
"560",
"dwm.exe",
"1048",
"svchost.exe",
"1136",
"svchost.exe",
"1144",
"svchost.exe",
"1192",
"svchost.exe",
"1256",
"svchost.exe",
"1280",
"svchost.exe",
"1372",
"svchost.exe",
"1392",
"svchost.exe",
"1488",
"svchost.exe",
"1504",
"svchost.exe",
"1552",
"svchost.exe",
"1604",
"svchost.exe",
"1716",
"svchost.exe",
"1724",
"svchost.exe",
"1804",
"svchost.exe",
"1812",
"svchost.exe",
"1964"
],
"error": "",
"secs": 0.06800670176744461,
"label": "",
"name": ""
}
],
"error": {
"en": ""
},
"hostinfo": {
"osinfo": {
"os": "windows",
"osname": "Windows 10 Enterprise Evaluation",
"release": "6.3",
"version": "10.0.18363",
"arch": "amd64"
},
"hostname": "TIP-HW-HOST-034",
"interfaces": {
"Ethernet0": {
"name": "Ethernet0",
"mac": "00:50:56:a2:05:8b",
"ipv4": "172.30.202.128/24",
"ipv6": "fe80::983:e8ed:c392:3e3e/64",
"active": true
}
},
"external": {
"name": "",
"mac": "",
"ipv4": "185.180.102.139",
"active": true
},
"updated": "2020-10-12T12:03:30.1329732Z",
"version": "v1.7.6"
},
"rowcount": 149,
"context": {
"description": "front desk",
"lol": "kek",
"value": "anything\"}"
}
},
{
"node": "oHNPQUeWwK1ql3R2J13GSw",
"osQuery": [
{
"sql": "SELECT name,pid FROM processes;"
}
],
"osQueryResult": [
{
"types": [
"",
""
],
"columns": [
"name",
"pid"
],
"values": [
"[System Process]",
"0",
"System",
"4",
"Registry",
"88",
"smss.exe",
"360",
"csrss.exe",
"440",
"wininit.exe",
"520",
"csrss.exe",
"536",
"winlogon.exe",
"616",
"services.exe",
"656",
"lsass.exe",
"664",
"svchost.exe",
"772",
"fontdrvhost.exe",
"784",
"fontdrvhost.exe",
"792",
"svchost.exe",
"864",
"svchost.exe",
"6852",
"SystemSettings.exe",
"7864",
"YourPhone.exe",
"5160",
"RuntimeBroker.exe",
"516",
"dllhost.exe",
"1496"
],
"error": "",
"secs": 0.025061199441552162,
"label": "",
"name": ""
}
],
"error": {
"en": ""
},
"hostinfo": {
"osinfo": {
"os": "windows",
"osname": "Windows 10 Enterprise Evaluation",
"release": "6.3",
"version": "10.0.18363",
"arch": "amd64"
},
"hostname": "TIP-HW-HOST-033",
"fqdn": {
"127.0.0.1": "www.virustotal.com"
},
"interfaces": {
"Ethernet0": {
"name": "Ethernet0",
"mac": "00:50:56:a2:66:8a",
"ipv4": "172.30.202.127/24",
"ipv6": "fe80::84:5a0f:7973:63/64",
"active": true
}
},
"external": {
"name": "",
"mac": "",
"ipv4": "185.180.102.139",
"active": true
},
"updated": "2020-10-07T00:11:31.0951018Z",
"version": "v1.7.6"
},
"rowcount": 132,
"context": {
"description": "front desk",
"lol": "kek",
"value": "anything\"}"
}
}
],
"error": {
"en": ""
},
"next": ""
}
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída\* | A ação não deve falhar nem parar a execução de um guia interativo: Se a consulta SQL for executada sem erros numa das entidades (is_success=true): "Successfully executed query and retrieved results from Cisco Orbital on the following entities:\n".format(entity.identifier) Se a consulta SQL não for executada em algumas entidades (is_success=true): "Não foi possível executar a consulta com êxito e obter resultados do Cisco Orbital nas seguintes entidades:\n".format(entity.identifier) Se o código de estado 400 for comunicado na primeira resposta (is_success=false): "Não foi possível executar consultas na Cisco Orbital. Motivo: {0}".format(comma-separated list of errors) Se todos os resultados tiverem um erro: "Não foi possível executar consultas em todas as entidades fornecidas no Cisco Orbital. Motivo: erros na consulta." Mensagem assíncrona: "Submitted Query. A aguardar resultados até ao limite de tempo." A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor, entre outros: "Erro ao executar a ação "List Buckets". Motivo: {0}''.format(error.Stacktrace) Se o parâmetro "Timeout" não estiver no intervalo de 1 a 5: "O valor do limite de tempo deve estar no intervalo de 1 a 5." |
Geral |
Tabela de parede da caixa Para cada resultado que não tenha um erro |
Se o tipo de entidade for o nome do anfitrião: Nome da tabela: "Resultados para {0}".format(entity.identifier) Se outros tipos de entidades: Nome da tabela: "Resultados para {0} ({1})".format(entity.identifier, hostinfo/hostname) Todas as colunas da resposta são usadas como colunas da tabela. |
Geral |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.