Cisco Orbital
Versão da integração: 5.0
Casos de uso
Realizar ações ativas: executar consultas SQL para receber mais informações sobre o endpoint.
Configurar a integração do Cisco Orbital para trabalhar com o Google Security Operations
Permissão de produto
Para autenticar, gere um token e use-o em solicitações de API.
Como gerar ID e chave secreta do cliente
Para gerar o ID e a chave secreta do cliente, siga estas etapas:
- Faça login no Cisco Orbital.
- Acesse as configurações da conta e clique em Criar credenciais de API.
- Preencha os campos.
- Copie o ID e a chave secreta do cliente.
Configurar a integração do Cisco Orbital no Google SecOps
Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da instância | String | N/A | Não | Nome da instância em que você pretende configurar a integração. |
| Descrição | String | N/A | Não | Descrição da instância. |
| ID do cliente | String | N/A | Sim | ID do cliente da conta do Cisco Orbital. |
| Chave secreta do cliente | Senha | N/A | Sim | Chave secreta do cliente da conta do Cisco Orbital. |
| Verificar SSL | Caixa de seleção | Selecionado | Não | Se ativada, verifica se o certificado SSL da conexão com o servidor do Cisco Orbital é válido. |
| Executar remotamente | Caixa de seleção | Desmarcado | Não | Marque a caixa para executar a integração configurada remotamente. Depois de marcada, a opção aparece para selecionar o usuário remoto (agente). |
Ações
Ping
Descrição
Teste a conectividade com o Cisco Orbital usando os parâmetros fornecidos na página de configuração da integração na guia "Marketplace do Google Security Operations".
Parâmetros
N/A
Executar em
A ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se a conexão for bem-sucedida: "Conexão bem-sucedida com o servidor Cisco Orbital usando os parâmetros fornecidos" A ação precisa falhar e interromper a execução de um playbook: Se não for concluída: "Não foi possível se conectar ao servidor do Cisco Orbital! O erro é {0}".format(exception.stacktrace) |
Geral |
Executar consulta
Descrição
Executar consultas em endpoints com base em entidades de IP e nome do host no Cisco Orbital.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Consulta | String | N/A | Sim | Especifique a consulta que precisa ser executada. |
| Nome | String | N/A | Não | Especifique o nome do job de consulta. Se nada for especificado, a ação usará
um nome no seguinte formato:
PRODUCT_NAME-GUID |
| Campos de contexto personalizados | String | N/A | Não | Especifique outros campos de contexto personalizados que precisam ser adicionados ao job. Formato: key_1:value_1,key_2:value_1. |
| Número máximo de resultados a serem retornados | Número inteiro | 100 | Não | Especifique quantos resultados devem ser retornados. |
| Ocultar tabela do Painel de Casos | Caixa de seleção | N/A | Não | Se ativada, a ação não vai preparar uma tabela de parede de casos. |
| Tempo limite | Número inteiro | 1 | Não | Especifique quantos minutos esperar pelos resultados antes de concluir a execução da ação. Máximo: 5 minutos. Padrão:1 minuto. |
Executar em
Essa ação é executada nas seguintes entidades:
- Endereço IP
- Host
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
{
"results": [
{
"node": "eXHZw6pLMxepKQtf9B8VTQ",
"osQuery": [
{
"sql": "SELECT name,pid FROM processes;"
}
],
"osQueryResult": [
{
"types": [
"",
""
],
"columns": [
"name",
"pid"
],
"values": [
"[System Process]",
"0",
"System",
"4",
"Registry",
"88",
"smss.exe",
"516",
"csrss.exe",
"596",
"wininit.exe",
"672",
"csrss.exe",
"680",
"winlogon.exe",
"724",
"services.exe",
"796",
"lsass.exe",
"804",
"svchost.exe",
"916",
"fontdrvhost.exe",
"936",
"svchost.exe",
"944",
"svchost.exe",
"1020",
"svchost.exe",
"296",
"fontdrvhost.exe",
"560",
"dwm.exe",
"1048",
"svchost.exe",
"1136",
"svchost.exe",
"1144",
"svchost.exe",
"1192",
"svchost.exe",
"1256",
"svchost.exe",
"1280",
"svchost.exe",
"1372",
"svchost.exe",
"1392",
"svchost.exe",
"1488",
"svchost.exe",
"1504",
"svchost.exe",
"1552",
"svchost.exe",
"1604",
"svchost.exe",
"1716",
"svchost.exe",
"1724",
"svchost.exe",
"1804",
"svchost.exe",
"1812",
"svchost.exe",
"1964"
],
"error": "",
"secs": 0.06800670176744461,
"label": "",
"name": ""
}
],
"error": {
"en": ""
},
"hostinfo": {
"osinfo": {
"os": "windows",
"osname": "Windows 10 Enterprise Evaluation",
"release": "6.3",
"version": "10.0.18363",
"arch": "amd64"
},
"hostname": "TIP-HW-HOST-034",
"interfaces": {
"Ethernet0": {
"name": "Ethernet0",
"mac": "00:50:56:a2:05:8b",
"ipv4": "172.30.202.128/24",
"ipv6": "fe80::983:e8ed:c392:3e3e/64",
"active": true
}
},
"external": {
"name": "",
"mac": "",
"ipv4": "185.180.102.139",
"active": true
},
"updated": "2020-10-12T12:03:30.1329732Z",
"version": "v1.7.6"
},
"rowcount": 149,
"context": {
"description": "front desk",
"lol": "kek",
"value": "anything\"}"
}
},
{
"node": "oHNPQUeWwK1ql3R2J13GSw",
"osQuery": [
{
"sql": "SELECT name,pid FROM processes;"
}
],
"osQueryResult": [
{
"types": [
"",
""
],
"columns": [
"name",
"pid"
],
"values": [
"[System Process]",
"0",
"System",
"4",
"Registry",
"88",
"smss.exe",
"360",
"csrss.exe",
"440",
"wininit.exe",
"520",
"csrss.exe",
"536",
"winlogon.exe",
"616",
"services.exe",
"656",
"lsass.exe",
"664",
"svchost.exe",
"772",
"fontdrvhost.exe",
"784",
"fontdrvhost.exe",
"792",
"svchost.exe",
"864",
"svchost.exe",
"6852",
"SystemSettings.exe",
"7864",
"YourPhone.exe",
"5160",
"RuntimeBroker.exe",
"516",
"dllhost.exe",
"1496"
],
"error": "",
"secs": 0.025061199441552162,
"label": "",
"name": ""
}
],
"error": {
"en": ""
},
"hostinfo": {
"osinfo": {
"os": "windows",
"osname": "Windows 10 Enterprise Evaluation",
"release": "6.3",
"version": "10.0.18363",
"arch": "amd64"
},
"hostname": "TIP-HW-HOST-033",
"fqdn": {
"127.0.0.1": "www.virustotal.com"
},
"interfaces": {
"Ethernet0": {
"name": "Ethernet0",
"mac": "00:50:56:a2:66:8a",
"ipv4": "172.30.202.127/24",
"ipv6": "fe80::84:5a0f:7973:63/64",
"active": true
}
},
"external": {
"name": "",
"mac": "",
"ipv4": "185.180.102.139",
"active": true
},
"updated": "2020-10-07T00:11:31.0951018Z",
"version": "v1.7.6"
},
"rowcount": 132,
"context": {
"description": "front desk",
"lol": "kek",
"value": "anything\"}"
}
}
],
"error": {
"en": ""
},
"next": ""
}
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída\* | A ação não pode falhar nem interromper a execução de um playbook: Se a consulta SQL for executada sem erros em uma das entidades (is_success=true): "A consulta foi executada e os resultados foram recuperados do Cisco Orbital nas seguintes entidades:\n".format(entity.identifier) Se a consulta SQL não for executada em algumas entidades (is_success=true): "Não foi possível executar a consulta e recuperar resultados do Cisco Orbital nas seguintes entidades:\n".format(entity.identifier) Se o código de status 400 for informado na primeira resposta (is_success=false): "Não foi possível executar consultas no Cisco Orbital. Motivo: {0}".format(comma-separated list of errors) Se todos os resultados tiverem um erro: "Não foi possível executar consultas em todas as entidades fornecidas no Cisco Orbital. Motivo: erros na consulta." Mensagem assíncrona: "Consulta enviada. Aguardando resultados até o tempo limite" A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado : "Erro ao executar a ação "List Buckets". Motivo: {0}''.format(error.Stacktrace) Se o parâmetro "Timeout" não estiver no intervalo de 1 a 5: "O valor do tempo limite precisa estar no intervalo de 1 a 5". |
Geral |
Tabela do painel de casos Para cada resultado que não tem um erro |
Se o tipo de entidade for nome do host: Nome da tabela: "Resultados para {0}".format(entity.identifier) Se outros tipos de entidades: Nome da tabela: "Resultados para {0} ({1})".format(entity.identifier, hostinfo/hostname) Todas as colunas da resposta serão usadas como colunas da tabela. |
Geral |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.