Cisco Orbital
集成版本:5.0
使用场景
执行主动操作 - 执行 SQL 查询以获取有关端点的更多信息。
配置 Cisco Orbital 集成以与 Google Security Operations 搭配使用
产品权限
如需进行身份验证,您需要生成令牌并在 API 请求中使用此令牌。
如何生成客户端 ID 和客户端密钥
如需生成客户端 ID 和客户端密钥,您需要执行以下步骤:
- 登录 Cisco Orbital。
- 前往账号设置,然后点击创建 API 凭据。
- 填写相应字段。
- 复制客户端 ID 和客户端密钥。
在 Google SecOps 中配置 Cisco Orbital 集成
有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成。
集成参数
使用以下参数配置集成:
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 实例名称 | 字符串 | 不适用 | 否 | 您打算为其配置集成的实例的名称。 |
| 说明 | 字符串 | 不适用 | 否 | 实例的说明。 |
| 客户端 ID | 字符串 | 不适用 | 是 | Cisco Orbital 账号的客户端 ID。 |
| 客户端密钥 | 密码 | 不适用 | 是 | Cisco Orbital 账号的客户端密钥。 |
| 验证 SSL | 复选框 | 勾选 | 否 | 如果启用,则验证与 Cisco Orbital 服务器的连接所用的 SSL 证书是否有效。 |
| 远程运行 | 复选框 | 尚未核查 | 否 | 选中此字段,以便远程运行配置的集成。选中后,系统会显示用于选择远程用户(客服人员)的选项。 |
操作
Ping
说明
使用 Google Security Operations Marketplace 标签页中的集成配置页面上提供的参数,测试与 Cisco Orbital 的连接。
参数
不适用
运行于
该操作不会在实体上运行,也没有强制性输入参数。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功: “已使用提供的连接参数成功连接到 Cisco Orbital 服务器!” 操作应失败并停止 playbook 执行: 如果未成功: “无法连接到 Cisco Orbital 服务器!错误为 {0}".format(exception.stacktrace) |
常规 |
执行查询
说明
根据 Cisco Orbital 中的 IP 和主机名实体对端点执行查询。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 查询 | 字符串 | 不适用 | 是 | 指定需要执行的查询。 |
| 名称 | 字符串 | 不适用 | 否 | 指定查询作业的名称。如果未指定任何内容,则操作会使用以下格式的名称:PRODUCT_NAME-GUID |
| 自定义情境字段 | 字符串 | 不适用 | 否 | 指定应添加到作业的其他自定义上下文字段。格式:key_1:value_1,key_2:value_1。 |
| 要返回的结果数上限 | 整数 | 100 | 否 | 指定应返回多少个结果。 |
| 隐藏案例墙表格 | 复选框 | 不适用 | 否 | 如果启用,操作将不会准备案例墙表格。 |
| 超时 | 整数 | 1 | 否 | 指定在完成操作执行之前等待结果的分钟数。最长:5 分钟。默认值:1 分钟。 |
运行于
此操作适用于以下实体:
- IP 地址
- 主机
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"results": [
{
"node": "eXHZw6pLMxepKQtf9B8VTQ",
"osQuery": [
{
"sql": "SELECT name,pid FROM processes;"
}
],
"osQueryResult": [
{
"types": [
"",
""
],
"columns": [
"name",
"pid"
],
"values": [
"[System Process]",
"0",
"System",
"4",
"Registry",
"88",
"smss.exe",
"516",
"csrss.exe",
"596",
"wininit.exe",
"672",
"csrss.exe",
"680",
"winlogon.exe",
"724",
"services.exe",
"796",
"lsass.exe",
"804",
"svchost.exe",
"916",
"fontdrvhost.exe",
"936",
"svchost.exe",
"944",
"svchost.exe",
"1020",
"svchost.exe",
"296",
"fontdrvhost.exe",
"560",
"dwm.exe",
"1048",
"svchost.exe",
"1136",
"svchost.exe",
"1144",
"svchost.exe",
"1192",
"svchost.exe",
"1256",
"svchost.exe",
"1280",
"svchost.exe",
"1372",
"svchost.exe",
"1392",
"svchost.exe",
"1488",
"svchost.exe",
"1504",
"svchost.exe",
"1552",
"svchost.exe",
"1604",
"svchost.exe",
"1716",
"svchost.exe",
"1724",
"svchost.exe",
"1804",
"svchost.exe",
"1812",
"svchost.exe",
"1964"
],
"error": "",
"secs": 0.06800670176744461,
"label": "",
"name": ""
}
],
"error": {
"en": ""
},
"hostinfo": {
"osinfo": {
"os": "windows",
"osname": "Windows 10 Enterprise Evaluation",
"release": "6.3",
"version": "10.0.18363",
"arch": "amd64"
},
"hostname": "TIP-HW-HOST-034",
"interfaces": {
"Ethernet0": {
"name": "Ethernet0",
"mac": "00:50:56:a2:05:8b",
"ipv4": "172.30.202.128/24",
"ipv6": "fe80::983:e8ed:c392:3e3e/64",
"active": true
}
},
"external": {
"name": "",
"mac": "",
"ipv4": "185.180.102.139",
"active": true
},
"updated": "2020-10-12T12:03:30.1329732Z",
"version": "v1.7.6"
},
"rowcount": 149,
"context": {
"description": "front desk",
"lol": "kek",
"value": "anything\"}"
}
},
{
"node": "oHNPQUeWwK1ql3R2J13GSw",
"osQuery": [
{
"sql": "SELECT name,pid FROM processes;"
}
],
"osQueryResult": [
{
"types": [
"",
""
],
"columns": [
"name",
"pid"
],
"values": [
"[System Process]",
"0",
"System",
"4",
"Registry",
"88",
"smss.exe",
"360",
"csrss.exe",
"440",
"wininit.exe",
"520",
"csrss.exe",
"536",
"winlogon.exe",
"616",
"services.exe",
"656",
"lsass.exe",
"664",
"svchost.exe",
"772",
"fontdrvhost.exe",
"784",
"fontdrvhost.exe",
"792",
"svchost.exe",
"864",
"svchost.exe",
"6852",
"SystemSettings.exe",
"7864",
"YourPhone.exe",
"5160",
"RuntimeBroker.exe",
"516",
"dllhost.exe",
"1496"
],
"error": "",
"secs": 0.025061199441552162,
"label": "",
"name": ""
}
],
"error": {
"en": ""
},
"hostinfo": {
"osinfo": {
"os": "windows",
"osname": "Windows 10 Enterprise Evaluation",
"release": "6.3",
"version": "10.0.18363",
"arch": "amd64"
},
"hostname": "TIP-HW-HOST-033",
"fqdn": {
"127.0.0.1": "www.virustotal.com"
},
"interfaces": {
"Ethernet0": {
"name": "Ethernet0",
"mac": "00:50:56:a2:66:8a",
"ipv4": "172.30.202.127/24",
"ipv6": "fe80::84:5a0f:7973:63/64",
"active": true
}
},
"external": {
"name": "",
"mac": "",
"ipv4": "185.180.102.139",
"active": true
},
"updated": "2020-10-07T00:11:31.0951018Z",
"version": "v1.7.6"
},
"rowcount": 132,
"context": {
"description": "front desk",
"lol": "kek",
"value": "anything\"}"
}
}
],
"error": {
"en": ""
},
"next": ""
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息\* | 操作不应失败,也不应停止 playbook 执行: 如果 SQL 查询在某个实体上执行时没有错误 (is_success=true):“Successfully executed query and retrieved results from Cisco Orbital on the following entities:\n".format(entity.identifier) 如果未对某些实体执行 SQL 查询 (is_success=true):“无法成功执行查询并从 Cisco Orbital 检索以下实体的结果:\n”.format(entity.identifier) 如果第一个响应中报告了 400 状态代码 (is_success=false):“操作无法在 Cisco Orbital 中执行查询。原因:{0}".format(comma-separated list of errors) 如果所有结果都存在错误:“Action 无法在 Cisco Orbital 中对所有提供的实体执行查询。原因:查询中存在错误。” 异步消息:“已提交查询。等待结果,直到超时。” 操作应失败并停止 playbook 执行: 如果报告了致命错误(例如凭据错误、无法连接到服务器等): “Error executing action "List Buckets". 原因:{0}''.format(error.Stacktrace) 如果“超时”参数不在 1-5 范围内:“超时值应在 1 到 5 范围内。” |
常规 |
“案例墙”表格 对于没有错误的每个结果 |
如果实体类型为主机名: 表格名称:“{0} 的结果”.format(entity.identifier) 如果是其他实体类型: 表格名称:“{0}({1})的结果”。format(entity.identifier, hostinfo/hostname) 响应中的所有列都将用作表格列。 |
常规 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。