Cisco Orbital
整合版本:5.0
應用實例
執行主動動作:執行 SQL 查詢,取得端點的詳細資訊。
設定 Cisco Orbital Integration,以便與 Google Security Operations 搭配使用
產品權限
如要進行驗證,請產生權杖,並在 API 要求中使用這個權杖。
如何產生用戶端 ID 和用戶端密鑰
如要產生用戶端 ID 和用戶端密鑰,請按照下列步驟操作:
- 登入 Cisco Orbital。
- 前往帳戶設定,然後按一下「建立 API 憑證」。
- 填寫欄位。
- 複製用戶端 ID 和用戶端密鑰。
在 Google SecOps 中設定 Cisco Orbital 整合
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
整合參數
請使用下列參數設定整合:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 執行個體名稱 | 字串 | 不適用 | 否 | 您要設定整合的執行個體名稱。 |
| 說明 | 字串 | 不適用 | 否 | 執行個體的說明。 |
| 用戶端 ID | 字串 | 不適用 | 是 | Cisco Orbital 帳戶的用戶端 ID。 |
| 用戶端密鑰 | 密碼 | 不適用 | 是 | Cisco Orbital 帳戶的用戶端密鑰。 |
| 驗證 SSL | 核取方塊 | 已勾選 | 否 | 啟用後,系統會驗證連線至 Cisco Orbital 伺服器的 SSL 憑證是否有效。 |
| 遠端執行 | 核取方塊 | 已取消勾選 | 否 | 勾選這個欄位,即可遠端執行設定的整合項目。勾選後,系統會顯示選取遠端使用者 (服務專員) 的選項。 |
動作
乒乓
說明
使用 Google Security Operations Marketplace 分頁中整合設定頁面提供的參數,測試與 Cisco Orbital 的連線。
參數
不適用
執行時間
動作不會在實體上執行,也沒有強制輸入參數。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果成功: 「Successfully connected to the Cisco Orbital server with the provided connection parameters!」(已使用提供的連線參數成功連線至 Cisco Orbital 伺服器!) 動作應會失敗並停止執行應對手冊: 如果未成功: 「Failed to connect to the Cisco Orbital server! Error is {0}".format(exception.stacktrace) |
一般 |
執行查詢
說明
根據 Cisco Orbital 中的 IP 和主機名稱實體,在端點上執行查詢。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 查詢 | 字串 | 不適用 | 是 | 指定要執行的查詢。 |
| 名稱 | 字串 | 不適用 | 否 | 指定查詢工作的名稱。如未指定任何內容,動作會使用以下格式的名稱:PRODUCT_NAME-GUID |
| 自訂內容欄位 | 字串 | 不適用 | 否 | 指定要新增至工作的其他自訂內容欄位。格式:key_1:value_1,key_2:value_1。 |
| 要傳回的結果數量上限 | 整數 | 100 | 否 | 指定應傳回的結果數量。 |
| 隱藏案件總覽表格 | 核取方塊 | 不適用 | 否 | 如果啟用,動作就不會準備案件牆表格。 |
| 逾時 | 整數 | 1 | 否 | 指定在完成動作執行前,等待結果的分鐘數。最多 5 分鐘。預設值:1 分鐘。 |
執行時間
這項動作會對下列實體執行:
- IP 位址
- 主機
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
{
"results": [
{
"node": "eXHZw6pLMxepKQtf9B8VTQ",
"osQuery": [
{
"sql": "SELECT name,pid FROM processes;"
}
],
"osQueryResult": [
{
"types": [
"",
""
],
"columns": [
"name",
"pid"
],
"values": [
"[System Process]",
"0",
"System",
"4",
"Registry",
"88",
"smss.exe",
"516",
"csrss.exe",
"596",
"wininit.exe",
"672",
"csrss.exe",
"680",
"winlogon.exe",
"724",
"services.exe",
"796",
"lsass.exe",
"804",
"svchost.exe",
"916",
"fontdrvhost.exe",
"936",
"svchost.exe",
"944",
"svchost.exe",
"1020",
"svchost.exe",
"296",
"fontdrvhost.exe",
"560",
"dwm.exe",
"1048",
"svchost.exe",
"1136",
"svchost.exe",
"1144",
"svchost.exe",
"1192",
"svchost.exe",
"1256",
"svchost.exe",
"1280",
"svchost.exe",
"1372",
"svchost.exe",
"1392",
"svchost.exe",
"1488",
"svchost.exe",
"1504",
"svchost.exe",
"1552",
"svchost.exe",
"1604",
"svchost.exe",
"1716",
"svchost.exe",
"1724",
"svchost.exe",
"1804",
"svchost.exe",
"1812",
"svchost.exe",
"1964"
],
"error": "",
"secs": 0.06800670176744461,
"label": "",
"name": ""
}
],
"error": {
"en": ""
},
"hostinfo": {
"osinfo": {
"os": "windows",
"osname": "Windows 10 Enterprise Evaluation",
"release": "6.3",
"version": "10.0.18363",
"arch": "amd64"
},
"hostname": "TIP-HW-HOST-034",
"interfaces": {
"Ethernet0": {
"name": "Ethernet0",
"mac": "00:50:56:a2:05:8b",
"ipv4": "172.30.202.128/24",
"ipv6": "fe80::983:e8ed:c392:3e3e/64",
"active": true
}
},
"external": {
"name": "",
"mac": "",
"ipv4": "185.180.102.139",
"active": true
},
"updated": "2020-10-12T12:03:30.1329732Z",
"version": "v1.7.6"
},
"rowcount": 149,
"context": {
"description": "front desk",
"lol": "kek",
"value": "anything\"}"
}
},
{
"node": "oHNPQUeWwK1ql3R2J13GSw",
"osQuery": [
{
"sql": "SELECT name,pid FROM processes;"
}
],
"osQueryResult": [
{
"types": [
"",
""
],
"columns": [
"name",
"pid"
],
"values": [
"[System Process]",
"0",
"System",
"4",
"Registry",
"88",
"smss.exe",
"360",
"csrss.exe",
"440",
"wininit.exe",
"520",
"csrss.exe",
"536",
"winlogon.exe",
"616",
"services.exe",
"656",
"lsass.exe",
"664",
"svchost.exe",
"772",
"fontdrvhost.exe",
"784",
"fontdrvhost.exe",
"792",
"svchost.exe",
"864",
"svchost.exe",
"6852",
"SystemSettings.exe",
"7864",
"YourPhone.exe",
"5160",
"RuntimeBroker.exe",
"516",
"dllhost.exe",
"1496"
],
"error": "",
"secs": 0.025061199441552162,
"label": "",
"name": ""
}
],
"error": {
"en": ""
},
"hostinfo": {
"osinfo": {
"os": "windows",
"osname": "Windows 10 Enterprise Evaluation",
"release": "6.3",
"version": "10.0.18363",
"arch": "amd64"
},
"hostname": "TIP-HW-HOST-033",
"fqdn": {
"127.0.0.1": "www.virustotal.com"
},
"interfaces": {
"Ethernet0": {
"name": "Ethernet0",
"mac": "00:50:56:a2:66:8a",
"ipv4": "172.30.202.127/24",
"ipv6": "fe80::84:5a0f:7973:63/64",
"active": true
}
},
"external": {
"name": "",
"mac": "",
"ipv4": "185.180.102.139",
"active": true
},
"updated": "2020-10-07T00:11:31.0951018Z",
"version": "v1.7.6"
},
"rowcount": 132,
"context": {
"description": "front desk",
"lol": "kek",
"value": "anything\"}"
}
}
],
"error": {
"en": ""
},
"next": ""
}
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息\* | 動作不應失敗,也不應停止執行應對手冊: 如果對其中一個實體執行 SQL 查詢時未發生錯誤 (is_success=true):「Successfully executed query and retrieved results from Cisco Orbital on the following entities:\n".format(entity.identifier) 如果 SQL 查詢未在某些實體上執行 (is_success=true):「Action wasn't able to successfully execute query and retrieve results from Cisco Orbital on the following entities:\n".format(entity.identifier) 如果第一個回應回報 400 狀態碼 (is_success=false):「Action wasn't able to execute queries in Cisco Orbital. 原因:{0}「.format(以半形逗號分隔的錯誤清單) 如果所有結果都有錯誤:「Action wasn't able to execute queries on all provided entities in Cisco Orbital. 原因:查詢有錯誤。」 非同步訊息:「已提交查詢。Waiting for results until timeout." 動作應會失敗並停止執行應對手冊: 如果系統回報嚴重錯誤,例如憑證有誤、無法連線至伺服器等: 「Error executing action "List Buckets". 原因:{0}''.format(error.Stacktrace) 如果「逾時」參數不在 1 到 5 的範圍內:「逾時值應介於 1 到 5 之間。」 |
一般 |
案件總覽表格 針對沒有錯誤的每個結果 |
如果實體類型是主機名稱: 資料表名稱:「Results for {0}」(「{0}」為實體 ID)。format(entity.identifier) 如果是其他實體類型: 表格名稱:「Results for {0} ({1})」。format(entity.identifier, hostinfo/hostname) 回應中的所有資料欄都會做為表格資料欄。 |
一般 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。