Nozomi Networks
Versión de integración: 5.0
Casos de uso
- Enriquece la información sobre los recursos.
- Realiza consultas en la instalación de Nozomi.
- Realiza comandos de la CLI en la instalación de Nozomi.
Configura la integración de Nozomi Networks en Google Security Operations
Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| URL de API | String | https://x.x.x.x:puerto | Sí | URL de la API de Nozomi a la que se conectará |
| Nombre de usuario | String | N/A | Sí | Nombre de usuario de la cuenta de Nozomi que se usará para la conexión |
| Contraseña | Contraseña | N/A | Sí | Contraseña de la cuenta de Nozomi que se usará para la conexión |
| Verificar SSL | Casilla de verificación | Desmarcado | No | Especifica si se debe validar el certificado de la URL de la API antes de la conexión. |
| Certificado de CA | String | N/A | No |
Acciones
Ping
Descripción
Prueba la conectividad a la instancia de Nozomi Networks con los parámetros proporcionados en la página de configuración de la integración en la pestaña Google Security Operations Marketplace.
Ejecutar en
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía:
La acción debería fallar y detener la ejecución de la guía:
|
General |
Enriquece entidades
Descripción
Enriquecer las entidades de host o IP de Google SecOps en función de la información del dispositivo de Nozomi Networks
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Campos adicionales para agregar al enriquecimiento | String | N/A | No | Lista separada por comas de los campos que se deben tomar adicionalmente de la consulta de nodos para agregar a los campos que se usan para el enriquecimiento de forma predeterminada. |
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Host
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado de JSON
{
"result": [
{
"appliance_host": "nozomi-n2os.local",
"label": "DESKTOP-8P0TH6Q.local",
"id": "172.30.202.127",
"_asset_kb_id": null,
"ip": "172.30.202.127",
"mac_address": "00:50:56:a2:51:88",
"mac_address:info": {
"source": "",
"likelihood": 0,
"likelihood_level": "unconfirmed"
},
"mac_vendor": "VMware, Inc.",
"_private_status": "no",
"subnet": "172.30.202.0/24",
"vlan_id": null,
"vlan_id:info": {
"source": "passive"
},
"zone": "Internal",
"level": "5",
"type": "computer",
"type:info": {
"source": "passive"
},
"os": "Windows 10 / Server 2016",
"vendor": null,
"vendor:info": {
"source": "passive"
},
"product_name": null,
"product_name:info": {
"source": "passive"
},
"firmware_version": null,
"firmware_version:info": {
"source": "passive"
},
"serial_number": null,
"serial_number:info": {
"source": "passive"
},
"is_broadcast": false,
"is_public": false,
"reputation": null,
"is_confirmed": true,
"is_learned": true,
"is_fully_learned": true,
"is_disabled": false,
"_is_licensed": true,
"roles": [
"other"
],
"links": [
{
"id": "224.0.0.252",
"protos": [
{
"name": "llmnr",
"last_activity": "1602495882225"
}
]
},
{
"id": "172.30.202.255",
"protos": [
{
"name": "browser",
"last_activity": "1605052230602"
},
{
"name": "netbios-ns",
"last_activity": "1604654773056"
}
]
},
{
"id": "224.0.0.251",
"protos": [
{
"name": "mdns",
"last_activity": "1602636321803"
}
]
},
{
"id": "239.255.255.250",
"protos": [
{
"name": "ssdp",
"last_activity": "1600331209918"
}
]
}
],
"links_count": "5",
"protocols": [
"browser",
"llmnr",
"mdns",
"netbios-ns",
"ssdp"
],
"created_at": "1595315728295",
"first_activity_time": "1595315728295",
"last_activity_time": "1605052230602",
"received.packets": "0",
"received.bytes": "0",
"received.last_5m_bytes": "0",
"received.last_15m_bytes": "0",
"received.last_30m_bytes": "0",
"sent.packets": "5088",
"sent.bytes": "1031179",
"sent.last_5m_bytes": "0",
"sent.last_15m_bytes": "0",
"sent.last_30m_bytes": "0",
"tcp_retransmission.percent": 0,
"tcp_retransmission.packets": "0",
"tcp_retransmission.bytes": "0",
"tcp_retransmission.last_5m_bytes": "0",
"tcp_retransmission.last_15m_bytes": "0",
"tcp_retransmission.last_30m_bytes": "0",
"variables_count": null,
"device_id": "TIP-HW-HOST-033",
"properties": {},
"custom_fields": {},
"bpf_filter": "ip host 172.30.202.127",
"device_modules": {},
"capture_device": "em1"
}
],
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| Nozomi.level | Cuando no es nulo |
| Nozomi.appliance_host | Cuando no es nulo |
| Nozomi.ip | Cuando no es nulo |
| Nozomi.mac_address | Cuando no es nulo |
| Nozomi.vlan_id | Cuando no es nulo |
| Nozomi.os | Cuando no es nulo |
| Nozomi.roles | Cuando no es nulo |
| Nozomi.vendor | Cuando no es nulo |
| Nozomi.firmware_version | Cuando no es nulo |
| Nozomi.serial_number | Cuando no es nulo |
| Nozomi.product_name | Cuando no es nulo |
| Nozomi.type | Cuando no es nulo |
| Nozomi.protocols | Cuando no es nulo |
| Nozomi.device_id | Cuando no es nulo |
| Nozomi.capture_device | Cuando no es nulo |
| Nozomi.is_broadcast | Cuando no es nulo |
| Nozomi.is_public | Cuando no es nulo |
| Nozomi.is_confirmed | Cuando no es nulo |
| Nozomi.is_disabled | Cuando no es nulo |
| Nozomi.is_licensed | Cuando no es nulo |
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía:
La acción debería fallar y detener la ejecución de la guía:
|
General |
Ejecutar una consulta
Descripción
Ejecuta una consulta en el dispositivo de Nozomi Networks.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Consulta | String | N/A | Sí | Especifica una consulta para ejecutar en el dispositivo de Nozomi Networks, por ejemplo: alerts | head 10. |
| Límite de registros | Número entero | 10 | No | Se puede usar para especificar cuántos registros puede devolver la acción. Si se establece el valor predeterminado de 10, el parámetro agrega "| head 10" a la búsqueda final para limitar la cantidad de registros devueltos. Si no se proporciona nada para el parámetro, se devuelven todos los resultados de la búsqueda. Se ignoran los valores negativos. |
Ejecutar en
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado de JSON
{
"result": [
{
"id": "0bee5f36-9b50-4037-8b02-f02f5cd637c3",
"type_id": "VI:NEW-ARP",
"name": "New ARP",
"description": "New ARP packet from node with MAC address 00:50:56:a2:e8:0b and IP address 172.30.202.8",
"severity": 10,
"mac_src": "00:50:56:a2:e8:0b",
"mac_dst": "ff:ff:ff:ff:ff:ff",
"ip_src": "172.30.202.8",
"ip_dst": null,
"risk": "6.0",
"protocol": "arp",
"src_roles": "other",
"dst_roles": "other",
"time": 1604974955058,
"ack": false,
"id_src": "00:50:56:a2:e8:0b",
"id_dst": "ff:ff:ff:ff:ff:ff",
"synchronized": false,
"appliance_id": "",
"port_src": null,
"port_dst": null,
"label_src": null,
"label_dst": null,
"trigger_id": null,
"trigger_type": null,
"appliance_host": "nozomi-n2os.local",
"appliance_ip": "172.30.202.226",
"transport_protocol": "ethernet",
"is_security": true,
"note": null,
"appliance_site": null,
"parents": [
"9827b15f-bbdf-483a-b074-8991793f80f3",
"e76a4060-50f1-47cd-98c4-fb25bfb16433"
],
"is_incident": false,
"properties": {
"base_risk": 4,
"from_id": "00:50:56:a2:e8:0b",
"is_dst_node_learned": true,
"is_dst_reputation_bad": false,
"is_src_node_learned": false,
"is_src_reputation_bad": false,
"to_id": "ff:ff:ff:ff:ff:ff"
},
"created_time": 1604974955058,
"incident_keys": [],
"bpf_filter": "ether host 00:50:56:a2:e8:0b and ether host ff:ff:ff:ff:ff:ff and ether proto 0x0806",
"closed_time": 0,
"status": "open",
"session_id": "154400:50:56:a2:e8:0bff:ff:ff:ff:ff:ff0000175aff64a32",
"replicated": false,
"capture_device": "em1",
"threat_name": "",
"type_name": "New ARP",
"sec_profile_visible": true,
"zone_src": "Layer2",
"zone_dst": "Layer2"
},
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debería fallar ni detener la ejecución de la guía:
La acción debería fallar y detener la ejecución de la guía:
|
General |
| Tabla | Título de la tabla: Resultados de la búsqueda Columnas: Genera columnas de forma dinámica según el resultado de la búsqueda. |
General |
Ejecuta un comando de la CLI
Descripción
Ejecuta un comando de CLI en el dispositivo de Nozomi Networks.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Comando de la CLI | String | N/A | Sí | Especifica un comando de CLI para ejecutar en el dispositivo de Nozomi Networks. Nota: La API de Nozomi no proporciona una validación para los comandos de la CLI ejecutados. Es responsabilidad del usuario asegurarse de que el comando de la CLI proporcionado sea correcto. |
Ejecutar en
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debería fallar ni detener la ejecución de la guía:
La acción debería fallar y detener la ejecución de la guía:
|
General |
Enumera vulnerabilidades
Descripción
Enumera las vulnerabilidades que descubrió el dispositivo Nozomi en función de los parámetros de entrada de la acción proporcionados.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Dirección IP | String | N/A | No | Enumera las vulnerabilidades de la dirección IP proporcionada. El parámetro acepta varios valores como una cadena separada por comas. |
| Puntuación de CVE | Número entero | N/A | No | La vulnerabilidad con la puntuación mínima de CVE debe estar en la lista. La puntuación puede ser un número del 0 al 10. |
| El nombre de la vulnerabilidad contiene | String | N/A | No | Especifica una cadena que debe contener el nombre de la vulnerabilidad para que se incluya en la lista. |
| ID de CVE | String | N/A | No | Si conoces un CVE específico que deseas buscar, proporciona el ID relacionado en este campo, por ejemplo, CVE-2020-1207. El parámetro acepta varios valores como una cadena separada por comas. |
| Límite de registros | Número entero | 25 | Sí | Se puede usar para especificar cuántos registros puede devolver la acción. |
| ¿Incluir vulnerabilidades marcadas como resueltas? | Casilla de verificación | Desmarcado | No | Especifica si la acción también debe devolver las vulnerabilidades marcadas como resueltas. |
Ejecutar en
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado de JSON
{
"result": [
{
"id": "cb9054a6-11a6-47ff-9c08-8033e42f9e63",
"node_id": "172.30.202.71",
"cve": "CVE-2017-8718",
"cve_summary": "The Microsoft JET Database Engine in Windows Server 2008 SP2 and R2 SP1, Windows 7 SP1, Windows 8.1 and RT 8.1, Windows Server 2012 and R2, Windows 10 Gold, 1511, 1607, 1703, and Windows Server 2016 allows an attacker to take control of an affected system, due to how it handles objects in memory, aka \"Microsoft JET Database Engine Remote Code Execution Vulnerability\". This CVE ID is unique from CVE-2017-8717.",
"cve_score": 9.3,
"cve_creation_time": 1507886940000,
"cve_update_time": 1508488860000,
"time": 1598516419115,
"cwe_id": "119",
"cwe_name": "Improper Restriction of Operations within the Bounds of a Memory Buffer",
"matching_cpes": [
"cpe:/o:microsoft:windows_server_2016:-:-:-"
],
"cve_references": [
{
"name": "101162",
"reference_type": "VENDOR_ADVISORY",
"source": "BID",
"url": "http://www.securityfocus.com/bid/101162"
},
{
"name": "1039527",
"reference_type": "VENDOR_ADVISORY",
"source": "SECTRACK",
"url": "http://www.securitytracker.com/id/1039527"
},
{
"name": "https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8718",
"reference_type": "VENDOR_ADVISORY",
"source": "CONFIRM",
"url": "https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8718"
}
],
"likelihood": 0.4,
"resolved": false,
"resolved_reason": "",
"resolved_source": null,
"installed_on": null,
"appliance_id": "",
"appliance_ip": "",
"appliance_host": "",
"zone": "Internal"
}
],
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debería fallar ni detener la ejecución de la guía:
La acción debería fallar y detener la ejecución de la guía:
|
General |
| Tabla | Título de la tabla: Vulnerabilidades detectadas Columnas: Dirección IP ID de CVE Nombre de la vulnerabilidad Descripción de la vulnerabilidad Puntuación de CVE Zona Se resolvió Referencias Fecha y hora de creación del CVE Hora de actualización de CVE |
General |
Conector
Conector de alertas de Nozomi Networks
Descripción
Es un conector para recuperar alertas de Nozomi Networks en Google SecOps.
Configura el conector de alertas de Nozomi Networks en Google SecOps
Si quieres obtener instrucciones detalladas para configurar un conector en Google SecOps, consulta Cómo configurar el conector.
Parámetros del conector
Usa los siguientes parámetros para configurar el conector:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre del campo del producto | String | Nombre del producto | Sí | Ingresa el nombre del campo de origen para recuperar el nombre del campo del producto. |
| Nombre del campo del evento | String | Operación | Sí | Ingresa el nombre del campo de origen para recuperar el nombre del campo del evento. |
| Nombre del campo del entorno | String | "" | No | Describe el nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo del entorno, se usa el entorno predeterminado. |
| Patrón de expresión regular del entorno | String | .* | No | Es un patrón de regex que se ejecutará en el valor que se encuentra en el campo "Nombre del campo del entorno". El valor predeterminado es .* para capturar todo y devolver el valor sin cambios. Se usa para permitir que el usuario manipule el campo del entorno a través de la lógica de regex. Si el patrón de regex es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
| Tiempo de espera de la secuencia de comandos (segundos) | Número entero | 180 | Sí | Es el límite de tiempo de espera para el proceso de Python que ejecuta la secuencia de comandos actual. |
| URL de API | String | https://x.x.x.x:puerto | Sí | URL de la API de Nozomi a la que se conectará |
| Nombre de usuario | String | N/A | Sí | Nombre de usuario de la cuenta de Nozomi que se usará para la conexión |
| Contraseña | Contraseña | N/A | Sí | Contraseña de la cuenta de Nozomi que se usará para la conexión |
| Verificar SSL | Casilla de verificación | Desmarcado | No | Especifica si se debe validar el certificado de la URL de la API antes de la conexión. |
| Certificado de CA | String | N/A | No | |
| Gravedad mínima para recuperar | integer | N/A | No | Se debe incorporar la alerta de gravedad mínima. La gravedad puede ser un número del 0 al 10. |
| ¿Solo se incorporan las alertas que tienen el atributo "is_security" establecido como verdadero? | Casilla de verificación | Desmarcado | No | Especifica si solo se deben ingerir las alertas que tienen el atributo "is_security" establecido en verdadero. |
| ¿Solo se transfieren las alertas que tienen el atributo "is_incident" establecido como verdadero? | Casilla de verificación | Desmarcado | No | Especifica si solo se deben ingerir las alertas que tienen el atributo "is_incident" establecido como verdadero. |
| Recuperar horas máximas hacia atrás | Número entero | 8 | Sí | Recupera alertas de X horas hacia atrás. |
| Intervalo de tiempo hacia atrás para recuperar datos (minutos) | Número entero | 60 | Sí | Es el conector de intervalo de tiempo que se debe usar para recuperar alertas desde la cantidad máxima de horas hacia atrás. Si Nozomi Device se implementa en una red grande, la cantidad de alertas generadas puede ser considerable. Por este motivo, este parámetro en minutos se puede usar para dividir las horas máximas hacia atrás en segmentos más pequeños y procesarlos de forma individual. El intervalo de tiempo no puede ser mayor que el valor máximo de horas hacia atrás. |
| Usar la lista blanca como lista negra | Casilla de verificación | Desmarcado | Sí | Si se habilita, la lista de entidades permitidas se usará como lista de entidades bloqueadas. |
| Dirección del servidor proxy | String | No | Es la dirección del servidor proxy que se usará. | |
| Nombre de usuario del proxy | String | No | Nombre de usuario del proxy con el que se realizará la autenticación. | |
| Contraseña de proxy | Contraseña | No | Contraseña del proxy para la autenticación. |
Reglas del conector
Compatibilidad con proxy
El conector admite proxy.
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.