Nozomi Networks
統合バージョン: 5.0
ユースケース
- アセットに関する情報を拡充します。
- Nozomi のインストールに対してクエリを実行します。
- Nozomi のインストールで CLI コマンドを実行します。
Google Security Operations で Nozomi Networks の統合を構成する
Google SecOps で統合を構成する方法について詳しくは、統合を構成するをご覧ください。
統合のパラメータ
次のパラメータを使用して統合を構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| API URL | 文字列 | https://x.x.x.x:port | はい | 接続する Nozomi API の URL |
| ユーザー名 | 文字列 | なし | はい | 接続に使用する Nozomi アカウントのユーザー名 |
| パスワード | パスワード | なし | はい | 接続に使用する Nozomi アカウントのパスワード |
| SSL を確認する | チェックボックス | オフ | いいえ | 接続前に API URL 証明書を検証するかどうかを指定します。 |
| CA 証明書 | 文字列 | なし | いいえ |
アクション
Ping
説明
[Google Security Operations Marketplace] タブの統合構成ページで提供されるパラメータを使用して、Nozomi Networks インスタンスへの接続をテストします。
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。
アクションが失敗し、ハンドブックの実行が停止します。
|
一般 |
エンティティの拡充
説明
Nozomi Networks デバイスの情報に基づいて、Google SecOps のホストまたは IP エンティティを拡充します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 拡充に追加するその他のフィールド | 文字列 | なし | いいえ | デフォルトで拡充に使用されるフィールドに追加するために、Nodes クエリから追加で取得する必要があるフィールドのカンマ区切りのリスト。 |
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON の結果
{
"result": [
{
"appliance_host": "nozomi-n2os.local",
"label": "DESKTOP-8P0TH6Q.local",
"id": "172.30.202.127",
"_asset_kb_id": null,
"ip": "172.30.202.127",
"mac_address": "00:50:56:a2:51:88",
"mac_address:info": {
"source": "",
"likelihood": 0,
"likelihood_level": "unconfirmed"
},
"mac_vendor": "VMware, Inc.",
"_private_status": "no",
"subnet": "172.30.202.0/24",
"vlan_id": null,
"vlan_id:info": {
"source": "passive"
},
"zone": "Internal",
"level": "5",
"type": "computer",
"type:info": {
"source": "passive"
},
"os": "Windows 10 / Server 2016",
"vendor": null,
"vendor:info": {
"source": "passive"
},
"product_name": null,
"product_name:info": {
"source": "passive"
},
"firmware_version": null,
"firmware_version:info": {
"source": "passive"
},
"serial_number": null,
"serial_number:info": {
"source": "passive"
},
"is_broadcast": false,
"is_public": false,
"reputation": null,
"is_confirmed": true,
"is_learned": true,
"is_fully_learned": true,
"is_disabled": false,
"_is_licensed": true,
"roles": [
"other"
],
"links": [
{
"id": "224.0.0.252",
"protos": [
{
"name": "llmnr",
"last_activity": "1602495882225"
}
]
},
{
"id": "172.30.202.255",
"protos": [
{
"name": "browser",
"last_activity": "1605052230602"
},
{
"name": "netbios-ns",
"last_activity": "1604654773056"
}
]
},
{
"id": "224.0.0.251",
"protos": [
{
"name": "mdns",
"last_activity": "1602636321803"
}
]
},
{
"id": "239.255.255.250",
"protos": [
{
"name": "ssdp",
"last_activity": "1600331209918"
}
]
}
],
"links_count": "5",
"protocols": [
"browser",
"llmnr",
"mdns",
"netbios-ns",
"ssdp"
],
"created_at": "1595315728295",
"first_activity_time": "1595315728295",
"last_activity_time": "1605052230602",
"received.packets": "0",
"received.bytes": "0",
"received.last_5m_bytes": "0",
"received.last_15m_bytes": "0",
"received.last_30m_bytes": "0",
"sent.packets": "5088",
"sent.bytes": "1031179",
"sent.last_5m_bytes": "0",
"sent.last_15m_bytes": "0",
"sent.last_30m_bytes": "0",
"tcp_retransmission.percent": 0,
"tcp_retransmission.packets": "0",
"tcp_retransmission.bytes": "0",
"tcp_retransmission.last_5m_bytes": "0",
"tcp_retransmission.last_15m_bytes": "0",
"tcp_retransmission.last_30m_bytes": "0",
"variables_count": null,
"device_id": "TIP-HW-HOST-033",
"properties": {},
"custom_fields": {},
"bpf_filter": "ip host 172.30.202.127",
"device_modules": {},
"capture_device": "em1"
}
],
エンティティ拡充
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| Nozomi.level | null 以外の場合 |
| Nozomi.appliance_host | null 以外の場合 |
| Nozomi.ip | null 以外の場合 |
| Nozomi.mac_address | null 以外の場合 |
| Nozomi.vlan_id | null 以外の場合 |
| Nozomi.os | null 以外の場合 |
| Nozomi.roles | null 以外の場合 |
| Nozomi.vendor | null 以外の場合 |
| Nozomi.firmware_version | null 以外の場合 |
| Nozomi.serial_number | null 以外の場合 |
| Nozomi.product_name | null 以外の場合 |
| Nozomi.type | null 以外の場合 |
| Nozomi.protocols | null 以外の場合 |
| Nozomi.device_id | null 以外の場合 |
| Nozomi.capture_device | null 以外の場合 |
| Nozomi.is_broadcast | null 以外の場合 |
| Nozomi.is_public | null 以外の場合 |
| Nozomi.is_confirmed | null 以外の場合 |
| Nozomi.is_disabled | null 以外の場合 |
| Nozomi.is_licensed | null 以外の場合 |
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。
アクションが失敗し、ハンドブックの実行が停止します。
|
全般 |
クエリの実行
説明
Nozomi Networks デバイスでクエリを実行します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| クエリ | 文字列 | なし | はい | Nozomi Networks デバイスで実行するクエリを指定します(例: alerts | head 10)。 |
| レコードの上限 | Integer | 10 | いいえ | アクションで返されるレコード数を指定するために使用できます。デフォルト値の 10 が設定されている場合、パラメータは最終的なクエリに「| head 10」を追加して、返されるレコードの数を制限します。パラメータに何も指定しないと、すべてのクエリ結果が返されます。負の値は無視されます。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON の結果
{
"result": [
{
"id": "0bee5f36-9b50-4037-8b02-f02f5cd637c3",
"type_id": "VI:NEW-ARP",
"name": "New ARP",
"description": "New ARP packet from node with MAC address 00:50:56:a2:e8:0b and IP address 172.30.202.8",
"severity": 10,
"mac_src": "00:50:56:a2:e8:0b",
"mac_dst": "ff:ff:ff:ff:ff:ff",
"ip_src": "172.30.202.8",
"ip_dst": null,
"risk": "6.0",
"protocol": "arp",
"src_roles": "other",
"dst_roles": "other",
"time": 1604974955058,
"ack": false,
"id_src": "00:50:56:a2:e8:0b",
"id_dst": "ff:ff:ff:ff:ff:ff",
"synchronized": false,
"appliance_id": "",
"port_src": null,
"port_dst": null,
"label_src": null,
"label_dst": null,
"trigger_id": null,
"trigger_type": null,
"appliance_host": "nozomi-n2os.local",
"appliance_ip": "172.30.202.226",
"transport_protocol": "ethernet",
"is_security": true,
"note": null,
"appliance_site": null,
"parents": [
"9827b15f-bbdf-483a-b074-8991793f80f3",
"e76a4060-50f1-47cd-98c4-fb25bfb16433"
],
"is_incident": false,
"properties": {
"base_risk": 4,
"from_id": "00:50:56:a2:e8:0b",
"is_dst_node_learned": true,
"is_dst_reputation_bad": false,
"is_src_node_learned": false,
"is_src_reputation_bad": false,
"to_id": "ff:ff:ff:ff:ff:ff"
},
"created_time": 1604974955058,
"incident_keys": [],
"bpf_filter": "ether host 00:50:56:a2:e8:0b and ether host ff:ff:ff:ff:ff:ff and ether proto 0x0806",
"closed_time": 0,
"status": "open",
"session_id": "154400:50:56:a2:e8:0bff:ff:ff:ff:ff:ff0000175aff64a32",
"replicated": false,
"capture_device": "em1",
"threat_name": "",
"type_name": "New ARP",
"sec_profile_visible": true,
"zone_src": "Layer2",
"zone_dst": "Layer2"
},
Case Wall
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、Playbook の実行が停止したりすることはありません。
アクションが失敗し、Playbook の実行が停止します。
|
一般 |
| テーブル | テーブルのタイトル: クエリ結果 列: クエリ結果に基づいて列を動的に生成します |
全般 |
CLI コマンドを実行する
説明
Nozomi Networks デバイスで CLI コマンドを実行します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| CLI コマンド | 文字列 | なし | はい | Nozomi Networks デバイスで実行する CLI コマンドを指定します。注: Nozomi API は実行された CLI コマンドの検証を提供しません。提供された CLI コマンドが正しいことを確認するのはユーザーの責任です。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、Playbook の実行が停止したりすることはありません。
アクションが失敗し、Playbook の実行が停止します。
|
全般 |
脆弱性の一覧表示
説明
指定されたアクション入力パラメータに基づいて、Nozomi デバイスによって検出された脆弱性を一覧表示します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| IP アドレス | 文字列 | なし | いいえ | 指定された IP アドレスの脆弱性を一覧表示します。このパラメータは、カンマ区切りの文字列として複数の値を受け入れます。 |
| CVE スコア | Integer | なし | いいえ | 最小 CVE スコアの脆弱性をリストする必要があります。スコアは 0 ~ 10 の数値にできます。 |
| 脆弱性の名前に次を含む | 文字列 | なし | いいえ | 脆弱性名に含める文字列を指定します。 |
| CVE ID | 文字列 | なし | いいえ | 探す特定の CVE がわかっている場合は、このフィールドに関連する ID(CVE-2020-1207 など)を入力します。このパラメータは、カンマ区切りの文字列として複数の値を受け入れます。 |
| レコードの上限 | Integer | 25 | はい | アクションで返されるレコード数を指定するために使用できます。 |
| 解決済みとマークされた脆弱性を含める | チェックボックス | オフ | いいえ | 解決済みとマークされた脆弱性もアクションで返すかどうかを指定します。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON の結果
{
"result": [
{
"id": "cb9054a6-11a6-47ff-9c08-8033e42f9e63",
"node_id": "172.30.202.71",
"cve": "CVE-2017-8718",
"cve_summary": "The Microsoft JET Database Engine in Windows Server 2008 SP2 and R2 SP1, Windows 7 SP1, Windows 8.1 and RT 8.1, Windows Server 2012 and R2, Windows 10 Gold, 1511, 1607, 1703, and Windows Server 2016 allows an attacker to take control of an affected system, due to how it handles objects in memory, aka \"Microsoft JET Database Engine Remote Code Execution Vulnerability\". This CVE ID is unique from CVE-2017-8717.",
"cve_score": 9.3,
"cve_creation_time": 1507886940000,
"cve_update_time": 1508488860000,
"time": 1598516419115,
"cwe_id": "119",
"cwe_name": "Improper Restriction of Operations within the Bounds of a Memory Buffer",
"matching_cpes": [
"cpe:/o:microsoft:windows_server_2016:-:-:-"
],
"cve_references": [
{
"name": "101162",
"reference_type": "VENDOR_ADVISORY",
"source": "BID",
"url": "http://www.securityfocus.com/bid/101162"
},
{
"name": "1039527",
"reference_type": "VENDOR_ADVISORY",
"source": "SECTRACK",
"url": "http://www.securitytracker.com/id/1039527"
},
{
"name": "https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8718",
"reference_type": "VENDOR_ADVISORY",
"source": "CONFIRM",
"url": "https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8718"
}
],
"likelihood": 0.4,
"resolved": false,
"resolved_reason": "",
"resolved_source": null,
"installed_on": null,
"appliance_id": "",
"appliance_ip": "",
"appliance_host": "",
"zone": "Internal"
}
],
Case Wall
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、Playbook の実行が停止したりすることはありません。
アクションが失敗し、Playbook の実行が停止します。
|
一般 |
| テーブル | テーブルのタイトル: 検出された脆弱性 列: IP アドレス CVE ID 脆弱性の名前 脆弱性の説明 CVE スコア ゾーン 解決済み リファレンス CVE の作成日時 CVE の更新時間 |
全般 |
コネクタ
Nozomi Networks アラート コネクタ
説明
Nozomi Networks アラートを Google SecOps に取得するコネクタ。
Google SecOps で Nozomi Networks Alerts Connector を構成する
Google SecOps でコネクタを構成する方法の詳細については、コネクタの構成をご覧ください。
コネクタ パラメータ
次のパラメータを使用してコネクタを構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| プロダクト フィールド名 | 文字列 | プロダクト名 | ○ | ソース フィールド名を入力してプロダクト フィールド名を取得します。 |
| イベント フィールド名 | 文字列 | オペレーション | はい | ソース フィールド名を入力してイベント フィールド名を取得します。 |
| 環境フィールド名 | 文字列 | "" | いいえ | 環境名が保存されるフィールドの名前を記述します。 環境フィールドがない場合、その環境がデフォルトの環境です。 |
| 環境の正規表現パターン | 文字列 | .* | いいえ | [環境フィールド名] フィールドで見つかった値に対して実行する正規表現パターン。 デフォルトは、すべてキャッチして値を変更せずに返す .* です。 ユーザーが正規表現ロジックで環境フィールドを操作できるようにするために使用されます。 正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果はデフォルト環境になります。 |
| スクリプトのタイムアウト(秒) | 整数 | 180 | はい | 現在のスクリプトを実行している Python プロセスのタイムアウト上限。 |
| API URL | 文字列 | https://x.x.x.x:port | はい | 接続する Nozomi API の URL |
| ユーザー名 | 文字列 | なし | はい | 接続に使用する Nozomi アカウントのユーザー名 |
| パスワード | パスワード | なし | はい | 接続に使用する Nozomi アカウントのパスワード |
| SSL を確認する | チェックボックス | オフ | いいえ | 接続前に API URL 証明書を検証するかどうかを指定します。 |
| CA 証明書 | 文字列 | なし | いいえ | |
| 取得する最小重大度 | integer | なし | いいえ | 最小重大度アラートを取り込む必要があります。重大度は 0 ~ 10 の数値で指定できます。 |
| 「is_security」属性が True に設定されているアラートのみを取り込みますか? | チェックボックス | オフ | いいえ | 「is_security」属性が True に設定されているアラートのみを取り込むかどうかを指定します。 |
| 「is_incident」属性が True に設定されているアラートのみを取り込みますか? | チェックボックス | オフ | いいえ | 「is_incident」属性が True に設定されているアラートのみを取り込むかどうかを指定します。 |
| 遡る取得の最大時間数 | Integer | 8 | はい | X 時間前から遡ってアラートを取得します。 |
| 遡る取得の時間間隔(分) | Integer | 60 | はい | コネクタがアラートを最大時間遡って取得するために使用する時間間隔。Nozomi Device が大規模なネットワークにデプロイされている場合、生成されるアラートの数は膨大になる可能性があります。そのため、このパラメータ(分単位)を使用して、最大時間をより小さなセグメントに分割し、個別に処理できます。時間間隔は、最大遡及時間値より大きくすることはできません。 |
| 許可リストを拒否リストとして使用 | チェックボックス | オフ | ○ | 有効にすると、許可リストが拒否リストとして使用されます。 |
| プロキシ サーバーのアドレス | 文字列 | いいえ | 使用するプロキシ サーバーのアドレス。 | |
| プロキシのユーザー名 | 文字列 | いいえ | 認証に使用するプロキシのユーザー名。 | |
| プロキシ パスワード | パスワード | いいえ | 認証に使用するプロキシ パスワード。 |
コネクタ ルール
プロキシのサポート
コネクタでプロキシがサポートされます。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。