Nozomi Networks

集成版本:5.0

使用场景

  • 丰富有关资产的信息。
  • 针对 Nozomi 安装执行查询。
  • 在 Nozomi 安装上执行 CLI 命令。

在 Google Security Operations 中配置 Nozomi Networks 集成

有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成

集成参数

使用以下参数配置集成:

参数显示名称 类型 默认值 是否为必需属性 说明
API 网址 字符串 https://x.x.x.x:端口 要连接的 Nozomi API 网址
用户名 字符串 不适用 用于连接的 Nozomi 账号用户名
密码 密码 不适用 用于连接的 Nozomi 账号密码
验证 SSL 复选框 尚未核查 指定是否应在连接之前验证 API 网址证书。
CA 证书 字符串 不适用

操作

Ping

说明

使用 Google Security Operations Marketplace 标签页中的集成配置页面上提供的参数,测试与 Nozomi Networks 实例的连接。

运行于

此操作不会在实体上运行。

操作执行结果

脚本结果
脚本结果名称 值选项
is_success is_success=False
is_success is_success=True
案例墙
结果类型 值 / 说明 类型
输出消息*

操作不应失败,也不应停止 playbook 执行

  • 如果成功:输出“Successfully connected to the Nozomi Networks instance with the provided connection parameters!”

操作应失败并停止 playbook 执行

  • 如果出现严重错误,例如凭据错误或连接丢失:打印“Failed to connect to the Nozomi Networks instance! 错误为 {0}".format(exception.stacktrace)
 常规

丰富实体

说明

根据 Nozomi Networks 设备提供的信息,丰富 Google SecOps 主机或 IP 实体。

参数

参数显示名称 类型 默认值 是否为必需属性 说明
要添加到扩充项的其他字段 字符串 不适用 以英文逗号分隔的字段列表,这些字段应从节点查询中额外获取,以添加到默认用于丰富数据的字段中。

运行于

此操作适用于以下实体:

  • IP 地址
  • 主机

操作执行结果

脚本结果
脚本结果名称 值选项
is_success is_success=False
is_success is_success=True
JSON 结果
{
    "result": [
        {
            "appliance_host": "nozomi-n2os.local",
            "label": "DESKTOP-8P0TH6Q.local",
            "id": "172.30.202.127",
            "_asset_kb_id": null,
            "ip": "172.30.202.127",
            "mac_address": "00:50:56:a2:51:88",
            "mac_address:info": {
                "source": "",
                "likelihood": 0,
                "likelihood_level": "unconfirmed"
            },
            "mac_vendor": "VMware, Inc.",
            "_private_status": "no",
            "subnet": "172.30.202.0/24",
            "vlan_id": null,
            "vlan_id:info": {
                "source": "passive"
            },
            "zone": "Internal",
            "level": "5",
            "type": "computer",
            "type:info": {
                "source": "passive"
            },
            "os": "Windows 10 / Server 2016",
            "vendor": null,
            "vendor:info": {
                "source": "passive"
            },
            "product_name": null,
            "product_name:info": {
                "source": "passive"
            },
            "firmware_version": null,
            "firmware_version:info": {
                "source": "passive"
            },
            "serial_number": null,
            "serial_number:info": {
                "source": "passive"
            },
            "is_broadcast": false,
            "is_public": false,
            "reputation": null,
            "is_confirmed": true,
            "is_learned": true,
            "is_fully_learned": true,
            "is_disabled": false,
            "_is_licensed": true,
            "roles": [
                "other"
            ],
            "links": [
                {
                    "id": "224.0.0.252",
                    "protos": [
                        {
                            "name": "llmnr",
                            "last_activity": "1602495882225"
                        }
                    ]
                },
                {
                    "id": "172.30.202.255",
                    "protos": [
                        {
                            "name": "browser",
                            "last_activity": "1605052230602"
                        },
                        {
                            "name": "netbios-ns",
                            "last_activity": "1604654773056"
                        }
                    ]
                },
                {
                    "id": "224.0.0.251",
                    "protos": [
                        {
                            "name": "mdns",
                            "last_activity": "1602636321803"
                        }
                    ]
                },
                {
                    "id": "239.255.255.250",
                    "protos": [
                        {
                            "name": "ssdp",
                            "last_activity": "1600331209918"
                        }
                    ]
                }
            ],
            "links_count": "5",
            "protocols": [
                "browser",
                "llmnr",
                "mdns",
                "netbios-ns",
                "ssdp"
            ],
            "created_at": "1595315728295",
            "first_activity_time": "1595315728295",
            "last_activity_time": "1605052230602",
            "received.packets": "0",
            "received.bytes": "0",
            "received.last_5m_bytes": "0",
            "received.last_15m_bytes": "0",
            "received.last_30m_bytes": "0",
            "sent.packets": "5088",
            "sent.bytes": "1031179",
            "sent.last_5m_bytes": "0",
            "sent.last_15m_bytes": "0",
            "sent.last_30m_bytes": "0",
            "tcp_retransmission.percent": 0,
            "tcp_retransmission.packets": "0",
            "tcp_retransmission.bytes": "0",
            "tcp_retransmission.last_5m_bytes": "0",
            "tcp_retransmission.last_15m_bytes": "0",
            "tcp_retransmission.last_30m_bytes": "0",
            "variables_count": null,
            "device_id": "TIP-HW-HOST-033",
            "properties": {},
            "custom_fields": {},
            "bpf_filter": "ip host 172.30.202.127",
            "device_modules": {},
            "capture_device": "em1"
        }
    ],
实体扩充
扩充项字段名称 逻辑 - 应用场景
Nozomi.level 当不为 null 时
Nozomi.appliance_host 当不为 null 时
Nozomi.ip 当不为 null 时
Nozomi.mac_address 当不为 null 时
Nozomi.vlan_id 当不为 null 时
Nozomi.os 当不为 null 时
Nozomi.roles 当不为 null 时
Nozomi.vendor 当不为 null 时
Nozomi.firmware_version 当不为 null 时
Nozomi.serial_number 当不为 null 时
Nozomi.product_name 当不为 null 时
Nozomi.type 当不为 null 时
Nozomi.protocols 当不为 null 时
Nozomi.device_id 当不为 null 时
Nozomi.capture_device 当不为 null 时
Nozomi.is_broadcast 当不为 null 时
Nozomi.is_public 当不为 null 时
Nozomi.is_confirmed 当不为 null 时
Nozomi.is_disabled 当不为 null 时
Nozomi.is_licensed 当不为 null 时
案例墙
结果类型 值 / 说明 类型
输出消息*

操作不应失败,也不应停止 playbook 执行

  • 如果成功且至少一个提供的实体已得到丰富:打印“Successfully enriched entities: {0}”。format([entity.Identifier])。
  • 如果未能丰富所有提供的实体:打印“No entities were enriched.”。
  • 如果无法在 Nozomi 设备中找到数据来丰富特定实体:打印“Action was not able to find Nozomi Guardian information to enrich the following entities: {0}".format([entity.identifier])
  • 如果 Nozomi 在某些 Google SecOps 实体中找到多个匹配项,则会采用第一个匹配项来丰富实体:print "Multiple matches were found in Nozomi Guardian, taking first match for the following entities:/n {0}".format(entity.identifiers list)

操作应失败并停止 playbook 执行

  • 如果出现致命错误(例如凭据错误、无法连接到服务器、其他错误):打印“Failed to execute Enrich Entities action! 错误为 {0}".format(exception.stacktrace)
 常规

运行查询

说明

在 Nozomi Networks 设备上运行查询。

参数

参数显示名称 类型 默认值 是否为必需属性 说明
查询 字符串 不适用 指定要在 Nozomi Networks 设备上执行的查询,例如:alerts | head 10。
记录限制 整数 10 可用于指定操作可返回的记录数。如果设置了默认值 10,则参数会将“| head 10”添加到最终查询中,以限制返回的记录数。如果未提供任何参数,则返回所有查询结果。系统会忽略负值。

运行于

此操作不会在实体上运行。

操作执行结果

脚本结果
脚本结果名称 值选项
is_success is_success=False
is_success is_success=True
JSON 结果
{
    "result": [
        {
            "id": "0bee5f36-9b50-4037-8b02-f02f5cd637c3",
            "type_id": "VI:NEW-ARP",
            "name": "New ARP",
            "description": "New ARP packet from node with MAC address 00:50:56:a2:e8:0b and IP address 172.30.202.8",
            "severity": 10,
            "mac_src": "00:50:56:a2:e8:0b",
            "mac_dst": "ff:ff:ff:ff:ff:ff",
            "ip_src": "172.30.202.8",
            "ip_dst": null,
            "risk": "6.0",
            "protocol": "arp",
            "src_roles": "other",
            "dst_roles": "other",
            "time": 1604974955058,
            "ack": false,
            "id_src": "00:50:56:a2:e8:0b",
            "id_dst": "ff:ff:ff:ff:ff:ff",
            "synchronized": false,
            "appliance_id": "",
            "port_src": null,
            "port_dst": null,
            "label_src": null,
            "label_dst": null,
            "trigger_id": null,
            "trigger_type": null,
            "appliance_host": "nozomi-n2os.local",
            "appliance_ip": "172.30.202.226",
            "transport_protocol": "ethernet",
            "is_security": true,
            "note": null,
            "appliance_site": null,
            "parents": [
                "9827b15f-bbdf-483a-b074-8991793f80f3",
                "e76a4060-50f1-47cd-98c4-fb25bfb16433"
            ],
            "is_incident": false,
            "properties": {
                "base_risk": 4,
                "from_id": "00:50:56:a2:e8:0b",
                "is_dst_node_learned": true,
                "is_dst_reputation_bad": false,
                "is_src_node_learned": false,
                "is_src_reputation_bad": false,
                "to_id": "ff:ff:ff:ff:ff:ff"
            },
            "created_time": 1604974955058,
            "incident_keys": [],
            "bpf_filter": "ether host 00:50:56:a2:e8:0b and ether host ff:ff:ff:ff:ff:ff and ether proto 0x0806",
            "closed_time": 0,
            "status": "open",
            "session_id": "154400:50:56:a2:e8:0bff:ff:ff:ff:ff:ff0000175aff64a32",
            "replicated": false,
            "capture_device": "em1",
            "threat_name": "",
            "type_name": "New ARP",
            "sec_profile_visible": true,
            "zone_src": "Layer2",
            "zone_dst": "Layer2"
        },
案例墙
结果类型 值/说明 类型
输出消息*

操作不应失败,也不应停止 playbook 执行

  • 如果成功:输出“查询已成功执行”。
  • 如果未找到任何内容:打印“查询已成功执行,但未返回任何结果。”。
  • if error: print "Query didn't completed due to error: {0}".format(exception.stacktrace).
  • 如果超时:打印“查询因超时而未完成{0}”。format(exception.stacktrace)。

操作应失败并停止 playbook 执行

  • 如果出现致命错误(例如凭据错误、无法连接到服务器、其他错误):打印“Failed to execute Run a Query action! 错误为 {0}".format(exception.stacktrace)
 常规

表格标题:查询结果

:根据查询结果动态生成列

 常规

运行 CLI 命令

说明

在 Nozomi Networks 设备上运行 CLI 命令。

参数

参数显示名称 类型 默认值 是否为必需属性 说明
CLI 命令 字符串 不适用 指定要在 Nozomi Networks 设备上执行的 CLI 命令。注意:Nozomi API 不会验证已执行的 CLI 命令,用户需要自行确保所提供的 CLI 命令正确无误。

运行于

此操作不会在实体上运行。

操作执行结果

脚本结果
脚本结果名称 值选项
is_success is_success=False
is_success is_success=True
案例墙
结果类型 值 / 说明 类型
输出消息*

操作不应失败,也不应停止 playbook 执行

  • 如果成功:输出“CLI Command executed”。

操作应失败并停止 playbook 执行

  • 如果出现致命错误(例如凭据错误、无法连接到服务器、其他错误):打印“Failed to execute Run a Query action! 错误为 {0}".format(exception.stacktrace)
 常规

列出漏洞

说明

根据所提供的操作输入参数,列出 Nozomi 设备发现的漏洞。

参数

参数显示名称 类型 默认值 是否为必需属性 说明
IP 地址 字符串 不适用 列出所提供 IP 地址的漏洞。参数接受多个值,这些值以英文逗号分隔的字符串形式表示。
CVE 评分 整数 不适用 要列出的最低 CVE 分数漏洞,分数可以是 0 到 10 之间的数字。
漏洞名称包含 字符串 不适用 指定漏洞名称应包含的字符串,以便列出相应漏洞。
CVE ID 字符串 不适用 如果您知道要查找的特定 CVE,请在此字段中提供相关 ID,例如 CVE-2020-1207。参数接受多个值,这些值以英文逗号分隔的字符串形式表示。
记录限制 整数 25 可用于指定操作可返回的记录数。
是否包含标记为已解决的漏洞? 复选框 尚未核查 指定操作是否还应返回标记为已解决的漏洞。

运行于

此操作不会在实体上运行。

操作执行结果

脚本结果
脚本结果名称 值选项
is_success is_success=False
is_success is_success=True
JSON 结果
{
    "result": [
        {
            "id": "cb9054a6-11a6-47ff-9c08-8033e42f9e63",
            "node_id": "172.30.202.71",
            "cve": "CVE-2017-8718",
            "cve_summary": "The Microsoft JET Database Engine in Windows Server 2008 SP2 and R2 SP1, Windows 7 SP1, Windows 8.1 and RT 8.1, Windows Server 2012 and R2, Windows 10 Gold, 1511, 1607, 1703, and Windows Server 2016 allows an attacker to take control of an affected system, due to how it handles objects in memory, aka \"Microsoft JET Database Engine Remote Code Execution Vulnerability\". This CVE ID is unique from CVE-2017-8717.",
            "cve_score": 9.3,
            "cve_creation_time": 1507886940000,
            "cve_update_time": 1508488860000,
            "time": 1598516419115,
            "cwe_id": "119",
            "cwe_name": "Improper Restriction of Operations within the Bounds of a Memory Buffer",
            "matching_cpes": [
                "cpe:/o:microsoft:windows_server_2016:-:-:-"
            ],
            "cve_references": [
                {
                    "name": "101162",
                    "reference_type": "VENDOR_ADVISORY",
                    "source": "BID",
                    "url": "http://www.securityfocus.com/bid/101162"
                },
                {
                    "name": "1039527",
                    "reference_type": "VENDOR_ADVISORY",
                    "source": "SECTRACK",
                    "url": "http://www.securitytracker.com/id/1039527"
                },
                {
                    "name": "https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8718",
                    "reference_type": "VENDOR_ADVISORY",
                    "source": "CONFIRM",
                    "url": "https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8718"
                }
            ],
            "likelihood": 0.4,
            "resolved": false,
            "resolved_reason": "",
            "resolved_source": null,
            "installed_on": null,
            "appliance_id": "",
            "appliance_ip": "",
            "appliance_host": "",
            "zone": "Internal"
        }
    ],
案例墙
结果类型 值/说明 类型
输出消息*

操作不应失败,也不应停止 playbook 执行

  • 如果成功:打印“搜索已成功执行”。
  • 如果未找到任何内容:打印“搜索已成功执行,但未返回任何结果。”。

操作应失败并停止 playbook 执行

  • 如果出现致命错误(例如凭据错误、无法连接到服务器、其他错误):打印“Failed to execute Run a Query action! 错误为 {0}".format(exception.stacktrace)
 常规

表格标题:发现的漏洞

IP 地址

CVE ID

漏洞名称

漏洞说明

CVE 评分

区域

已解决

参考编号

CVE 创建时间

CVE 更新时间

 常规

连接器

Nozomi Networks Alerts 连接器

说明

用于将 Nozomi Networks 提醒提取到 Google SecOps 的连接器。

在 Google SecOps 上配置 Nozomi Networks Alerts Connector

有关如何在 Google SecOps 中配置连接器的详细说明,请参阅配置连接器

连接器参数

使用以下参数配置连接器:

参数显示名称 类型 默认值 是否为必需属性 说明
商品字段名称 字符串 产品名称 输入源字段名称,以便检索产品字段名称。
事件字段名称 字符串 操作 输入源字段名称,以便检索事件字段名称。
环境字段名称 字符串 ""

描述存储环境名称的字段的名称。

如果找不到环境字段,则环境为默认环境。
环境正则表达式模式 字符串 .*

要对“环境字段名称”字段中找到的值运行的正则表达式模式。

默认值为 .*,用于捕获所有内容并返回未更改的值。

用于允许用户通过正则表达式逻辑来操纵环境字段。

如果正则表达式模式为 null 或空,或者环境值为 null,则最终环境结果为默认环境。
脚本超时(秒) 整数 180 运行当前脚本的 Python 进程的超时时间限制。
API 网址 字符串 https://x.x.x.x:端口 要连接的 Nozomi API 网址
用户名 字符串 不适用 用于连接的 Nozomi 账号用户名
密码 密码 不适用 用于连接的 Nozomi 账号密码
验证 SSL 复选框 尚未核查 指定是否应在连接之前验证 API 网址证书。
CA 证书 字符串 不适用
要提取的最低严重程度 整数 不适用 最低严重级别提醒应可被提取,严重程度可以是 0 到 10 之间的数字。
是否仅提取“is_security”属性设置为 True 的提醒? 复选框 尚未核查 指定是否仅应提取“is_security”属性设置为 True 的提醒。
是否仅注入“is_incident”属性设置为 True 的提醒? 复选框 尚未核查 指定是否仅应提取“is_incident”属性设置为 True 的提醒。
提取回溯的小时数上限 整数 8 从 X 小时前开始提取提醒。
向后提取时间间隔(分钟) 整数 60 时间间隔连接器应使用此时间间隔从最长小时数向后提取提醒。如果 Nozomi 设备部署在大型网络中,生成的提醒数量可能会非常多。因此,此参数(以分钟为单位)可用于将最大小时数向后拆分为更小的细分,并单独处理这些细分。时间间隔不能大于向后搜索的最大小时数。
将白名单用作黑名单 复选框 尚未核查 如果启用,白名单将用作黑名单。
代理服务器地址 字符串 要使用的代理服务器的地址。
代理用户名 字符串 用于进行身份验证的代理用户名。
代理密码 密码 用于进行身份验证的代理密码。

连接器规则

代理支持

连接器支持代理。

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。