Nozomi Networks
整合版本:5.0
應用實例
- 豐富資產資訊。
- 對 Nozomi 安裝項目執行查詢。
- 在 Nozomi 安裝作業中執行 CLI 指令。
在 Google Security Operations 中設定 Nozomi Networks 整合
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
整合參數
請使用下列參數設定整合:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| API 網址 | 字串 | https://x.x.x.x:port | 是 | 要連線的 Nozomi API 網址 |
| 使用者名稱 | 字串 | 不適用 | 是 | 用於連線的 Nozomi 帳戶使用者名稱 |
| 密碼 | 密碼 | 不適用 | 是 | 用於連線的 Nozomi 帳戶密碼 |
| 驗證 SSL | 核取方塊 | 已取消勾選 | 否 | 指定是否要在連線前驗證 API 網址憑證。 |
| CA 憑證 | 字串 | 不適用 | 否 |
動作
乒乓
說明
使用 Google Security Operations Marketplace 分頁中整合設定頁面提供的參數,測試與 Nozomi Networks 執行個體的連線。
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊:
動作應會失敗並停止執行應對手冊:
|
一般 |
充實實體
說明
根據 Nozomi Networks 裝置的資訊,擴充 Google SecOps 主機或 IP 實體。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 要新增至補充資料的其他欄位 | 字串 | 不適用 | 否 | 以半形逗號分隔的欄位清單,這些欄位應額外從節點查詢中擷取,並新增至預設用於擴充的欄位。 |
執行時間
這項動作會對下列實體執行:
- IP 位址
- 主機
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 結果
{
"result": [
{
"appliance_host": "nozomi-n2os.local",
"label": "DESKTOP-8P0TH6Q.local",
"id": "172.30.202.127",
"_asset_kb_id": null,
"ip": "172.30.202.127",
"mac_address": "00:50:56:a2:51:88",
"mac_address:info": {
"source": "",
"likelihood": 0,
"likelihood_level": "unconfirmed"
},
"mac_vendor": "VMware, Inc.",
"_private_status": "no",
"subnet": "172.30.202.0/24",
"vlan_id": null,
"vlan_id:info": {
"source": "passive"
},
"zone": "Internal",
"level": "5",
"type": "computer",
"type:info": {
"source": "passive"
},
"os": "Windows 10 / Server 2016",
"vendor": null,
"vendor:info": {
"source": "passive"
},
"product_name": null,
"product_name:info": {
"source": "passive"
},
"firmware_version": null,
"firmware_version:info": {
"source": "passive"
},
"serial_number": null,
"serial_number:info": {
"source": "passive"
},
"is_broadcast": false,
"is_public": false,
"reputation": null,
"is_confirmed": true,
"is_learned": true,
"is_fully_learned": true,
"is_disabled": false,
"_is_licensed": true,
"roles": [
"other"
],
"links": [
{
"id": "224.0.0.252",
"protos": [
{
"name": "llmnr",
"last_activity": "1602495882225"
}
]
},
{
"id": "172.30.202.255",
"protos": [
{
"name": "browser",
"last_activity": "1605052230602"
},
{
"name": "netbios-ns",
"last_activity": "1604654773056"
}
]
},
{
"id": "224.0.0.251",
"protos": [
{
"name": "mdns",
"last_activity": "1602636321803"
}
]
},
{
"id": "239.255.255.250",
"protos": [
{
"name": "ssdp",
"last_activity": "1600331209918"
}
]
}
],
"links_count": "5",
"protocols": [
"browser",
"llmnr",
"mdns",
"netbios-ns",
"ssdp"
],
"created_at": "1595315728295",
"first_activity_time": "1595315728295",
"last_activity_time": "1605052230602",
"received.packets": "0",
"received.bytes": "0",
"received.last_5m_bytes": "0",
"received.last_15m_bytes": "0",
"received.last_30m_bytes": "0",
"sent.packets": "5088",
"sent.bytes": "1031179",
"sent.last_5m_bytes": "0",
"sent.last_15m_bytes": "0",
"sent.last_30m_bytes": "0",
"tcp_retransmission.percent": 0,
"tcp_retransmission.packets": "0",
"tcp_retransmission.bytes": "0",
"tcp_retransmission.last_5m_bytes": "0",
"tcp_retransmission.last_15m_bytes": "0",
"tcp_retransmission.last_30m_bytes": "0",
"variables_count": null,
"device_id": "TIP-HW-HOST-033",
"properties": {},
"custom_fields": {},
"bpf_filter": "ip host 172.30.202.127",
"device_modules": {},
"capture_device": "em1"
}
],
實體擴充
| 補充資料欄位名稱 | 邏輯 - 應用時機 |
|---|---|
| Nozomi.level | 非空值時 |
| Nozomi.appliance_host | 非空值時 |
| Nozomi.ip | 非空值時 |
| Nozomi.mac_address | 非空值時 |
| Nozomi.vlan_id | 非空值時 |
| Nozomi.os | 非空值時 |
| Nozomi.roles | 非空值時 |
| Nozomi.vendor | 非空值時 |
| Nozomi.firmware_version | 非空值時 |
| Nozomi.serial_number | 非空值時 |
| Nozomi.product_name | 非空值時 |
| Nozomi.type | 非空值時 |
| Nozomi.protocols | 非空值時 |
| Nozomi.device_id | 非空值時 |
| Nozomi.capture_device | 非空值時 |
| Nozomi.is_broadcast | 非空值時 |
| Nozomi.is_public | 非空值時 |
| Nozomi.is_confirmed | 非空值時 |
| Nozomi.is_disabled | 非空值時 |
| Nozomi.is_licensed | 非空值時 |
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊:
動作應會失敗並停止執行應對手冊:
|
一般 |
執行查詢
說明
在 Nozomi Networks 裝置上執行查詢。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 查詢 | 字串 | 不適用 | 是 | 指定要在 Nozomi Networks 裝置上執行的查詢,例如:alerts | head 10。 |
| 記錄上限 | 整數 | 10 | 否 | 可用於指定動作可傳回的記錄數。如果預設值設為 10,參數會在最終查詢中加入「| head 10」,限制傳回的記錄數量。如果未提供任何參數,系統會傳回所有查詢結果。系統會忽略負值。 |
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 結果
{
"result": [
{
"id": "0bee5f36-9b50-4037-8b02-f02f5cd637c3",
"type_id": "VI:NEW-ARP",
"name": "New ARP",
"description": "New ARP packet from node with MAC address 00:50:56:a2:e8:0b and IP address 172.30.202.8",
"severity": 10,
"mac_src": "00:50:56:a2:e8:0b",
"mac_dst": "ff:ff:ff:ff:ff:ff",
"ip_src": "172.30.202.8",
"ip_dst": null,
"risk": "6.0",
"protocol": "arp",
"src_roles": "other",
"dst_roles": "other",
"time": 1604974955058,
"ack": false,
"id_src": "00:50:56:a2:e8:0b",
"id_dst": "ff:ff:ff:ff:ff:ff",
"synchronized": false,
"appliance_id": "",
"port_src": null,
"port_dst": null,
"label_src": null,
"label_dst": null,
"trigger_id": null,
"trigger_type": null,
"appliance_host": "nozomi-n2os.local",
"appliance_ip": "172.30.202.226",
"transport_protocol": "ethernet",
"is_security": true,
"note": null,
"appliance_site": null,
"parents": [
"9827b15f-bbdf-483a-b074-8991793f80f3",
"e76a4060-50f1-47cd-98c4-fb25bfb16433"
],
"is_incident": false,
"properties": {
"base_risk": 4,
"from_id": "00:50:56:a2:e8:0b",
"is_dst_node_learned": true,
"is_dst_reputation_bad": false,
"is_src_node_learned": false,
"is_src_reputation_bad": false,
"to_id": "ff:ff:ff:ff:ff:ff"
},
"created_time": 1604974955058,
"incident_keys": [],
"bpf_filter": "ether host 00:50:56:a2:e8:0b and ether host ff:ff:ff:ff:ff:ff and ether proto 0x0806",
"closed_time": 0,
"status": "open",
"session_id": "154400:50:56:a2:e8:0bff:ff:ff:ff:ff:ff0000175aff64a32",
"replicated": false,
"capture_device": "em1",
"threat_name": "",
"type_name": "New ARP",
"sec_profile_visible": true,
"zone_src": "Layer2",
"zone_dst": "Layer2"
},
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊:
動作應失敗並停止執行應對手冊:
|
一般 |
| 資料表 | 表格標題:查詢結果 資料欄:根據查詢結果動態產生資料欄 |
一般 |
執行 CLI 指令
說明
在 Nozomi Networks 裝置上執行 CLI 指令。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| CLI 指令 | 字串 | 不適用 | 是 | 指定要在 Nozomi Networks 裝置上執行的 CLI 指令。注意:Nozomi API 不會驗證執行的 CLI 指令,使用者必須確保提供的 CLI 指令正確無誤。 |
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊:
動作應失敗並停止執行應對手冊:
|
一般 |
列出安全漏洞
說明
根據提供的動作輸入參數,列出 Nozomi 裝置發現的安全性弱點。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| IP 位址 | 字串 | 不適用 | 否 | 列出所提供 IP 位址的安全漏洞。參數接受以半形逗號分隔的多個值。 |
| CVE 分數 | 整數 | 不適用 | 否 | 必須列出最低 CVE 分數的安全漏洞,分數可以是 0 到 10 之間的數字。 |
| 安全漏洞名稱包含 | 字串 | 不適用 | 否 | 指定安全漏洞名稱應包含的字串,以便列出安全漏洞。 |
| CVE ID | 字串 | 不適用 | 否 | 如果您知道要尋找的特定 CVE,請在這個欄位中提供相關 ID,例如 CVE-2020-1207。參數接受以半形逗號分隔的多個值。 |
| 記錄上限 | 整數 | 25 | 是 | 可用於指定動作可傳回的記錄數。 |
| 是否要納入標示為已解決的安全漏洞? | 核取方塊 | 已取消勾選 | 否 | 指定動作是否也應傳回標示為已解決的安全漏洞。 |
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 結果
{
"result": [
{
"id": "cb9054a6-11a6-47ff-9c08-8033e42f9e63",
"node_id": "172.30.202.71",
"cve": "CVE-2017-8718",
"cve_summary": "The Microsoft JET Database Engine in Windows Server 2008 SP2 and R2 SP1, Windows 7 SP1, Windows 8.1 and RT 8.1, Windows Server 2012 and R2, Windows 10 Gold, 1511, 1607, 1703, and Windows Server 2016 allows an attacker to take control of an affected system, due to how it handles objects in memory, aka \"Microsoft JET Database Engine Remote Code Execution Vulnerability\". This CVE ID is unique from CVE-2017-8717.",
"cve_score": 9.3,
"cve_creation_time": 1507886940000,
"cve_update_time": 1508488860000,
"time": 1598516419115,
"cwe_id": "119",
"cwe_name": "Improper Restriction of Operations within the Bounds of a Memory Buffer",
"matching_cpes": [
"cpe:/o:microsoft:windows_server_2016:-:-:-"
],
"cve_references": [
{
"name": "101162",
"reference_type": "VENDOR_ADVISORY",
"source": "BID",
"url": "http://www.securityfocus.com/bid/101162"
},
{
"name": "1039527",
"reference_type": "VENDOR_ADVISORY",
"source": "SECTRACK",
"url": "http://www.securitytracker.com/id/1039527"
},
{
"name": "https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8718",
"reference_type": "VENDOR_ADVISORY",
"source": "CONFIRM",
"url": "https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8718"
}
],
"likelihood": 0.4,
"resolved": false,
"resolved_reason": "",
"resolved_source": null,
"installed_on": null,
"appliance_id": "",
"appliance_ip": "",
"appliance_host": "",
"zone": "Internal"
}
],
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊:
動作應失敗並停止執行應對手冊:
|
一般 |
| 資料表 | 表格標題:偵測到的安全漏洞 欄: IP 位址 CVE ID 安全漏洞名稱 安全漏洞說明 CVE 分數 區域 已解決 參考資料 CVE 建立時間 CVE 更新時間 |
一般 |
連接器
Nozomi Networks 警示連接器
說明
這個連結器可將 Nozomi Networks 快訊擷取至 Google SecOps。
在 Google SecOps 上設定 Nozomi Networks Alerts Connector
如需在 Google SecOps 中設定連接器的詳細操作說明,請參閱設定連接器。
連接器參數
請使用下列參數設定連接器:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 產品欄位名稱 | 字串 | 產品名稱 | 是 | 輸入來源欄位名稱,即可擷取產品欄位名稱。 |
| 事件欄位名稱 | 字串 | 作業 | 是 | 輸入來源欄位名稱,即可擷取事件欄位名稱。 |
| 環境欄位名稱 | 字串 | "" | 否 | 說明儲存環境名稱的欄位名稱。 如果找不到環境欄位,環境就是預設環境。 |
| 環境規則運算式模式 | 字串 | .* | 否 | 要對「環境欄位名稱」欄位中的值執行的 regex 模式。 預設值為 .*,可擷取所有內容並傳回未變更的值。 用於允許使用者透過規則運算式邏輯操控環境欄位。 如果 regex 模式為空值或空白,或環境值為空值,最終環境結果就是預設環境。 |
| 指令碼逾時 (秒) | 整數 | 180 | 是 | 執行目前指令碼的 Python 程序逾時限制。 |
| API 網址 | 字串 | https://x.x.x.x:port | 是 | 要連線的 Nozomi API 網址 |
| 使用者名稱 | 字串 | 不適用 | 是 | 用於連線的 Nozomi 帳戶使用者名稱 |
| 密碼 | 密碼 | 不適用 | 是 | 用於連線的 Nozomi 帳戶密碼 |
| 驗證 SSL | 核取方塊 | 已取消勾選 | 否 | 指定是否要在連線前驗證 API 網址憑證。 |
| CA 憑證 | 字串 | 不適用 | 否 | |
| 要擷取的最低嚴重程度 | 整數 | 不適用 | 否 | 系統應擷取最低嚴重性快訊,嚴重性可以是 0 到 10 之間的數字。 |
| 只擷取「is_security」屬性設為 True 的快訊? | 核取方塊 | 已取消勾選 | 否 | 指定是否只應擷取「is_security」屬性設為 True 的快訊。 |
| 只擷取「is_incident」屬性設為 True 的快訊? | 核取方塊 | 已取消勾選 | 否 | 指定是否只應擷取「is_incident」屬性設為 True 的快訊。 |
| Fetch Max Hours Backwards | 整數 | 8 | 是 | 擷取 X 小時前的快訊。 |
| 擷取回溯時間間隔 (分鐘) | 整數 | 60 | 是 | 連接器應使用此時間間隔,從最多幾小時前擷取快訊。如果 Nozomi 裝置部署在大型網路中,產生的快訊數量可能相當龐大。因此,這個以分鐘為單位的參數可用於將最大時數向後分割成較小的區段,並個別處理。時間間隔不得大於最大回溯時數值。 |
| 將許可清單當做封鎖清單使用 | 核取方塊 | 已取消勾選 | 是 | 啟用後,系統會將允許清單視為封鎖清單。 |
| Proxy 伺服器位址 | 字串 | 否 | 要使用的 Proxy 伺服器位址。 | |
| Proxy 使用者名稱 | 字串 | 否 | 用於驗證的 Proxy 使用者名稱。 | |
| Proxy 密碼 | 密碼 | 否 | 用於驗證的 Proxy 密碼。 |
連接器規則
Proxy 支援
連接器支援 Proxy。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。