Nozomi Networks
Versión de integración: 5.0
Casos prácticos
- Enriquecer la información sobre los recursos.
- Realizar consultas en la instalación de Nozomi.
- Ejecuta comandos de la CLI en la instalación de Nozomi.
Configurar la integración de Nozomi Networks en Google Security Operations
Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| URL de API | Cadena | https://x.x.x.x:puerto | Sí | URL de la API de Nozomi a la que conectarse |
| Nombre de usuario | Cadena | N/A | Sí | Nombre de usuario de la cuenta de Nozomi que se usará para la conexión. |
| Contraseña | Contraseña | N/A | Sí | Contraseña de la cuenta de Nozomi que se usará para la conexión. |
| Verificar SSL | Casilla | Desmarcada | No | Especifica si el certificado de la URL de la API se debe validar antes de la conexión. |
| Certificado de autenticación | Cadena | N/A | No |
Acciones
Ping
Descripción
Prueba la conectividad a la instancia de Nozomi Networks con los parámetros proporcionados en la página de configuración de la integración de la pestaña Google Security Operations Marketplace.
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía:
La acción debería fallar y detener la ejecución de la guía:
|
General |
Enriquecer entidades
Descripción
Enriquece las entidades de host o IP de Google SecOps en función de la información del dispositivo Nozomi Networks.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Campos adicionales que se van a añadir al enriquecimiento | Cadena | N/A | No | Lista separada por comas de los campos que se deben obtener adicionalmente de la consulta de nodos para añadirlos a los campos que se usan de forma predeterminada para el enriquecimiento. |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Host
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado de JSON
{
"result": [
{
"appliance_host": "nozomi-n2os.local",
"label": "DESKTOP-8P0TH6Q.local",
"id": "172.30.202.127",
"_asset_kb_id": null,
"ip": "172.30.202.127",
"mac_address": "00:50:56:a2:51:88",
"mac_address:info": {
"source": "",
"likelihood": 0,
"likelihood_level": "unconfirmed"
},
"mac_vendor": "VMware, Inc.",
"_private_status": "no",
"subnet": "172.30.202.0/24",
"vlan_id": null,
"vlan_id:info": {
"source": "passive"
},
"zone": "Internal",
"level": "5",
"type": "computer",
"type:info": {
"source": "passive"
},
"os": "Windows 10 / Server 2016",
"vendor": null,
"vendor:info": {
"source": "passive"
},
"product_name": null,
"product_name:info": {
"source": "passive"
},
"firmware_version": null,
"firmware_version:info": {
"source": "passive"
},
"serial_number": null,
"serial_number:info": {
"source": "passive"
},
"is_broadcast": false,
"is_public": false,
"reputation": null,
"is_confirmed": true,
"is_learned": true,
"is_fully_learned": true,
"is_disabled": false,
"_is_licensed": true,
"roles": [
"other"
],
"links": [
{
"id": "224.0.0.252",
"protos": [
{
"name": "llmnr",
"last_activity": "1602495882225"
}
]
},
{
"id": "172.30.202.255",
"protos": [
{
"name": "browser",
"last_activity": "1605052230602"
},
{
"name": "netbios-ns",
"last_activity": "1604654773056"
}
]
},
{
"id": "224.0.0.251",
"protos": [
{
"name": "mdns",
"last_activity": "1602636321803"
}
]
},
{
"id": "239.255.255.250",
"protos": [
{
"name": "ssdp",
"last_activity": "1600331209918"
}
]
}
],
"links_count": "5",
"protocols": [
"browser",
"llmnr",
"mdns",
"netbios-ns",
"ssdp"
],
"created_at": "1595315728295",
"first_activity_time": "1595315728295",
"last_activity_time": "1605052230602",
"received.packets": "0",
"received.bytes": "0",
"received.last_5m_bytes": "0",
"received.last_15m_bytes": "0",
"received.last_30m_bytes": "0",
"sent.packets": "5088",
"sent.bytes": "1031179",
"sent.last_5m_bytes": "0",
"sent.last_15m_bytes": "0",
"sent.last_30m_bytes": "0",
"tcp_retransmission.percent": 0,
"tcp_retransmission.packets": "0",
"tcp_retransmission.bytes": "0",
"tcp_retransmission.last_5m_bytes": "0",
"tcp_retransmission.last_15m_bytes": "0",
"tcp_retransmission.last_30m_bytes": "0",
"variables_count": null,
"device_id": "TIP-HW-HOST-033",
"properties": {},
"custom_fields": {},
"bpf_filter": "ip host 172.30.202.127",
"device_modules": {},
"capture_device": "em1"
}
],
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: cuándo aplicar |
|---|---|
| Nozomi.level | Cuando no es nulo |
| Nozomi.appliance_host | Cuando no es nulo |
| Nozomi.ip | Cuando no es nulo |
| Nozomi.mac_address | Cuando no es nulo |
| Nozomi.vlan_id | Cuando no es nulo |
| Nozomi.os | Cuando no es nulo |
| Nozomi.roles | Cuando no es nulo |
| Nozomi.vendor | Cuando no es nulo |
| Nozomi.firmware_version | Cuando no es nulo |
| Nozomi.serial_number | Cuando no es nulo |
| Nozomi.product_name | Cuando no es nulo |
| Nozomi.type | Cuando no es nulo |
| Nozomi.protocols | Cuando no es nulo |
| Nozomi.device_id | Cuando no es nulo |
| Nozomi.capture_device | Cuando no es nulo |
| Nozomi.is_broadcast | Cuando no es nulo |
| Nozomi.is_public | Cuando no es nulo |
| Nozomi.is_confirmed | Cuando no es nulo |
| Nozomi.is_disabled | Cuando no es nulo |
| Nozomi.is_licensed | Cuando no es nulo |
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía:
La acción debería fallar y detener la ejecución de la guía:
|
General |
Cómo ejecutar una consulta
Descripción
Ejecuta una consulta en un dispositivo de Nozomi Networks.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Consulta | Cadena | N/A | Sí | Especifica una consulta para ejecutarla en el dispositivo Nozomi Networks. Por ejemplo: alerts | head 10. |
| Límite de registros | Entero | 10 | No | Se puede usar para especificar cuántos registros puede devolver la acción. Si se define el valor predeterminado 10, el parámetro añade "| head 10" a la consulta final para limitar el número de registros devueltos. Si no se proporciona ningún valor para el parámetro, se devuelven todos los resultados de la consulta. Se ignoran los valores negativos. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado de JSON
{
"result": [
{
"id": "0bee5f36-9b50-4037-8b02-f02f5cd637c3",
"type_id": "VI:NEW-ARP",
"name": "New ARP",
"description": "New ARP packet from node with MAC address 00:50:56:a2:e8:0b and IP address 172.30.202.8",
"severity": 10,
"mac_src": "00:50:56:a2:e8:0b",
"mac_dst": "ff:ff:ff:ff:ff:ff",
"ip_src": "172.30.202.8",
"ip_dst": null,
"risk": "6.0",
"protocol": "arp",
"src_roles": "other",
"dst_roles": "other",
"time": 1604974955058,
"ack": false,
"id_src": "00:50:56:a2:e8:0b",
"id_dst": "ff:ff:ff:ff:ff:ff",
"synchronized": false,
"appliance_id": "",
"port_src": null,
"port_dst": null,
"label_src": null,
"label_dst": null,
"trigger_id": null,
"trigger_type": null,
"appliance_host": "nozomi-n2os.local",
"appliance_ip": "172.30.202.226",
"transport_protocol": "ethernet",
"is_security": true,
"note": null,
"appliance_site": null,
"parents": [
"9827b15f-bbdf-483a-b074-8991793f80f3",
"e76a4060-50f1-47cd-98c4-fb25bfb16433"
],
"is_incident": false,
"properties": {
"base_risk": 4,
"from_id": "00:50:56:a2:e8:0b",
"is_dst_node_learned": true,
"is_dst_reputation_bad": false,
"is_src_node_learned": false,
"is_src_reputation_bad": false,
"to_id": "ff:ff:ff:ff:ff:ff"
},
"created_time": 1604974955058,
"incident_keys": [],
"bpf_filter": "ether host 00:50:56:a2:e8:0b and ether host ff:ff:ff:ff:ff:ff and ether proto 0x0806",
"closed_time": 0,
"status": "open",
"session_id": "154400:50:56:a2:e8:0bff:ff:ff:ff:ff:ff0000175aff64a32",
"replicated": false,
"capture_device": "em1",
"threat_name": "",
"type_name": "New ARP",
"sec_profile_visible": true,
"zone_src": "Layer2",
"zone_dst": "Layer2"
},
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de la guía:
La acción debería fallar y detener la ejecución de la guía:
|
General |
| Tabla | Título de la tabla: Resultados de la consulta Columnas: genera columnas de forma dinámica en función del resultado de la consulta. |
General |
Ejecutar un comando de la CLI
Descripción
Ejecuta un comando de CLI en un dispositivo Nozomi Networks.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Comando de la CLI | Cadena | N/A | Sí | Especifica un comando de CLI que se ejecutará en el dispositivo Nozomi Networks. Nota: La API Nozomi no valida los comandos de CLI ejecutados. Es responsabilidad del usuario asegurarse de que el comando de CLI proporcionado sea correcto. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de la guía:
La acción debería fallar y detener la ejecución de la guía:
|
General |
List Vulnerabilities
Descripción
Lista las vulnerabilidades descubiertas por el dispositivo Nozomi en función de los parámetros de entrada de acción proporcionados.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Dirección IP | Cadena | N/A | No | Lista las vulnerabilidades de la dirección IP proporcionada. El parámetro acepta varios valores como una cadena separada por comas. |
| Puntuación de CVE | Entero | N/A | No | Se debe indicar la vulnerabilidad con la puntuación CVE mínima. La puntuación puede ser un número del 0 al 10. |
| El nombre de la vulnerabilidad contiene | Cadena | N/A | No | Especifica una cadena que debe contener el nombre de la vulnerabilidad para que se muestre. |
| ID de CVE | Cadena | N/A | No | Si conoces un CVE específico que quieres buscar, indica el ID correspondiente en este campo (por ejemplo, CVE-2020-1207). El parámetro acepta varios valores como una cadena separada por comas. |
| Límite de registros | Entero | 25 | Sí | Se puede usar para especificar cuántos registros puede devolver la acción. |
| ¿Incluir vulnerabilidades marcadas como resueltas? | Casilla | Desmarcada | No | Especifica si la acción también debe devolver las vulnerabilidades que estén marcadas como resueltas. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado de JSON
{
"result": [
{
"id": "cb9054a6-11a6-47ff-9c08-8033e42f9e63",
"node_id": "172.30.202.71",
"cve": "CVE-2017-8718",
"cve_summary": "The Microsoft JET Database Engine in Windows Server 2008 SP2 and R2 SP1, Windows 7 SP1, Windows 8.1 and RT 8.1, Windows Server 2012 and R2, Windows 10 Gold, 1511, 1607, 1703, and Windows Server 2016 allows an attacker to take control of an affected system, due to how it handles objects in memory, aka \"Microsoft JET Database Engine Remote Code Execution Vulnerability\". This CVE ID is unique from CVE-2017-8717.",
"cve_score": 9.3,
"cve_creation_time": 1507886940000,
"cve_update_time": 1508488860000,
"time": 1598516419115,
"cwe_id": "119",
"cwe_name": "Improper Restriction of Operations within the Bounds of a Memory Buffer",
"matching_cpes": [
"cpe:/o:microsoft:windows_server_2016:-:-:-"
],
"cve_references": [
{
"name": "101162",
"reference_type": "VENDOR_ADVISORY",
"source": "BID",
"url": "http://www.securityfocus.com/bid/101162"
},
{
"name": "1039527",
"reference_type": "VENDOR_ADVISORY",
"source": "SECTRACK",
"url": "http://www.securitytracker.com/id/1039527"
},
{
"name": "https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8718",
"reference_type": "VENDOR_ADVISORY",
"source": "CONFIRM",
"url": "https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8718"
}
],
"likelihood": 0.4,
"resolved": false,
"resolved_reason": "",
"resolved_source": null,
"installed_on": null,
"appliance_id": "",
"appliance_ip": "",
"appliance_host": "",
"zone": "Internal"
}
],
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de la guía:
La acción debería fallar y detener la ejecución de la guía:
|
General |
| Tabla | Título de la tabla: Vulnerabilidades detectadas Columnas: Dirección IP ID de CVE Nombre de la vulnerabilidad Descripción de la vulnerabilidad Puntuación de CVE Zona Is Resolved Referencias Hora de creación de CVE Hora de actualización de CVE |
General |
Conector
Conector de alertas de Nozomi Networks
Descripción
Conector para obtener alertas de Nozomi Networks en Google SecOps.
Configurar el conector de alertas de Nozomi Networks en Google SecOps
Para obtener instrucciones detalladas sobre cómo configurar un conector en Google SecOps, consulta el artículo Configurar el conector.
Parámetros del conector
Utiliza los siguientes parámetros para configurar el conector:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre del campo de producto | Cadena | Nombre del producto | Sí | Introduce el nombre del campo de origen para obtener el nombre del campo de producto. |
| Nombre del campo de evento | Cadena | Operación | Sí | Introduzca el nombre del campo de origen para obtener el nombre del campo de evento. |
| Nombre del campo de entorno | Cadena | "" | No | Describe el nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo de entorno, se utiliza el entorno predeterminado. |
| Patrón de regex de entorno | Cadena | .* | No | Una expresión regular que se aplicará al valor encontrado en el campo "Nombre del campo de entorno". El valor predeterminado es .* para captar todos los valores y devolverlos sin cambios. Se usa para permitir que el usuario manipule el campo del entorno mediante la lógica de expresiones regulares. Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno será el entorno predeterminado. |
| Tiempo de espera de secuencia de comandos (segundos) | Entero | 180 | Sí | Límite de tiempo de espera del proceso de Python que ejecuta la secuencia de comandos actual. |
| URL de API | Cadena | https://x.x.x.x:puerto | Sí | URL de la API de Nozomi a la que conectarse |
| Nombre de usuario | Cadena | N/A | Sí | Nombre de usuario de la cuenta de Nozomi que se usará para la conexión. |
| Contraseña | Contraseña | N/A | Sí | Contraseña de la cuenta de Nozomi que se usará para la conexión. |
| Verificar SSL | Casilla | Desmarcada | No | Especifica si el certificado de la URL de la API se debe validar antes de la conexión. |
| Certificado de autenticación | Cadena | N/A | No | |
| Gravedad mínima que se va a obtener | entero | N/A | No | La alerta de gravedad mínima se debe ingerir. La gravedad puede ser un número del 0 al 10. |
| ¿Ingerir solo las alertas que tienen el atributo "is_security" definido como True? | Casilla | Desmarcada | No | Especifica si solo se deben insertar las alertas cuyo atributo "is_security" tenga el valor True. |
| ¿Ingerir solo las alertas que tienen el atributo "is_incident" definido como True? | Casilla | Desmarcada | No | Especifica si solo se deben ingerir las alertas cuyo atributo "is_incident" tenga el valor True. |
| Fetch Max Hours Backwards | Entero | 8 | Sí | Obtener alertas de las últimas X horas. |
| Intervalo de tiempo hacia atrás (minutos) | Entero | 60 | Sí | Conector de intervalo de tiempo que se debe usar para obtener alertas de un máximo de horas hacia atrás. Si Nozomi Device se implementa en una red grande, el número de alertas generadas puede ser considerable. Por este motivo, este parámetro en minutos se puede usar para dividir las horas máximas hacia atrás en segmentos más pequeños y procesarlos individualmente. El intervalo de tiempo no puede ser superior al valor máximo de horas hacia atrás. |
| Usar la lista blanca como lista negra | Casilla | Desmarcada | Sí | Si está habilitada, la lista de permitidos se usará como lista de denegados. |
| Dirección del servidor proxy | Cadena | No | Dirección del servidor proxy que se va a usar. | |
| Nombre de usuario del proxy | Cadena | No | Nombre de usuario del proxy para autenticarse. | |
| Contraseña del proxy | Contraseña | No | La contraseña del proxy para autenticarte. |
Reglas de conectores
Compatibilidad con proxy
El conector admite proxies.
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.