Nozomi Networks
Versione integrazione: 5.0
Casi d'uso
- Arricchisci le informazioni sugli asset.
- Esegui query sull'installazione di Nozomi.
- Esegui i comandi CLI sull'installazione di Nozomi.
Configurare l'integrazione di Nozomi Networks in Google Security Operations
Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.
Parametri di integrazione
Utilizza i seguenti parametri per configurare l'integrazione:
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| URL API | Stringa | https://x.x.x.x:port | Sì | URL dell'API Nozomi a cui connettersi |
| Nome utente | Stringa | N/D | Sì | Nome utente dell'account Nozomi da utilizzare per la connessione |
| Password | Password | N/D | Sì | Password dell'account Nozomi da utilizzare per la connessione |
| Verifica SSL | Casella di controllo | Deselezionata | No | Specifica se il certificato dell'URL dell'API deve essere convalidato prima della connessione. |
| Certificato CA | Stringa | N/D | No |
Azioni
Dindin
Descrizione
Testa la connettività all'istanza di Nozomi Networks con i parametri forniti nella pagina di configurazione dell'integrazione nella scheda Google Security Operations Marketplace.
Run On
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook:
L'azione deve non riuscire e interrompere l'esecuzione di un playbook:
|
Generale |
Arricchisci entità
Descrizione
Arricchisci le entità host o IP di Google SecOps in base alle informazioni del dispositivo Nozomi Networks.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Campi aggiuntivi da aggiungere all'arricchimento | Stringa | N/D | No | Elenco separato da virgole dei campi da estrarre in aggiunta dalla query Nodi per aggiungerli ai campi utilizzati per l'arricchimento per impostazione predefinita. |
Run On
Questa azione viene eseguita sulle seguenti entità:
- Indirizzo IP
- Host
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Risultato JSON
{
"result": [
{
"appliance_host": "nozomi-n2os.local",
"label": "DESKTOP-8P0TH6Q.local",
"id": "172.30.202.127",
"_asset_kb_id": null,
"ip": "172.30.202.127",
"mac_address": "00:50:56:a2:51:88",
"mac_address:info": {
"source": "",
"likelihood": 0,
"likelihood_level": "unconfirmed"
},
"mac_vendor": "VMware, Inc.",
"_private_status": "no",
"subnet": "172.30.202.0/24",
"vlan_id": null,
"vlan_id:info": {
"source": "passive"
},
"zone": "Internal",
"level": "5",
"type": "computer",
"type:info": {
"source": "passive"
},
"os": "Windows 10 / Server 2016",
"vendor": null,
"vendor:info": {
"source": "passive"
},
"product_name": null,
"product_name:info": {
"source": "passive"
},
"firmware_version": null,
"firmware_version:info": {
"source": "passive"
},
"serial_number": null,
"serial_number:info": {
"source": "passive"
},
"is_broadcast": false,
"is_public": false,
"reputation": null,
"is_confirmed": true,
"is_learned": true,
"is_fully_learned": true,
"is_disabled": false,
"_is_licensed": true,
"roles": [
"other"
],
"links": [
{
"id": "224.0.0.252",
"protos": [
{
"name": "llmnr",
"last_activity": "1602495882225"
}
]
},
{
"id": "172.30.202.255",
"protos": [
{
"name": "browser",
"last_activity": "1605052230602"
},
{
"name": "netbios-ns",
"last_activity": "1604654773056"
}
]
},
{
"id": "224.0.0.251",
"protos": [
{
"name": "mdns",
"last_activity": "1602636321803"
}
]
},
{
"id": "239.255.255.250",
"protos": [
{
"name": "ssdp",
"last_activity": "1600331209918"
}
]
}
],
"links_count": "5",
"protocols": [
"browser",
"llmnr",
"mdns",
"netbios-ns",
"ssdp"
],
"created_at": "1595315728295",
"first_activity_time": "1595315728295",
"last_activity_time": "1605052230602",
"received.packets": "0",
"received.bytes": "0",
"received.last_5m_bytes": "0",
"received.last_15m_bytes": "0",
"received.last_30m_bytes": "0",
"sent.packets": "5088",
"sent.bytes": "1031179",
"sent.last_5m_bytes": "0",
"sent.last_15m_bytes": "0",
"sent.last_30m_bytes": "0",
"tcp_retransmission.percent": 0,
"tcp_retransmission.packets": "0",
"tcp_retransmission.bytes": "0",
"tcp_retransmission.last_5m_bytes": "0",
"tcp_retransmission.last_15m_bytes": "0",
"tcp_retransmission.last_30m_bytes": "0",
"variables_count": null,
"device_id": "TIP-HW-HOST-033",
"properties": {},
"custom_fields": {},
"bpf_filter": "ip host 172.30.202.127",
"device_modules": {},
"capture_device": "em1"
}
],
Arricchimento delle entità
| Nome campo di arricchimento | Logica - Quando applicarla |
|---|---|
| Nozomi.level | Quando non è null |
| Nozomi.appliance_host | Quando non è null |
| Nozomi.ip | Quando non è null |
| Nozomi.mac_address | Quando non è null |
| Nozomi.vlan_id | Quando non è null |
| Nozomi.os | Quando non è null |
| Nozomi.roles | Quando non è null |
| Nozomi.vendor | Quando non è null |
| Nozomi.firmware_version | Quando non è null |
| Nozomi.serial_number | Quando non è null |
| Nozomi.product_name | Quando non è null |
| Nozomi.type | Quando non è null |
| Nozomi.protocols | Quando non è null |
| Nozomi.device_id | Quando non è null |
| Nozomi.capture_device | Quando non è null |
| Nozomi.is_broadcast | Quando non è null |
| Nozomi.is_public | Quando non è null |
| Nozomi.is_confirmed | Quando non è null |
| Nozomi.is_disabled | Quando non è null |
| Nozomi.is_licensed | Quando non è null |
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook:
L'azione deve non riuscire e interrompere l'esecuzione di un playbook:
|
Generale |
Esegui una query
Descrizione
Esegui una query sul dispositivo Nozomi Networks.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Query | Stringa | N/D | Sì | Specifica una query da eseguire sul dispositivo Nozomi Networks, ad esempio: alerts | head 10. |
| Limite di record | Numero intero | 10 | No | Può essere utilizzato per specificare quanti record possono essere restituiti dall'azione. Se è impostato il valore predefinito 10, il parametro aggiunge "| head 10" alla query finale per limitare il numero di record restituiti. Se non viene fornito nulla per il parametro, vengono restituiti tutti i risultati della query. I valori negativi vengono ignorati. |
Run On
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Risultato JSON
{
"result": [
{
"id": "0bee5f36-9b50-4037-8b02-f02f5cd637c3",
"type_id": "VI:NEW-ARP",
"name": "New ARP",
"description": "New ARP packet from node with MAC address 00:50:56:a2:e8:0b and IP address 172.30.202.8",
"severity": 10,
"mac_src": "00:50:56:a2:e8:0b",
"mac_dst": "ff:ff:ff:ff:ff:ff",
"ip_src": "172.30.202.8",
"ip_dst": null,
"risk": "6.0",
"protocol": "arp",
"src_roles": "other",
"dst_roles": "other",
"time": 1604974955058,
"ack": false,
"id_src": "00:50:56:a2:e8:0b",
"id_dst": "ff:ff:ff:ff:ff:ff",
"synchronized": false,
"appliance_id": "",
"port_src": null,
"port_dst": null,
"label_src": null,
"label_dst": null,
"trigger_id": null,
"trigger_type": null,
"appliance_host": "nozomi-n2os.local",
"appliance_ip": "172.30.202.226",
"transport_protocol": "ethernet",
"is_security": true,
"note": null,
"appliance_site": null,
"parents": [
"9827b15f-bbdf-483a-b074-8991793f80f3",
"e76a4060-50f1-47cd-98c4-fb25bfb16433"
],
"is_incident": false,
"properties": {
"base_risk": 4,
"from_id": "00:50:56:a2:e8:0b",
"is_dst_node_learned": true,
"is_dst_reputation_bad": false,
"is_src_node_learned": false,
"is_src_reputation_bad": false,
"to_id": "ff:ff:ff:ff:ff:ff"
},
"created_time": 1604974955058,
"incident_keys": [],
"bpf_filter": "ether host 00:50:56:a2:e8:0b and ether host ff:ff:ff:ff:ff:ff and ether proto 0x0806",
"closed_time": 0,
"status": "open",
"session_id": "154400:50:56:a2:e8:0bff:ff:ff:ff:ff:ff0000175aff64a32",
"replicated": false,
"capture_device": "em1",
"threat_name": "",
"type_name": "New ARP",
"sec_profile_visible": true,
"zone_src": "Layer2",
"zone_dst": "Layer2"
},
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire e non deve interrompere l'esecuzione del playbook:
L'azione deve non riuscire e interrompere l'esecuzione del playbook:
|
Generale |
| Tabella | Titolo della tabella: Risultati della query Colonne:genera dinamicamente le colonne in base al risultato della query |
Generale |
Esegui un comando CLI
Descrizione
Esegui un comando CLI sul dispositivo Nozomi Networks.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Comando CLI | Stringa | N/D | Sì | Specifica un comando CLI da eseguire sul dispositivo Nozomi Networks. Nota: l'API Nozomi non fornisce una convalida per i comandi CLI eseguiti. Spetta all'utente assicurarsi che il comando CLI fornito sia corretto. |
Run On
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire e non deve interrompere l'esecuzione del playbook:
L'azione deve non riuscire e interrompere l'esecuzione del playbook:
|
Generale |
Elenco vulnerabilità
Descrizione
Elenca le vulnerabilità rilevate dal dispositivo Nozomi in base ai parametri di input dell'azione forniti.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Indirizzo IP | Stringa | N/D | No | Elenca le vulnerabilità per l'indirizzo IP fornito. Il parametro accetta più valori come stringa separata da virgole. |
| Punteggio CVE | Numero intero | N/D | No | Deve essere elencata la vulnerabilità con il punteggio CVE minimo, che può essere un numero compreso tra 0 e 10. |
| Il nome della vulnerabilità contiene | Stringa | N/D | No | Specifica una stringa che il nome della vulnerabilità deve contenere per essere elencata. |
| ID CVE | Stringa | N/D | No | Se conosci un CVE specifico da cercare, fornisci l'ID correlato in questo campo, ad esempio CVE-2020-1207. Il parametro accetta più valori come stringa separata da virgole. |
| Limite di record | Numero intero | 25 | Sì | Può essere utilizzato per specificare quanti record possono essere restituiti dall'azione. |
| Includere le vulnerabilità contrassegnate come risolte? | Casella di controllo | Deselezionata | No | Specifica se l'azione deve restituire anche le vulnerabilità contrassegnate come risolte. |
Run On
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Risultato JSON
{
"result": [
{
"id": "cb9054a6-11a6-47ff-9c08-8033e42f9e63",
"node_id": "172.30.202.71",
"cve": "CVE-2017-8718",
"cve_summary": "The Microsoft JET Database Engine in Windows Server 2008 SP2 and R2 SP1, Windows 7 SP1, Windows 8.1 and RT 8.1, Windows Server 2012 and R2, Windows 10 Gold, 1511, 1607, 1703, and Windows Server 2016 allows an attacker to take control of an affected system, due to how it handles objects in memory, aka \"Microsoft JET Database Engine Remote Code Execution Vulnerability\". This CVE ID is unique from CVE-2017-8717.",
"cve_score": 9.3,
"cve_creation_time": 1507886940000,
"cve_update_time": 1508488860000,
"time": 1598516419115,
"cwe_id": "119",
"cwe_name": "Improper Restriction of Operations within the Bounds of a Memory Buffer",
"matching_cpes": [
"cpe:/o:microsoft:windows_server_2016:-:-:-"
],
"cve_references": [
{
"name": "101162",
"reference_type": "VENDOR_ADVISORY",
"source": "BID",
"url": "http://www.securityfocus.com/bid/101162"
},
{
"name": "1039527",
"reference_type": "VENDOR_ADVISORY",
"source": "SECTRACK",
"url": "http://www.securitytracker.com/id/1039527"
},
{
"name": "https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8718",
"reference_type": "VENDOR_ADVISORY",
"source": "CONFIRM",
"url": "https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8718"
}
],
"likelihood": 0.4,
"resolved": false,
"resolved_reason": "",
"resolved_source": null,
"installed_on": null,
"appliance_id": "",
"appliance_ip": "",
"appliance_host": "",
"zone": "Internal"
}
],
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire e non deve interrompere l'esecuzione del playbook:
L'azione deve non riuscire e interrompere l'esecuzione del playbook:
|
Generale |
| Tabella | Titolo tabella: Vulnerabilità trovate Colonne: Indirizzo IP ID CVE Nome della vulnerabilità Descrizione della vulnerabilità Punteggio CVE Zona È risolto Riferimenti Data e ora di creazione della CVE Ora aggiornamento CVE |
Generale |
Connettore
Connettore di avvisi Nozomi Networks
Descrizione
Connettore per recuperare gli avvisi di Nozomi Networks in Google SecOps.
Configura il connettore di avvisi Nozomi Networks su Google SecOps
Per istruzioni dettagliate su come configurare un connettore in Google SecOps, vedi Configurazione del connettore.
Parametri del connettore
Utilizza i seguenti parametri per configurare il connettore:
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome campo prodotto | Stringa | Nome prodotto | Sì | Inserisci il nome del campo di origine per recuperare il nome del campo prodotto. |
| Nome campo evento | Stringa | Operazione | Sì | Inserisci il nome del campo di origine per recuperare il nome del campo evento. |
| Nome campo ambiente | Stringa | "" | No | Descrive il nome del campo in cui è memorizzato il nome dell'ambiente. Se il campo dell'ambiente non viene trovato, l'ambiente è quello predefinito. |
| Pattern regex ambiente | Stringa | .* | No | Un pattern regex da eseguire sul valore trovato nel campo "Nome campo ambiente". Il valore predefinito è .* per acquisire tutto e restituire il valore invariato. Utilizzato per consentire all'utente di manipolare il campo dell'ambiente tramite la logica delle espressioni regolari. Se il pattern regex è null o vuoto oppure il valore dell'ambiente è null, il risultato finale dell'ambiente è l'ambiente predefinito. |
| Timeout dello script (secondi) | Numero intero | 180 | Sì | Limite di timeout per il processo Python che esegue lo script corrente. |
| URL API | Stringa | https://x.x.x.x:port | Sì | URL dell'API Nozomi a cui connettersi |
| Nome utente | Stringa | N/D | Sì | Nome utente dell'account Nozomi da utilizzare per la connessione |
| Password | Password | N/D | Sì | Password dell'account Nozomi da utilizzare per la connessione |
| Verifica SSL | Casella di controllo | Deselezionata | No | Specifica se il certificato dell'URL dell'API deve essere convalidato prima della connessione. |
| Certificato CA | Stringa | N/D | No | |
| Gravità minima da recuperare | integer | N/D | No | L'avviso di gravità minima deve essere importato e la gravità può essere un numero compreso tra 0 e 10. |
| Vuoi importare solo gli avvisi con l'attributo "is_security" impostato su True? | Casella di controllo | Deselezionata | No | Specifica se devono essere importati solo gli avvisi per cui l'attributo "is_security" è impostato su True. |
| Importare solo gli avvisi per cui l'attributo "is_incident" è impostato su True? | Casella di controllo | Deselezionata | No | Specifica se devono essere inseriti solo gli avvisi per i quali l'attributo "is_incident" è impostato su True. |
| Recupero ore massime a ritroso | Numero intero | 8 | Sì | Recupera gli avvisi a partire da X ore prima. |
| Intervallo di tempo per il recupero all'indietro (minuti) | Numero intero | 60 | Sì | Il connettore dell'intervallo di tempo deve essere utilizzato per recuperare gli avvisi dalle ore massime a ritroso. Se Nozomi Device viene implementato in una rete di grandi dimensioni, il numero di avvisi generati può essere elevato. Per questo motivo, questo parametro in minuti può essere utilizzato per suddividere le ore massime all'indietro in segmenti più piccoli ed elaborarli singolarmente. L'intervallo di tempo non può essere maggiore del valore massimo di ore a ritroso. |
| Utilizzare la lista consentita come lista nera | Casella di controllo | Deselezionata | Sì | Se questa opzione è abilitata, la lista consentita verrà utilizzata come lista bloccata. |
| Indirizzo del server proxy | Stringa | No | L'indirizzo del server proxy da utilizzare. | |
| Nome utente proxy | Stringa | No | Il nome utente del proxy con cui eseguire l'autenticazione. | |
| Password proxy | Password | No | La password del proxy per l'autenticazione. |
Regole del connettore
Supporto proxy
Il connettore supporta il proxy.
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.