SSH
Versione integrazione: 16.0
Configura l'integrazione SSH in Google Security Operations
Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.
Azioni
Bloccare l'indirizzo IP in IPtables
Descrizione
Aggiungi una regola a IPtables per bloccare un indirizzo IP.
Parametri
| Parametro | Tipo | Valore predefinito | Descrizione |
|---|---|---|---|
| Server remoto | Stringa | x.x.x.x | Indirizzo del server remoto. |
| Nome utente remoto | Stringa | root | N/D |
| Password remota | Stringa | N/D | N/D |
| Porta remota | Stringa | N/D | N/D |
| Blocca indirizzo IP | Stringa | N/D | Indirizzo IP da bloccare. |
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
N/A
Elimina regola firewall
Descrizione
Elimina la regola firewall IPtables (ad esempio: INPUT -s 10.0.0.10 -j DROP).
Parametri
| Parametro | Tipo | Valore predefinito | Descrizione |
|---|---|---|---|
| Server remoto | Stringa | Indirizzo del server remoto (esempio: x.x.x.x). | N/D |
| Nome utente remoto | Stringa | root | N/D |
| Password remota | Stringa | N/D | N/D |
| Porta remota | Stringa | N/D | N/D |
| Regola IPtables | Stringa | N/D | Valore della regola (ad esempio: INPUT -s 10.0.0.10 -j DROP). |
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
N/A
Esegui programma
Descrizione
Esegui uno script su una macchina remota.
Parametri
| Parametro | Tipo | Valore predefinito | Descrizione |
|---|---|---|---|
| Server remoto | Stringa | N/D | Indirizzo del server remoto (esempio: x.x.x.x). |
| Nome utente remoto | Stringa | N/D | N/D |
| Password remota | Stringa | N/D | N/D |
| Porta remota | Stringa | N/D | N/D |
| Percorso del programma remoto | Stringa | N/D | Il percorso del programma nell'host remoto. |
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| risultati | N/D | N/D |
Risultato JSON
N/A
Elenco connessioni
Descrizione
Elenca tutte le connessioni su un computer remoto.
Parametri
| Parametro | Tipo | Valore predefinito | Descrizione |
|---|---|---|---|
| Server remoto | Stringa | N/D | Indirizzo del server remoto (esempio: x.x.x.x). |
| Nome utente remoto | Stringa | N/D | N/D |
| Password remota | Stringa | N/D | N/D |
| Porta remota | Stringa | N/D | N/D |
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| risultati | Vero/Falso | risultati:False |
Risultato JSON
{
"Results": [
"Proto,Recv-Q,SendQ,Local,Address,Foreign,Address,State,PID/Program,name",
"tcp,0,0,0.0.0.0:111,0.0.0.0:*,LISTEN,1/systemd",
"tcp,0,0,0.0.0.0:22,0.0.0.0:*,LISTEN,10624/sshd"
]
}
Elenco processi
Descrizione
Elenca i processi in esecuzione su un computer remoto.
Parametri
| Parametro | Tipo | Valore predefinito | Descrizione |
|---|---|---|---|
| Server remoto | Stringa | N/D | Indirizzo del server remoto (esempio: x.x.x.x). |
| Nome utente remoto | Stringa | N/D | N/D |
| Password remota | Stringa | N/D | N/D |
| Porta remota | Stringa | 22 | La porta predefinita sarà la 22. |
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| risultati | N/D | N/D |
Risultato JSON
{
"Processes": [
"USER,PID,%CPU,%MEM,VSZ,RSS,TTY,STAT,START,TIME,COMMAND",
"root,1,0.0,0.0,193656,6656,?,Ss,Jan16,0:24,/usr/lib/systemd/systemd --system --deserialize 24",
"root,32142,0.0,0.0,0,0,?,S,Jan22,0:32,[kworker/3:1]"
]
}
Elenca regole IPtables
Descrizione
Elenca le regole IPtable su una macchina remota.
Parametri
| Parametro | Tipo | Valore predefinito | Descrizione |
|---|---|---|---|
| Server remoto | Stringa | N/D | Indirizzo del server remoto (esempio: x.x.x.x). |
| Nome utente remoto | Stringa | N/D | N/D |
| Password remota | Stringa | N/D | N/D |
| Porta remota | Stringa | N/D | La porta predefinita sarà la 22. |
| Chain | Stringa | N/D | La catena IPtables che vuoi visualizzare (ad esempio INPUT, OUTPUT e così via). |
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| risultati | Vero/Falso | risultati:False |
Risultato JSON
{
"-,Chain,Rule": [
"-P,INPUT,ACCEPT",
"-P,FORWARD,ACCEPT",
"-P,OUTPUT,ACCEPT"
]
}
Disconnetti utente
Descrizione
Disconnettere un utente remoto.
Parametri
| Parametro | Tipo | Valore predefinito | Descrizione |
|---|---|---|---|
| Server remoto | Stringa | N/D | Indirizzo del server remoto (esempio: x.x.x.x). |
| Nome utente remoto | Stringa | N/D | N/D |
| Password remota | Stringa | N/D | N/D |
| Porta remota | Stringa | N/D | La porta predefinita sarà la 22. |
| Nome utente di disconnessione | Stringa | N/D | Il nome utente da disconnettere. |
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
N/D
Dindin
Descrizione
Testa la connettività.
Parametri
N/D
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
N/D
Riavvia il computer
Descrizione
Riavvia un server remoto.
Parametri
| Parametro | Tipo | Valore predefinito | Descrizione |
|---|---|---|---|
| Server remoto | Stringa | N/D | Indirizzo del server remoto (esempio: x.x.x.x). |
| Nome utente remoto | Stringa | N/D | N/D |
| Password remota | Stringa | N/D | N/D |
| Porta remota | Stringa | N/D | La porta predefinita sarà la 22. |
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
N/A
Esegui comando
Descrizione
Esegui un comando su una macchina remota.
Parametri
| Parametro | Tipo | Valore predefinito | Descrizione |
|---|---|---|---|
| Server remoto | Stringa | N/D | Indirizzo del server remoto (esempio: x.x.x.x). |
| Nome utente remoto | Stringa | N/D | N/D |
| Password remota | Stringa | N/D | N/D |
| Porta remota | Stringa | N/D | N/D |
| Comando | Stringa | N/D | Contenuti del comando (ad esempio: ifconfig). |
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| risultati | Vero/Falso | risultati:False |
Risultato JSON
{
"ifconfig":
"ens32: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>mtu1500
Ninet1.1.1.1netmask1.1.1.1broadcast1.1.1.1
ninet6fe80: : 2156: 9c37: 7a0d:
87eprefixlen64scopeid0x20<link>
nether00: 50: 56: b5: 70: e3txqueuelen1000(Ethernet)
nRXpackets7448423bytes1077754116(1.0GiB)
nRXerrors0dropped0overruns0frame0
nTXpackets370155bytes44300304(42.2MiB)
nTXerrors0dropped0overruns0carrier0collisions0
nlo: flags=73<UP,LOOPBACK,RUNNING>mtu65536
Ninet1.1.1.1netmask1.1.1.1
ninet6: : 1prefixlen128scopeid0x10<host>
nlooptxqueuelen1000(LocalLoopback)
nRXpackets86bytes4780(4.6KiB)
nRXerrors0dropped0overruns0frame0
nTXpackets86bytes4780(4.6KiB)
nTXerrors0dropped0overruns0carrier0collisions0"
}
Shutdown Machine
Descrizione
Arrestare una macchina remota.
Parametri
| Parametro | Tipo | Valore predefinito | Descrizione |
|---|---|---|---|
| Server remoto | Stringa | N/D | Indirizzo del server remoto (esempio: x.x.x.x). |
| Nome utente remoto | Stringa | N/D | N/D |
| Password remota | Stringa | N/D | N/D |
| Porta remota | Stringa | N/D | La porta predefinita sarà la 22. |
| Tempo di attesa | Stringa | N/D | Tempo di attesa prima dell'arresto in minuti (ad esempio: ora). |
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
N/A
Termina processo
Descrizione
Termina un processo su un computer remoto.
Parametri
| Parametro | Tipo | Valore predefinito | Descrizione |
|---|---|---|---|
| Server remoto | Stringa | N/D | Indirizzo del server remoto (esempio: x.x.x.x). |
| Nome utente remoto | Stringa | N/D | N/D |
| Password remota | Stringa | N/D | N/D |
| Porta remota | Stringa | N/D | N/D |
| Processo | Stringa | N/D | Procedura di risoluzione. |
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
N/A
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.