Troja007/Orbital
GitHub: Troja007/Orbital
为Cisco Orbital平台提供SQL查询和脚本,用于数据分析和安全监控。
Stars: 1 | Forks: 0
# 轨道
轨道的 SQL 查询
以下是 SQL 查询和脚本的摘要,这些脚本可以与轨道一起使用。
- 包括自定义 SQL 查询以调整结果输出。了解更多关于 SQL 的信息,请访问:https://www.w3schools.com/sql/
- 包括我收集和生成的一些自定义脚本。
## 转换结果数据
- datetime(table_column_name, "unixepoch", "UTC")
- round((table_column_name / 1024 / 1024) ,0) AS "diplayed_column_name"
- select substr (table_column_name,42,10)
- case table_column_name when 'bs.json' then 'CM config exists' when 'cm_config.json' then 'CM config exists'
- order by "Cloud Management Config" ASC
- where hostnames not in ("localhost", "::1", "fe00::0", "ff00::0", "ff02::1", "ff02::2")
- JSON_EXTRACT(json(data), '$.EventData.LocalPort') AS "source-port",
- SPLIT(message, ',', 1) AS protocol,
## 使用脚本卸载安全客户端
- 执行查询以搜索已安装的文件
- 执行预定义的脚本:执行 PowerShell 命令:
-- 添加以下字符串以卸载例如安全客户端:wmic product where "name like 'Cisco Secure Client%'" call uninstall
## Codex 项目
此存储库的结构是一个为 Cisco Orbital 查询、脚本、目录和 API 工作准备的 Codex 工作空间。
Codex 应使用:
- `AGENTS.md` 用于项目特定说明
- `00_Project_Context` 用于 Orbital 产品、查询、脚本、目录和 API 备注
- `01_Source_Files/Orbital_Repo_Source` 用于源查询和脚本材料
- `02_Working_Files` 用于草案、改编模板、实验和辅助脚本
- `03_Outputs` 用于完成的可重用查询、脚本和报告
- `04_Notes` 用于决策日志和学习备注
### 推荐的 Codex 工作流程
1. 在本地克隆或拉取此存储库。
2. 在 Codex 或 VS Code 中打开存储库文件夹。
3. 从 `AGENTS.md` 和 `00_Project_Context/README.md` 开始。
4. 在修改之前,将源示例复制到 `02_Working_Files`。
5. 将完成的或可重用的输出保存在 `03_Outputs` 下。
### Codex 处理规则
- 将 `01_Source_Files/Orbital_Repo_Source/Catalog_queries` 和 `01_Source_Files/Orbital_Repo_Source/Catalog_scripts` 作为只读目录源材料处理。
- 除非 GitHub 跟踪的源工作应有意更改,否则不要修改 `01_Source_Files/Orbital_Repo_Source/custom_queries` 或 `01_Source_Files/Orbital_Repo_Source/custom_scripts`。
- 对于 Orbital SQL 查询,验证 osquery 表名、列名、平台假设、预期结果形状、查询类型、目标行为以及是否需要 `allowos` 或操作系统过滤器。
- 使用广泛的靶标前缀,如 `all`,要小心,因为广泛的实时查询可能会影响端点性能。
- 对于 Orbital 脚本,尽可能保持更改安全、明确、幂等,并了解平台差异。
- 不要在此存储库中存储载体令牌、API 凭据、客户特定机密、本地 Codex 运行时状态或生成的特定租户 API 快照。
### 本地凭证
当需要时,使用本地忽略的凭证文件:
```
cp 02_Working_Files/orbital_credentials.env.example 02_Working_Files/orbital_credentials.env
```
然后编辑 `02_Working_Files/orbital_credentials.env` 本地。真实的 `.env` 文件被 Git 忽略。
标签:AI合规, Cisco Orbital, Codex, Git, JSON处理, Orbital, Powershell, SQL脚本, SQL脚本编写, Subfinder, Unix时间戳, UTC时间, VS Code, 内核驱动, 决策日志, 多线程, 学习笔记, 安全可观测性, 安全客户端, 工作文件, 工作流程, 工作空间, 开发环境, 数据展示, 数据库操作, 数据排序, 数据提取, 数据结构, 数据转换, 源代码管理, 源文件, 源端口, 版本控制, 笔记文件, 系统查询, 红队, 结果处理, 网络协议, 脚本, 脚本收集, 脚本生成, 软件卸载, 输出文件, 项目上下文, 项目指南, 项目文档, 项目结构