Cloudflare Email Security mit Google SecOps
In diesem Dokument wird beschrieben, wie Sie Cloudflare Email Security (früher Area 1) in Google Security Operations (Google SecOps) einbinden.
Integrationsparameter
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:
| Parametername | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Instanzname | String | – | Nein | Name der Instanz, für die Sie die Integration konfigurieren möchten. |
| Beschreibung | String | – | Nein | Beschreibung der Instanz. |
| API-Stamm | String | https://HOST:PORT | Ja | Adresse der Instanz für Bereich 1. |
| Nutzername | String | – | Ja | Die E-Mail-Adresse des Nutzers, die für die Verbindung zu Area 1 verwendet werden soll. |
| Passwort | Passwort | – | Ja | Das Passwort des entsprechenden Nutzers. |
| SSL überprüfen | Kästchen | Aktiviert | Nein | Aktivieren Sie dieses Kästchen, wenn für Ihre Verbindung in Bereich 1 eine SSL-Überprüfung erforderlich ist. |
| Remote ausführen | Kästchen | Deaktiviert | Nein | Aktivieren Sie das Feld, um die konfigurierte Integration remote auszuführen. Nachdem Sie das Kästchen angekreuzt haben, wird die Option zum Auswählen des Remote-Nutzers (Kundenservicemitarbeiters) angezeigt. |
Aktionen
Aktuelle Indikatoren abrufen
Sie erhalten aktuelle schädliche Indikatoren von Cloudflare Email Security, die mit Phishing in Verbindung stehen können.
Parameter
| Parameter | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| Sekunden zurück | String | – | – |
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| Is_Success | Wahr/falsch | Is_Success:False |
JSON-Ergebnis
[
{
"threat_categories":
[{
"classification_disposition": ["Unclassified"]
}],
"threat_name": "Microsoft Favicon Impersonation",
"item_name": "example.com/nc_assets/css/12/",
"item_type": "url",
"first_seen": 1550127499097,
"last_seen": 1550134395800
}, {
"threat_categories":
[{
"category": ["Universal"],
"threat_type": ["Actor Tool"],
"classification_disposition": ["Unclassified"]
}],
"threat_name": "Area 1 Identified Malicious",
"item_name": "e039e82c00e4ae0ddc92908c705350ec",
"item_type": "filehash",
"first_seen": 1550125103575,
"last_seen": 1550125103575
}
]
Ping
Verbindung zu Cloudflare Email Security testen
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
Suchindikator
Suchen Sie in Cloudflare Email Security nach Indikatoren anhand von Hash, URL, Domain, IP-Adresse oder E-Mail-Adresse.
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
| Feldname für die Anreicherung | Logik – Wann anwenden? |
|---|---|
| AREA1_category | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| AREA1_threat_type | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| AREA1_classification_disposition | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| AREA1_confidence_rating | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| AREA1_intervals | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| AREA1_value | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| AREA1_type | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| AREA1_name | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[
{
"EntityResult": "85f321d7f27916de21992c5284ff632db3db3481",
"Entity": "indicator"
}, {
"EntityResult": "red",
"Entity": "tlp"
}, {
"EntityResult": 80,
"Entity": "overall_confidence"
}, {
"EntityResult": "85f321d7f27916de21992c5284ff632db3db3481",
"Entity": "name"
}, {
"EntityResult": [
{
"category": ["Universal"],
"threat_type": ["Actor Tool"],
"classification_disposition": ["Unclassified"]
}],
"Entity": "threat_categories"
}, {
"EntityResult": "drizzle",
"Entity": "author"
}, {
"EntityResult": "85f321d7f27916de21992c5284ff632db3db3481",
"Entity": "filehash"
}, {
"EntityResult": 1550125103522,
"Entity": "first_detected"
}, {
"EntityResult": "85f321d7f27916de21992c5284ff632db3db3481",
"Entity": "Hash_SHA1"
}, {
"EntityResult": "Area 1 Identified Malicious",
"Entity": "threat_name"
}, {
"EntityResult": "85f321d7f27916de21992c5284ff632db3db3481",
"Entity": "query_term"
}, {
"EntityResult": "MAICIOUS",
"Entity": "disposition"
}, {
"EntityResult": "file",
"Entity": "family"
}, {
"EntityResult": [
{
"category": "Indicator Category",
"confidence_rating": 80,
"intervals": [
{
"start": 1550120952000,
"end": "current"
}],
"value": "Universal"
}],
"Entity": "tag_histories"
}, {
"EntityResult": 1550125103522,
"Entity": "first_seen"
}, {
"EntityResult": [
{
"type": "Hash_MD5",
"name": "e412341be78003526999f77e8728526e"
}, {
"type": "Hash_SHA256",
"name": "61f006012d2bd7f43bc14ecbeb6a7e690f9d68b4b6b396dab5805be2da75c717"
}],
"Entity": "aliases"
}, {
"EntityResult": "Hash_SHA1", "Entity": "type"
}, {
"EntityResult": 1550120950000,
"Entity": "last_seen"
}
]
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten