Cloudflare Email Security mit Google SecOps
In diesem Dokument wird beschrieben, wie Sie Cloudflare Email Security (früher Area 1) in Google Security Operations (Google SecOps) einbinden.
Integrationsversion: 5.0
Integrationsparameter
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:
| Parametername | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Instanzname | String | – | Nein | Name der Instanz, für die Sie die Integration konfigurieren möchten. |
| Beschreibung | String | – | Nein | Beschreibung der Instanz. |
| API-Stamm | String | https://HOST:PORT | Ja | Adresse der Instanz für Bereich 1. |
| Nutzername | String | – | Ja | Die E-Mail-Adresse des Nutzers, die für die Verbindung zu Area 1 verwendet werden soll. |
| Passwort | Passwort | – | Ja | Das Passwort des entsprechenden Nutzers. |
| SSL überprüfen | Kästchen | Aktiviert | Nein | Aktivieren Sie dieses Kästchen, wenn für Ihre Verbindung in Bereich 1 eine SSL-Überprüfung erforderlich ist. |
| Remote ausführen | Kästchen | Deaktiviert | Nein | Aktivieren Sie das Feld, um die konfigurierte Integration remote auszuführen. Nachdem Sie das Kästchen angekreuzt haben, wird die Option zum Auswählen des Remote-Nutzers (Kundenservicemitarbeiters) angezeigt. |
Aktionen
Aktuelle Indikatoren abrufen
Sie erhalten aktuelle schädliche Indikatoren von Cloudflare Email Security, die mit Phishing in Verbindung stehen können.
Parameter
| Parameter | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| Sekunden zurück | String | – | – |
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| Is_Success | Wahr/falsch | Is_Success:False |
JSON-Ergebnis
[
{
"threat_categories":
[{
"classification_disposition": ["Unclassified"]
}],
"threat_name": "Microsoft Favicon Impersonation",
"item_name": "example.com/nc_assets/css/12/",
"item_type": "url",
"first_seen": 1550127499097,
"last_seen": 1550134395800
}, {
"threat_categories":
[{
"category": ["Universal"],
"threat_type": ["Actor Tool"],
"classification_disposition": ["Unclassified"]
}],
"threat_name": "Area 1 Identified Malicious",
"item_name": "e039e82c00e4ae0ddc92908c705350ec",
"item_type": "filehash",
"first_seen": 1550125103575,
"last_seen": 1550125103575
}
]
Ping
Verbindung zu Cloudflare Email Security testen
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
Suchindikator
Suchen Sie in Cloudflare Email Security nach Indikatoren anhand von Hash, URL, Domain, IP-Adresse oder E-Mail-Adresse.
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
| Feldname für die Anreicherung | Logik – Wann anwenden? |
|---|---|
| AREA1_category | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| AREA1_threat_type | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| AREA1_classification_disposition | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| AREA1_confidence_rating | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| AREA1_intervals | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| AREA1_value | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| AREA1_type | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| AREA1_name | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[
{
"EntityResult": "85f321d7f27916de21992c5284ff632db3db3481",
"Entity": "indicator"
}, {
"EntityResult": "red",
"Entity": "tlp"
}, {
"EntityResult": 80,
"Entity": "overall_confidence"
}, {
"EntityResult": "85f321d7f27916de21992c5284ff632db3db3481",
"Entity": "name"
}, {
"EntityResult": [
{
"category": ["Universal"],
"threat_type": ["Actor Tool"],
"classification_disposition": ["Unclassified"]
}],
"Entity": "threat_categories"
}, {
"EntityResult": "drizzle",
"Entity": "author"
}, {
"EntityResult": "85f321d7f27916de21992c5284ff632db3db3481",
"Entity": "filehash"
}, {
"EntityResult": 1550125103522,
"Entity": "first_detected"
}, {
"EntityResult": "85f321d7f27916de21992c5284ff632db3db3481",
"Entity": "Hash_SHA1"
}, {
"EntityResult": "Area 1 Identified Malicious",
"Entity": "threat_name"
}, {
"EntityResult": "85f321d7f27916de21992c5284ff632db3db3481",
"Entity": "query_term"
}, {
"EntityResult": "MAICIOUS",
"Entity": "disposition"
}, {
"EntityResult": "file",
"Entity": "family"
}, {
"EntityResult": [
{
"category": "Indicator Category",
"confidence_rating": 80,
"intervals": [
{
"start": 1550120952000,
"end": "current"
}],
"value": "Universal"
}],
"Entity": "tag_histories"
}, {
"EntityResult": 1550125103522,
"Entity": "first_seen"
}, {
"EntityResult": [
{
"type": "Hash_MD5",
"name": "e412341be78003526999f77e8728526e"
}, {
"type": "Hash_SHA256",
"name": "61f006012d2bd7f43bc14ecbeb6a7e690f9d68b4b6b396dab5805be2da75c717"
}],
"Entity": "aliases"
}, {
"EntityResult": "Hash_SHA1", "Entity": "type"
}, {
"EntityResult": 1550120950000,
"Entity": "last_seen"
}
]
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten