Sécurité des e-mails Cloudflare avec Google SecOps
Ce document explique comment intégrer Cloudflare Email Security (anciennement Area 1) à Google Security Operations (Google SecOps).
Version de l'intégration : 5.0
Paramètres d'intégration
Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Utilisez les paramètres suivants pour configurer l'intégration :
| Nom du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom de l'instance | Chaîne | N/A | Non | Nom de l'instance pour laquelle vous souhaitez configurer l'intégration. |
| Description | Chaîne | N/A | Non | Description de l'instance. |
| Racine de l'API | Chaîne | https://HOST:PORT | Oui | Adresse de l'instance de la zone 1. |
| Nom d'utilisateur | Chaîne | N/A | Oui | Adresse e-mail de l'utilisateur à utiliser pour se connecter à Area 1. |
| Mot de passe | Mot de passe | N/A | Oui | Mot de passe de l'utilisateur correspondant. |
| Vérifier le protocole SSL | Case à cocher | Cochée | Non | Cochez cette case si votre connexion à la zone 1 nécessite une validation SSL. |
| Exécuter à distance | Case à cocher | Décochée | Non | Cochez le champ pour exécuter l'intégration configurée à distance. Une fois la case cochée, l'option permettant de sélectionner l'utilisateur distant (agent) s'affiche. |
Actions
Obtenir les indicateurs récents
Obtenez les indicateurs malveillants récents de Cloudflare Email Security qui peuvent être liés au hameçonnage.
Paramètres
| Paramètre | Type | Valeur par défaut | Description |
|---|---|---|---|
| Retour de quelques secondes | Chaîne | N/A | N/A |
Date d'exécution
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| Is_Success | Vrai/Faux | Is_Success:False |
Résultat JSON
[
{
"threat_categories":
[{
"classification_disposition": ["Unclassified"]
}],
"threat_name": "Microsoft Favicon Impersonation",
"item_name": "example.com/nc_assets/css/12/",
"item_type": "url",
"first_seen": 1550127499097,
"last_seen": 1550134395800
}, {
"threat_categories":
[{
"category": ["Universal"],
"threat_type": ["Actor Tool"],
"classification_disposition": ["Unclassified"]
}],
"threat_name": "Area 1 Identified Malicious",
"item_name": "e039e82c00e4ae0ddc92908c705350ec",
"item_type": "filehash",
"first_seen": 1550125103575,
"last_seen": 1550125103575
}
]
Ping
Testez la connectivité à Cloudflare Email Security.
Date d'exécution
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Indicateur de recherche
Recherchez des indicateurs dans Cloudflare Email Security par hachage, URL, domaine, adresse IP ou adresse e-mail.
Date d'exécution
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Enrichissement d'entités
| Nom du champ d'enrichissement | Logique : quand les utiliser ? |
|---|---|
| AREA1_category | Renvoie la valeur si elle existe dans le résultat JSON. |
| AREA1_threat_type | Renvoie la valeur si elle existe dans le résultat JSON. |
| AREA1_classification_disposition | Renvoie la valeur si elle existe dans le résultat JSON. |
| AREA1_confidence_rating | Renvoie la valeur si elle existe dans le résultat JSON. |
| AREA1_intervals | Renvoie la valeur si elle existe dans le résultat JSON. |
| AREA1_value | Renvoie la valeur si elle existe dans le résultat JSON. |
| AREA1_type | Renvoie la valeur si elle existe dans le résultat JSON. |
| AREA1_name | Renvoie la valeur si elle existe dans le résultat JSON. |
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
[
{
"EntityResult": "85f321d7f27916de21992c5284ff632db3db3481",
"Entity": "indicator"
}, {
"EntityResult": "red",
"Entity": "tlp"
}, {
"EntityResult": 80,
"Entity": "overall_confidence"
}, {
"EntityResult": "85f321d7f27916de21992c5284ff632db3db3481",
"Entity": "name"
}, {
"EntityResult": [
{
"category": ["Universal"],
"threat_type": ["Actor Tool"],
"classification_disposition": ["Unclassified"]
}],
"Entity": "threat_categories"
}, {
"EntityResult": "drizzle",
"Entity": "author"
}, {
"EntityResult": "85f321d7f27916de21992c5284ff632db3db3481",
"Entity": "filehash"
}, {
"EntityResult": 1550125103522,
"Entity": "first_detected"
}, {
"EntityResult": "85f321d7f27916de21992c5284ff632db3db3481",
"Entity": "Hash_SHA1"
}, {
"EntityResult": "Area 1 Identified Malicious",
"Entity": "threat_name"
}, {
"EntityResult": "85f321d7f27916de21992c5284ff632db3db3481",
"Entity": "query_term"
}, {
"EntityResult": "MAICIOUS",
"Entity": "disposition"
}, {
"EntityResult": "file",
"Entity": "family"
}, {
"EntityResult": [
{
"category": "Indicator Category",
"confidence_rating": 80,
"intervals": [
{
"start": 1550120952000,
"end": "current"
}],
"value": "Universal"
}],
"Entity": "tag_histories"
}, {
"EntityResult": 1550125103522,
"Entity": "first_seen"
}, {
"EntityResult": [
{
"type": "Hash_MD5",
"name": "e412341be78003526999f77e8728526e"
}, {
"type": "Hash_SHA256",
"name": "61f006012d2bd7f43bc14ecbeb6a7e690f9d68b4b6b396dab5805be2da75c717"
}],
"Entity": "aliases"
}, {
"EntityResult": "Hash_SHA1", "Entity": "type"
}, {
"EntityResult": 1550120950000,
"Entity": "last_seen"
}
]
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.