Cloudflare Email Security con Google SecOps
Questo documento spiega come integrare Cloudflare Email Security (in precedenza Area 1) con Google Security Operations (Google SecOps).
Parametri di integrazione
Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, consulta Configurare le integrazioni.
Utilizza i seguenti parametri per configurare l'integrazione:
| Nome parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome istanza | Stringa | N/D | No | Nome dell'istanza per cui intendi configurare l'integrazione. |
| Descrizione | Stringa | N/D | No | Descrizione dell'istanza. |
| Radice API | Stringa | https://HOST:PORT | Sì | Indirizzo dell'istanza Area 1. |
| Nome utente | Stringa | N/D | Sì | L'indirizzo email dell'utente da utilizzare per connettersi ad Area 1. |
| Password | Password | N/D | Sì | La password dell'utente corrispondente. |
| Verifica SSL | Casella di controllo | Selezionata | No | Utilizza questa casella di controllo se la connessione all'area 1 richiede una verifica SSL. |
| Esegui da remoto | Casella di controllo | Deselezionata | No | Seleziona il campo per eseguire l'integrazione configurata da remoto. Una volta selezionata, viene visualizzata l'opzione per selezionare l'utente remoto (agente). |
Azioni
Visualizzare gli indicatori recenti
Ricevi indicatori dannosi recenti da Cloudflare Email Security che possono essere correlati al phishing.
Parametri
| Parametro | Tipo | Valore predefinito | Descrizione |
|---|---|---|---|
| Secondi indietro | Stringa | N/D | N/D |
Pubblica su
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Risultato dello script
| Nome del risultato dello script | Opzioni del valore | Esempio |
|---|---|---|
| Is_Success | Vero/Falso | Is_Success:False |
Risultato JSON
[
{
"threat_categories":
[{
"classification_disposition": ["Unclassified"]
}],
"threat_name": "Microsoft Favicon Impersonation",
"item_name": "example.com/nc_assets/css/12/",
"item_type": "url",
"first_seen": 1550127499097,
"last_seen": 1550134395800
}, {
"threat_categories":
[{
"category": ["Universal"],
"threat_type": ["Actor Tool"],
"classification_disposition": ["Unclassified"]
}],
"threat_name": "Area 1 Identified Malicious",
"item_name": "e039e82c00e4ae0ddc92908c705350ec",
"item_type": "filehash",
"first_seen": 1550125103575,
"last_seen": 1550125103575
}
]
Dindin
Testa la connettività a Cloudflare Email Security.
Pubblica su
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Risultato dello script
| Nome del risultato dello script | Opzioni del valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Indicatore di ricerca
Cerca gli indicatori in Cloudflare Email Security per hash, URL, dominio, indirizzo IP o indirizzo email.
Pubblica su
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Arricchimento delle entità
| Nome campo arricchimento | Logica - Quando applicarla |
|---|---|
| AREA1_category | Restituisce se esiste nel risultato JSON |
| AREA1_threat_type | Restituisce se esiste nel risultato JSON |
| AREA1_classification_disposition | Restituisce se esiste nel risultato JSON |
| AREA1_confidence_rating | Restituisce se esiste nel risultato JSON |
| AREA1_intervals | Restituisce se esiste nel risultato JSON |
| AREA1_value | Restituisce se esiste nel risultato JSON |
| AREA1_type | Restituisce se esiste nel risultato JSON |
| AREA1_name | Restituisce se esiste nel risultato JSON |
Risultato dello script
| Nome del risultato dello script | Opzioni del valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
[
{
"EntityResult": "85f321d7f27916de21992c5284ff632db3db3481",
"Entity": "indicator"
}, {
"EntityResult": "red",
"Entity": "tlp"
}, {
"EntityResult": 80,
"Entity": "overall_confidence"
}, {
"EntityResult": "85f321d7f27916de21992c5284ff632db3db3481",
"Entity": "name"
}, {
"EntityResult": [
{
"category": ["Universal"],
"threat_type": ["Actor Tool"],
"classification_disposition": ["Unclassified"]
}],
"Entity": "threat_categories"
}, {
"EntityResult": "drizzle",
"Entity": "author"
}, {
"EntityResult": "85f321d7f27916de21992c5284ff632db3db3481",
"Entity": "filehash"
}, {
"EntityResult": 1550125103522,
"Entity": "first_detected"
}, {
"EntityResult": "85f321d7f27916de21992c5284ff632db3db3481",
"Entity": "Hash_SHA1"
}, {
"EntityResult": "Area 1 Identified Malicious",
"Entity": "threat_name"
}, {
"EntityResult": "85f321d7f27916de21992c5284ff632db3db3481",
"Entity": "query_term"
}, {
"EntityResult": "MAICIOUS",
"Entity": "disposition"
}, {
"EntityResult": "file",
"Entity": "family"
}, {
"EntityResult": [
{
"category": "Indicator Category",
"confidence_rating": 80,
"intervals": [
{
"start": 1550120952000,
"end": "current"
}],
"value": "Universal"
}],
"Entity": "tag_histories"
}, {
"EntityResult": 1550125103522,
"Entity": "first_seen"
}, {
"EntityResult": [
{
"type": "Hash_MD5",
"name": "e412341be78003526999f77e8728526e"
}, {
"type": "Hash_SHA256",
"name": "61f006012d2bd7f43bc14ecbeb6a7e690f9d68b4b6b396dab5805be2da75c717"
}],
"Entity": "aliases"
}, {
"EntityResult": "Hash_SHA1", "Entity": "type"
}, {
"EntityResult": 1550120950000,
"Entity": "last_seen"
}
]
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.