Google SecOps を使用した Cloudflare Email Security
このドキュメントでは、Cloudflare Email Security(旧称 Area 1)を Google Security Operations(Google SecOps)と統合する方法について説明します。
統合バージョン: 5.0
統合のパラメータ
Google SecOps で統合を構成する方法について詳しくは、統合を構成するをご覧ください。
次のパラメータを使用して統合を構成します。
| パラメータ名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| インスタンス名 | 文字列 | なし | いいえ | 統合を構成するインスタンスの名前。 |
| 説明 | 文字列 | なし | いいえ | インスタンスの説明。 |
| API ルート | 文字列 | https://HOST:PORT | はい | エリア 1 インスタンスのアドレス。 |
| ユーザー名 | 文字列 | なし | はい | Area 1 への接続に使用するユーザーのメールアドレス。 |
| パスワード | パスワード | なし | ○ | 対応するユーザーのパスワード。 |
| SSL を確認 | チェックボックス | オン | いいえ | Area 1 接続で SSL の検証が必要な場合は、このチェックボックスをオンにします。 |
| リモートで実行 | チェックボックス | オフ | いいえ | 構成した統合をリモートで実行するには、フィールドのチェックボックスをオンにします。オンにすると、リモート ユーザー(エージェント)を選択するオプションが表示されます。 |
操作
最近のインジケーターを取得する
フィッシングに関連する可能性のある Cloudflare Email Security の最近の悪意のある指標を取得します。
パラメータ
| パラメータ | タイプ | デフォルト値 | 説明 |
|---|---|---|---|
| Seconds Back | 文字列 | なし | なし |
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| Is_Success | True/False | Is_Success:False |
JSON の結果
[
{
"threat_categories":
[{
"classification_disposition": ["Unclassified"]
}],
"threat_name": "Microsoft Favicon Impersonation",
"item_name": "example.com/nc_assets/css/12/",
"item_type": "url",
"first_seen": 1550127499097,
"last_seen": 1550134395800
}, {
"threat_categories":
[{
"category": ["Universal"],
"threat_type": ["Actor Tool"],
"classification_disposition": ["Unclassified"]
}],
"threat_name": "Area 1 Identified Malicious",
"item_name": "e039e82c00e4ae0ddc92908c705350ec",
"item_type": "filehash",
"first_seen": 1550125103575,
"last_seen": 1550125103575
}
]
Ping
Cloudflare Email Security への接続性をテストします。
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
検索インジケーター
ハッシュ、URL、ドメイン、IP アドレス、メールアドレスで Cloudflare Email Security のインジケーターを検索します。
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
エンティティ拡充
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| AREA1_category | JSON の結果に存在する場合に返す |
| AREA1_threat_type | JSON の結果に存在する場合に返す |
| AREA1_classification_disposition | JSON の結果に存在する場合に返す |
| AREA1_confidence_rating | JSON の結果に存在する場合に返す |
| AREA1_intervals | JSON の結果に存在する場合に返す |
| AREA1_value | JSON の結果に存在する場合に返す |
| AREA1_type | JSON の結果に存在する場合に返す |
| AREA1_name | JSON の結果に存在する場合に返す |
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[
{
"EntityResult": "85f321d7f27916de21992c5284ff632db3db3481",
"Entity": "indicator"
}, {
"EntityResult": "red",
"Entity": "tlp"
}, {
"EntityResult": 80,
"Entity": "overall_confidence"
}, {
"EntityResult": "85f321d7f27916de21992c5284ff632db3db3481",
"Entity": "name"
}, {
"EntityResult": [
{
"category": ["Universal"],
"threat_type": ["Actor Tool"],
"classification_disposition": ["Unclassified"]
}],
"Entity": "threat_categories"
}, {
"EntityResult": "drizzle",
"Entity": "author"
}, {
"EntityResult": "85f321d7f27916de21992c5284ff632db3db3481",
"Entity": "filehash"
}, {
"EntityResult": 1550125103522,
"Entity": "first_detected"
}, {
"EntityResult": "85f321d7f27916de21992c5284ff632db3db3481",
"Entity": "Hash_SHA1"
}, {
"EntityResult": "Area 1 Identified Malicious",
"Entity": "threat_name"
}, {
"EntityResult": "85f321d7f27916de21992c5284ff632db3db3481",
"Entity": "query_term"
}, {
"EntityResult": "MAICIOUS",
"Entity": "disposition"
}, {
"EntityResult": "file",
"Entity": "family"
}, {
"EntityResult": [
{
"category": "Indicator Category",
"confidence_rating": 80,
"intervals": [
{
"start": 1550120952000,
"end": "current"
}],
"value": "Universal"
}],
"Entity": "tag_histories"
}, {
"EntityResult": 1550125103522,
"Entity": "first_seen"
}, {
"EntityResult": [
{
"type": "Hash_MD5",
"name": "e412341be78003526999f77e8728526e"
}, {
"type": "Hash_SHA256",
"name": "61f006012d2bd7f43bc14ecbeb6a7e690f9d68b4b6b396dab5805be2da75c717"
}],
"Entity": "aliases"
}, {
"EntityResult": "Hash_SHA1", "Entity": "type"
}, {
"EntityResult": 1550120950000,
"Entity": "last_seen"
}
]
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。