将 Cloudflare 电子邮件安全与 Google SecOps 搭配使用
本文档介绍了如何将 Cloudflare Email Security(以前称为 Area 1)与 Google Security Operations (Google SecOps) 集成。
集成版本:5.0
集成参数
有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成。
使用以下参数配置集成:
| 参数名称 | 类型 | 默认值 | 为必需参数 | 说明 |
|---|---|---|---|---|
| 实例名称 | 字符串 | 不适用 | 否 | 您打算为其配置集成的实例的名称。 |
| 说明 | 字符串 | 不适用 | 否 | 实例的说明。 |
| API 根 | 字符串 | https://HOST:PORT | 是 | 区域 1 实例的地址。 |
| 用户名 | 字符串 | 不适用 | 是 | 应使用哪个用户的电子邮件地址来连接到 Area 1。 |
| 密码 | 密码 | 不适用 | 是 | 相应用户的密码。 |
| 验证 SSL | 复选框 | 勾选 | 否 | 如果您的 Area 1 连接需要 SSL 验证,请选中此复选框。 |
| 远程运行 | 复选框 | 尚未核查 | 否 | 选中此字段,以便远程运行配置的集成。选中后,系统会显示用于选择远程用户(客服人员)的选项。 |
操作
获取近期指标
获取 Cloudflare Email Security 中可能与钓鱼式攻击相关的最新恶意指标。
参数
| 参数 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| 秒数 | 字符串 | 不适用 | 不适用 |
运行于
此操作会在所有实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| Is_Success | True/False | Is_Success:False |
JSON 结果
[
{
"threat_categories":
[{
"classification_disposition": ["Unclassified"]
}],
"threat_name": "Microsoft Favicon Impersonation",
"item_name": "example.com/nc_assets/css/12/",
"item_type": "url",
"first_seen": 1550127499097,
"last_seen": 1550134395800
}, {
"threat_categories":
[{
"category": ["Universal"],
"threat_type": ["Actor Tool"],
"classification_disposition": ["Unclassified"]
}],
"threat_name": "Area 1 Identified Malicious",
"item_name": "e039e82c00e4ae0ddc92908c705350ec",
"item_type": "filehash",
"first_seen": 1550125103575,
"last_seen": 1550125103575
}
]
Ping
测试与 Cloudflare Email Security 的连接。
运行于
此操作会在所有实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
搜索指示器
按哈希、网址、网域、IP 地址或电子邮件地址在 Cloudflare Email Security 中搜索指示器。
运行于
此操作会在所有实体上运行。
操作结果
实体丰富化
| 丰富化字段名称 | 逻辑 - 应用场景 |
|---|---|
| AREA1_category | 返回 JSON 结果中是否存在相应值 |
| AREA1_threat_type | 返回 JSON 结果中是否存在相应值 |
| AREA1_classification_disposition | 返回 JSON 结果中是否存在相应值 |
| AREA1_confidence_rating | 返回 JSON 结果中是否存在相应值 |
| AREA1_intervals | 返回 JSON 结果中是否存在相应值 |
| AREA1_value | 返回 JSON 结果中是否存在相应值 |
| AREA1_type | 返回 JSON 结果中是否存在相应值 |
| AREA1_name | 返回 JSON 结果中是否存在相应值 |
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[
{
"EntityResult": "85f321d7f27916de21992c5284ff632db3db3481",
"Entity": "indicator"
}, {
"EntityResult": "red",
"Entity": "tlp"
}, {
"EntityResult": 80,
"Entity": "overall_confidence"
}, {
"EntityResult": "85f321d7f27916de21992c5284ff632db3db3481",
"Entity": "name"
}, {
"EntityResult": [
{
"category": ["Universal"],
"threat_type": ["Actor Tool"],
"classification_disposition": ["Unclassified"]
}],
"Entity": "threat_categories"
}, {
"EntityResult": "drizzle",
"Entity": "author"
}, {
"EntityResult": "85f321d7f27916de21992c5284ff632db3db3481",
"Entity": "filehash"
}, {
"EntityResult": 1550125103522,
"Entity": "first_detected"
}, {
"EntityResult": "85f321d7f27916de21992c5284ff632db3db3481",
"Entity": "Hash_SHA1"
}, {
"EntityResult": "Area 1 Identified Malicious",
"Entity": "threat_name"
}, {
"EntityResult": "85f321d7f27916de21992c5284ff632db3db3481",
"Entity": "query_term"
}, {
"EntityResult": "MAICIOUS",
"Entity": "disposition"
}, {
"EntityResult": "file",
"Entity": "family"
}, {
"EntityResult": [
{
"category": "Indicator Category",
"confidence_rating": 80,
"intervals": [
{
"start": 1550120952000,
"end": "current"
}],
"value": "Universal"
}],
"Entity": "tag_histories"
}, {
"EntityResult": 1550125103522,
"Entity": "first_seen"
}, {
"EntityResult": [
{
"type": "Hash_MD5",
"name": "e412341be78003526999f77e8728526e"
}, {
"type": "Hash_SHA256",
"name": "61f006012d2bd7f43bc14ecbeb6a7e690f9d68b4b6b396dab5805be2da75c717"
}],
"Entity": "aliases"
}, {
"EntityResult": "Hash_SHA1", "Entity": "type"
}, {
"EntityResult": 1550120950000,
"Entity": "last_seen"
}
]
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。