Cloudflare Email Security with Google SecOps
本文說明如何將 Cloudflare Email Security (舊稱 Area 1) 與 Google Security Operations (Google SecOps) 整合。
整合版本:5.0
整合參數
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
請使用下列參數設定整合:
| 參數名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 執行個體名稱 | 字串 | 不適用 | 否 | 您要設定整合的執行個體名稱。 |
| 說明 | 字串 | 不適用 | 否 | 執行個體的說明。 |
| API 根目錄 | 字串 | https://HOST:PORT | 是 | 區域 1 執行個體的地址。 |
| 使用者名稱 | 字串 | 不適用 | 是 | 使用者電子郵件地址,應做為連線至 Area 1 的用途。 |
| 密碼 | 密碼 | 不適用 | 是 | 相應使用者的密碼。 |
| 驗證 SSL | 核取方塊 | 已勾選 | 否 | 如果 Area 1 連線需要 SSL 驗證,請勾選這個核取方塊。 |
| 遠端執行 | 核取方塊 | 已取消勾選 | 否 | 勾選這個欄位,即可遠端執行設定的整合項目。勾選後,系統會顯示選取遠端使用者 (服務專員) 的選項。 |
動作
取得近期指標
從 Cloudflare Email Security 取得與網路釣魚相關的近期惡意指標。
參數
| 參數 | 類型 | 預設值 | 說明 |
|---|---|---|---|
| 倒回幾秒 | 字串 | 不適用 | 不適用 |
執行日期
這項操作會對所有實體執行。
動作結果
指令碼結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| Is_Success | True/False | Is_Success:False |
JSON 結果
[
{
"threat_categories":
[{
"classification_disposition": ["Unclassified"]
}],
"threat_name": "Microsoft Favicon Impersonation",
"item_name": "example.com/nc_assets/css/12/",
"item_type": "url",
"first_seen": 1550127499097,
"last_seen": 1550134395800
}, {
"threat_categories":
[{
"category": ["Universal"],
"threat_type": ["Actor Tool"],
"classification_disposition": ["Unclassified"]
}],
"threat_name": "Area 1 Identified Malicious",
"item_name": "e039e82c00e4ae0ddc92908c705350ec",
"item_type": "filehash",
"first_seen": 1550125103575,
"last_seen": 1550125103575
}
]
乒乓
測試與 Cloudflare Email Security 的連線。
執行日期
這項操作會對所有實體執行。
動作結果
指令碼結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
搜尋指標
在 Cloudflare Email Security 中,依雜湊、網址、網域、IP 位址或電子郵件地址搜尋指標。
執行日期
這項操作會對所有實體執行。
動作結果
實體充實
| 擴充功能欄位名稱 | 邏輯 - 應用時機 |
|---|---|
| AREA1_category | 如果 JSON 結果中存在該值,則傳回該值 |
| AREA1_threat_type | 如果 JSON 結果中存在該值,則傳回該值 |
| AREA1_classification_disposition | 如果 JSON 結果中存在該值,則傳回該值 |
| AREA1_confidence_rating | 如果 JSON 結果中存在該值,則傳回該值 |
| AREA1_intervals | 如果 JSON 結果中存在該值,則傳回該值 |
| AREA1_value | 如果 JSON 結果中存在該值,則傳回該值 |
| AREA1_type | 如果 JSON 結果中存在該值,則傳回該值 |
| AREA1_name | 如果 JSON 結果中存在該值,則傳回該值 |
指令碼結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
[
{
"EntityResult": "85f321d7f27916de21992c5284ff632db3db3481",
"Entity": "indicator"
}, {
"EntityResult": "red",
"Entity": "tlp"
}, {
"EntityResult": 80,
"Entity": "overall_confidence"
}, {
"EntityResult": "85f321d7f27916de21992c5284ff632db3db3481",
"Entity": "name"
}, {
"EntityResult": [
{
"category": ["Universal"],
"threat_type": ["Actor Tool"],
"classification_disposition": ["Unclassified"]
}],
"Entity": "threat_categories"
}, {
"EntityResult": "drizzle",
"Entity": "author"
}, {
"EntityResult": "85f321d7f27916de21992c5284ff632db3db3481",
"Entity": "filehash"
}, {
"EntityResult": 1550125103522,
"Entity": "first_detected"
}, {
"EntityResult": "85f321d7f27916de21992c5284ff632db3db3481",
"Entity": "Hash_SHA1"
}, {
"EntityResult": "Area 1 Identified Malicious",
"Entity": "threat_name"
}, {
"EntityResult": "85f321d7f27916de21992c5284ff632db3db3481",
"Entity": "query_term"
}, {
"EntityResult": "MAICIOUS",
"Entity": "disposition"
}, {
"EntityResult": "file",
"Entity": "family"
}, {
"EntityResult": [
{
"category": "Indicator Category",
"confidence_rating": 80,
"intervals": [
{
"start": 1550120952000,
"end": "current"
}],
"value": "Universal"
}],
"Entity": "tag_histories"
}, {
"EntityResult": 1550125103522,
"Entity": "first_seen"
}, {
"EntityResult": [
{
"type": "Hash_MD5",
"name": "e412341be78003526999f77e8728526e"
}, {
"type": "Hash_SHA256",
"name": "61f006012d2bd7f43bc14ecbeb6a7e690f9d68b4b6b396dab5805be2da75c717"
}],
"Entity": "aliases"
}, {
"EntityResult": "Hash_SHA1", "Entity": "type"
}, {
"EntityResult": 1550120950000,
"Entity": "last_seen"
}
]
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。