Cisco Umbrella
Versión de integración: 13.0
Configura Cisco Umbrella para que funcione con Google Security Operations
Obtén el token de aplicación
Sigue estos pasos para recuperar tu clave:
- Navega a Políticas > Componentes de políticas > Integraciones.
- Expande la integración adecuada o haz clic en Agregar para generar una integración personalizada.
Referencia: https://docs.umbrella.com/investigate-api/reference#reference-getting-started
Obtén el token de Investigate
Para crear tu primer token de acceso a la API, sigue estos pasos:
- Haz clic en Crear token nuevo.
- Asigna un nombre al token y haz clic en Crear. El token generado incluye la dirección de correo electrónico de la persona que lo creó y la fecha de creación. Para revocar el token, haz clic en Borrar.
Referencia: https://docs.umbrella.com/investigate-api/reference#about-the-api-and-authentication
Configura la integración de Cisco Umbrella en Google SecOps
Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.
Acciones
Agregar dominio
Descripción
Agrega un dominio a la lista de bloqueo de OpenDNS.
Parámetros
N/A
Casos de uso
N/A
Ejecutar en
Esta acción se ejecuta en la entidad Hostname.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success:False |
Resultado de JSON
N/A
Borrar dominios
Descripción
Borra un dominio de la lista de bloqueo de OpenDNS.
Parámetros
N/A
Casos de uso
N/A
Ejecutar en
Esta acción se ejecuta en la entidad Hostname.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success:False |
Resultado de JSON
N/A
Obtén los dominios asociados
Descripción
Obtiene los dominios asociados para un nombre de host en particular.
Parámetros
N/A
Casos de uso
N/A
Ejecutar en
Esta acción se ejecuta en la entidad Hostname.
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| cisco_umbrella_Domains | Devuelve si existe en el resultado JSON |
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success:False |
Resultado de JSON
[{
"EntityResult": ["google.com", "twilio.com", "gmail.com"],
"Entity": "example.com"
}]
Obtén información de seguridad del dominio
Descripción
Proporcionar información de seguridad sobre un dominio (como archivo adjunto)
Parámetros
N/A
Casos de uso
N/A
Ejecutar en
Esta acción se ejecuta en la entidad Hostname.
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| encontrado | Devuelve si existe en el resultado JSON |
| popularidad | Devuelve si existe en el resultado JSON |
| geodiversity_normalized | Devuelve si existe en el resultado JSON |
| dga_score | Devuelve si existe en el resultado JSON |
| rip_score | Devuelve si existe en el resultado JSON |
| asn_score | Devuelve si existe en el resultado JSON |
| securerank2 | Devuelve si existe en el resultado JSON |
| geoscore | Devuelve si existe en el resultado JSON |
| ataque | Devuelve si existe en el resultado JSON |
| ks_test | Devuelve si existe en el resultado JSON |
| pagerank | Devuelve si existe en el resultado JSON |
| geodiversidad | Devuelve si existe en el resultado JSON |
| prefix_score | Devuelve si existe en el resultado JSON |
| perplejidad | Devuelve si existe en el resultado JSON |
| entropía | Devuelve si existe en el resultado JSON |
| fastflux | Devuelve si existe en el resultado JSON |
| threat_type | Devuelve si existe en el resultado JSON |
| tld_geodiversity | Devuelve si existe en el resultado JSON |
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success:False |
Resultado de JSON
[{
"EntityResult":
{
"found": false,
"popularity": 0.0,
"geodiversity_normalized": [],
"dga_score": -16.878373381058395,
"rip_score": 0.0,
"asn_score": 0.0,
"securerank2": 0.0,
"geoscore": 0.0,
"attack": "",
"ks_test": 0.0,
"pagerank": 0.0,
"geodiversity": [],
"prefix_score": 0.0,
"perplexity": 0.9961472993373601,
"entropy": 2.2516291673878226,
"fastflux": false,
"threat_type": "",
"tld_geodiversity": []
},
"Entity": "zahav1.ru"
}]
Obtener el estado del dominio
Descripción
Proporciona el estado de un dominio, sus categorías de contenido y su seguridad.
Parámetros
N/A
Casos de uso
N/A
Ejecutar en
Esta acción se ejecuta en la entidad Hostname.
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| content_categories | Devuelve si existe en el resultado JSON |
| estado | Devuelve si existe en el resultado JSON |
| security_categories | Devuelve si existe en el resultado JSON |
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success:False |
Resultado de JSON
[{
"EntityResult":
{ "content_categories": "Ecommerce/Shopping",
"status": "1",
"security_categories": ""
},
"Entity": "example.com"
}]
Obtener dominios maliciosos
Descripción
Obtén los dominios maliciosos de una dirección IP.
Parámetros
N/A
Casos de uso
N/A
Ejecutar en
Esta acción se ejecuta en la entidad Dirección IP.
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| 192.168.0.2 | Devuelve si existe en el resultado JSON |
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success:False |
Resultado de JSON
{
"192.168.0.2":
[ "d.applovin.com.doesntexist.com",
"atdmt.com.doesntexist.com",
"Adservice.google.com.doesntexist.com"
]
}
Obtener WHOIS
Descripción
Recupera la información de WHOIS para las direcciones de correo electrónico, los servidores de nombres y los dominios indicados.
Parámetros
N/A
Casos de uso
N/A
Ejecutar en
Esta acción se ejecuta en la entidad Hostname.
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| billingContactState | Devuelve si existe en el resultado JSON |
| administrativeContactPostalCode | Devuelve si existe en el resultado JSON |
| zoneContactCity | Devuelve si existe en el resultado JSON |
| address | Devuelve si existe en el resultado JSON |
| registrantFaxExt | Devuelve si existe en el resultado JSON |
| auditUpdatedDate | Devuelve si existe en el resultado JSON |
| administrativeContactCity | Devuelve si existe en el resultado JSON |
| administrativeContactEmail | Devuelve si existe en el resultado JSON |
| technicalContactFax | Devuelve si existe en el resultado JSON |
| billingContactOrganization | Devuelve si existe en el resultado JSON |
| billingContactEmail | Devuelve si existe en el resultado JSON |
| technicalContactPostalCode | Devuelve si existe en el resultado JSON |
| registrantOrganization | Devuelve si existe en el resultado JSON |
| zoneContactPostalCode | Devuelve si existe en el resultado JSON |
| registrantState | Devuelve si existe en el resultado JSON |
| administrativeContactName | Devuelve si existe en el resultado JSON |
| billingContactFaxExt | Devuelve si existe en el resultado JSON |
| billingContactCity | Devuelve si existe en el resultado JSON |
| technicalContactEmail | Devuelve si existe en el resultado JSON |
| registrantCountry | Devuelve si existe en el resultado JSON |
| technicalContactFaxExt | Devuelve si existe en el resultado JSON |
| administrativeContactStreet | Devuelve si existe en el resultado JSON |
| administrativeContactOrganization | Devuelve si existe en el resultado JSON |
| billingContactCountry | Devuelve si existe en el resultado JSON |
| billingContactName | Devuelve si existe en el resultado JSON |
| registrarName | Devuelve si existe en el resultado JSON |
| technicalContactTelephoneExt | Devuelve si existe en el resultado JSON |
| administrativeContactFax | Devuelve si existe en el resultado JSON |
| zoneContactFax | Devuelve si existe en el resultado JSON |
| timestamp | Devuelve si existe en el resultado JSON |
| registrantCity | Devuelve si existe en el resultado JSON |
| administrativeContactTelephoneExt | Devuelve si existe en el resultado JSON |
| estado | Devuelve si existe en el resultado JSON |
| actualizadas | Devuelve si existe en el resultado JSON |
| fecha de vencimiento | Devuelve si existe en el resultado JSON |
| whoisServers | Devuelve si existe en el resultado JSON |
| technicalContactName | Devuelve si existe en el resultado JSON |
| technicalContactState | Devuelve si existe en el resultado JSON |
| nameServers | Devuelve si existe en el resultado JSON |
| zoneContactFaxExt | Devuelve si existe en el resultado JSON |
| recordExpired | Devuelve si existe en el resultado JSON |
| registrantFax | Devuelve si existe en el resultado JSON |
| registrantTelephoneExt | Devuelve si existe en el resultado JSON |
| billingContactFax | Devuelve si existe en el resultado JSON |
| technicalContactOrganization | Devuelve si existe en el resultado JSON |
| administrativeContactState | Devuelve si existe en el resultado JSON |
| zoneContactOrganization | Devuelve si existe en el resultado JSON |
| billingContactPostalCode | Devuelve si existe en el resultado JSON |
| zoneContactStreet | Devuelve si existe en el resultado JSON |
| zoneContactName | Devuelve si existe en el resultado JSON |
| registrantPostalCode | Devuelve si existe en el resultado JSON |
| billingContactTelephone | Devuelve si existe en el resultado JSON |
| correos electrónicos | Devuelve si existe en el resultado JSON |
| registrantTelephone | Devuelve si existe en el resultado JSON |
| administrativeContactCountry | Devuelve si existe en el resultado JSON |
| technicalContactCity | Devuelve si existe en el resultado JSON |
| administrativeContactTelephone | Devuelve si existe en el resultado JSON |
| created | Devuelve si existe en el resultado JSON |
| registrarIANAID | Devuelve si existe en el resultado JSON |
| registrantStreet | Devuelve si existe en el resultado JSON |
| domainName | Devuelve si existe en el resultado JSON |
| technicalContactCountry | Devuelve si existe en el resultado JSON |
| billingContactStreet | Devuelve si existe en el resultado JSON |
| timeOfLatestRealtimeCheck | Devuelve si existe en el resultado JSON |
| zoneContactState | Devuelve si existe en el resultado JSON |
| registrantEmail | Devuelve si existe en el resultado JSON |
| administrativeContactFaxExt | Devuelve si existe en el resultado JSON |
| billingContactTelephoneExt | Devuelve si existe en el resultado JSON |
| zoneContactCountry | Devuelve si existe en el resultado JSON |
| zoneContactEmail | Devuelve si existe en el resultado JSON |
| zoneContactTelephoneExt | Devuelve si existe en el resultado JSON |
| technicalContactTelephone | Devuelve si existe en el resultado JSON |
| technicalContactStreet | Devuelve si existe en el resultado JSON |
| zoneContactTelephone | Devuelve si existe en el resultado JSON |
| hasRawText | Devuelve si existe en el resultado JSON |
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success:False |
Resultado de JSON
[{
"EntityResult":
{
"billingContactState": null,
"administrativeContactPostalCode": "89507",
"zoneContactCity": null,
"addresses": ["p.o. box 8102"],
"registrantFaxExt": null,
"registrantName": "Hostmaster, Amazon Legal Dept.",
"auditUpdatedDate": "2019-01-08 12:03:30.000 UTC",
"administrativeContactCity": "Reno",
"administrativeContactEmail": "john_doe@example.com",
"technicalContactFax": "12062667010",
"billingContactOrganization": null,
"billingContactEmail": null,
"technicalContactPostalCode": "89507",
"registrantOrganization": "Amazon Technologies, Inc.",
"zoneContactPostalCode": null,
"registrantState": "NV",
"administrativeContactName": "Hostmaster, Amazon Legal Dept.",
"billingContactFaxExt": null,
"billingContactCity": null,
"technicalContactEmail": "john_doe@example.com",
"registrantCountry": "UNITED STATES",
"technicalContactFaxExt": null,
"administrativeContactStreet": ["p.o. box 8102"],
"administrativeContactOrganization": "Amazon Technologies, Inc.",
"billingContactCountry": null,
"billingContactName": null,
"registrarName": "MarkMonitor, Inc.",
"technicalContactTelephoneExt": null,
"administrativeContactFax": null,
"zoneContactFax": null,
"timestamp": null,
"registrantCity": "Reno",
"administrativeContactTelephoneExt": null,
"status": [
"clientDeleteProhibited clientTransferProhibited clientUpdateProhibited serverDeleteProhibited serverTransferProhibited serverUpdateProhibited"],
"updated": "2014-04-30",
"expires": "2022-10-31",
"whoisServers": "whois.markmonitor.com",
"technicalContactName": "Hostmaster, Amazon Legal Dept.",
"technicalContactState": "NV",
"nameServers": [
"ns1.p31.dynect.net",
"Ns2.p31.dynect.net",
"Ns3.p31.dynect.net"
],
"zoneContactFaxExt": null,
"recordExpired": false,
"registrantFax": "12062667010",
"registrantTelephoneExt": null,
"billingContactFax": null,
"technicalContactOrganization": "Amazon Technologies, Inc.",
"administrativeContactState": "NV",
"zoneContactOrganization": null,
"billingContactPostalCode": null,
"zoneContactStreet": [],
"zoneContactName": null,
"registrantPostalCode": "89507",
"billingContactTelephone": null,
"emails": ["hostmaster@example.com"],
"registrantTelephone": "12062664064",
"administrativeContactCountry": "UNITED STATES",
"technicalContactCity": "Reno",
"administrativeContactTelephone": "12062664064",
"created": "1994-11-01",
"registrarIANAID": "292",
"registrantStreet": ["p.o. box 8102"],
"domainName": "example.com",
"technicalContactCountry": "UNITED STATES",
"billingContactStreet": [],
"timeOfLatestRealtimeCheck": 1547718689211,
"zoneContactState": null,
"registrantEmail": "john_doe@example.com",
"administrativeContactFaxExt": null,
"billingContactTelephoneExt": null,
"zoneContactCountry": null,
"zoneContactEmail": null,
"zoneContactTelephoneExt": null,
"technicalContactTelephone": "12062664064",
"technicalContactStreet": ["p.o. box 8102"],
"zoneContactTelephone": null,
"hasRawText": true
},
"Entity": "example.com"
}]
Is Domain In Cisco Popularity List
Usa la acción Is Domain In Cisco Popularity List para verificar si un dominio está presente en la lista de popularidad de Cisco.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
DomainHostnameURL
Entradas de acción
Ninguno
Resultados de la acción
La acción Is Domain In Cisco Popularity List proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | Disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Tabla de enriquecimiento de entidades
En la siguiente tabla, se enumeran los campos enriquecidos con la acción Is Domain In Cisco Popularity List:
| Campo de enriquecimiento | Fuente (clave JSON) | Aplicabilidad |
|---|---|---|
is_found_in_cisco_popular_list |
true/false |
Cuando está disponible en el resultado JSON. |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Is Domain In Cisco Popularity List:
[{
"Entity": "",
"EntityResult": {
"found": "true",
"entries": [
{
"order": 123,
"domain": ""
}
]
}
}]
Mensajes de salida
La acción Is Domain In Cisco Popularity List puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Is Domain In Cisco Popularity List".
Reason: ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Is Domain In Cisco Popularity List:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
true o false |
Enumera los dominios principales
Usa la acción List Top Domains para recuperar datos sobre los dominios más frecuentes según la lista de popularidad de Cisco.
Entradas de acción
La acción List Top Domains requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Max Domains To Return |
Obligatorio. Es la cantidad máxima de dominios que se recuperarán de la lista. El valor máximo es El valor predeterminado es |
Resultados de la acción
La acción List Top Domains proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción List Top Domains:
[{
"order": 123,
"domain": ""
}]
Mensajes de salida
La acción List Top Domains puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "List Top Domains".
Reason: ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción List Top Domains:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
true o false |
Ping
Descripción
Prueba la conectividad.
Parámetros
N/A
Casos de uso
N/A
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success:False |
Resultado de JSON
N/A
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.