Cisco Umbrella
統合バージョン: 13.0
Google Security Operations と連携するように Cisco Umbrella を構成する
適用トークンを取得する
キーを取得するには:
- [Policies] > [Policy Components] > [Integrations] に移動します。
- 該当する統合を開くか、[追加] をクリックしてカスタム統合を生成します。
関連資料: https://docs.umbrella.com/investigate-api/reference#reference-getting-started
調査トークンを取得する
最初の API アクセス トークンを作成するには:
- [Create new token] をクリックします。
- トークンに名前を付けて、[作成] をクリックします。生成されたトークンには、作成者のメールアドレスと作成日が含まれます。トークンを取り消すには、[削除] をクリックします。
参照: https://docs.umbrella.com/investigate-api/reference#about-the-api-and-authentication
Google SecOps で Cisco Umbrella の統合を構成する
Google SecOps で統合を構成する方法について詳しくは、統合を構成するをご覧ください。
操作
ドメインの追加
説明
OpenDNS のブロック リストにドメインを追加します。
パラメータ
なし
ユースケース
なし
実行
このアクションはホスト名エンティティに対して実行されます。
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
N/A
ドメインの削除
説明
OpenDNS ブロック リストからドメインを削除します。
パラメータ
なし
ユースケース
なし
実行
このアクションはホスト名エンティティに対して実行されます。
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
N/A
関連付けられたドメインを取得する
説明
特定のホスト名に関連付けられているドメインを取得します。
パラメータ
なし
ユースケース
なし
実行
このアクションはホスト名エンティティに対して実行されます。
アクションの結果
エンティティ拡充
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| cisco_umbrella_Domains | JSON の結果に存在する場合に返す |
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[{
"EntityResult": ["google.com", "twilio.com", "gmail.com"],
"Entity": "example.com"
}]
ドメインのセキュリティ情報を取得する
説明
ドメインのセキュリティ情報を提供します(添付ファイルとして)。
パラメータ
なし
ユースケース
なし
実行
このアクションはホスト名エンティティに対して実行されます。
アクションの結果
エンティティ拡充
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| 選択される | JSON の結果に存在する場合に返す |
| 人気度 | JSON の結果に存在する場合に返す |
| geodiversity_normalized | JSON の結果に存在する場合に返す |
| dga_score | JSON の結果に存在する場合に返す |
| rip_score | JSON の結果に存在する場合に返す |
| asn_score | JSON の結果に存在する場合に返す |
| securerank2 | JSON の結果に存在する場合に返す |
| geoscore | JSON の結果に存在する場合に返す |
| 攻撃 | JSON の結果に存在する場合に返す |
| ks_test | JSON の結果に存在する場合に返す |
| pagerank | JSON の結果に存在する場合に返す |
| ジオダイバーシティ | JSON の結果に存在する場合に返す |
| prefix_score | JSON の結果に存在する場合に返す |
| パープレキシティ | JSON の結果に存在する場合に返す |
| エントロピー | JSON の結果に存在する場合に返す |
| fastflux | JSON の結果に存在する場合に返す |
| threat_type | JSON の結果に存在する場合に返す |
| tld_geodiversity | JSON の結果に存在する場合に返す |
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[{
"EntityResult":
{
"found": false,
"popularity": 0.0,
"geodiversity_normalized": [],
"dga_score": -16.878373381058395,
"rip_score": 0.0,
"asn_score": 0.0,
"securerank2": 0.0,
"geoscore": 0.0,
"attack": "",
"ks_test": 0.0,
"pagerank": 0.0,
"geodiversity": [],
"prefix_score": 0.0,
"perplexity": 0.9961472993373601,
"entropy": 2.2516291673878226,
"fastflux": false,
"threat_type": "",
"tld_geodiversity": []
},
"Entity": "zahav1.ru"
}]
ドメインのステータスを取得する
説明
ドメインのステータス、コンテンツのカテゴリ、セキュリティを提供します。
パラメータ
なし
ユースケース
なし
実行
このアクションはホスト名エンティティに対して実行されます。
アクションの結果
エンティティ拡充
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| content_categories | JSON の結果に存在する場合に返す |
| 設定されます。 | JSON の結果に存在する場合に返す |
| security_categories | JSON の結果に存在する場合に返す |
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[{
"EntityResult":
{ "content_categories": "Ecommerce/Shopping",
"status": "1",
"security_categories": ""
},
"Entity": "example.com"
}]
Get Malicious Domains
説明
IP アドレスの悪意のあるドメインを取得します。
パラメータ
なし
ユースケース
なし
実行
このアクションは IP アドレス エンティティに対して実行されます。
アクションの結果
エンティティ拡充
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| 192.168.0.2 | JSON の結果に存在する場合に返す |
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"192.168.0.2":
[ "d.applovin.com.doesntexist.com",
"atdmt.com.doesntexist.com",
"Adservice.google.com.doesntexist.com"
]
}
WHOIS の取得
説明
指定されたメールアドレス、ネームサーバー、ドメインの WHOIS 情報を取得します。
パラメータ
なし
ユースケース
なし
実行
このアクションはホスト名エンティティに対して実行されます。
アクションの結果
エンティティ拡充
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| billingContactState | JSON の結果に存在する場合に返す |
| administrativeContactPostalCode | JSON の結果に存在する場合に返す |
| zoneContactCity | JSON の結果に存在する場合に返す |
| address | JSON の結果に存在する場合に返す |
| registrantFaxExt | JSON の結果に存在する場合に返す |
| auditUpdatedDate | JSON の結果に存在する場合に返す |
| administrativeContactCity | JSON の結果に存在する場合に返す |
| administrativeContactEmail | JSON の結果に存在する場合に返す |
| technicalContactFax | JSON の結果に存在する場合に返す |
| billingContactOrganization | JSON の結果に存在する場合に返す |
| billingContactEmail | JSON の結果に存在する場合に返す |
| technicalContactPostalCode | JSON の結果に存在する場合に返す |
| registrantOrganization | JSON の結果に存在する場合に返す |
| zoneContactPostalCode | JSON の結果に存在する場合に返す |
| registrantState | JSON の結果に存在する場合に返す |
| administrativeContactName | JSON の結果に存在する場合に返す |
| billingContactFaxExt | JSON の結果に存在する場合に返す |
| billingContactCity | JSON の結果に存在する場合に返す |
| technicalContactEmail | JSON の結果に存在する場合に返す |
| registrantCountry | JSON の結果に存在する場合に返す |
| technicalContactFaxExt | JSON の結果に存在する場合に返す |
| administrativeContactStreet | JSON の結果に存在する場合に返す |
| administrativeContactOrganization | JSON の結果に存在する場合に返す |
| billingContactCountry | JSON の結果に存在する場合に返す |
| billingContactName | JSON の結果に存在する場合に返す |
| registrarName | JSON の結果に存在する場合に返す |
| technicalContactTelephoneExt | JSON の結果に存在する場合に返す |
| administrativeContactFax | JSON の結果に存在する場合に返す |
| zoneContactFax | JSON の結果に存在する場合に返す |
| timestamp | JSON の結果に存在する場合に返す |
| registrantCity | JSON の結果に存在する場合に返す |
| administrativeContactTelephoneExt | JSON の結果に存在する場合に返す |
| 設定されます。 | JSON の結果に存在する場合に返す |
| 更新済み | JSON の結果に存在する場合に返す |
| 有効期限 | JSON の結果に存在する場合に返す |
| whoisServers | JSON の結果に存在する場合に返す |
| technicalContactName | JSON の結果に存在する場合に返す |
| technicalContactState | JSON の結果に存在する場合に返す |
| nameServers | JSON の結果に存在する場合に返す |
| zoneContactFaxExt | JSON の結果に存在する場合に返す |
| recordExpired | JSON の結果に存在する場合に返す |
| registrantFax | JSON の結果に存在する場合に返す |
| registrantTelephoneExt | JSON の結果に存在する場合に返す |
| billingContactFax | JSON の結果に存在する場合に返す |
| technicalContactOrganization | JSON の結果に存在する場合に返す |
| administrativeContactState | JSON の結果に存在する場合に返す |
| zoneContactOrganization | JSON の結果に存在する場合に返す |
| billingContactPostalCode | JSON の結果に存在する場合に返す |
| zoneContactStreet | JSON の結果に存在する場合に返す |
| zoneContactName | JSON の結果に存在する場合に返す |
| registrantPostalCode | JSON の結果に存在する場合に返す |
| billingContactTelephone | JSON の結果に存在する場合に返す |
| メール | JSON の結果に存在する場合に返す |
| registrantTelephone | JSON の結果に存在する場合に返す |
| administrativeContactCountry | JSON の結果に存在する場合に返す |
| technicalContactCity | JSON の結果に存在する場合に返す |
| administrativeContactTelephone | JSON の結果に存在する場合に返す |
| created | JSON の結果に存在する場合に返す |
| registrarIANAID | JSON の結果に存在する場合に返す |
| registrantStreet | JSON の結果に存在する場合に返す |
| domainName | JSON の結果に存在する場合に返す |
| technicalContactCountry | JSON の結果に存在する場合に返す |
| billingContactStreet | JSON の結果に存在する場合に返す |
| timeOfLatestRealtimeCheck | JSON の結果に存在する場合に返す |
| zoneContactState | JSON の結果に存在する場合に返す |
| registrantEmail | JSON の結果に存在する場合に返す |
| administrativeContactFaxExt | JSON の結果に存在する場合に返す |
| billingContactTelephoneExt | JSON の結果に存在する場合に返す |
| zoneContactCountry | JSON の結果に存在する場合に返す |
| zoneContactEmail | JSON の結果に存在する場合に返す |
| zoneContactTelephoneExt | JSON の結果に存在する場合に返す |
| technicalContactTelephone | JSON の結果に存在する場合に返す |
| technicalContactStreet | JSON の結果に存在する場合に返す |
| zoneContactTelephone | JSON の結果に存在する場合に返す |
| hasRawText | JSON の結果に存在する場合に返す |
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[{
"EntityResult":
{
"billingContactState": null,
"administrativeContactPostalCode": "89507",
"zoneContactCity": null,
"addresses": ["p.o. box 8102"],
"registrantFaxExt": null,
"registrantName": "Hostmaster, Amazon Legal Dept.",
"auditUpdatedDate": "2019-01-08 12:03:30.000 UTC",
"administrativeContactCity": "Reno",
"administrativeContactEmail": "john_doe@example.com",
"technicalContactFax": "12062667010",
"billingContactOrganization": null,
"billingContactEmail": null,
"technicalContactPostalCode": "89507",
"registrantOrganization": "Amazon Technologies, Inc.",
"zoneContactPostalCode": null,
"registrantState": "NV",
"administrativeContactName": "Hostmaster, Amazon Legal Dept.",
"billingContactFaxExt": null,
"billingContactCity": null,
"technicalContactEmail": "john_doe@example.com",
"registrantCountry": "UNITED STATES",
"technicalContactFaxExt": null,
"administrativeContactStreet": ["p.o. box 8102"],
"administrativeContactOrganization": "Amazon Technologies, Inc.",
"billingContactCountry": null,
"billingContactName": null,
"registrarName": "MarkMonitor, Inc.",
"technicalContactTelephoneExt": null,
"administrativeContactFax": null,
"zoneContactFax": null,
"timestamp": null,
"registrantCity": "Reno",
"administrativeContactTelephoneExt": null,
"status": [
"clientDeleteProhibited clientTransferProhibited clientUpdateProhibited serverDeleteProhibited serverTransferProhibited serverUpdateProhibited"],
"updated": "2014-04-30",
"expires": "2022-10-31",
"whoisServers": "whois.markmonitor.com",
"technicalContactName": "Hostmaster, Amazon Legal Dept.",
"technicalContactState": "NV",
"nameServers": [
"ns1.p31.dynect.net",
"Ns2.p31.dynect.net",
"Ns3.p31.dynect.net"
],
"zoneContactFaxExt": null,
"recordExpired": false,
"registrantFax": "12062667010",
"registrantTelephoneExt": null,
"billingContactFax": null,
"technicalContactOrganization": "Amazon Technologies, Inc.",
"administrativeContactState": "NV",
"zoneContactOrganization": null,
"billingContactPostalCode": null,
"zoneContactStreet": [],
"zoneContactName": null,
"registrantPostalCode": "89507",
"billingContactTelephone": null,
"emails": ["hostmaster@example.com"],
"registrantTelephone": "12062664064",
"administrativeContactCountry": "UNITED STATES",
"technicalContactCity": "Reno",
"administrativeContactTelephone": "12062664064",
"created": "1994-11-01",
"registrarIANAID": "292",
"registrantStreet": ["p.o. box 8102"],
"domainName": "example.com",
"technicalContactCountry": "UNITED STATES",
"billingContactStreet": [],
"timeOfLatestRealtimeCheck": 1547718689211,
"zoneContactState": null,
"registrantEmail": "john_doe@example.com",
"administrativeContactFaxExt": null,
"billingContactTelephoneExt": null,
"zoneContactCountry": null,
"zoneContactEmail": null,
"zoneContactTelephoneExt": null,
"technicalContactTelephone": "12062664064",
"technicalContactStreet": ["p.o. box 8102"],
"zoneContactTelephone": null,
"hasRawText": true
},
"Entity": "example.com"
}]
Is Domain In Cisco Popularity List
Is Domain In Cisco Popularity List アクションを使用して、ドメインが Cisco Popularity List に存在するかどうかを確認します。
このアクションは、次の Google SecOps エンティティに対して実行されます。
DomainHostnameURL
アクション入力
なし
アクションの出力
[Is Domain In Cisco Popularity List] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用可能 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
エンティティ拡充テーブル
次の表に、Is Domain In Cisco Popularity List アクションを使用して拡充されるフィールドを示します。
| 拡充フィールド | ソース(JSON キー) | 適用範囲 |
|---|---|---|
is_found_in_cisco_popular_list |
true/false |
JSON の結果で利用可能な場合。 |
JSON の結果
次の例は、Is Domain In Cisco Popularity List アクションを使用した場合に受信される JSON 結果の出力です。
[{
"Entity": "",
"EntityResult": {
"found": "true",
"entries": [
{
"order": 123,
"domain": ""
}
]
}
}]
出力メッセージ
Is Domain In Cisco Popularity List アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Is Domain In Cisco Popularity List".
Reason: ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、Is Domain In Cisco Popularity List アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
true または false |
上位ドメインの一覧を取得する
[List Top Domains] アクションを使用して、Cisco 人気度リストに基づいて最も頻繁に使用されるドメインに関するデータを取得します。
アクション入力
[上位ドメインを一覧表示] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Max Domains To Return |
必須。 リストから取得するドメインの最大数。 最大値は デフォルト値は |
アクションの出力
[上位ドメインを一覧表示] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、上位ドメインを一覧表示アクションを使用したときに受信した JSON 結果の出力を示しています。
[{
"order": 123,
"domain": ""
}]
出力メッセージ
上位ドメインのリストを取得するアクションは、次の出力メッセージを返すことがあります。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "List Top Domains".
Reason: ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、[上位ドメインを一覧表示] アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
true または false |
Ping
説明
接続をテストします。
パラメータ
なし
ユースケース
なし
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
N/A
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。