Cisco Umbrella
Versione integrazione: 13.0
Configurare Cisco Umbrella per l'utilizzo con Google Security Operations
Recuperare il token di applicazione
Per recuperare la chiave:
- Vai a Norme > Componenti delle norme > Integrazioni.
- Espandi l'integrazione appropriata o fai clic su Aggiungi per generare un'integrazione personalizzata.
Riferimento: https://docs.umbrella.com/investigate-api/reference#reference-getting-started
Ottenere il token di analisi
Per creare il tuo primo token di accesso API:
- Fai clic su Crea nuovo token.
- Assegna un nome al token e fai clic su Crea. Il token generato include l'indirizzo email della persona che lo ha creato e la data di creazione. Per revocare il token, fai clic su Elimina.
Riferimento: https://docs.umbrella.com/investigate-api/reference#about-the-api-and-authentication
Configurare l'integrazione di Cisco Umbrella in Google SecOps
Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.
Azioni
Aggiungi dominio
Descrizione
Aggiungi un dominio all'elenco bloccati di OpenDNS.
Parametri
N/D
Casi d'uso
N/D
Run On
Questa azione viene eseguita sull'entità Nome host.
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
N/A
Elimina dominio
Descrizione
Elimina un dominio dalla lista bloccata di OpenDNS.
Parametri
N/D
Casi d'uso
N/D
Run On
Questa azione viene eseguita sull'entità Nome host.
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
N/A
Get Associated Domains
Descrizione
Ottieni i domini associati per un determinato nome host.
Parametri
N/D
Casi d'uso
N/D
Run On
Questa azione viene eseguita sull'entità Nome host.
Risultati dell'azione
Arricchimento delle entità
| Nome campo di arricchimento | Logica: quando applicarla |
|---|---|
| cisco_umbrella_Domains | Restituisce il valore se esiste nel risultato JSON |
Approfondimenti
N/D
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
[{
"EntityResult": ["google.com", "twilio.com", "gmail.com"],
"Entity": "example.com"
}]
Recuperare le informazioni sulla sicurezza del dominio
Descrizione
Fornisci informazioni sulla sicurezza di un dominio (come allegato).
Parametri
N/D
Casi d'uso
N/D
Run On
Questa azione viene eseguita sull'entità Nome host.
Risultati dell'azione
Arricchimento delle entità
| Nome campo di arricchimento | Logica - Quando applicarla |
|---|---|
| trovati | Restituisce il valore se esiste nel risultato JSON |
| popolarità | Restituisce il valore se esiste nel risultato JSON |
| geodiversity_normalized | Restituisce il valore se esiste nel risultato JSON |
| dga_score | Restituisce il valore se esiste nel risultato JSON |
| rip_score | Restituisce il valore se esiste nel risultato JSON |
| asn_score | Restituisce il valore se esiste nel risultato JSON |
| securerank2 | Restituisce il valore se esiste nel risultato JSON |
| geoscore | Restituisce il valore se esiste nel risultato JSON |
| attacco | Restituisce il valore se esiste nel risultato JSON |
| ks_test | Restituisce il valore se esiste nel risultato JSON |
| pagerank | Restituisce il valore se esiste nel risultato JSON |
| geodiversità | Restituisce il valore se esiste nel risultato JSON |
| prefix_score | Restituisce il valore se esiste nel risultato JSON |
| perplessità | Restituisce il valore se esiste nel risultato JSON |
| entropia | Restituisce il valore se esiste nel risultato JSON |
| fastflux | Restituisce il valore se esiste nel risultato JSON |
| threat_type | Restituisce il valore se esiste nel risultato JSON |
| tld_geodiversity | Restituisce il valore se esiste nel risultato JSON |
Approfondimenti
N/D
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
[{
"EntityResult":
{
"found": false,
"popularity": 0.0,
"geodiversity_normalized": [],
"dga_score": -16.878373381058395,
"rip_score": 0.0,
"asn_score": 0.0,
"securerank2": 0.0,
"geoscore": 0.0,
"attack": "",
"ks_test": 0.0,
"pagerank": 0.0,
"geodiversity": [],
"prefix_score": 0.0,
"perplexity": 0.9961472993373601,
"entropy": 2.2516291673878226,
"fastflux": false,
"threat_type": "",
"tld_geodiversity": []
},
"Entity": "zahav1.ru"
}]
Ottieni lo stato del dominio
Descrizione
Fornisce lo stato di un dominio, le relative categorie di contenuti e la sicurezza.
Parametri
N/D
Casi d'uso
N/D
Run On
Questa azione viene eseguita sull'entità Nome host.
Risultati dell'azione
Arricchimento delle entità
| Nome campo di arricchimento | Logica - Quando applicarla |
|---|---|
| content_categories | Restituisce il valore se esiste nel risultato JSON |
| stato | Restituisce il valore se esiste nel risultato JSON |
| security_categories | Restituisce il valore se esiste nel risultato JSON |
Approfondimenti
N/D
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
[{
"EntityResult":
{ "content_categories": "Ecommerce/Shopping",
"status": "1",
"security_categories": ""
},
"Entity": "example.com"
}]
Recupera domini dannosi
Descrizione
Ottieni i domini dannosi per un indirizzo IP.
Parametri
N/D
Casi d'uso
N/D
Run On
Questa azione viene eseguita sull'entità Indirizzo IP.
Risultati dell'azione
Arricchimento delle entità
| Nome campo di arricchimento | Logica - Quando applicarla |
|---|---|
| 192.168.0.2 | Restituisce il valore se esiste nel risultato JSON |
Approfondimenti
N/D
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
{
"192.168.0.2":
[ "d.applovin.com.doesntexist.com",
"atdmt.com.doesntexist.com",
"Adservice.google.com.doesntexist.com"
]
}
Recupero WHOIS
Descrizione
Recupera le informazioni WHOIS per gli indirizzi email, i nameserver e i domini indicati.
Parametri
N/D
Casi d'uso
N/D
Run On
Questa azione viene eseguita sull'entità Nome host.
Risultati dell'azione
Arricchimento delle entità
| Nome campo di arricchimento | Logica - Quando applicarla |
|---|---|
| billingContactState | Restituisce il valore se esiste nel risultato JSON |
| administrativeContactPostalCode | Restituisce il valore se esiste nel risultato JSON |
| zoneContactCity | Restituisce il valore se esiste nel risultato JSON |
| indirizzo | Restituisce il valore se esiste nel risultato JSON |
| registrantFaxExt | Restituisce il valore se esiste nel risultato JSON |
| auditUpdatedDate | Restituisce il valore se esiste nel risultato JSON |
| administrativeContactCity | Restituisce il valore se esiste nel risultato JSON |
| administrativeContactEmail | Restituisce il valore se esiste nel risultato JSON |
| technicalContactFax | Restituisce il valore se esiste nel risultato JSON |
| billingContactOrganization | Restituisce il valore se esiste nel risultato JSON |
| billingContactEmail | Restituisce il valore se esiste nel risultato JSON |
| technicalContactPostalCode | Restituisce il valore se esiste nel risultato JSON |
| registrantOrganization | Restituisce il valore se esiste nel risultato JSON |
| zoneContactPostalCode | Restituisce il valore se esiste nel risultato JSON |
| registrantState | Restituisce il valore se esiste nel risultato JSON |
| administrativeContactName | Restituisce il valore se esiste nel risultato JSON |
| billingContactFaxExt | Restituisce il valore se esiste nel risultato JSON |
| billingContactCity | Restituisce il valore se esiste nel risultato JSON |
| technicalContactEmail | Restituisce il valore se esiste nel risultato JSON |
| registrantCountry | Restituisce il valore se esiste nel risultato JSON |
| technicalContactFaxExt | Restituisce il valore se esiste nel risultato JSON |
| administrativeContactStreet | Restituisce il valore se esiste nel risultato JSON |
| administrativeContactOrganization | Restituisce il valore se esiste nel risultato JSON |
| billingContactCountry | Restituisce il valore se esiste nel risultato JSON |
| billingContactName | Restituisce il valore se esiste nel risultato JSON |
| registrarName | Restituisce il valore se esiste nel risultato JSON |
| technicalContactTelephoneExt | Restituisce il valore se esiste nel risultato JSON |
| administrativeContactFax | Restituisce il valore se esiste nel risultato JSON |
| zoneContactFax | Restituisce il valore se esiste nel risultato JSON |
| timestamp | Restituisce il valore se esiste nel risultato JSON |
| registrantCity | Restituisce il valore se esiste nel risultato JSON |
| administrativeContactTelephoneExt | Restituisce il valore se esiste nel risultato JSON |
| stato | Restituisce il valore se esiste nel risultato JSON |
| aggiornato | Restituisce il valore se esiste nel risultato JSON |
| scadenza | Restituisce il valore se esiste nel risultato JSON |
| whoisServers | Restituisce il valore se esiste nel risultato JSON |
| technicalContactName | Restituisce il valore se esiste nel risultato JSON |
| technicalContactState | Restituisce il valore se esiste nel risultato JSON |
| nameServers | Restituisce il valore se esiste nel risultato JSON |
| zoneContactFaxExt | Restituisce il valore se esiste nel risultato JSON |
| recordExpired | Restituisce il valore se esiste nel risultato JSON |
| registrantFax | Restituisce il valore se esiste nel risultato JSON |
| registrantTelephoneExt | Restituisce il valore se esiste nel risultato JSON |
| billingContactFax | Restituisce il valore se esiste nel risultato JSON |
| technicalContactOrganization | Restituisce il valore se esiste nel risultato JSON |
| administrativeContactState | Restituisce il valore se esiste nel risultato JSON |
| zoneContactOrganization | Restituisce il valore se esiste nel risultato JSON |
| billingContactPostalCode | Restituisce il valore se esiste nel risultato JSON |
| zoneContactStreet | Restituisce il valore se esiste nel risultato JSON |
| zoneContactName | Restituisce il valore se esiste nel risultato JSON |
| registrantPostalCode | Restituisce il valore se esiste nel risultato JSON |
| billingContactTelephone | Restituisce il valore se esiste nel risultato JSON |
| Restituisce il valore se esiste nel risultato JSON | |
| registrantTelephone | Restituisce il valore se esiste nel risultato JSON |
| administrativeContactCountry | Restituisce il valore se esiste nel risultato JSON |
| technicalContactCity | Restituisce il valore se esiste nel risultato JSON |
| administrativeContactTelephone | Restituisce il valore se esiste nel risultato JSON |
| creato | Restituisce il valore se esiste nel risultato JSON |
| registrarIANAID | Restituisce il valore se esiste nel risultato JSON |
| registrantStreet | Restituisce il valore se esiste nel risultato JSON |
| domainName | Restituisce il valore se esiste nel risultato JSON |
| technicalContactCountry | Restituisce il valore se esiste nel risultato JSON |
| billingContactStreet | Restituisce il valore se esiste nel risultato JSON |
| timeOfLatestRealtimeCheck | Restituisce il valore se esiste nel risultato JSON |
| zoneContactState | Restituisce il valore se esiste nel risultato JSON |
| registrantEmail | Restituisce il valore se esiste nel risultato JSON |
| administrativeContactFaxExt | Restituisce il valore se esiste nel risultato JSON |
| billingContactTelephoneExt | Restituisce il valore se esiste nel risultato JSON |
| zoneContactCountry | Restituisce il valore se esiste nel risultato JSON |
| zoneContactEmail | Restituisce il valore se esiste nel risultato JSON |
| zoneContactTelephoneExt | Restituisce il valore se esiste nel risultato JSON |
| technicalContactTelephone | Restituisce il valore se esiste nel risultato JSON |
| technicalContactStreet | Restituisce il valore se esiste nel risultato JSON |
| zoneContactTelephone | Restituisce il valore se esiste nel risultato JSON |
| hasRawText | Restituisce il valore se esiste nel risultato JSON |
Approfondimenti
N/D
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
[{
"EntityResult":
{
"billingContactState": null,
"administrativeContactPostalCode": "89507",
"zoneContactCity": null,
"addresses": ["p.o. box 8102"],
"registrantFaxExt": null,
"registrantName": "Hostmaster, Amazon Legal Dept.",
"auditUpdatedDate": "2019-01-08 12:03:30.000 UTC",
"administrativeContactCity": "Reno",
"administrativeContactEmail": "john_doe@example.com",
"technicalContactFax": "12062667010",
"billingContactOrganization": null,
"billingContactEmail": null,
"technicalContactPostalCode": "89507",
"registrantOrganization": "Amazon Technologies, Inc.",
"zoneContactPostalCode": null,
"registrantState": "NV",
"administrativeContactName": "Hostmaster, Amazon Legal Dept.",
"billingContactFaxExt": null,
"billingContactCity": null,
"technicalContactEmail": "john_doe@example.com",
"registrantCountry": "UNITED STATES",
"technicalContactFaxExt": null,
"administrativeContactStreet": ["p.o. box 8102"],
"administrativeContactOrganization": "Amazon Technologies, Inc.",
"billingContactCountry": null,
"billingContactName": null,
"registrarName": "MarkMonitor, Inc.",
"technicalContactTelephoneExt": null,
"administrativeContactFax": null,
"zoneContactFax": null,
"timestamp": null,
"registrantCity": "Reno",
"administrativeContactTelephoneExt": null,
"status": [
"clientDeleteProhibited clientTransferProhibited clientUpdateProhibited serverDeleteProhibited serverTransferProhibited serverUpdateProhibited"],
"updated": "2014-04-30",
"expires": "2022-10-31",
"whoisServers": "whois.markmonitor.com",
"technicalContactName": "Hostmaster, Amazon Legal Dept.",
"technicalContactState": "NV",
"nameServers": [
"ns1.p31.dynect.net",
"Ns2.p31.dynect.net",
"Ns3.p31.dynect.net"
],
"zoneContactFaxExt": null,
"recordExpired": false,
"registrantFax": "12062667010",
"registrantTelephoneExt": null,
"billingContactFax": null,
"technicalContactOrganization": "Amazon Technologies, Inc.",
"administrativeContactState": "NV",
"zoneContactOrganization": null,
"billingContactPostalCode": null,
"zoneContactStreet": [],
"zoneContactName": null,
"registrantPostalCode": "89507",
"billingContactTelephone": null,
"emails": ["hostmaster@example.com"],
"registrantTelephone": "12062664064",
"administrativeContactCountry": "UNITED STATES",
"technicalContactCity": "Reno",
"administrativeContactTelephone": "12062664064",
"created": "1994-11-01",
"registrarIANAID": "292",
"registrantStreet": ["p.o. box 8102"],
"domainName": "example.com",
"technicalContactCountry": "UNITED STATES",
"billingContactStreet": [],
"timeOfLatestRealtimeCheck": 1547718689211,
"zoneContactState": null,
"registrantEmail": "john_doe@example.com",
"administrativeContactFaxExt": null,
"billingContactTelephoneExt": null,
"zoneContactCountry": null,
"zoneContactEmail": null,
"zoneContactTelephoneExt": null,
"technicalContactTelephone": "12062664064",
"technicalContactStreet": ["p.o. box 8102"],
"zoneContactTelephone": null,
"hasRawText": true
},
"Entity": "example.com"
}]
Is Domain In Cisco Popularity List
Utilizza l'azione Is Domain In Cisco Popularity List per verificare se un dominio è presente nell'elenco di popolarità di Cisco.
Questa azione viene eseguita sulle seguenti entità Google SecOps:
DomainHostnameURL
Input azione
Nessuno.
Output dell'azione
L'azione Il dominio è nell'elenco di popolarità di Cisco fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca casi | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Tabella di arricchimento delle entità
La tabella seguente elenca i campi arricchiti utilizzando l'azione Il dominio è presente nell'elenco di popolarità di Cisco:
| Campo di arricchimento | Origine (chiave JSON) | Applicabilità |
|---|---|---|
is_found_in_cisco_popular_list |
true/false |
Quando disponibile nel risultato JSON. |
Risultato JSON
L'esempio seguente mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Is Domain In Cisco Popularity List:
[{
"Entity": "",
"EntityResult": {
"found": "true",
"entries": [
{
"order": 123,
"domain": ""
}
]
}
}]
Messaggi di output
L'azione Is Domain In Cisco Popularity List può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Is Domain In Cisco Popularity List".
Reason: ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando si utilizza l'azione Is Domain In Cisco Popularity List:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
true o false |
Elenca i domini principali
Utilizza l'azione Elenca domini principali per recuperare i dati sui domini più frequenti in base all'elenco di popolarità di Cisco.
Input azione
L'azione Elenca domini principali richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Max Domains To Return |
Obbligatorio. Il numero massimo di domini da recuperare dall'elenco. Il valore massimo è Il valore predefinito è |
Output dell'azione
L'azione Elenca domini principali fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca casi | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
L'esempio seguente mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Elenca domini principali:
[{
"order": 123,
"domain": ""
}]
Messaggi di output
L'azione Elenca domini principali può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "List Top Domains".
Reason: ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Elenca i domini principali:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
true o false |
Dindin
Descrizione
Testa la connettività.
Parametri
N/D
Casi d'uso
N/D
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
N/A
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.