Cisco Umbrella
集成版本:13.0
配置 Cisco Umbrella 以与 Google Security Operations 搭配使用
获取强制执行令牌
如需检索密钥,请执行以下操作:
- 依次前往政策 > 政策组件 > 集成。
- 展开相应的集成,或点击添加以生成自定义集成。
参考: https://docs.umbrella.com/investigate-api/reference#reference-getting-started
获取调查令牌
如需创建您的第一个 API 访问令牌,请执行以下操作:
- 点击创建新令牌。
- 为令牌命名,然后点击创建。生成的令牌包含创建者的电子邮件地址和创建日期。如需撤消令牌,请点击删除。
参考: https://docs.umbrella.com/investigate-api/reference#about-the-api-and-authentication
在 Google SecOps 中配置 Cisco Umbrella 集成
有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成。
操作
添加网域
说明
将网域添加到 OpenDNS 屏蔽列表。
参数
不适用
使用场景
不适用
运行于
此操作在 Hostname 实体上运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
删除网域
说明
从 OpenDNS 屏蔽列表中删除网域。
参数
不适用
使用场景
不适用
运行于
此操作在 Hostname 实体上运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
获取关联的网域
说明
获取特定主机名的关联网域。
参数
不适用
使用场景
不适用
运行于
此操作在 Hostname 实体上运行。
操作执行结果
实体扩充
| 扩充项字段名称 | 逻辑 - 适用情形 |
|---|---|
| cisco_umbrella_Domains | 如果存在于 JSON 结果中,则返回 |
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[{
"EntityResult": ["google.com", "twilio.com", "gmail.com"],
"Entity": "example.com"
}]
获取网域安全信息
说明
提供网域的安全信息(以附件形式)。
参数
不适用
使用场景
不适用
运行于
此操作在 Hostname 实体上运行。
操作执行结果
实体扩充
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| 已找到 | 如果存在于 JSON 结果中,则返回 |
| 热门程度 | 如果存在于 JSON 结果中,则返回 |
| geodiversity_normalized | 如果存在于 JSON 结果中,则返回 |
| dga_score | 如果存在于 JSON 结果中,则返回 |
| rip_score | 如果存在于 JSON 结果中,则返回 |
| asn_score | 如果存在于 JSON 结果中,则返回 |
| securerank2 | 如果存在于 JSON 结果中,则返回 |
| 地理位置得分 | 如果存在于 JSON 结果中,则返回 |
| 攻击 | 如果存在于 JSON 结果中,则返回 |
| ks_test | 如果存在于 JSON 结果中,则返回 |
| pagerank | 如果存在于 JSON 结果中,则返回 |
| 地质多样性 | 如果存在于 JSON 结果中,则返回 |
| prefix_score | 如果存在于 JSON 结果中,则返回 |
| 困惑度 | 如果存在于 JSON 结果中,则返回 |
| 熵 | 如果存在于 JSON 结果中,则返回 |
| fastflux | 如果存在于 JSON 结果中,则返回 |
| threat_type | 如果存在于 JSON 结果中,则返回 |
| tld_geodiversity | 如果存在于 JSON 结果中,则返回 |
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[{
"EntityResult":
{
"found": false,
"popularity": 0.0,
"geodiversity_normalized": [],
"dga_score": -16.878373381058395,
"rip_score": 0.0,
"asn_score": 0.0,
"securerank2": 0.0,
"geoscore": 0.0,
"attack": "",
"ks_test": 0.0,
"pagerank": 0.0,
"geodiversity": [],
"prefix_score": 0.0,
"perplexity": 0.9961472993373601,
"entropy": 2.2516291673878226,
"fastflux": false,
"threat_type": "",
"tld_geodiversity": []
},
"Entity": "zahav1.ru"
}]
获取网域状态
说明
提供网域的状态、内容类别和安全性。
参数
不适用
使用场景
不适用
运行于
此操作在 Hostname 实体上运行。
操作执行结果
实体扩充
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| content_categories | 如果存在于 JSON 结果中,则返回 |
| 状态 | 如果存在于 JSON 结果中,则返回 |
| security_categories | 如果存在于 JSON 结果中,则返回 |
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[{
"EntityResult":
{ "content_categories": "Ecommerce/Shopping",
"status": "1",
"security_categories": ""
},
"Entity": "example.com"
}]
获取恶意网域
说明
获取 IP 地址的恶意网域。
参数
不适用
使用场景
不适用
运行于
此操作在 IP 地址实体上运行。
操作执行结果
实体扩充
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| 192.168.0.2 | 如果存在于 JSON 结果中,则返回 |
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"192.168.0.2":
[ "d.applovin.com.doesntexist.com",
"atdmt.com.doesntexist.com",
"Adservice.google.com.doesntexist.com"
]
}
获取 Whois
说明
检索指定电子邮件地址、域名服务器和网域的 WHOIS 信息。
参数
不适用
使用场景
不适用
运行于
此操作在 Hostname 实体上运行。
操作执行结果
实体扩充
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| billingContactState | 如果存在于 JSON 结果中,则返回 |
| administrativeContactPostalCode | 如果存在于 JSON 结果中,则返回 |
| zoneContactCity | 如果存在于 JSON 结果中,则返回 |
| 地址 | 如果存在于 JSON 结果中,则返回 |
| registrantFaxExt | 如果存在于 JSON 结果中,则返回 |
| auditUpdatedDate | 如果存在于 JSON 结果中,则返回 |
| administrativeContactCity | 如果存在于 JSON 结果中,则返回 |
| administrativeContactEmail | 如果存在于 JSON 结果中,则返回 |
| technicalContactFax | 如果存在于 JSON 结果中,则返回 |
| billingContactOrganization | 如果存在于 JSON 结果中,则返回 |
| billingContactEmail | 如果存在于 JSON 结果中,则返回 |
| technicalContactPostalCode | 如果存在于 JSON 结果中,则返回 |
| registrantOrganization | 如果存在于 JSON 结果中,则返回 |
| zoneContactPostalCode | 如果存在于 JSON 结果中,则返回 |
| registrantState | 如果存在于 JSON 结果中,则返回 |
| administrativeContactName | 如果存在于 JSON 结果中,则返回 |
| billingContactFaxExt | 如果存在于 JSON 结果中,则返回 |
| billingContactCity | 如果存在于 JSON 结果中,则返回 |
| technicalContactEmail | 如果存在于 JSON 结果中,则返回 |
| registrantCountry | 如果存在于 JSON 结果中,则返回 |
| technicalContactFaxExt | 如果存在于 JSON 结果中,则返回 |
| administrativeContactStreet | 如果存在于 JSON 结果中,则返回 |
| administrativeContactOrganization | 如果存在于 JSON 结果中,则返回 |
| billingContactCountry | 如果存在于 JSON 结果中,则返回 |
| billingContactName | 如果存在于 JSON 结果中,则返回 |
| registrarName | 如果存在于 JSON 结果中,则返回 |
| technicalContactTelephoneExt | 如果存在于 JSON 结果中,则返回 |
| administrativeContactFax | 如果存在于 JSON 结果中,则返回 |
| zoneContactFax | 如果存在于 JSON 结果中,则返回 |
| 时间戳 | 如果存在于 JSON 结果中,则返回 |
| registrantCity | 如果存在于 JSON 结果中,则返回 |
| administrativeContactTelephoneExt | 如果存在于 JSON 结果中,则返回 |
| 状态 | 如果存在于 JSON 结果中,则返回 |
| 更新 | 如果存在于 JSON 结果中,则返回 |
| 到期时间 | 如果存在于 JSON 结果中,则返回 |
| whoisServers | 如果存在于 JSON 结果中,则返回 |
| technicalContactName | 如果存在于 JSON 结果中,则返回 |
| technicalContactState | 如果存在于 JSON 结果中,则返回 |
| nameServers | 如果存在于 JSON 结果中,则返回 |
| zoneContactFaxExt | 如果存在于 JSON 结果中,则返回 |
| recordExpired | 如果存在于 JSON 结果中,则返回 |
| registrantFax | 如果存在于 JSON 结果中,则返回 |
| registrantTelephoneExt | 如果存在于 JSON 结果中,则返回 |
| billingContactFax | 如果存在于 JSON 结果中,则返回 |
| technicalContactOrganization | 如果存在于 JSON 结果中,则返回 |
| administrativeContactState | 如果存在于 JSON 结果中,则返回 |
| zoneContactOrganization | 如果存在于 JSON 结果中,则返回 |
| billingContactPostalCode | 如果存在于 JSON 结果中,则返回 |
| zoneContactStreet | 如果存在于 JSON 结果中,则返回 |
| zoneContactName | 如果存在于 JSON 结果中,则返回 |
| registrantPostalCode | 如果存在于 JSON 结果中,则返回 |
| billingContactTelephone | 如果存在于 JSON 结果中,则返回 |
| emails | 如果存在于 JSON 结果中,则返回 |
| registrantTelephone | 如果存在于 JSON 结果中,则返回 |
| administrativeContactCountry | 如果存在于 JSON 结果中,则返回 |
| technicalContactCity | 如果存在于 JSON 结果中,则返回 |
| administrativeContactTelephone | 如果存在于 JSON 结果中,则返回 |
| 已创建 | 如果存在于 JSON 结果中,则返回 |
| registrarIANAID | 如果存在于 JSON 结果中,则返回 |
| registrantStreet | 如果存在于 JSON 结果中,则返回 |
| domainName | 如果存在于 JSON 结果中,则返回 |
| technicalContactCountry | 如果存在于 JSON 结果中,则返回 |
| billingContactStreet | 如果存在于 JSON 结果中,则返回 |
| timeOfLatestRealtimeCheck | 如果存在于 JSON 结果中,则返回 |
| zoneContactState | 如果存在于 JSON 结果中,则返回 |
| registrantEmail | 如果存在于 JSON 结果中,则返回 |
| administrativeContactFaxExt | 如果存在于 JSON 结果中,则返回 |
| billingContactTelephoneExt | 如果存在于 JSON 结果中,则返回 |
| zoneContactCountry | 如果存在于 JSON 结果中,则返回 |
| zoneContactEmail | 如果存在于 JSON 结果中,则返回 |
| zoneContactTelephoneExt | 如果存在于 JSON 结果中,则返回 |
| technicalContactTelephone | 如果存在于 JSON 结果中,则返回 |
| technicalContactStreet | 如果存在于 JSON 结果中,则返回 |
| zoneContactTelephone | 如果存在于 JSON 结果中,则返回 |
| hasRawText | 如果存在于 JSON 结果中,则返回 |
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[{
"EntityResult":
{
"billingContactState": null,
"administrativeContactPostalCode": "89507",
"zoneContactCity": null,
"addresses": ["p.o. box 8102"],
"registrantFaxExt": null,
"registrantName": "Hostmaster, Amazon Legal Dept.",
"auditUpdatedDate": "2019-01-08 12:03:30.000 UTC",
"administrativeContactCity": "Reno",
"administrativeContactEmail": "john_doe@example.com",
"technicalContactFax": "12062667010",
"billingContactOrganization": null,
"billingContactEmail": null,
"technicalContactPostalCode": "89507",
"registrantOrganization": "Amazon Technologies, Inc.",
"zoneContactPostalCode": null,
"registrantState": "NV",
"administrativeContactName": "Hostmaster, Amazon Legal Dept.",
"billingContactFaxExt": null,
"billingContactCity": null,
"technicalContactEmail": "john_doe@example.com",
"registrantCountry": "UNITED STATES",
"technicalContactFaxExt": null,
"administrativeContactStreet": ["p.o. box 8102"],
"administrativeContactOrganization": "Amazon Technologies, Inc.",
"billingContactCountry": null,
"billingContactName": null,
"registrarName": "MarkMonitor, Inc.",
"technicalContactTelephoneExt": null,
"administrativeContactFax": null,
"zoneContactFax": null,
"timestamp": null,
"registrantCity": "Reno",
"administrativeContactTelephoneExt": null,
"status": [
"clientDeleteProhibited clientTransferProhibited clientUpdateProhibited serverDeleteProhibited serverTransferProhibited serverUpdateProhibited"],
"updated": "2014-04-30",
"expires": "2022-10-31",
"whoisServers": "whois.markmonitor.com",
"technicalContactName": "Hostmaster, Amazon Legal Dept.",
"technicalContactState": "NV",
"nameServers": [
"ns1.p31.dynect.net",
"Ns2.p31.dynect.net",
"Ns3.p31.dynect.net"
],
"zoneContactFaxExt": null,
"recordExpired": false,
"registrantFax": "12062667010",
"registrantTelephoneExt": null,
"billingContactFax": null,
"technicalContactOrganization": "Amazon Technologies, Inc.",
"administrativeContactState": "NV",
"zoneContactOrganization": null,
"billingContactPostalCode": null,
"zoneContactStreet": [],
"zoneContactName": null,
"registrantPostalCode": "89507",
"billingContactTelephone": null,
"emails": ["hostmaster@example.com"],
"registrantTelephone": "12062664064",
"administrativeContactCountry": "UNITED STATES",
"technicalContactCity": "Reno",
"administrativeContactTelephone": "12062664064",
"created": "1994-11-01",
"registrarIANAID": "292",
"registrantStreet": ["p.o. box 8102"],
"domainName": "example.com",
"technicalContactCountry": "UNITED STATES",
"billingContactStreet": [],
"timeOfLatestRealtimeCheck": 1547718689211,
"zoneContactState": null,
"registrantEmail": "john_doe@example.com",
"administrativeContactFaxExt": null,
"billingContactTelephoneExt": null,
"zoneContactCountry": null,
"zoneContactEmail": null,
"zoneContactTelephoneExt": null,
"technicalContactTelephone": "12062664064",
"technicalContactStreet": ["p.o. box 8102"],
"zoneContactTelephone": null,
"hasRawText": true
},
"Entity": "example.com"
}]
Is Domain In Cisco Popularity List
使用 Is Domain In Cisco Popularity List 操作验证网域是否在 Cisco Popularity List 中。
此操作可在以下 Google SecOps 实体上运行:
DomainHostnameURL
操作输入
无。
操作输出
Is Domain In Cisco Popularity List 操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
实体丰富化表
下表列出了使用 Is Domain In Cisco Popularity List 操作丰富后的字段:
| 扩充项字段 | 来源(JSON 键) | 适用性 |
|---|---|---|
is_found_in_cisco_popular_list |
true/false |
当 JSON 结果中提供相应信息时。 |
JSON 结果
以下示例展示了使用 Is Domain In Cisco Popularity List 操作时收到的 JSON 结果输出:
[{
"Entity": "",
"EntityResult": {
"found": "true",
"entries": [
{
"order": 123,
"domain": ""
}
]
}
}]
输出消息
Is Domain In Cisco Popularity List 操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Is Domain In Cisco Popularity List".
Reason: ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用 Is Domain In Cisco Popularity List 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
true 或 false |
列出热门网域
使用 List Top Domains 操作可根据 Cisco 热门列表检索最常访问的网域的相关数据。
操作输入
列出热门网域操作需要以下参数:
| 参数 | 说明 |
|---|---|
Max Domains To Return |
必填。 要从列表中检索的网域数量上限。 最大值为 默认值为 |
操作输出
列出热门网域操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例展示了使用列出热门网域操作时收到的 JSON 结果输出:
[{
"order": 123,
"domain": ""
}]
输出消息
列出热门网域操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "List Top Domains".
Reason: ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用列出热门网域操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
true 或 false |
Ping
说明
测试连接。
参数
不适用
使用场景
不适用
运行于
此操作会在所有实体上运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。