Cisco Umbrella
整合版本:13.0
設定 Cisco Umbrella,以便與 Google Security Operations 搭配使用
取得強制執行權杖
如要擷取金鑰,請按照下列步驟操作:
- 依序前往「政策」>「政策元件」>「整合」。
- 展開適當的整合項目,或按一下「新增」來產生自訂整合項目。
參考資料: https://docs.umbrella.com/investigate-api/reference#reference-getting-started
取得調查權杖
如要建立第一個 API 存取權杖,請按照下列步驟操作:
- 按一下「建立新權杖」。
- 為權杖命名,然後按一下「建立」。產生的權杖會包含建立者的電子郵件地址和建立日期。如要撤銷符記,請按一下「刪除」。
參考資料: https://docs.umbrella.com/investigate-api/reference#about-the-api-and-authentication
在 Google SecOps 中設定 Cisco Umbrella 整合
請參閱這篇說明文章,瞭解在 Google SecOps 中設定整合功能的詳細操作說明。
動作
新增網域
說明
將網域新增至 OpenDNS 封鎖清單。
參數
不適用
用途
不適用
執行日期
這項動作會在主機名稱實體上執行。
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
N/A
刪除網域
說明
從 OpenDNS 封鎖清單中刪除網域。
參數
不適用
用途
不適用
執行日期
這項動作會在主機名稱實體上執行。
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
N/A
取得相關聯的網域
說明
取得特定主機名稱的相關聯網域。
參數
不適用
用途
不適用
執行日期
這項動作會在主機名稱實體上執行。
動作執行結果
實體擴充
| 補充資料欄位名稱 | 邏輯 - 應用時機 |
|---|---|
| cisco_umbrella_Domains | 如果 JSON 結果中存在,則傳回 |
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
[{
"EntityResult": ["google.com", "twilio.com", "gmail.com"],
"Entity": "example.com"
}]
取得網域安全資訊
說明
提供網域的安全性資訊 (以附件形式)。
參數
不適用
用途
不適用
執行日期
這項動作會在主機名稱實體上執行。
動作執行結果
實體擴充
| 補充資料欄位名稱 | 邏輯 - 應用時機 |
|---|---|
| 找到 | 如果 JSON 結果中存在,則傳回 |
| 熱門程度 | 如果 JSON 結果中存在,則傳回 |
| geodiversity_normalized | 如果 JSON 結果中存在,則傳回 |
| dga_score | 如果 JSON 結果中存在,則傳回 |
| rip_score | 如果 JSON 結果中存在,則傳回 |
| asn_score | 如果 JSON 結果中存在,則傳回 |
| securerank2 | 如果 JSON 結果中存在,則傳回 |
| geoscore | 如果 JSON 結果中存在,則傳回 |
| 攻擊 | 如果 JSON 結果中存在,則傳回 |
| ks_test | 如果 JSON 結果中存在,則傳回 |
| pagerank | 如果 JSON 結果中存在,則傳回 |
| 地質多樣性 | 如果 JSON 結果中存在,則傳回 |
| prefix_score | 如果 JSON 結果中存在,則傳回 |
| 困惑度 | 如果 JSON 結果中存在,則傳回 |
| 熵 | 如果 JSON 結果中存在,則傳回 |
| fastflux | 如果 JSON 結果中存在,則傳回 |
| threat_type | 如果 JSON 結果中存在,則傳回 |
| tld_geodiversity | 如果 JSON 結果中存在,則傳回 |
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
[{
"EntityResult":
{
"found": false,
"popularity": 0.0,
"geodiversity_normalized": [],
"dga_score": -16.878373381058395,
"rip_score": 0.0,
"asn_score": 0.0,
"securerank2": 0.0,
"geoscore": 0.0,
"attack": "",
"ks_test": 0.0,
"pagerank": 0.0,
"geodiversity": [],
"prefix_score": 0.0,
"perplexity": 0.9961472993373601,
"entropy": 2.2516291673878226,
"fastflux": false,
"threat_type": "",
"tld_geodiversity": []
},
"Entity": "zahav1.ru"
}]
取得網域狀態
說明
提供網域狀態、內容類別和安全性。
參數
不適用
用途
不適用
執行日期
這項動作會在主機名稱實體上執行。
動作執行結果
實體擴充
| 補充資料欄位名稱 | 邏輯 - 應用時機 |
|---|---|
| content_categories | 如果 JSON 結果中存在,則傳回 |
| 狀態 | 如果 JSON 結果中存在,則傳回 |
| security_categories | 如果 JSON 結果中存在,則傳回 |
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
[{
"EntityResult":
{ "content_categories": "Ecommerce/Shopping",
"status": "1",
"security_categories": ""
},
"Entity": "example.com"
}]
取得惡意網域
說明
取得 IP 位址的惡意網域。
參數
不適用
用途
不適用
執行日期
這項操作會對 IP 位址實體執行。
動作執行結果
實體擴充
| 補充資料欄位名稱 | 邏輯 - 應用時機 |
|---|---|
| 192.168.0.2 | 如果 JSON 結果中存在,則傳回 |
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
{
"192.168.0.2":
[ "d.applovin.com.doesntexist.com",
"atdmt.com.doesntexist.com",
"Adservice.google.com.doesntexist.com"
]
}
取得 WHOIS
說明
擷取所述電子郵件地址、名稱伺服器和網域的 WHOIS 資訊。
參數
不適用
用途
不適用
執行日期
這項動作會在主機名稱實體上執行。
動作執行結果
實體擴充
| 補充資料欄位名稱 | 邏輯 - 應用時機 |
|---|---|
| billingContactState | 如果 JSON 結果中存在,則傳回 |
| administrativeContactPostalCode | 如果 JSON 結果中存在,則傳回 |
| zoneContactCity | 如果 JSON 結果中存在,則傳回 |
| 地址 | 如果 JSON 結果中存在,則傳回 |
| registrantFaxExt | 如果 JSON 結果中存在,則傳回 |
| auditUpdatedDate | 如果 JSON 結果中存在,則傳回 |
| administrativeContactCity | 如果 JSON 結果中存在,則傳回 |
| administrativeContactEmail | 如果 JSON 結果中存在,則傳回 |
| technicalContactFax | 如果 JSON 結果中存在,則傳回 |
| billingContactOrganization | 如果 JSON 結果中存在,則傳回 |
| billingContactEmail | 如果 JSON 結果中存在,則傳回 |
| technicalContactPostalCode | 如果 JSON 結果中存在,則傳回 |
| registrantOrganization | 如果 JSON 結果中存在,則傳回 |
| zoneContactPostalCode | 如果 JSON 結果中存在,則傳回 |
| registrantState | 如果 JSON 結果中存在,則傳回 |
| administrativeContactName | 如果 JSON 結果中存在,則傳回 |
| billingContactFaxExt | 如果 JSON 結果中存在,則傳回 |
| billingContactCity | 如果 JSON 結果中存在,則傳回 |
| technicalContactEmail | 如果 JSON 結果中存在,則傳回 |
| registrantCountry | 如果 JSON 結果中存在,則傳回 |
| technicalContactFaxExt | 如果 JSON 結果中存在,則傳回 |
| administrativeContactStreet | 如果 JSON 結果中存在,則傳回 |
| administrativeContactOrganization | 如果 JSON 結果中存在,則傳回 |
| billingContactCountry | 如果 JSON 結果中存在,則傳回 |
| billingContactName | 如果 JSON 結果中存在,則傳回 |
| registrarName | 如果 JSON 結果中存在,則傳回 |
| technicalContactTelephoneExt | 如果 JSON 結果中存在,則傳回 |
| administrativeContactFax | 如果 JSON 結果中存在,則傳回 |
| zoneContactFax | 如果 JSON 結果中存在,則傳回 |
| 時間戳記 | 如果 JSON 結果中存在,則傳回 |
| registrantCity | 如果 JSON 結果中存在,則傳回 |
| administrativeContactTelephoneExt | 如果 JSON 結果中存在,則傳回 |
| 狀態 | 如果 JSON 結果中存在,則傳回 |
| 已更新 | 如果 JSON 結果中存在,則傳回 |
| 有效期限 | 如果 JSON 結果中存在,則傳回 |
| whoisServers | 如果 JSON 結果中存在,則傳回 |
| technicalContactName | 如果 JSON 結果中存在,則傳回 |
| technicalContactState | 如果 JSON 結果中存在,則傳回 |
| nameServers | 如果 JSON 結果中存在,則傳回 |
| zoneContactFaxExt | 如果 JSON 結果中存在,則傳回 |
| recordExpired | 如果 JSON 結果中存在,則傳回 |
| registrantFax | 如果 JSON 結果中存在,則傳回 |
| registrantTelephoneExt | 如果 JSON 結果中存在,則傳回 |
| billingContactFax | 如果 JSON 結果中存在,則傳回 |
| technicalContactOrganization | 如果 JSON 結果中存在,則傳回 |
| administrativeContactState | 如果 JSON 結果中存在,則傳回 |
| zoneContactOrganization | 如果 JSON 結果中存在,則傳回 |
| billingContactPostalCode | 如果 JSON 結果中存在,則傳回 |
| zoneContactStreet | 如果 JSON 結果中存在,則傳回 |
| zoneContactName | 如果 JSON 結果中存在,則傳回 |
| registrantPostalCode | 如果 JSON 結果中存在,則傳回 |
| billingContactTelephone | 如果 JSON 結果中存在,則傳回 |
| emails | 如果 JSON 結果中存在,則傳回 |
| registrantTelephone | 如果 JSON 結果中存在,則傳回 |
| administrativeContactCountry | 如果 JSON 結果中存在,則傳回 |
| technicalContactCity | 如果 JSON 結果中存在,則傳回 |
| administrativeContactTelephone | 如果 JSON 結果中存在,則傳回 |
| 已建立 | 如果 JSON 結果中存在,則傳回 |
| registrarIANAID | 如果 JSON 結果中存在,則傳回 |
| registrantStreet | 如果 JSON 結果中存在,則傳回 |
| domainName | 如果 JSON 結果中存在,則傳回 |
| technicalContactCountry | 如果 JSON 結果中存在,則傳回 |
| billingContactStreet | 如果 JSON 結果中存在,則傳回 |
| timeOfLatestRealtimeCheck | 如果 JSON 結果中存在,則傳回 |
| zoneContactState | 如果 JSON 結果中存在,則傳回 |
| registrantEmail | 如果 JSON 結果中存在,則傳回 |
| administrativeContactFaxExt | 如果 JSON 結果中存在,則傳回 |
| billingContactTelephoneExt | 如果 JSON 結果中存在,則傳回 |
| zoneContactCountry | 如果 JSON 結果中存在,則傳回 |
| zoneContactEmail | 如果 JSON 結果中存在,則傳回 |
| zoneContactTelephoneExt | 如果 JSON 結果中存在,則傳回 |
| technicalContactTelephone | 如果 JSON 結果中存在,則傳回 |
| technicalContactStreet | 如果 JSON 結果中存在,則傳回 |
| zoneContactTelephone | 如果 JSON 結果中存在,則傳回 |
| hasRawText | 如果 JSON 結果中存在,則傳回 |
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
[{
"EntityResult":
{
"billingContactState": null,
"administrativeContactPostalCode": "89507",
"zoneContactCity": null,
"addresses": ["p.o. box 8102"],
"registrantFaxExt": null,
"registrantName": "Hostmaster, Amazon Legal Dept.",
"auditUpdatedDate": "2019-01-08 12:03:30.000 UTC",
"administrativeContactCity": "Reno",
"administrativeContactEmail": "john_doe@example.com",
"technicalContactFax": "12062667010",
"billingContactOrganization": null,
"billingContactEmail": null,
"technicalContactPostalCode": "89507",
"registrantOrganization": "Amazon Technologies, Inc.",
"zoneContactPostalCode": null,
"registrantState": "NV",
"administrativeContactName": "Hostmaster, Amazon Legal Dept.",
"billingContactFaxExt": null,
"billingContactCity": null,
"technicalContactEmail": "john_doe@example.com",
"registrantCountry": "UNITED STATES",
"technicalContactFaxExt": null,
"administrativeContactStreet": ["p.o. box 8102"],
"administrativeContactOrganization": "Amazon Technologies, Inc.",
"billingContactCountry": null,
"billingContactName": null,
"registrarName": "MarkMonitor, Inc.",
"technicalContactTelephoneExt": null,
"administrativeContactFax": null,
"zoneContactFax": null,
"timestamp": null,
"registrantCity": "Reno",
"administrativeContactTelephoneExt": null,
"status": [
"clientDeleteProhibited clientTransferProhibited clientUpdateProhibited serverDeleteProhibited serverTransferProhibited serverUpdateProhibited"],
"updated": "2014-04-30",
"expires": "2022-10-31",
"whoisServers": "whois.markmonitor.com",
"technicalContactName": "Hostmaster, Amazon Legal Dept.",
"technicalContactState": "NV",
"nameServers": [
"ns1.p31.dynect.net",
"Ns2.p31.dynect.net",
"Ns3.p31.dynect.net"
],
"zoneContactFaxExt": null,
"recordExpired": false,
"registrantFax": "12062667010",
"registrantTelephoneExt": null,
"billingContactFax": null,
"technicalContactOrganization": "Amazon Technologies, Inc.",
"administrativeContactState": "NV",
"zoneContactOrganization": null,
"billingContactPostalCode": null,
"zoneContactStreet": [],
"zoneContactName": null,
"registrantPostalCode": "89507",
"billingContactTelephone": null,
"emails": ["hostmaster@example.com"],
"registrantTelephone": "12062664064",
"administrativeContactCountry": "UNITED STATES",
"technicalContactCity": "Reno",
"administrativeContactTelephone": "12062664064",
"created": "1994-11-01",
"registrarIANAID": "292",
"registrantStreet": ["p.o. box 8102"],
"domainName": "example.com",
"technicalContactCountry": "UNITED STATES",
"billingContactStreet": [],
"timeOfLatestRealtimeCheck": 1547718689211,
"zoneContactState": null,
"registrantEmail": "john_doe@example.com",
"administrativeContactFaxExt": null,
"billingContactTelephoneExt": null,
"zoneContactCountry": null,
"zoneContactEmail": null,
"zoneContactTelephoneExt": null,
"technicalContactTelephone": "12062664064",
"technicalContactStreet": ["p.o. box 8102"],
"zoneContactTelephone": null,
"hasRawText": true
},
"Entity": "example.com"
}]
Is Domain In Cisco Popularity List
使用「Is Domain In Cisco Popularity List」(網域是否在 Cisco 熱門清單中) 動作,確認網域是否在 Cisco 熱門清單中。
這項動作會在下列 Google SecOps 實體上執行:
DomainHostnameURL
動作輸入內容
無
動作輸出內容
「Is Domain In Cisco Popularity List」(網域是否在 Cisco 熱門清單中) 動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件總覽表格 | 無法使用 |
| 補充資訊表格 | 可用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
實體擴充資料表
下表列出使用「Is Domain In Cisco Popularity List」(網域是否在 Cisco 熱門清單中) 動作擴充的欄位:
| 補充資料欄位 | 來源 (JSON 金鑰) | 適用性 |
|---|---|---|
is_found_in_cisco_popular_list |
true/false |
JSON 結果中提供時。 |
JSON 結果
以下範例顯示使用「Is Domain In Cisco Popularity List」(網域是否在 Cisco 熱門清單中) 動作時收到的 JSON 結果輸出內容:
[{
"Entity": "",
"EntityResult": {
"found": "true",
"entries": [
{
"order": 123,
"domain": ""
}
]
}
}]
輸出訊息
「Is Domain In Cisco Popularity List」(網域是否在 Cisco 熱門清單中) 動作可傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Error executing action "Is Domain In Cisco Popularity List".
Reason: ERROR_REASON |
動作失敗。 請檢查伺服器連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「Is Domain In Cisco Popularity List」(網域是否在 Cisco 熱門清單中) 動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
true或false |
列出頂層網域
使用「列出熱門網域」動作,根據 Cisco 熱門網域清單擷取最常出現的網域資料。
動作輸入內容
「列出頂層網域」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Max Domains To Return |
必填。 要從清單擷取的網域數量上限。 最大值為 預設值為 |
動作輸出內容
「列出頂層網域」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件總覽表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
下列範例顯示使用「列出頂層網域」動作時收到的 JSON 結果輸出內容:
[{
"order": 123,
"domain": ""
}]
輸出訊息
「列出頂層網域」動作可以傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Error executing action "List Top Domains".
Reason: ERROR_REASON |
動作失敗。 請檢查伺服器連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「列出頂層網域」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
true或false |
乒乓
說明
測試連線。
參數
不適用
用途
不適用
執行日期
這項操作會對所有實體執行。
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
N/A
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。