Cisco Umbrella
Integrationsversion: 13.0
Cisco Umbrella für die Verwendung mit Google Security Operations konfigurieren
Durchsetzungstoken abrufen
So rufen Sie Ihren Schlüssel ab:
- Rufen Sie Richtlinien > Richtlinienkomponenten > Integrationen auf.
- Maximieren Sie die gewünschte Integration oder klicken Sie auf Hinzufügen, um eine benutzerdefinierte Integration zu erstellen.
Referenz: https://docs.umbrella.com/investigate-api/reference#reference-getting-started
Untersuchungstoken abrufen
So erstellen Sie Ihr erstes API-Zugriffstoken:
- Klicken Sie auf Neues Token erstellen.
- Geben Sie dem Token einen Namen und klicken Sie auf Erstellen. Das generierte Token enthält die E-Mail-Adresse der Person, die es erstellt hat, und das Erstellungsdatum. Klicken Sie auf Löschen, um das Token zu widerrufen.
Referenz: https://docs.umbrella.com/investigate-api/reference#about-the-api-and-authentication
Cisco Umbrella-Integration in Google SecOps konfigurieren
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Aktionen
Domain hinzufügen
Beschreibung
Fügen Sie der OpenDNS-Sperrliste eine Domain hinzu.
Parameter
–
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für die Hostname-Entität ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
N/A
Domain löschen
Beschreibung
Löschen Sie eine Domain aus der OpenDNS-Sperrliste.
Parameter
–
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für die Hostname-Entität ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
N/A
Zugehörige Domains abrufen
Beschreibung
Rufen Sie verknüpfte Domains für einen bestimmten Hostnamen ab.
Parameter
–
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für die Hostname-Entität ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| cisco_umbrella_Domains | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[{
"EntityResult": ["google.com", "twilio.com", "gmail.com"],
"Entity": "example.com"
}]
Informationen zur Domainsicherheit abrufen
Beschreibung
Sicherheitsinformationen zu einer Domain als Anhang bereitstellen
Parameter
–
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für die Hostname-Entität ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| gefunden | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| Beliebtheit | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| geodiversity_normalized | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| dga_score | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| rip_score | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| asn_score | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| securerank2 | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| geoscore | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| Angriff | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| ks_test | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| pagerank | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| Geodiversität | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| prefix_score | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| Perplexity | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| Entropie | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| fastflux | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| threat_type | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| tld_geodiversity | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[{
"EntityResult":
{
"found": false,
"popularity": 0.0,
"geodiversity_normalized": [],
"dga_score": -16.878373381058395,
"rip_score": 0.0,
"asn_score": 0.0,
"securerank2": 0.0,
"geoscore": 0.0,
"attack": "",
"ks_test": 0.0,
"pagerank": 0.0,
"geodiversity": [],
"prefix_score": 0.0,
"perplexity": 0.9961472993373601,
"entropy": 2.2516291673878226,
"fastflux": false,
"threat_type": "",
"tld_geodiversity": []
},
"Entity": "zahav1.ru"
}]
Domainstatus abrufen
Beschreibung
Gibt den Status einer Domain, ihre Inhaltskategorien und die Sicherheit an.
Parameter
–
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für die Hostname-Entität ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| content_categories | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| Status | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| security_categories | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[{
"EntityResult":
{ "content_categories": "Ecommerce/Shopping",
"status": "1",
"security_categories": ""
},
"Entity": "example.com"
}]
Bösartige Domains abrufen
Beschreibung
Bösartige Domains für eine IP-Adresse abrufen
Parameter
–
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für die IP-Adressen-Entität ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| 192.168.0.2 | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"192.168.0.2":
[ "d.applovin.com.doesntexist.com",
"atdmt.com.doesntexist.com",
"Adservice.google.com.doesntexist.com"
]
}
Whois-Informationen abrufen
Beschreibung
Rufen Sie die WHOIS-Informationen für die angegebenen E-Mail-Adressen, Nameserver und Domains ab.
Parameter
–
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für die Hostname-Entität ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| billingContactState | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| administrativeContactPostalCode | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| zoneContactCity | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| Adresse | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| registrantFaxExt | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| auditUpdatedDate | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| administrativeContactCity | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| administrativeContactEmail | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| technicalContactFax | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| billingContactOrganization | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| billingContactEmail | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| technicalContactPostalCode | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| registrantOrganization | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| zoneContactPostalCode | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| registrantState | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| administrativeContactName | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| billingContactFaxExt | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| billingContactCity | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| technicalContactEmail | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| registrantCountry | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| technicalContactFaxExt | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| administrativeContactStreet | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| administrativeContactOrganization | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| billingContactCountry | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| billingContactName | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| registrarName | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| technicalContactTelephoneExt | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| administrativeContactFax | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| zoneContactFax | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| timestamp | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| registrantCity | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| administrativeContactTelephoneExt | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| Status | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| aktualisiert | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| Gültig bis | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| whoisServers | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| technicalContactName | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| technicalContactState | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| nameServers | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| zoneContactFaxExt | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| recordExpired | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| registrantFax | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| registrantTelephoneExt | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| billingContactFax | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| technicalContactOrganization | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| administrativeContactState | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| zoneContactOrganization | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| billingContactPostalCode | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| zoneContactStreet | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| zoneContactName | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| registrantPostalCode | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| billingContactTelephone | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| E-Mails | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| registrantTelephone | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| administrativeContactCountry | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| technicalContactCity | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| administrativeContactTelephone | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| erstellt | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| registrarIANAID | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| registrantStreet | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| domainName | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| technicalContactCountry | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| billingContactStreet | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| timeOfLatestRealtimeCheck | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| zoneContactState | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| registrantEmail | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| administrativeContactFaxExt | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| billingContactTelephoneExt | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| zoneContactCountry | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| zoneContactEmail | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| zoneContactTelephoneExt | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| technicalContactTelephone | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| technicalContactStreet | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| zoneContactTelephone | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| hasRawText | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[{
"EntityResult":
{
"billingContactState": null,
"administrativeContactPostalCode": "89507",
"zoneContactCity": null,
"addresses": ["p.o. box 8102"],
"registrantFaxExt": null,
"registrantName": "Hostmaster, Amazon Legal Dept.",
"auditUpdatedDate": "2019-01-08 12:03:30.000 UTC",
"administrativeContactCity": "Reno",
"administrativeContactEmail": "john_doe@example.com",
"technicalContactFax": "12062667010",
"billingContactOrganization": null,
"billingContactEmail": null,
"technicalContactPostalCode": "89507",
"registrantOrganization": "Amazon Technologies, Inc.",
"zoneContactPostalCode": null,
"registrantState": "NV",
"administrativeContactName": "Hostmaster, Amazon Legal Dept.",
"billingContactFaxExt": null,
"billingContactCity": null,
"technicalContactEmail": "john_doe@example.com",
"registrantCountry": "UNITED STATES",
"technicalContactFaxExt": null,
"administrativeContactStreet": ["p.o. box 8102"],
"administrativeContactOrganization": "Amazon Technologies, Inc.",
"billingContactCountry": null,
"billingContactName": null,
"registrarName": "MarkMonitor, Inc.",
"technicalContactTelephoneExt": null,
"administrativeContactFax": null,
"zoneContactFax": null,
"timestamp": null,
"registrantCity": "Reno",
"administrativeContactTelephoneExt": null,
"status": [
"clientDeleteProhibited clientTransferProhibited clientUpdateProhibited serverDeleteProhibited serverTransferProhibited serverUpdateProhibited"],
"updated": "2014-04-30",
"expires": "2022-10-31",
"whoisServers": "whois.markmonitor.com",
"technicalContactName": "Hostmaster, Amazon Legal Dept.",
"technicalContactState": "NV",
"nameServers": [
"ns1.p31.dynect.net",
"Ns2.p31.dynect.net",
"Ns3.p31.dynect.net"
],
"zoneContactFaxExt": null,
"recordExpired": false,
"registrantFax": "12062667010",
"registrantTelephoneExt": null,
"billingContactFax": null,
"technicalContactOrganization": "Amazon Technologies, Inc.",
"administrativeContactState": "NV",
"zoneContactOrganization": null,
"billingContactPostalCode": null,
"zoneContactStreet": [],
"zoneContactName": null,
"registrantPostalCode": "89507",
"billingContactTelephone": null,
"emails": ["hostmaster@example.com"],
"registrantTelephone": "12062664064",
"administrativeContactCountry": "UNITED STATES",
"technicalContactCity": "Reno",
"administrativeContactTelephone": "12062664064",
"created": "1994-11-01",
"registrarIANAID": "292",
"registrantStreet": ["p.o. box 8102"],
"domainName": "example.com",
"technicalContactCountry": "UNITED STATES",
"billingContactStreet": [],
"timeOfLatestRealtimeCheck": 1547718689211,
"zoneContactState": null,
"registrantEmail": "john_doe@example.com",
"administrativeContactFaxExt": null,
"billingContactTelephoneExt": null,
"zoneContactCountry": null,
"zoneContactEmail": null,
"zoneContactTelephoneExt": null,
"technicalContactTelephone": "12062664064",
"technicalContactStreet": ["p.o. box 8102"],
"zoneContactTelephone": null,
"hasRawText": true
},
"Entity": "example.com"
}]
Ist die Domain in der Cisco-Popularitätsliste enthalten?
Mit der Aktion Is Domain In Cisco Popularity List (Ist Domain in der Cisco-Beliebtheitsliste enthalten?) können Sie prüfen, ob eine Domain in der Cisco-Beliebtheitsliste enthalten ist.
Diese Aktion wird für die folgenden Google SecOps-Entitäten ausgeführt:
DomainHostnameURL
Aktionseingaben
Keine.
Aktionsausgaben
Die Aktion Is Domain In Cisco Popularity List (Ist Domain in der Cisco-Beliebtheitsliste enthalten?) gibt die folgenden Ausgaben zurück:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle im Fall-Repository | Nicht verfügbar |
| Anreicherungstabelle | Verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
Tabelle zur Elementanreicherung
In der folgenden Tabelle sind die Felder aufgeführt, die mit der Aktion Is Domain In Cisco Popularity List angereichert werden:
| Anreicherungsfeld | Quelle (JSON-Schlüssel) | Gültigkeit |
|---|---|---|
is_found_in_cisco_popular_list |
true/false |
Wenn im JSON-Ergebnis verfügbar. |
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Is Domain In Cisco Popularity List (Ist Domain in der Cisco-Beliebtheitsliste enthalten?) empfangen wird:
[{
"Entity": "",
"EntityResult": {
"found": "true",
"entries": [
{
"order": 123,
"domain": ""
}
]
}
}]
Ausgabenachrichten
Die Aktion Is Domain In Cisco Popularity List kann die folgenden Ausgabemeldungen zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde ausgeführt. |
Error executing action "Is Domain In Cisco Popularity List".
Reason: ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Is Domain In Cisco Popularity List verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
true oder false |
Top-Domains auflisten
Mit der Aktion List Top Domains (Top-Domains auflisten) können Sie Daten zu den häufigsten Domains auf Grundlage der Cisco Popularity List abrufen.
Aktionseingaben
Für die Aktion List Top Domains sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Max Domains To Return |
Erforderlich. Die maximale Anzahl der Domains, die aus der Liste abgerufen werden sollen. Der Höchstwert ist Der Standardwert ist |
Aktionsausgaben
Die Aktion Top-Domains auflisten gibt die folgenden Ausgaben zurück:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle im Fall-Repository | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion List Top Domains (Top-Domains auflisten) empfangen wird:
[{
"order": 123,
"domain": ""
}]
Ausgabenachrichten
Die Aktion List Top Domains kann die folgenden Ausgabemeldungen zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde ausgeführt. |
Error executing action "List Top Domains".
Reason: ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion List Top Domains verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
true oder false |
Ping
Beschreibung
Verbindung testen
Parameter
–
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
N/A
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten