Cisco Umbrella

통합 버전: 13.0

Google Security Operations와 함께 작동하도록 Cisco Umbrella 구성

시행 토큰 가져오기

키를 검색하려면 다음 단계를 따르세요.

정책 > 정책 구성요소 > 통합으로 이동합니다.
해당 통합을 펼치거나 추가를 클릭하여 맞춤 통합을 생성합니다.

참조: https://docs.umbrella.com/investigate-api/reference#reference-getting-started

조사 토큰 가져오기

첫 번째 API 액세스 토큰을 만들려면 다음 단계를 따르세요.

새 토큰 만들기를 클릭합니다.
토큰에 이름을 지정하고 만들기를 클릭합니다. 생성된 토큰에는 토큰을 만든 사람의 이메일 주소와 생성 날짜가 포함됩니다. 토큰을 취소하려면 삭제를 클릭합니다.

참조: https://docs.umbrella.com/investigate-api/reference#about-the-api-and-authentication

Google SecOps에서 Cisco Umbrella 통합 구성

Google SecOps에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.

작업

도메인 추가

설명

OpenDNS 차단 목록에 도메인을 추가합니다.

매개변수

해당 사항 없음

사용 사례

해당 사항 없음

실행

이 작업은 호스트 이름 항목에서 실행됩니다.

작업 결과

항목 보강

해당 사항 없음

통계

해당 사항 없음

스크립트 결과

스크립트 결과 이름	값 옵션	예
is_success	True/False	is_success:False

JSON 결과

N/A

도메인 삭제

설명

OpenDNS 차단 목록에서 도메인을 삭제합니다.

매개변수

해당 사항 없음

사용 사례

해당 사항 없음

실행

이 작업은 호스트 이름 항목에서 실행됩니다.

작업 결과

항목 보강

해당 사항 없음

통계

해당 사항 없음

스크립트 결과

스크립트 결과 이름	값 옵션	예
is_success	True/False	is_success:False

JSON 결과

N/A

연결된 도메인 가져오기

설명

특정 호스트 이름의 연결된 도메인을 가져옵니다.

매개변수

해당 사항 없음

사용 사례

해당 사항 없음

실행

이 작업은 호스트 이름 항목에서 실행됩니다.

작업 결과

항목 보강

보강 필드 이름	로직 - 적용 시기
cisco_umbrella_Domains	JSON 결과에 존재하는 경우에 반환

통계

해당 사항 없음

스크립트 결과

스크립트 결과 이름	값 옵션	예
is_success	True/False	is_success:False

JSON 결과

[{
    "EntityResult": ["google.com", "twilio.com", "gmail.com"],
    "Entity": "example.com"
}]

도메인 보안 정보 가져오기

설명

도메인에 관한 보안 정보를 첨부파일로 제공합니다.

매개변수

해당 사항 없음

사용 사례

해당 사항 없음

실행

이 작업은 호스트 이름 항목에서 실행됩니다.

작업 결과

항목 보강

보강 필드 이름	로직 - 적용 시기
발견됨	JSON 결과에 존재하는 경우에 반환
인기도	JSON 결과에 존재하는 경우에 반환
geodiversity_normalized	JSON 결과에 존재하는 경우에 반환
dga_score	JSON 결과에 존재하는 경우에 반환
rip_score	JSON 결과에 존재하는 경우에 반환
asn_score	JSON 결과에 존재하는 경우에 반환
securerank2	JSON 결과에 존재하는 경우에 반환
geoscore	JSON 결과에 존재하는 경우에 반환
공격	JSON 결과에 존재하는 경우에 반환
ks_test	JSON 결과에 존재하는 경우에 반환
pagerank	JSON 결과에 존재하는 경우에 반환
지질 다양성	JSON 결과에 존재하는 경우에 반환
prefix_score	JSON 결과에 존재하는 경우에 반환
퍼플렉시티	JSON 결과에 존재하는 경우에 반환
엔트로피	JSON 결과에 존재하는 경우에 반환
fastflux	JSON 결과에 존재하는 경우에 반환
threat_type	JSON 결과에 존재하는 경우에 반환
tld_geodiversity	JSON 결과에 존재하는 경우에 반환

통계

해당 사항 없음

스크립트 결과

스크립트 결과 이름	값 옵션	예
is_success	True/False	is_success:False

JSON 결과

[{
   "EntityResult":
       {
         "found": false,
         "popularity": 0.0,
         "geodiversity_normalized": [],
         "dga_score": -16.878373381058395,
         "rip_score": 0.0,
         "asn_score": 0.0,
         "securerank2": 0.0,
         "geoscore": 0.0,
         "attack": "",
         "ks_test": 0.0,
         "pagerank": 0.0,
         "geodiversity": [],
         "prefix_score": 0.0,
         "perplexity": 0.9961472993373601,
         "entropy": 2.2516291673878226,
         "fastflux": false,
         "threat_type": "",
         "tld_geodiversity": []
       },
   "Entity": "zahav1.ru"
}]

도메인 상태 가져오기

설명

도메인, 콘텐츠 카테고리, 보안 상태를 제공합니다.

매개변수

해당 사항 없음

사용 사례

해당 사항 없음

실행

이 작업은 호스트 이름 항목에서 실행됩니다.

작업 결과

항목 보강

보강 필드 이름	로직 - 적용 시기
content_categories	JSON 결과에 존재하는 경우에 반환
상태	JSON 결과에 존재하는 경우에 반환
security_categories	JSON 결과에 존재하는 경우에 반환

통계

해당 사항 없음

스크립트 결과

스크립트 결과 이름	값 옵션	예
is_success	True/False	is_success:False

JSON 결과

[{
   "EntityResult":
   {   "content_categories": "Ecommerce/Shopping",
       "status": "1",
       "security_categories": ""
   },
  "Entity": "example.com"
}]

악성 도메인 가져오기

설명

IP 주소의 악성 도메인을 가져옵니다.

매개변수

해당 사항 없음

사용 사례

해당 사항 없음

실행

이 작업은 IP 주소 항목에서 실행됩니다.

작업 결과

항목 보강

보강 필드 이름	로직 - 적용 시기
192.168.0.2	JSON 결과에 존재하는 경우에 반환

통계

해당 사항 없음

스크립트 결과

스크립트 결과 이름	값 옵션	예
is_success	True/False	is_success:False

JSON 결과

{
  "192.168.0.2":
     [  "d.applovin.com.doesntexist.com",
        "atdmt.com.doesntexist.com",
        "Adservice.google.com.doesntexist.com"
      ]
}

WHOIS 가져오기

설명

명시된 이메일 주소, 네임서버, 도메인의 WHOIS 정보를 가져옵니다.

매개변수

해당 사항 없음

사용 사례

해당 사항 없음

실행

이 작업은 호스트 이름 항목에서 실행됩니다.

작업 결과

항목 보강

보강 필드 이름	로직 - 적용 시기
billingContactState	JSON 결과에 존재하는 경우에 반환
administrativeContactPostalCode	JSON 결과에 존재하는 경우에 반환
zoneContactCity	JSON 결과에 존재하는 경우에 반환
주소	JSON 결과에 존재하는 경우에 반환
registrantFaxExt	JSON 결과에 존재하는 경우에 반환
auditUpdatedDate	JSON 결과에 존재하는 경우에 반환
administrativeContactCity	JSON 결과에 존재하는 경우에 반환
administrativeContactEmail	JSON 결과에 존재하는 경우에 반환
technicalContactFax	JSON 결과에 존재하는 경우에 반환
billingContactOrganization	JSON 결과에 존재하는 경우에 반환
billingContactEmail	JSON 결과에 존재하는 경우에 반환
technicalContactPostalCode	JSON 결과에 존재하는 경우에 반환
registrantOrganization	JSON 결과에 존재하는 경우에 반환
zoneContactPostalCode	JSON 결과에 존재하는 경우에 반환
registrantState	JSON 결과에 존재하는 경우에 반환
administrativeContactName	JSON 결과에 존재하는 경우에 반환
billingContactFaxExt	JSON 결과에 존재하는 경우에 반환
billingContactCity	JSON 결과에 존재하는 경우에 반환
technicalContactEmail	JSON 결과에 존재하는 경우에 반환
registrantCountry	JSON 결과에 존재하는 경우에 반환
technicalContactFaxExt	JSON 결과에 존재하는 경우에 반환
administrativeContactStreet	JSON 결과에 존재하는 경우에 반환
administrativeContactOrganization	JSON 결과에 존재하는 경우에 반환
billingContactCountry	JSON 결과에 존재하는 경우에 반환
billingContactName	JSON 결과에 존재하는 경우에 반환
registrarName	JSON 결과에 존재하는 경우에 반환
technicalContactTelephoneExt	JSON 결과에 존재하는 경우에 반환
administrativeContactFax	JSON 결과에 존재하는 경우에 반환
zoneContactFax	JSON 결과에 존재하는 경우에 반환
타임스탬프	JSON 결과에 존재하는 경우에 반환
registrantCity	JSON 결과에 존재하는 경우에 반환
administrativeContactTelephoneExt	JSON 결과에 존재하는 경우에 반환
상태	JSON 결과에 존재하는 경우에 반환
업데이트	JSON 결과에 존재하는 경우에 반환
만료일	JSON 결과에 존재하는 경우에 반환
whoisServers	JSON 결과에 존재하는 경우에 반환
technicalContactName	JSON 결과에 존재하는 경우에 반환
technicalContactState	JSON 결과에 존재하는 경우에 반환
nameServers	JSON 결과에 존재하는 경우에 반환
zoneContactFaxExt	JSON 결과에 존재하는 경우에 반환
recordExpired	JSON 결과에 존재하는 경우에 반환
registrantFax	JSON 결과에 존재하는 경우에 반환
registrantTelephoneExt	JSON 결과에 존재하는 경우에 반환
billingContactFax	JSON 결과에 존재하는 경우에 반환
technicalContactOrganization	JSON 결과에 존재하는 경우에 반환
administrativeContactState	JSON 결과에 존재하는 경우에 반환
zoneContactOrganization	JSON 결과에 존재하는 경우에 반환
billingContactPostalCode	JSON 결과에 존재하는 경우에 반환
zoneContactStreet	JSON 결과에 존재하는 경우에 반환
zoneContactName	JSON 결과에 존재하는 경우에 반환
registrantPostalCode	JSON 결과에 존재하는 경우에 반환
billingContactTelephone	JSON 결과에 존재하는 경우에 반환
emails	JSON 결과에 존재하는 경우에 반환
registrantTelephone	JSON 결과에 존재하는 경우에 반환
administrativeContactCountry	JSON 결과에 존재하는 경우에 반환
technicalContactCity	JSON 결과에 존재하는 경우에 반환
administrativeContactTelephone	JSON 결과에 존재하는 경우에 반환
생성됨	JSON 결과에 존재하는 경우에 반환
registrarIANAID	JSON 결과에 존재하는 경우에 반환
registrantStreet	JSON 결과에 존재하는 경우에 반환
domainName	JSON 결과에 존재하는 경우에 반환
technicalContactCountry	JSON 결과에 존재하는 경우에 반환
billingContactStreet	JSON 결과에 존재하는 경우에 반환
timeOfLatestRealtimeCheck	JSON 결과에 존재하는 경우에 반환
zoneContactState	JSON 결과에 존재하는 경우에 반환
registrantEmail	JSON 결과에 존재하는 경우에 반환
administrativeContactFaxExt	JSON 결과에 존재하는 경우에 반환
billingContactTelephoneExt	JSON 결과에 존재하는 경우에 반환
zoneContactCountry	JSON 결과에 존재하는 경우에 반환
zoneContactEmail	JSON 결과에 존재하는 경우에 반환
zoneContactTelephoneExt	JSON 결과에 존재하는 경우에 반환
technicalContactTelephone	JSON 결과에 존재하는 경우에 반환
technicalContactStreet	JSON 결과에 존재하는 경우에 반환
zoneContactTelephone	JSON 결과에 존재하는 경우에 반환
hasRawText	JSON 결과에 존재하는 경우에 반환

통계

해당 사항 없음

스크립트 결과

스크립트 결과 이름	값 옵션	예
is_success	True/False	is_success:False

JSON 결과

[{
   "EntityResult":
      {
        "billingContactState": null,
        "administrativeContactPostalCode": "89507",
        "zoneContactCity": null,
        "addresses": ["p.o. box 8102"],
        "registrantFaxExt": null,
        "registrantName": "Hostmaster, Amazon Legal Dept.",
        "auditUpdatedDate": "2019-01-08 12:03:30.000 UTC",
        "administrativeContactCity": "Reno",
        "administrativeContactEmail": "john_doe@example.com",
        "technicalContactFax": "12062667010",
        "billingContactOrganization": null,
        "billingContactEmail": null,
        "technicalContactPostalCode": "89507",
        "registrantOrganization": "Amazon Technologies, Inc.",
        "zoneContactPostalCode": null,
        "registrantState": "NV",
        "administrativeContactName": "Hostmaster, Amazon Legal Dept.",
        "billingContactFaxExt": null,
        "billingContactCity": null,
        "technicalContactEmail": "john_doe@example.com",
        "registrantCountry": "UNITED STATES",
        "technicalContactFaxExt": null,
        "administrativeContactStreet": ["p.o. box 8102"],
        "administrativeContactOrganization": "Amazon Technologies, Inc.",
        "billingContactCountry": null,
        "billingContactName": null,
        "registrarName": "MarkMonitor, Inc.",
        "technicalContactTelephoneExt": null,
        "administrativeContactFax": null,
        "zoneContactFax": null,
        "timestamp": null,
        "registrantCity": "Reno",
        "administrativeContactTelephoneExt": null,
        "status": [
                   "clientDeleteProhibited clientTransferProhibited clientUpdateProhibited serverDeleteProhibited serverTransferProhibited serverUpdateProhibited"],
        "updated": "2014-04-30",
        "expires": "2022-10-31",
        "whoisServers": "whois.markmonitor.com",
        "technicalContactName": "Hostmaster, Amazon Legal Dept.",
        "technicalContactState": "NV",
        "nameServers": [
                        "ns1.p31.dynect.net",
                        "Ns2.p31.dynect.net",
                        "Ns3.p31.dynect.net"
                       ],
        "zoneContactFaxExt": null,
        "recordExpired": false,
        "registrantFax": "12062667010",
        "registrantTelephoneExt": null,
        "billingContactFax": null,
        "technicalContactOrganization": "Amazon Technologies, Inc.",
        "administrativeContactState": "NV",
        "zoneContactOrganization": null,
        "billingContactPostalCode": null,
        "zoneContactStreet": [],
        "zoneContactName": null,
        "registrantPostalCode": "89507",
        "billingContactTelephone": null,
        "emails": ["hostmaster@example.com"],
        "registrantTelephone": "12062664064",
        "administrativeContactCountry": "UNITED STATES",
        "technicalContactCity": "Reno",
        "administrativeContactTelephone": "12062664064",
        "created": "1994-11-01",
        "registrarIANAID": "292",
        "registrantStreet": ["p.o. box 8102"],
        "domainName": "example.com",
        "technicalContactCountry": "UNITED STATES",
        "billingContactStreet": [],
        "timeOfLatestRealtimeCheck": 1547718689211,
        "zoneContactState": null,
        "registrantEmail": "john_doe@example.com",
        "administrativeContactFaxExt": null,
        "billingContactTelephoneExt": null,
        "zoneContactCountry": null,
        "zoneContactEmail": null,
        "zoneContactTelephoneExt": null,
        "technicalContactTelephone": "12062664064",
        "technicalContactStreet": ["p.o. box 8102"],
        "zoneContactTelephone": null,
        "hasRawText": true
     },
  "Entity": "example.com"
}]

도메인이 Cisco 인기 목록에 있는지 여부

Is Domain In Cisco Popularity List 작업을 사용하여 도메인이 Cisco Popularity List에 있는지 확인합니다.

이 작업은 다음 Google SecOps 항목에서 실행됩니다.

Domain
Hostname
URL

작업 입력

없음

작업 출력

도메인이 Cisco 인기 목록에 있는지 확인 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용 불가
케이스 월 링크	사용 불가
케이스 월 테이블	사용 불가
보강 테이블	사용 가능
JSON 결과	사용 가능
출력 메시지	사용 가능
스크립트 결과	사용 가능

항목 보강 테이블

다음 표에는 Is Domain In Cisco Popularity List 작업을 사용하여 보강된 필드가 나와 있습니다.

보강 필드	소스 (JSON 키)	적용 범위
`is_found_in_cisco_popular_list`	`true/false`	JSON 결과에서 사용할 수 있는 경우

JSON 결과

다음 예는 Is Domain In Cisco Popularity List(도메인이 Cisco 인기 목록에 있는지 확인) 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.

[{
   "Entity": "",
   "EntityResult": {
       "found": "true",
       "entries": [
           {
               "order": 123,
               "domain": ""
           }
       ]
   }
}]

출력 메시지

Is Domain In Cisco Popularity List 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

출력 메시지	메시지 설명
`Successfully returned information about the following entities in Cisco Umbrella: ENTITY.`	작업이 완료되었습니다.
`Error executing action "Is Domain In Cisco Popularity List". Reason: ERROR_REASON`	작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

Successfully returned information about the following entities in Cisco Umbrella: ENTITY.

작업이 완료되었습니다.

Error executing action "Is Domain In Cisco Popularity List".
     Reason: ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 도메인이 Cisco 인기 목록에 있는지 확인 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름	값
`is_success`	`true` 또는 `false`

상위 도메인 나열

인기 도메인 목록 작업을 사용하여 Cisco 인기 목록을 기반으로 가장 자주 사용되는 도메인에 관한 데이터를 가져옵니다.

작업 입력

상위 도메인 나열 작업에는 다음 매개변수가 필요합니다.

매개변수 설명

매개변수	설명
`Max Domains To Return`	필수 항목입니다. 목록에서 가져올 최대 도메인 수입니다. 최댓값은 `100,000`입니다. 기본값은 `100`입니다.

Max Domains To Return

필수 항목입니다.

목록에서 가져올 최대 도메인 수입니다.

최댓값은 100,000입니다.

기본값은 100입니다.

작업 출력

상위 도메인 나열 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용 불가
케이스 월 링크	사용 불가
케이스 월 테이블	사용 불가
보강 테이블	사용 불가
JSON 결과	사용 가능
출력 메시지	사용 가능
스크립트 결과	사용 가능

JSON 결과

다음 예시에서는 상위 도메인 목록 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.

[{
"order": 123,
"domain": ""
}]

출력 메시지

List Top Domains 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

출력 메시지	메시지 설명
`Successfully returned top domains from Cisco Umbrella.`	작업이 완료되었습니다.
`Error executing action "List Top Domains". Reason: ERROR_REASON`	작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

Successfully returned top domains from Cisco Umbrella.

작업이 완료되었습니다.

Error executing action "List Top Domains".
     Reason: ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 상위 도메인 나열 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.

스크립트 결과 이름	값
`is_success`	`true` 또는 `false`

핑

설명

연결을 테스트합니다.

매개변수

해당 사항 없음

사용 사례

해당 사항 없음

실행

이 작업은 모든 항목에서 실행됩니다.

작업 결과

항목 보강

해당 사항 없음

통계

해당 사항 없음

스크립트 결과

스크립트 결과 이름	값 옵션	예
is_success	True/False	is_success:False

JSON 결과

N/A

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.