Cisco Umbrella
Version de l'intégration : 13.0
Configurer Cisco Umbrella pour qu'il fonctionne avec Google Security Operations
Obtenir le jeton d'application
Pour récupérer votre clé :
- Accédez à Règles > Composants de règle > Intégrations.
- Développez l'intégration appropriée ou cliquez sur Ajouter pour générer une intégration personnalisée.
Référence : https://docs.umbrella.com/investigate-api/reference#reference-getting-started
Obtenir le jeton Investigate
Pour créer votre premier jeton d'accès à l'API :
- Cliquez sur Créer un jeton.
- Attribuez un nom au jeton, puis cliquez sur Créer. Le jeton généré inclut l'adresse e-mail de la personne qui l'a créé et la date de création. Pour révoquer le jeton, cliquez sur Supprimer.
Référence : https://docs.umbrella.com/investigate-api/reference#about-the-api-and-authentication
Configurer l'intégration de Cisco Umbrella dans Google SecOps
Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Actions
Ajouter un domaine
Description
Ajoutez un domaine à la liste de blocage OpenDNS.
Paramètres
N/A
Cas d'utilisation
N/A
Exécuter sur
Cette action s'exécute sur l'entité "Nom d'hôte".
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
N/A
Supprimer le domaine
Description
Supprimez un domaine de la liste de blocage OpenDNS.
Paramètres
N/A
Cas d'utilisation
N/A
Exécuter sur
Cette action s'exécute sur l'entité "Nom d'hôte".
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
N/A
Obtenir les domaines associés
Description
Obtenez les domaines associés pour un nom d'hôte spécifique.
Paramètres
N/A
Cas d'utilisation
N/A
Exécuter sur
Cette action s'exécute sur l'entité "Nom d'hôte".
Résultats de l'action
Enrichissement d'entités
| Nom du champ d'enrichissement | Logique : quand l'appliquer ? |
|---|---|
| cisco_umbrella_Domains | Renvoie la valeur si elle existe dans le résultat JSON. |
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
[{
"EntityResult": ["google.com", "twilio.com", "gmail.com"],
"Entity": "example.com"
}]
Obtenir des informations sur la sécurité du domaine
Description
Fournir des informations sur la sécurité d'un domaine (en pièce jointe).
Paramètres
N/A
Cas d'utilisation
N/A
Exécuter sur
Cette action s'exécute sur l'entité "Nom d'hôte".
Résultats de l'action
Enrichissement d'entités
| Nom du champ d'enrichissement | Logique : quand l'appliquer ? |
|---|---|
| trouvé | Renvoie la valeur si elle existe dans le résultat JSON. |
| popularité | Renvoie la valeur si elle existe dans le résultat JSON. |
| geodiversity_normalized | Renvoie la valeur si elle existe dans le résultat JSON. |
| dga_score | Renvoie la valeur si elle existe dans le résultat JSON. |
| rip_score | Renvoie la valeur si elle existe dans le résultat JSON. |
| asn_score | Renvoie la valeur si elle existe dans le résultat JSON. |
| securerank2 | Renvoie la valeur si elle existe dans le résultat JSON. |
| geoscore | Renvoie la valeur si elle existe dans le résultat JSON. |
| attaque | Renvoie la valeur si elle existe dans le résultat JSON. |
| ks_test | Renvoie la valeur si elle existe dans le résultat JSON. |
| pagerank | Renvoie la valeur si elle existe dans le résultat JSON. |
| géodiversité | Renvoie la valeur si elle existe dans le résultat JSON. |
| prefix_score | Renvoie la valeur si elle existe dans le résultat JSON. |
| perplexité | Renvoie la valeur si elle existe dans le résultat JSON. |
| entropie | Renvoie la valeur si elle existe dans le résultat JSON. |
| fastflux | Renvoie la valeur si elle existe dans le résultat JSON. |
| threat_type | Renvoie la valeur si elle existe dans le résultat JSON. |
| tld_geodiversity | Renvoie la valeur si elle existe dans le résultat JSON. |
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
[{
"EntityResult":
{
"found": false,
"popularity": 0.0,
"geodiversity_normalized": [],
"dga_score": -16.878373381058395,
"rip_score": 0.0,
"asn_score": 0.0,
"securerank2": 0.0,
"geoscore": 0.0,
"attack": "",
"ks_test": 0.0,
"pagerank": 0.0,
"geodiversity": [],
"prefix_score": 0.0,
"perplexity": 0.9961472993373601,
"entropy": 2.2516291673878226,
"fastflux": false,
"threat_type": "",
"tld_geodiversity": []
},
"Entity": "zahav1.ru"
}]
Obtenir l'état du domaine
Description
Fournir l'état d'un domaine, ses catégories de contenu et sa sécurité
Paramètres
N/A
Cas d'utilisation
N/A
Exécuter sur
Cette action s'exécute sur l'entité "Nom d'hôte".
Résultats de l'action
Enrichissement d'entités
| Nom du champ d'enrichissement | Logique : quand l'appliquer ? |
|---|---|
| content_categories | Renvoie la valeur si elle existe dans le résultat JSON. |
| état | Renvoie la valeur si elle existe dans le résultat JSON. |
| security_categories | Renvoie la valeur si elle existe dans le résultat JSON. |
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
[{
"EntityResult":
{ "content_categories": "Ecommerce/Shopping",
"status": "1",
"security_categories": ""
},
"Entity": "example.com"
}]
Obtenir les domaines malveillants
Description
Obtenez les domaines malveillants pour une adresse IP.
Paramètres
N/A
Cas d'utilisation
N/A
Exécuter sur
Cette action s'exécute sur l'entité "Adresse IP".
Résultats de l'action
Enrichissement d'entités
| Nom du champ d'enrichissement | Logique : quand l'appliquer ? |
|---|---|
| 192.168.0.2 | Renvoie la valeur si elle existe dans le résultat JSON. |
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"192.168.0.2":
[ "d.applovin.com.doesntexist.com",
"atdmt.com.doesntexist.com",
"Adservice.google.com.doesntexist.com"
]
}
Obtenir Whois
Description
Récupérez les informations WHOIS pour les adresses e-mail, les serveurs de noms et les domaines indiqués.
Paramètres
N/A
Cas d'utilisation
N/A
Exécuter sur
Cette action s'exécute sur l'entité "Nom d'hôte".
Résultats de l'action
Enrichissement d'entités
| Nom du champ d'enrichissement | Logique : quand l'appliquer ? |
|---|---|
| billingContactState | Renvoie la valeur si elle existe dans le résultat JSON. |
| administrativeContactPostalCode | Renvoie la valeur si elle existe dans le résultat JSON. |
| zoneContactCity | Renvoie la valeur si elle existe dans le résultat JSON. |
| address | Renvoie la valeur si elle existe dans le résultat JSON. |
| registrantFaxExt | Renvoie la valeur si elle existe dans le résultat JSON. |
| auditUpdatedDate | Renvoie la valeur si elle existe dans le résultat JSON. |
| administrativeContactCity | Renvoie la valeur si elle existe dans le résultat JSON. |
| administrativeContactEmail | Renvoie la valeur si elle existe dans le résultat JSON. |
| technicalContactFax | Renvoie la valeur si elle existe dans le résultat JSON. |
| billingContactOrganization | Renvoie la valeur si elle existe dans le résultat JSON. |
| billingContactEmail | Renvoie la valeur si elle existe dans le résultat JSON. |
| technicalContactPostalCode | Renvoie la valeur si elle existe dans le résultat JSON. |
| registrantOrganization | Renvoie la valeur si elle existe dans le résultat JSON. |
| zoneContactPostalCode | Renvoie la valeur si elle existe dans le résultat JSON. |
| registrantState | Renvoie la valeur si elle existe dans le résultat JSON. |
| administrativeContactName | Renvoie la valeur si elle existe dans le résultat JSON. |
| billingContactFaxExt | Renvoie la valeur si elle existe dans le résultat JSON. |
| billingContactCity | Renvoie la valeur si elle existe dans le résultat JSON. |
| technicalContactEmail | Renvoie la valeur si elle existe dans le résultat JSON. |
| registrantCountry | Renvoie la valeur si elle existe dans le résultat JSON. |
| technicalContactFaxExt | Renvoie la valeur si elle existe dans le résultat JSON. |
| administrativeContactStreet | Renvoie la valeur si elle existe dans le résultat JSON. |
| administrativeContactOrganization | Renvoie la valeur si elle existe dans le résultat JSON. |
| billingContactCountry | Renvoie la valeur si elle existe dans le résultat JSON. |
| billingContactName | Renvoie la valeur si elle existe dans le résultat JSON. |
| registrarName | Renvoie la valeur si elle existe dans le résultat JSON. |
| technicalContactTelephoneExt | Renvoie la valeur si elle existe dans le résultat JSON. |
| administrativeContactFax | Renvoie la valeur si elle existe dans le résultat JSON. |
| zoneContactFax | Renvoie la valeur si elle existe dans le résultat JSON. |
| timestamp | Renvoie la valeur si elle existe dans le résultat JSON. |
| registrantCity | Renvoie la valeur si elle existe dans le résultat JSON. |
| administrativeContactTelephoneExt | Renvoie la valeur si elle existe dans le résultat JSON. |
| état | Renvoie la valeur si elle existe dans le résultat JSON. |
| mise(s) à jour | Renvoie la valeur si elle existe dans le résultat JSON. |
| expire le | Renvoie la valeur si elle existe dans le résultat JSON. |
| whoisServers | Renvoie la valeur si elle existe dans le résultat JSON. |
| technicalContactName | Renvoie la valeur si elle existe dans le résultat JSON. |
| technicalContactState | Renvoie la valeur si elle existe dans le résultat JSON. |
| nameServers | Renvoie la valeur si elle existe dans le résultat JSON. |
| zoneContactFaxExt | Renvoie la valeur si elle existe dans le résultat JSON. |
| recordExpired | Renvoie la valeur si elle existe dans le résultat JSON. |
| registrantFax | Renvoie la valeur si elle existe dans le résultat JSON. |
| registrantTelephoneExt | Renvoie la valeur si elle existe dans le résultat JSON. |
| billingContactFax | Renvoie la valeur si elle existe dans le résultat JSON. |
| technicalContactOrganization | Renvoie la valeur si elle existe dans le résultat JSON. |
| administrativeContactState | Renvoie la valeur si elle existe dans le résultat JSON. |
| zoneContactOrganization | Renvoie la valeur si elle existe dans le résultat JSON. |
| billingContactPostalCode | Renvoie la valeur si elle existe dans le résultat JSON. |
| zoneContactStreet | Renvoie la valeur si elle existe dans le résultat JSON. |
| zoneContactName | Renvoie la valeur si elle existe dans le résultat JSON. |
| registrantPostalCode | Renvoie la valeur si elle existe dans le résultat JSON. |
| billingContactTelephone | Renvoie la valeur si elle existe dans le résultat JSON. |
| e-mails | Renvoie la valeur si elle existe dans le résultat JSON. |
| registrantTelephone | Renvoie la valeur si elle existe dans le résultat JSON. |
| administrativeContactCountry | Renvoie la valeur si elle existe dans le résultat JSON. |
| technicalContactCity | Renvoie la valeur si elle existe dans le résultat JSON. |
| administrativeContactTelephone | Renvoie la valeur si elle existe dans le résultat JSON. |
| créé | Renvoie la valeur si elle existe dans le résultat JSON. |
| registrarIANAID | Renvoie la valeur si elle existe dans le résultat JSON. |
| registrantStreet | Renvoie la valeur si elle existe dans le résultat JSON. |
| domainName | Renvoie la valeur si elle existe dans le résultat JSON. |
| technicalContactCountry | Renvoie la valeur si elle existe dans le résultat JSON. |
| billingContactStreet | Renvoie la valeur si elle existe dans le résultat JSON. |
| timeOfLatestRealtimeCheck | Renvoie la valeur si elle existe dans le résultat JSON. |
| zoneContactState | Renvoie la valeur si elle existe dans le résultat JSON. |
| registrantEmail | Renvoie la valeur si elle existe dans le résultat JSON. |
| administrativeContactFaxExt | Renvoie la valeur si elle existe dans le résultat JSON. |
| billingContactTelephoneExt | Renvoie la valeur si elle existe dans le résultat JSON. |
| zoneContactCountry | Renvoie la valeur si elle existe dans le résultat JSON. |
| zoneContactEmail | Renvoie la valeur si elle existe dans le résultat JSON. |
| zoneContactTelephoneExt | Renvoie la valeur si elle existe dans le résultat JSON. |
| technicalContactTelephone | Renvoie la valeur si elle existe dans le résultat JSON. |
| technicalContactStreet | Renvoie la valeur si elle existe dans le résultat JSON. |
| zoneContactTelephone | Renvoie la valeur si elle existe dans le résultat JSON. |
| hasRawText | Renvoie la valeur si elle existe dans le résultat JSON. |
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
[{
"EntityResult":
{
"billingContactState": null,
"administrativeContactPostalCode": "89507",
"zoneContactCity": null,
"addresses": ["p.o. box 8102"],
"registrantFaxExt": null,
"registrantName": "Hostmaster, Amazon Legal Dept.",
"auditUpdatedDate": "2019-01-08 12:03:30.000 UTC",
"administrativeContactCity": "Reno",
"administrativeContactEmail": "john_doe@example.com",
"technicalContactFax": "12062667010",
"billingContactOrganization": null,
"billingContactEmail": null,
"technicalContactPostalCode": "89507",
"registrantOrganization": "Amazon Technologies, Inc.",
"zoneContactPostalCode": null,
"registrantState": "NV",
"administrativeContactName": "Hostmaster, Amazon Legal Dept.",
"billingContactFaxExt": null,
"billingContactCity": null,
"technicalContactEmail": "john_doe@example.com",
"registrantCountry": "UNITED STATES",
"technicalContactFaxExt": null,
"administrativeContactStreet": ["p.o. box 8102"],
"administrativeContactOrganization": "Amazon Technologies, Inc.",
"billingContactCountry": null,
"billingContactName": null,
"registrarName": "MarkMonitor, Inc.",
"technicalContactTelephoneExt": null,
"administrativeContactFax": null,
"zoneContactFax": null,
"timestamp": null,
"registrantCity": "Reno",
"administrativeContactTelephoneExt": null,
"status": [
"clientDeleteProhibited clientTransferProhibited clientUpdateProhibited serverDeleteProhibited serverTransferProhibited serverUpdateProhibited"],
"updated": "2014-04-30",
"expires": "2022-10-31",
"whoisServers": "whois.markmonitor.com",
"technicalContactName": "Hostmaster, Amazon Legal Dept.",
"technicalContactState": "NV",
"nameServers": [
"ns1.p31.dynect.net",
"Ns2.p31.dynect.net",
"Ns3.p31.dynect.net"
],
"zoneContactFaxExt": null,
"recordExpired": false,
"registrantFax": "12062667010",
"registrantTelephoneExt": null,
"billingContactFax": null,
"technicalContactOrganization": "Amazon Technologies, Inc.",
"administrativeContactState": "NV",
"zoneContactOrganization": null,
"billingContactPostalCode": null,
"zoneContactStreet": [],
"zoneContactName": null,
"registrantPostalCode": "89507",
"billingContactTelephone": null,
"emails": ["hostmaster@example.com"],
"registrantTelephone": "12062664064",
"administrativeContactCountry": "UNITED STATES",
"technicalContactCity": "Reno",
"administrativeContactTelephone": "12062664064",
"created": "1994-11-01",
"registrarIANAID": "292",
"registrantStreet": ["p.o. box 8102"],
"domainName": "example.com",
"technicalContactCountry": "UNITED STATES",
"billingContactStreet": [],
"timeOfLatestRealtimeCheck": 1547718689211,
"zoneContactState": null,
"registrantEmail": "john_doe@example.com",
"administrativeContactFaxExt": null,
"billingContactTelephoneExt": null,
"zoneContactCountry": null,
"zoneContactEmail": null,
"zoneContactTelephoneExt": null,
"technicalContactTelephone": "12062664064",
"technicalContactStreet": ["p.o. box 8102"],
"zoneContactTelephone": null,
"hasRawText": true
},
"Entity": "example.com"
}]
Le domaine figure-t-il dans la liste de popularité Cisco ?
Utilisez l'action Is Domain In Cisco Popularity List (Le domaine figure-t-il dans la liste de popularité Cisco ?) pour vérifier si un domaine est présent dans la liste de popularité Cisco.
Cette action s'exécute sur les entités Google SecOps suivantes :
DomainHostnameURL
Entrées d'action
Aucune.
Sorties d'action
L'action Is Domain In Cisco Popularity List (Le domaine figure-t-il dans la liste de popularité Cisco ?) fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Tableau du mur des cas | Non disponible |
| Table d'enrichissement | Disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Table d'enrichissement des entités
Le tableau suivant liste les champs enrichis à l'aide de l'action Is Domain In Cisco Popularity List :
| Champ d'enrichissement | Source (clé JSON) | Applicabilité |
|---|---|---|
is_found_in_cisco_popular_list |
true/false |
Lorsqu'il est disponible dans le résultat JSON. |
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Is Domain In Cisco Popularity List (Le domaine figure-t-il dans la liste de popularité Cisco) :
[{
"Entity": "",
"EntityResult": {
"found": "true",
"entries": [
{
"order": 123,
"domain": ""
}
]
}
}]
Messages de sortie
L'action Is Domain In Cisco Popularity List (Le domaine figure-t-il dans la liste de popularité Cisco ?) peut renvoyer les messages de sortie suivants :
| Message de sortie | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Is Domain In Cisco Popularity List".
Reason: ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Is Domain In Cisco Popularity List (Le domaine figure-t-il dans la liste de popularité Cisco ?) :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
true ou false |
Lister les principaux domaines
Utilisez l'action Lister les principaux domaines pour récupérer des données sur les domaines les plus fréquents en fonction de la liste de popularité Cisco.
Entrées d'action
L'action Lister les principaux domaines nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Max Domains To Return |
Obligatoire. Nombre maximal de domaines à récupérer dans la liste. La valeur maximale est de La valeur par défaut est |
Sorties d'action
L'action Lister les principaux domaines fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Tableau du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre le résultat JSON obtenu lors de l'utilisation de l'action Lister les principaux domaines :
[{
"order": 123,
"domain": ""
}]
Messages de sortie
L'action Lister les principaux domaines peut renvoyer les messages de sortie suivants :
| Message de sortie | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "List Top Domains".
Reason: ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Lister les principaux domaines :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
true ou false |
Ping
Description
Testez la connectivité.
Paramètres
N/A
Cas d'utilisation
N/A
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
N/A
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.