Cisco Umbrella
集成版本:13.0
配置 Cisco Umbrella 以与 Google Security Operations 搭配使用
获取强制执行令牌
如需检索密钥,请执行以下操作:
- 依次前往政策 > 政策组件 > 集成。
- 展开相应的集成,或点击添加以生成自定义集成。
参考: https://docs.umbrella.com/investigate-api/reference#reference-getting-started
获取调查令牌
如需创建您的第一个 API 访问令牌,请执行以下操作:
- 点击创建新令牌。
- 为令牌命名,然后点击创建。生成的令牌包含创建者的电子邮件地址和创建日期。如需撤消令牌,请点击删除。
参考: https://docs.umbrella.com/investigate-api/reference#about-the-api-and-authentication
在 Google SecOps 中配置 Cisco Umbrella 集成
有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成。
操作
添加网域
说明
将网域添加到 OpenDNS 屏蔽列表。
参数
不适用
使用场景
不适用
运行于
此操作在 Hostname 实体上运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
删除网域
说明
从 OpenDNS 屏蔽列表中删除网域。
参数
不适用
使用场景
不适用
运行于
此操作在 Hostname 实体上运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
获取关联的网域
说明
获取特定主机名的关联网域。
参数
不适用
使用场景
不适用
运行于
此操作在 Hostname 实体上运行。
操作执行结果
实体扩充
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| cisco_umbrella_Domains | 返回 JSON 结果中是否存在相应值 |
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[{
"EntityResult": ["google.com", "twilio.com", "gmail.com"],
"Entity": "example.com"
}]
获取网域安全信息
说明
提供网域的安全信息(以附件形式)。
参数
不适用
使用场景
不适用
运行于
此操作在 Hostname 实体上运行。
操作执行结果
实体扩充
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| 已找到 | 返回 JSON 结果中是否存在相应值 |
| 热门程度 | 返回 JSON 结果中是否存在相应值 |
| geodiversity_normalized | 返回 JSON 结果中是否存在相应值 |
| dga_score | 返回 JSON 结果中是否存在相应值 |
| rip_score | 返回 JSON 结果中是否存在相应值 |
| asn_score | 返回 JSON 结果中是否存在相应值 |
| securerank2 | 返回 JSON 结果中是否存在相应值 |
| 地理位置得分 | 返回 JSON 结果中是否存在相应值 |
| 攻击 | 返回 JSON 结果中是否存在相应值 |
| ks_test | 返回 JSON 结果中是否存在相应值 |
| pagerank | 返回 JSON 结果中是否存在相应值 |
| 地质多样性 | 返回 JSON 结果中是否存在相应值 |
| prefix_score | 返回 JSON 结果中是否存在相应值 |
| 困惑度 | 返回 JSON 结果中是否存在相应值 |
| 熵 | 返回 JSON 结果中是否存在相应值 |
| fastflux | 返回 JSON 结果中是否存在相应值 |
| threat_type | 返回 JSON 结果中是否存在相应值 |
| tld_geodiversity | 返回 JSON 结果中是否存在相应值 |
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[{
"EntityResult":
{
"found": false,
"popularity": 0.0,
"geodiversity_normalized": [],
"dga_score": -16.878373381058395,
"rip_score": 0.0,
"asn_score": 0.0,
"securerank2": 0.0,
"geoscore": 0.0,
"attack": "",
"ks_test": 0.0,
"pagerank": 0.0,
"geodiversity": [],
"prefix_score": 0.0,
"perplexity": 0.9961472993373601,
"entropy": 2.2516291673878226,
"fastflux": false,
"threat_type": "",
"tld_geodiversity": []
},
"Entity": "zahav1.ru"
}]
获取网域状态
说明
提供网域的状态、内容类别和安全性。
参数
不适用
使用场景
不适用
运行于
此操作在 Hostname 实体上运行。
操作执行结果
实体扩充
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| content_categories | 返回 JSON 结果中是否存在相应值 |
| 状态 | 返回 JSON 结果中是否存在相应值 |
| security_categories | 返回 JSON 结果中是否存在相应值 |
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[{
"EntityResult":
{ "content_categories": "Ecommerce/Shopping",
"status": "1",
"security_categories": ""
},
"Entity": "example.com"
}]
获取恶意网域
说明
获取 IP 地址的恶意网域。
参数
不适用
使用场景
不适用
运行于
此操作在 IP 地址实体上运行。
操作执行结果
实体扩充
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| 192.168.0.2 | 返回 JSON 结果中是否存在相应值 |
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"192.168.0.2":
[ "d.applovin.com.doesntexist.com",
"atdmt.com.doesntexist.com",
"Adservice.google.com.doesntexist.com"
]
}
获取 Whois
说明
检索指定电子邮件地址、域名服务器和网域的 WHOIS 信息。
参数
不适用
使用场景
不适用
运行于
此操作在 Hostname 实体上运行。
操作执行结果
实体扩充
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| billingContactState | 返回 JSON 结果中是否存在相应值 |
| administrativeContactPostalCode | 返回 JSON 结果中是否存在相应值 |
| zoneContactCity | 返回 JSON 结果中是否存在相应值 |
| 地址 | 返回 JSON 结果中是否存在相应值 |
| registrantFaxExt | 返回 JSON 结果中是否存在相应值 |
| auditUpdatedDate | 返回 JSON 结果中是否存在相应值 |
| administrativeContactCity | 返回 JSON 结果中是否存在相应值 |
| administrativeContactEmail | 返回 JSON 结果中是否存在相应值 |
| technicalContactFax | 返回 JSON 结果中是否存在相应值 |
| billingContactOrganization | 返回 JSON 结果中是否存在相应值 |
| billingContactEmail | 返回 JSON 结果中是否存在相应值 |
| technicalContactPostalCode | 返回 JSON 结果中是否存在相应值 |
| registrantOrganization | 返回 JSON 结果中是否存在相应值 |
| zoneContactPostalCode | 返回 JSON 结果中是否存在相应值 |
| registrantState | 返回 JSON 结果中是否存在相应值 |
| administrativeContactName | 返回 JSON 结果中是否存在相应值 |
| billingContactFaxExt | 返回 JSON 结果中是否存在相应值 |
| billingContactCity | 返回 JSON 结果中是否存在相应值 |
| technicalContactEmail | 返回 JSON 结果中是否存在相应值 |
| registrantCountry | 返回 JSON 结果中是否存在相应值 |
| technicalContactFaxExt | 返回 JSON 结果中是否存在相应值 |
| administrativeContactStreet | 返回 JSON 结果中是否存在相应值 |
| administrativeContactOrganization | 返回 JSON 结果中是否存在相应值 |
| billingContactCountry | 返回 JSON 结果中是否存在相应值 |
| billingContactName | 返回 JSON 结果中是否存在相应值 |
| registrarName | 返回 JSON 结果中是否存在相应值 |
| technicalContactTelephoneExt | 返回 JSON 结果中是否存在相应值 |
| administrativeContactFax | 返回 JSON 结果中是否存在相应值 |
| zoneContactFax | 返回 JSON 结果中是否存在相应值 |
| 时间戳 | 返回 JSON 结果中是否存在相应值 |
| registrantCity | 返回 JSON 结果中是否存在相应值 |
| administrativeContactTelephoneExt | 返回 JSON 结果中是否存在相应值 |
| 状态 | 返回 JSON 结果中是否存在相应值 |
| 更新 | 返回 JSON 结果中是否存在相应值 |
| 到期时间 | 返回 JSON 结果中是否存在相应值 |
| whoisServers | 返回 JSON 结果中是否存在相应值 |
| technicalContactName | 返回 JSON 结果中是否存在相应值 |
| technicalContactState | 返回 JSON 结果中是否存在相应值 |
| nameServers | 返回 JSON 结果中是否存在相应值 |
| zoneContactFaxExt | 返回 JSON 结果中是否存在相应值 |
| recordExpired | 返回 JSON 结果中是否存在相应值 |
| registrantFax | 返回 JSON 结果中是否存在相应值 |
| registrantTelephoneExt | 返回 JSON 结果中是否存在相应值 |
| billingContactFax | 返回 JSON 结果中是否存在相应值 |
| technicalContactOrganization | 返回 JSON 结果中是否存在相应值 |
| administrativeContactState | 返回 JSON 结果中是否存在相应值 |
| zoneContactOrganization | 返回 JSON 结果中是否存在相应值 |
| billingContactPostalCode | 返回 JSON 结果中是否存在相应值 |
| zoneContactStreet | 返回 JSON 结果中是否存在相应值 |
| zoneContactName | 返回 JSON 结果中是否存在相应值 |
| registrantPostalCode | 返回 JSON 结果中是否存在相应值 |
| billingContactTelephone | 返回 JSON 结果中是否存在相应值 |
| emails | 返回 JSON 结果中是否存在相应值 |
| registrantTelephone | 返回 JSON 结果中是否存在相应值 |
| administrativeContactCountry | 返回 JSON 结果中是否存在相应值 |
| technicalContactCity | 返回 JSON 结果中是否存在相应值 |
| administrativeContactTelephone | 返回 JSON 结果中是否存在相应值 |
| 已创建 | 返回 JSON 结果中是否存在相应值 |
| registrarIANAID | 返回 JSON 结果中是否存在相应值 |
| registrantStreet | 返回 JSON 结果中是否存在相应值 |
| domainName | 返回 JSON 结果中是否存在相应值 |
| technicalContactCountry | 返回 JSON 结果中是否存在相应值 |
| billingContactStreet | 返回 JSON 结果中是否存在相应值 |
| timeOfLatestRealtimeCheck | 返回 JSON 结果中是否存在相应值 |
| zoneContactState | 返回 JSON 结果中是否存在相应值 |
| registrantEmail | 返回 JSON 结果中是否存在相应值 |
| administrativeContactFaxExt | 返回 JSON 结果中是否存在相应值 |
| billingContactTelephoneExt | 返回 JSON 结果中是否存在相应值 |
| zoneContactCountry | 返回 JSON 结果中是否存在相应值 |
| zoneContactEmail | 返回 JSON 结果中是否存在相应值 |
| zoneContactTelephoneExt | 返回 JSON 结果中是否存在相应值 |
| technicalContactTelephone | 返回 JSON 结果中是否存在相应值 |
| technicalContactStreet | 返回 JSON 结果中是否存在相应值 |
| zoneContactTelephone | 返回 JSON 结果中是否存在相应值 |
| hasRawText | 返回 JSON 结果中是否存在相应值 |
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[{
"EntityResult":
{
"billingContactState": null,
"administrativeContactPostalCode": "89507",
"zoneContactCity": null,
"addresses": ["p.o. box 8102"],
"registrantFaxExt": null,
"registrantName": "Hostmaster, Amazon Legal Dept.",
"auditUpdatedDate": "2019-01-08 12:03:30.000 UTC",
"administrativeContactCity": "Reno",
"administrativeContactEmail": "john_doe@example.com",
"technicalContactFax": "12062667010",
"billingContactOrganization": null,
"billingContactEmail": null,
"technicalContactPostalCode": "89507",
"registrantOrganization": "Amazon Technologies, Inc.",
"zoneContactPostalCode": null,
"registrantState": "NV",
"administrativeContactName": "Hostmaster, Amazon Legal Dept.",
"billingContactFaxExt": null,
"billingContactCity": null,
"technicalContactEmail": "john_doe@example.com",
"registrantCountry": "UNITED STATES",
"technicalContactFaxExt": null,
"administrativeContactStreet": ["p.o. box 8102"],
"administrativeContactOrganization": "Amazon Technologies, Inc.",
"billingContactCountry": null,
"billingContactName": null,
"registrarName": "MarkMonitor, Inc.",
"technicalContactTelephoneExt": null,
"administrativeContactFax": null,
"zoneContactFax": null,
"timestamp": null,
"registrantCity": "Reno",
"administrativeContactTelephoneExt": null,
"status": [
"clientDeleteProhibited clientTransferProhibited clientUpdateProhibited serverDeleteProhibited serverTransferProhibited serverUpdateProhibited"],
"updated": "2014-04-30",
"expires": "2022-10-31",
"whoisServers": "whois.markmonitor.com",
"technicalContactName": "Hostmaster, Amazon Legal Dept.",
"technicalContactState": "NV",
"nameServers": [
"ns1.p31.dynect.net",
"Ns2.p31.dynect.net",
"Ns3.p31.dynect.net"
],
"zoneContactFaxExt": null,
"recordExpired": false,
"registrantFax": "12062667010",
"registrantTelephoneExt": null,
"billingContactFax": null,
"technicalContactOrganization": "Amazon Technologies, Inc.",
"administrativeContactState": "NV",
"zoneContactOrganization": null,
"billingContactPostalCode": null,
"zoneContactStreet": [],
"zoneContactName": null,
"registrantPostalCode": "89507",
"billingContactTelephone": null,
"emails": ["hostmaster@example.com"],
"registrantTelephone": "12062664064",
"administrativeContactCountry": "UNITED STATES",
"technicalContactCity": "Reno",
"administrativeContactTelephone": "12062664064",
"created": "1994-11-01",
"registrarIANAID": "292",
"registrantStreet": ["p.o. box 8102"],
"domainName": "example.com",
"technicalContactCountry": "UNITED STATES",
"billingContactStreet": [],
"timeOfLatestRealtimeCheck": 1547718689211,
"zoneContactState": null,
"registrantEmail": "john_doe@example.com",
"administrativeContactFaxExt": null,
"billingContactTelephoneExt": null,
"zoneContactCountry": null,
"zoneContactEmail": null,
"zoneContactTelephoneExt": null,
"technicalContactTelephone": "12062664064",
"technicalContactStreet": ["p.o. box 8102"],
"zoneContactTelephone": null,
"hasRawText": true
},
"Entity": "example.com"
}]
Ping
说明
测试连接。
参数
不适用
使用场景
不适用
运行于
此操作会在所有实体上运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。