Cloudflare
Version de l'intégration : 2.0
Cas d'utilisation des produits
Enrichir des entités
Configurer l'intégration Cloudflare dans Google Security Operations
Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Paramètres d'intégration
Utilisez les paramètres suivants pour configurer l'intégration :
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Racine de l'API | Chaîne | https://api.cloudflare.com |
Oui | Racine de l'API de l'instance Cloudflare. |
| Jeton d'API | Mot de passe | N/A | Oui | Jeton d'API de l'instance Cloudflare. |
| Nom du compte | Chaîne | N/A | Oui | Nom du compte à utiliser dans l'intégration. |
| Vérifier le protocole SSL | Case à cocher | Cochée | Non | Si cette option est activée, elle vérifie que le certificat SSL pour la connexion au serveur Cloudflare est valide. |
Configurer un jeton
- Accédez à Paramètres du profil, puis cliquez sur Jetons d'API.
- Accédez à Créer un jeton > Créer un jeton personnalisé et sélectionnez les autorisations suivantes :
| Compte | WAF au niveau du compte | Lire |
| Compte | Règles | Lire |
| Compte | Listes de filtres de compte | Modifier |
| Compte | Accès au pare-feu du compte | Modifier |
| Compte | Pare-feu DNS | Lire |
| Compte | Paramètres du compte | Lire |
| Zone | WAF de zone | Modifier |
| Zone | Paramètres de zone | Lire |
| Zone | Zone | Lire |
| Zone | Journaux | Lire |
| Zone | Services de pare-feu | Modifier |
| Zone | Services de pare-feu | Lire |
| Zone | Analytics | Lire |
Actions
Ajouter une adresse IP à la liste des règles
Description
Ajoutez des adresses IP à la liste des règles dans Cloudflare. Entités acceptées : adresse IP.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom de la règle | Chaîne | N/A | Oui | Spécifiez le nom de la liste de règles à laquelle vous souhaitez ajouter des éléments. |
| Description | Chaîne | N/A | Non | Spécifiez une description pour les éléments de la liste de règles que vous venez d'ajouter. |
Date d'exécution
Cette action s'exécute sur l'entité "Adresse IP".
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"result": {
"operation_id": "f16b978552ca49f88b36fe628de31142"
},
"success": true,
"errors": [],
"messages": []
}
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si le code d'état 200 est signalé pour une entité (is_success=true) : "Les entités suivantes ont été ajoutées à la liste de règles {name} dans Cloudflare : {entity.identifier}." Si l'opération n'a pas réussi pour une entité (is_success=true) : "L'action n'a pas pu ajouter les entités suivantes à la liste des règles {name} dans Cloudflare : {entity.identifier}." Si l'opération n'a pas abouti pour toutes les entités (is_success=false) : "Aucune des entités fournies n'a été ajoutée à la liste de règles {name}." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, l'absence de connexion au serveur ou autre) : "Erreur lors de l'exécution de l'action "Ajouter une adresse IP à la liste des règles". Raison : {0}''.format(error.Stacktrace) Si la liste n'est pas trouvée : "Erreur lors de l'exécution de l'action "Ajouter une adresse IP à la liste de règles". Motif : la liste de règles {name} n'a pas été trouvée dans Cloudflare. Si la liste n'est pas du bon type : "Erreur lors de l'exécution de l'action "Ajouter une adresse IP à la liste de règles". Motif : La liste de règles {name} n'est pas de type "IP"." |
Général |
Ajouter une URL à la liste de règles
Description
Ajoutez des URL à la liste de règles dans Cloudflare. Entités acceptées : URL.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom de la règle | Chaîne | N/A | Oui | Spécifiez le nom de la liste de règles à laquelle vous souhaitez ajouter des éléments. |
| URL source | Chaîne | N/A | Oui | Spécifiez l'URL source de l'élément de la liste de règles. |
| Description | Chaîne | N/A | Non | Spécifiez une description pour les éléments de la liste de règles que vous venez d'ajouter. |
| Code d'état | LDD | 301 Valeurs possibles :
|
Non | Spécifiez l'état de l'élément de la liste de règles. |
| Conserver la chaîne de requête | Case à cocher | Décochée | Non | Si cette option est activée, l'élément de liste de règles conserve la chaîne de requête. |
| Inclure les sous-domaines | Case à cocher | Décochée | Non | Si cette option est activée, l'élément de la liste de règles inclut les sous-domaines. |
| Correspondance de sous-chemin | Case à cocher | Décochée | Non | Si cette option est activée, l'élément de liste de règles correspond au sous-chemin. |
| Conserver le suffixe du chemin | Case à cocher | Décochée | Non | Si cette option est activée, l'élément de liste de règles conserve le suffixe du chemin d'accès. |
Date d'exécution
Cette action s'exécute sur l'entité "Adresse IP".
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"result": {
"operation_id": "f16b978552ca49f88b36fe628de31142"
},
"success": true,
"errors": [],
"messages": []
}
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si le code d'état 200 est renvoyé pour une entité (is_success=true) : "Les entités suivantes ont bien été ajoutées à la liste des règles {name} dans Cloudflare : {entity.identifier}." Si l'opération n'a pas réussi pour une entité (is_success=true) : "L'action n'a pas pu ajouter les entités suivantes à la liste des règles {name} dans Cloudflare : {entity.identifier}." Si l'opération n'a pas réussi pour toutes les entités (is_success=false) : "Aucune des entités fournies n'a été ajoutée à la liste de règles {name}." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, l'absence de connexion au serveur ou autre) : "Erreur lors de l'exécution de l'action "Ajouter une URL à la liste de règles". Raison : {0}''.format(error.Stacktrace) Si la liste est introuvable : "Erreur lors de l'exécution de l'action "Ajouter une URL à la liste de règles". Motif : la liste de règles {name} n'a pas été trouvée dans Cloudflare. Si la liste n'est pas du bon type : "Erreur lors de l'exécution de l'action "Ajouter une URL à la liste de règles". Motif : la liste de règles {name} n'est pas de type"Redirection". |
Général |
Créer une règle de pare-feu
Description
Créez une règle de pare-feu dans Cloudflare.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom de la zone | Chaîne | N/A | Oui | Spécifiez le nom de la zone contenant la règle de pare-feu. |
| Nom | Chaîne | N/A | Non | Spécifiez le nom de la règle de pare-feu. |
| Action | LDD | Bloquer Valeurs possibles :
|
Non | Spécifiez l'action pour la règle de pare-feu. Si vous sélectionnez "Bloquer", vous devez fournir des valeurs dans le paramètre "Produits". |
| Expression | Chaîne | N/A | Oui | Spécifiez l'expression de la règle de pare-feu. |
| Produits | CSV | N/A | Non | Spécifiez une liste de produits séparés par une virgule pour la règle de pare-feu. Remarque : Ce paramètre n'est obligatoire que si l'option "Ignorer" est sélectionnée pour le paramètre "Action". Valeurs possibles : zoneLockdown, uaBlock, bic, hot, securityLevel, rateLimit, waf |
| Priorité | Integer | N/A | Non | Spécifiez la priorité de la règle de pare-feu. |
| Tag de référence | Chaîne | N/A | Non | Spécifiez un tag de référence pour la règle de pare-feu. Remarque : Il ne peut pas contenir plus de 50 caractères. |
Date d'exécution
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
{
"id": "b520c154bdeb4fe2a1f647b2c6b35829",
"paused": false,
"description": "Blocks traffic identified during investigation for MIR-31",
"action": "block",
"priority": 50,
"filter": {
"id": "fc6dfad848c24a42ae5be0114db09fb9",
"expression": "(ip.geoip.continent eq \"ASIA\")",
"paused": false
},
"created_on": "2022-07-25T11:19:22Z",
"modified_on": "2022-07-25T11:19:22Z",
"index": 0
}
}
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si le code d'état 200 est signalé (is_success=true) : "Une règle de pare-feu a bien été créée dans la zone "{zone_name}" de Cloudflare." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou autre) : "Erreur lors de l'exécution de l'action "Créer une règle de pare-feu". Raison : {0}''.format(error.Stacktrace) Si la liste des erreurs n'est pas vide : "Erreur lors de l'exécution de l'action "Créer une règle de pare-feu". Motif : {0}''.format(errors/message) Si la zone est introuvable : "Erreur lors de l'exécution de l'action "Créer une règle de pare-feu". Motif : la zone {zone_name} n'a pas été trouvée dans Cloudflare. |
Général |
Créer une liste de règles
Description
Créez une liste de règles dans Cloudflare.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Name | Chaîne | N/A | Oui | Spécifiez le nom de la liste de règles. |
| Type | LDD | Adresse IP Valeurs possibles :
|
Non | Spécifiez le type de la liste de règles. |
| Description | Chaîne | N/A | Non | Spécifiez la description de la liste de règles. |
Date d'exécution
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"id": "d19589d629f140c0b961c467feadf99d",
"name": "123",
"kind": "ip",
"num_items": 0,
"description": "description",
"num_referencing_filters": 0,
"created_on": "2022-07-25T12:13:46Z",
"modified_on": "2022-07-25T12:13:46Z"
}
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si le code d'état 200 est signalé (is_success = true) : "Liste de règles créée dans Cloudflare." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, l'absence de connexion au serveur ou autre) : "Erreur lors de l'exécution de l'action "Créer une liste de règles". Raison : {0}''.format(error.Stacktrace) Si la liste des erreurs n'est pas vide : "Erreur lors de l'exécution de l'action "Créer une liste de règles". Motif : {0}''.format(errors/message) |
Général |
Enrichir les entités
Description
Enrichissez les entités à l'aide des informations de Cloudflare. Entités acceptées : URL, adresse IP, nom d'hôte.
Paramètres
N/A
Date d'exécution
Cette action s'applique aux entités suivantes :
- Adresse IP
- URL
- Nom d'hôte
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
Résultat JSON pour l'adresse IP
{
"ip": "192.0.2.0",
"belongs_to_ref": {
"id": "autonomous-system--2fa28d71-3549-5a38-af05-770b79ad6ea8",
"value": 13335,
"type": "hosting_provider",
"country": "US",
"description": "CLOUDFLARENET"
},
"risk_types": [
{
"id": 131,
"super_category_id": 21,
"name": "Phishing"
}
]
}
Résultat JSON pour l'URL
{
"url": "https://www.cloudflare.com",
"phishing": false,
"verified": false,
"score": 0.99,
"classifier": "MACHINE_LEARNING_v2"
}
Résultat JSON pour le nom d'hôte
{
"domain": "cloudflare.com",
"created_date": "2009-02-17",
"updated_date": "2017-05-24",
"registrant": "DATA REDACTED",
"registrant_org": "DATA REDACTED",
"registrant_country": "United States",
"registrant_email": "https://domaincontact.cloudflareregistrar.com/cloudflare.com",
"registrar": "Cloudflare, Inc.",
"nameservers": [
"ns3.cloudflare.com",
"ns4.cloudflare.com",
"ns5.cloudflare.com",
"ns6.cloudflare.com",
"ns7.cloudflare.com"
]
}
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si le code d'état 200 est signalé pour une entité (is_success=true) : "Les entités suivantes ont été enrichies dans Cloudflare : {entity.identifier}." Si l'opération n'a pas réussi pour une entité (is_success=true) : "L'action n'a pas pu enrichir les entités suivantes dans Cloudflare : {entity.identifier}." Si l'opération n'a pas abouti pour toutes les entités (is_success=false) : "Aucune des entités fournies n'a été enrichie." Si le code d'état 403 est signalé pour l'adresse IP (si au moins une entité est enrichie, is_success=true, sinon is_success=false) : "Pour enrichir les adresses IP, vous devez activer les fonctionnalités "Aperçu des adresses IP" dans le compte Cloudflare." Si le code d'état 403 est signalé pour le nom d'hôte (is_success=true si au moins une entité est enrichie, is_success=false dans le cas contraire) : "Pour enrichir les domaines, vous devez activer les fonctionnalités WHOIS dans le compte Cloudflare." Si le code d'état 403 est signalé pour l'URL (si au moins une entité est enrichie, is_success=true, sinon is_success=false) : "Pour enrichir les URL, vous devez activer les fonctionnalités "Phishing URL Scanner" dans le compte Cloudflare." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou autre) : "Erreur lors de l'exécution de l'action "Enrichir les entités". Raison : {0}''.format(error.Stacktrace) Si le code d'état 403 est signalé pour toutes les entités (is_success=false) : "Vous devez activer les fonctionnalités "Phishing URL Scanner", "WHOIS" et "IP Overview" dans le compte Cloudflare." |
Général |
Lister les règles de pare-feu
Description
Répertoriez les règles de pare-feu disponibles dans Cloudflare.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom de la zone | Chaîne | N/A | Oui | Spécifiez le nom de la zone qui contiendra la règle de pare-feu. |
| Clé de filtre | LDD | Sélectionnez une réponse Valeurs possibles :
|
Non | Spécifiez la clé à utiliser pour filtrer {item type}. |
| Logique de filtrage | LDD | Sélectionnez une réponse Valeurs possibles :
|
Non | Spécifiez la logique de filtrage à appliquer. La logique de filtrage est basée sur la valeur fournie dans le paramètre "Clé de filtre". |
| Valeur du filtre | Chaîne | N/A | Non | Spécifiez la valeur à utiliser dans le filtre. Si l'option "Égal à" est sélectionnée, l'action tente de trouver la correspondance exacte parmi les résultats. Si l'option "Contient" est sélectionnée, l'action tente de trouver des résultats contenant cette sous-chaîne. Si aucune valeur n'est fournie pour ce paramètre, le filtre n'est pas appliqué. La logique de filtrage est basée sur la valeur fournie dans le paramètre "Clé de filtre". |
| Nombre maximal d'enregistrements à renvoyer | Integer | 50 | Non | Spécifiez le nombre d'enregistrements à renvoyer. Si aucune valeur n'est fournie, l'action renvoie 50 enregistrements. |
Date d'exécution
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"id": "55ec8db30f9e4640b5d0d13cff6b5429",
"paused": false,
"description": "rulle2",
"action": "allow",
"filter": {
"id": "2bb05df8c4f547bd9792d8dc38a86b81",
"expression": "(ip.geoip.country eq \"BG\")",
"paused": false
},
"created_on": "2022-07-05T13:53:39Z",
"modified_on": "2022-07-05T13:53:39Z"
}
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si des données sont disponibles (is_success=true) : "{item name} a été trouvé pour les critères fournis dans {product name}". Si les données ne sont pas disponibles (is_success=false) : "Aucun {item name} n'a été trouvé pour les critères fournis dans {product name}" Si le paramètre "Valeur du filtre" est vide (is_success=true) : "Le filtre n'a pas été appliqué, car le paramètre "Valeur du filtre" est vide." L'action doit échouer et arrêter l'exécution d'un playbook : Si le paramètre "Clé de filtre" est défini sur "Sélectionner une option" et que le paramètre "Logique de filtre" est défini sur "Égal à" ou "Contient" : "Erreur lors de l'exécution de l'action "{action name}". Raison : vous devez sélectionner un champ dans le paramètre "Clé de filtre"." Si une valeur non valide est fournie pour le paramètre "Nombre maximal d'enregistrements à renvoyer" : "Erreur lors de l'exécution de l'action "{nom de l'action}". Motif : "Une valeur non valide a été fournie pour "Nombre maximal d'enregistrements à renvoyer" : . Veuillez indiquer un nombre positif." Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "{nom de l'action}". Raison : {0}''.format(error.Stacktrace) |
Général |
| Tableau du mur des cas | Nom de la table : "Available {item group}" Colonnes de table : {fields} |
Général |
Ping
Description
Testez la connectivité à Cloudflare avec les paramètres fournis sur la page de configuration de l'intégration dans l'onglet Google Security Operations Marketplace.
Paramètres
N/A
Date d'exécution
L'action n'utilise aucune des entités du champ d'application Google SecOps et ne comporte pas de paramètres d'entrée obligatoires.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
N/A
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si l'opération réussit : "Connexion au serveur SpyCloud établie avec les paramètres de connexion fournis !" L'action doit échouer et arrêter l'exécution d'un playbook : Si l'opération échoue : "Échec de la connexion au serveur SpyCloud ! Error is {0}".format(exception.stacktrace) Si le compte n'est pas trouvé : "Échec de la connexion au serveur Cloudflare. Un nom de compte non valide a été fourni. Veuillez vérifier l'orthographe." |
Général |
Mettre à jour une règle de pare-feu
Description
Mettez à jour une règle de pare-feu dans Cloudflare.
Date d'exécution
Cette action ne s'applique pas aux entités.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom de la règle | Chaîne | N/A | Oui | Spécifiez le nom de la règle à modifier. |
| Nom de la zone | Chaîne | N/A | Oui | Spécifiez le nom de la zone contenant la règle de pare-feu. |
| Action | LDD | Bloquer Valeurs possibles :
|
Non | Spécifiez l'action pour la règle de pare-feu. Si vous sélectionnez "Bloquer", vous devez fournir des valeurs dans le paramètre "Produits". |
| Expression | Chaîne | N/A | Oui | Spécifiez l'expression de la règle de pare-feu. |
| Produits | CSV | N/A | Non | Spécifiez une liste de produits séparés par une virgule pour la règle de pare-feu. Remarque : Ce paramètre n'est obligatoire que si l'option "Ignorer" est sélectionnée pour le paramètre "Action". Valeurs possibles : zoneLockdown, uaBlock, bic, hot, securityLevel, rateLimit, waf |
| Priorité | Integer | N/A | Non | Spécifiez la priorité de la règle de pare-feu. |
| Tag de référence | Chaîne | N/A | Non | Spécifiez un tag de référence pour la règle de pare-feu. Remarque : Il ne peut pas contenir plus de 50 caractères. |
Date d'exécution
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
{
"id": "b520c154bdeb4fe2a1f647b2c6b35829",
"paused": false,
"description": "Blocks traffic identified during investigation for MIR-31",
"action": "block",
"priority": 50,
"filter": {
"id": "fc6dfad848c24a42ae5be0114db09fb9",
"expression": "(ip.geoip.continent eq \"ASIA\")",
"paused": false
},
"created_on": "2022-07-25T11:19:22Z",
"modified_on": "2022-07-25T11:19:22Z",
"index": 0
}
}
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si le code d'état 200 est signalé (is_success=true) : "La règle de pare-feu a bien été mise à jour dans la zone "{zone_name}" de Cloudflare." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Mettre à jour la règle de pare-feu". Raison : {0}''.format(error.Stacktrace) Si la liste des erreurs n'est pas vide : "Erreur lors de l'exécution de l'action "Mettre à jour la règle de pare-feu". Motif : {0}''.format(errors/message) Si la zone est introuvable : "Erreur lors de l'exécution de l'action "Mettre à jour la règle de pare-feu". Motif : la zone {zone_name} n'a pas été trouvée dans Cloudflare. |
Général |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.